Los clientes de MacOS se desconectan esporádicamente de la red inalámbrica WPA Enterprise

15

Tenemos una pequeña oficina con ~ 20 personas, cada una con un MacBook y, opcionalmente, también con un teléfono móvil. Anteriormente utilizamos Wi-Fi habitual con una clave compartida, pero recientemente lo configuré en WPA Enterprise, donde todos los usuarios recibieron sus propias credenciales: par de inicio de sesión / contraseña. La autenticación pasa por un freeradiusservicio que se ejecuta en una caja AWS EC2.

El servidor RADIUS no está configurado para usar ningún certificado, cada usuario tiene una entrada en el /etc/freeradius/usersarchivo que se ve así:

john.doe Cleartext-Password := "my_password"

El cliente RADIUS se ha configurado de forma minimalista: aquí está nuestro /etc/freeradius/clients.conf

client RADIUSClient {
  ipaddr = <our office external IP>
  secret = <secret key shared with the Access Point>
  require_message_authenticator = no
}

Esta configuración parece funcionar bien con todos los teléfonos móviles y la mayoría de las MacBooks. MacBooks primero se queja de un certificado autofirmado no confiable (lo cual es comprensible), pero después de configurar este certificado como confiable, todo funciona sin problemas.

Sin embargo, algunas MacBooks, después de conectarse con éxito, comienzan a mostrar errores de autenticación en intervalos aleatorios (1-30 minutos):

Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.

Hay un solo botón "Desconectar" en este cuadro de diálogo. Sin embargo, hasta que el usuario presione este botón, la MacBook permanece perfectamente conectada. La ventana se puede alejar de la pantalla, pero se eleva una y otra vez hacia el centro, irritando a los usuarios. Al hacer clic en "Desconectar", se desconecta la computadora portátil del Wi-Fi y, en unos segundos, la Mac se vuelve a conectar a la misma red, dejando un registro de inicio de sesión exitoso en los registros del servidor RADIUS.

Mientras intentaba investigar, vi que cuando estaba conectado a la red WPA Enterprise, MacBook muestra una entrada adicional en la configuración de red llamada 802.1X . Cuando está conectado normalmente, dice "Autenticado a través de EAP-PEAP (MSCHAPv2)" todo el tiempo desde que está conectado ( ver captura de pantalla ). Al presionar el botón "Desconectar", se desconecta inmediatamente la computadora portátil del Wi-Fi.

En aquellas computadoras portátiles que tienen estos problemas con la ventana emergente de problema de autenticación, después de un período aleatorio, el mensaje "Autenticado vía ..." desaparece y comienza un nuevo intento de autenticación ( ver captura de pantalla ). Después de un tiempo, el mensaje cambia a "El servidor de autenticación no responde". Miré los registros del servidor RADIUS: cada vez que un usuario se conecta a Wi-Fi, hay un registro de autenticación exitoso, pero no se registra nada durante estos intentos de autenticación que se muestran en la sección "802.1X".

Después de varios ciclos entre los mensajes "Autenticando ..." y "El servidor de autenticación no responde" aparece el cuadro de diálogo.

Como esto solo ocurre en un par de computadoras portátiles, no creo que sea un problema del servidor, pero no tengo idea de cómo solucionar el problema para aquellos que lo tienen. Inicialmente no lo tenía, pero cuando comencé a experimentar con cambiar de red, eliminar y volver a crear redes, logré reproducir el problema y ahora no puedo deshacerme de él :)

¿Alguien puede sugerir la dirección correcta de investigación?

ACTUALIZACIÓN (03.03.2017). Finalmente se decidió cambiar a un punto de acceso de clase empresarial. Compramos e instalamos UniFi APAC PRO , y el problema desapareció.

Vlad Nikiforov
fuente
2
Su servidor RADIUS realmente debería estar en las instalaciones, no en la nube, si puede evitarlo. La interrupción más breve en la conectividad a Internet (que es lo suficientemente común) puede hacer que esto suceda.
Michael Hampton
También encuentro exactamente el mismo comportamiento (conexión de Internet que sigue funcionando, cuadro de diálogo que aparece nuevamente y estado 802.1X cuando se produce el error). Tengo un servidor de radio local, por lo que la conexión débil AP -> servidor de radio no puede ser el causa para mi
bas
Tengo un AP de doble banda. Originalmente utilicé dos ESSID separados para cada banda. Comencé a encontrar este problema cuando comencé a usar el mismo ESSID para ambas bandas. ¿Utiliza múltiples AP (o bandas) en el mismo ESSID?
bas
En realidad sí, olvidé mencionar eso. Inicialmente teníamos el mismo SSID para ambas bandas, y había más usuarios que tenían este problema. Después de dividir las bandas (pensé que la causa raíz era saltar de un lado a otro entre las bandas), para algunos de ellos desapareció la molesta ventana emergente, pero todavía hay una pareja que todavía experimenta este problema.
Vlad Nikiforov
También encuentro el problema ahora con SSID separados. :( (Aunque con menos frecuencia.)
bas

Respuestas:

0

¿Has ejecutado los diagnósticos WiFi en uno de tus Mac afectados? Puede revelar algo fuera de su red, como un punto de acceso cercano que no tiene su código de país configurado correctamente. Esto nos sucedió cuando FiveGuys se mudó abajo y estableció un punto de acceso configurado incorrectamente. Su cambio a un AP UniFi, mientras que una buena opción aún podría estar ocultando la causa raíz.

LifeSizeActionFigure
fuente
0

Otra opción es que a MacOS le gusta buscar redes disponibles periódicamente. Para hacer esto, hay una breve desconexión de su WiFi. Hay una configuración en la Mac para conectarse automáticamente a redes cercanas y esto se puede desactivar. También hay una configuración wifi (no la recuerdo) para evitar que intente saltar de AP a AP con frecuencia. Estos saltos pueden interrumpir la red.

Kevin Buchs
fuente