I client MacOS si disconnettono sporadicamente dalla rete wireless WPA Enterprise

15

Abbiamo un piccolo ufficio con circa 20 persone, ognuna con un MacBook e, facoltativamente, anche la connessione con un telefono cellulare. In precedenza abbiamo usato il solito Wi-Fi con una chiave condivisa, ma recentemente l'ho riconfigurato in WPA Enterprise, dove tutti gli utenti hanno ricevuto le proprie credenziali: coppia login / password. L'autenticazione passa attraverso un freeradiusservizio in esecuzione su una scatola AWS EC2.

Il server RADIUS non è configurato per utilizzare alcun certificato, ogni utente ha una voce nel /etc/freeradius/usersfile simile a questa:

john.doe Cleartext-Password := "my_password"

Il client RADIUS è stato configurato in modo minimalista: ecco il nostro /etc/freeradius/clients.conf

client RADIUSClient {
  ipaddr = <our office external IP>
  secret = <secret key shared with the Access Point>
  require_message_authenticator = no
}

Questa configurazione sembra funzionare bene con tutti i telefoni cellulari e la maggior parte dei MacBook. MacBook si lamenta dapprima di un certificato autofirmato non attendibile (che è comprensibile), ma dopo aver impostato questo certificato come affidabile, tutto funziona senza intoppi.

Tuttavia, alcuni MacBook, dopo essersi connessi correttamente, iniziano a visualizzare errori di autenticazione a intervalli casuali (1-30 minuti):

Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.

C'è un solo pulsante "Disconnect" in questa finestra di dialogo. Tuttavia, fino a quando l'utente non preme questo pulsante, il MacBook rimane perfettamente connesso. La finestra può essere allontanata dallo schermo, ma si solleva al centro ancora e ancora, irritando gli utenti. Facendo clic su "Disconnetti" si disconnette il laptop dal Wi-Fi, quindi in un paio di secondi il Mac si riconnette alla stessa rete, lasciando un record di accesso riuscito nei registri del server RADIUS.

Mentre provavo a indagare, ho visto che quando era collegato alla rete WPA Enterprise, MacBook mostra una voce aggiuntiva nelle impostazioni di rete denominata 802.1X . Quando normalmente connesso, dice "Autenticato tramite EAP-PEAP (MSCHAPv2)" per tutto il tempo da quando è collegato ( vedi screenshot ). Premendo il pulsante "Disconnect" si disconnette immediatamente il laptop dal Wi-Fi.

Sui laptop che presentano questo problema con la finestra del problema di autenticazione, dopo un certo periodo di tempo il messaggio "Autenticato tramite ..." scompare e inizia il nuovo tentativo di autenticazione ( vedi screenshot ). Dopo qualche istante il messaggio diventa "Il server di autenticazione non risponde". Ho esaminato i log del server RADIUS: ogni volta che un utente si connette al Wi-Fi, c'è un record di autenticazione riuscito, ma nulla viene registrato durante questi tentativi di autenticazione visualizzati nella sezione "802.1X".

Dopo diversi cicli tra i messaggi "Autenticazione ..." e "Il server di autenticazione non risponde", viene visualizzata la finestra di dialogo.

Dal momento che questo accade solo su un paio di laptop, non penso che si tratti di un problema del server, ma non ho idea di come risolvere il problema per coloro che lo hanno. Inizialmente non ce l'avevo, ma quando ho iniziato a sperimentare il cambio di rete, l'eliminazione e la ricostruzione di reti, sono riuscito a riprodurre il problema e ora non riesco a liberarmene :)

Qualcuno può suggerire la giusta direzione di indagine?

AGGIORNAMENTO (03.03.2017). Alla fine è stato deciso di passare a un punto di accesso di classe enterprise. Abbiamo acquistato e installato UniFi APAC PRO e il problema era scomparso.

mac-osx  wifi  freeradius 
Vlad Nikiforov
fonte
2
Il tuo server RADIUS dovrebbe davvero essere on premise, non nel cloud, se puoi evitarlo. La più breve interruzione della connettività Internet (che è abbastanza comune) può causare ciò.
Michael Hampton
Inoltre riscontro esattamente lo stesso comportamento (connessione Internet ancora funzionante, finestra di dialogo che si apre di nuovo e stato 802.1X quando si verifica un errore.) Ho un server radius locale, quindi un AP con connessione instabile -> radius server non può essere il causa per me.
bas
Ho un AP dual-band. Inizialmente ho usato due ESSID separati per ogni banda. Ho iniziato a riscontrare questo problema quando ho iniziato a utilizzare lo stesso ESSID per entrambe le bande. Usi più AP (o bande) sullo stesso ESSID?
bas
In realtà sì, ho dimenticato di menzionarlo. Inizialmente avevamo lo stesso SSID per entrambe le bande e c'erano più utenti che avevano questo problema. Dopo aver diviso le bande (pensavo che la causa principale stesse saltando avanti e indietro tra le bande), per alcuni di essi il pop-up fastidioso scompariva, ma c'è ancora una coppia che ha ancora questo problema.
Vlad Nikiforov,
Ora riscontro anche il problema con SSID separati. :( (Anche se meno frequentemente.)
bas

Risposte:

0

Hai eseguito la diagnostica WiFi su uno dei tuoi Mac interessati? Potrebbe rivelare qualcosa al di fuori della tua rete, come un punto di accesso vicino che non ha il suo prefisso internazionale configurato correttamente. Questo è successo a noi quando FiveGuys si è trasferito al piano di sotto e ha creato un hotspot configurato in modo errato. Il passaggio a un AP UniFi mentre una buona scelta potrebbe ancora nascondere la causa principale.

LifeSizeActionFigure
fonte
0

Un'altra opzione è che a MacOS piace cercare periodicamente le reti disponibili. Per fare ciò, c'è una breve disconnessione dal tuo WiFi. C'è un'impostazione nel Mac per connettersi automaticamente alle reti vicine e questo può essere disattivato. C'è anche una configurazione wifi (non ricordo nulla) per evitare che provi a saltare frequentemente da AP ad AP. Questi salti possono interrompere la rete.

Kevin Buchs
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.