[GTER] Problemas de Autenticação MAC Ubiquiti x Freeradius

Douglas Fischer fischerdouglas at gmail.com
Tue Aug 23 12:51:42 -03 2016 

Os timeouts referentes a comunicação entre o Radius-Server e o
Radius-Client(Radio no caso) estão definidos na configuração do radio?

Tentou forçar para um valor um pouco diferente?

Causo:
Me aconteceu certa feita, lidando com um RAS Dial-UP, da Lucent se não me
engano, de ele ter um problema com o que deveria ser o valor padrão para um
determinado Timeout.
  - Se colocasse 60, a interface interpretava que era valor padrão, e
deixava vazio.
  - Mas se colocasse 59 ou 61, ele ficava na config, e o timeout funcionava
como esperado.






Em 23 de agosto de 2016 10:53, Ulisses_Trolez <
ulissestrolez at outcenter.com.br> escreveu:

> Bom dia , Pessoal !
>
> Gostaria de compartilhar algo muito interessante  que nosso CGR descobriu
> e comprovou que existe um mau funcionamento nas versões 5.6.5, 5.6.8 e
> 5.6.9 da Ubiquiti quando é utilizado o envio das autenticações para um
> Freeradius com verificação de MAC-ADDRESS.(versões que testamos)
>
> Antes porém, gostaríamos de salientar que a quase 3 anos temos essa
> solução em produção em nosso backbone com milhares de assinantes no rádio
> em solução APxStation com o fabricante UBIQUITI.
>
> O que fizemos?
>
> Simulamos uma falha de comunicação entre o AP e o nosso servidor
> Freeradius, e quando o AP não tem essa comunicação o comportamento esperado
> é que ele não autentique nenhum cliente pois a verificação do AP está sendo
> enviado para o Freeradius, que no momento está fora. Depois de alguns
> instantes liberamos a comunicação entre o AP e o servidor
> Freeradius,entretanto, para nossa surpresa o AP ainda não permite que
> nenhum cliente registre nele.Habitamos logs para entender o que acontece
> com o radio, e a impressão que temos é que ele fica parado em sua interface
> wireless sem nenhuma interação.Ai, se realizarmos alguma modificação no
> rádio como por exemplo dar um site survey ou realizarmos alguma alteração
> de potencia de saída por exemplo, alguns instantes depois começa a
> autenticar os clientes normalmente.
>
> Fizemos os mesmos testes na versão 5.5.10 e isso não ocorre, o rádio assim
> que identifica que possui comunicação com o servidor Freeradius começa a
> enviar as solicitações de autenticação normalmente e os clientes se
> conectam sem problema nenhum.
>
> Enfim isso é muito preocupante e explica o numero crescente de OS nas
> ultimas semanas.
>
> OBS: Como todos que utilizam equipamentos do vendor Ubiquiti, atualizamos
> de forma massiva nosso backbone nas ultimas semanas conforme recomendação
> do fabricante.Embora façamos uso de firewall nas gerencias das portas
> 20-23,80 e 443 dos mesmos.
>
> Infelizmente esse comportamento inesperado está nos causando grandes
> transtornos.
>
> :(
>
> --
> Att.
> Ulisses Trolez
> *www.outcenter.com.br*
> 35 8871 5042
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list