[GTER] Problemas de Autenticação MAC Ubiquiti x Freeradius

Thiago Adomaitis thiagoadomaitis at miragetelecom.com.br
Tue Aug 23 14:10:43 -03 2016 

Boa tarde.

Usamos radius para autenticação wireless desde que a opção se tornou 
disponível. Já havíamos sentido essa dificuldade, mas não tínhamos 
achado exatamente como ocorre. Mas agora lendo o que você relatou, é 
exatamente como acontece aqui.


Em 23/08/2016 10:53, Ulisses_Trolez escreveu:
> Bom dia , Pessoal !
>
> Gostaria de compartilhar algo muito interessante  que nosso CGR 
> descobriu e comprovou que existe um mau funcionamento nas versões 
> 5.6.5, 5.6.8 e 5.6.9 da Ubiquiti quando é utilizado o envio das 
> autenticações para um Freeradius com verificação de 
> MAC-ADDRESS.(versões que testamos)
>
> Antes porém, gostaríamos de salientar que a quase 3 anos temos essa 
> solução em produção em nosso backbone com milhares de assinantes no 
> rádio em solução APxStation com o fabricante UBIQUITI.
>
> O que fizemos?
>
> Simulamos uma falha de comunicação entre o AP e o nosso servidor 
> Freeradius, e quando o AP não tem essa comunicação o comportamento 
> esperado é que ele não autentique nenhum cliente pois a verificação do 
> AP está sendo enviado para o Freeradius, que no momento está fora. 
> Depois de alguns instantes liberamos a comunicação entre o AP e o 
> servidor Freeradius,entretanto, para nossa surpresa o AP ainda não 
> permite que nenhum cliente registre nele.Habitamos logs para entender 
> o que acontece com o radio, e a impressão que temos é que ele fica 
> parado em sua interface wireless sem nenhuma interação.Ai, se 
> realizarmos alguma modificação no rádio como por exemplo dar um site 
> survey ou realizarmos alguma alteração de potencia de saída por 
> exemplo, alguns instantes depois começa a autenticar os clientes 
> normalmente.
>
> Fizemos os mesmos testes na versão 5.5.10 e isso não ocorre, o rádio 
> assim que identifica que possui comunicação com o servidor Freeradius 
> começa a enviar as solicitações de autenticação normalmente e os 
> clientes se conectam sem problema nenhum.
>
> Enfim isso é muito preocupante e explica o numero crescente de OS nas 
> ultimas semanas.
>
> OBS: Como todos que utilizam equipamentos do vendor Ubiquiti, 
> atualizamos de forma massiva nosso backbone nas ultimas semanas 
> conforme recomendação do fabricante.Embora façamos uso de firewall nas 
> gerencias das portas 20-23,80 e 443 dos mesmos.
>
> Infelizmente esse comportamento inesperado está nos causando grandes 
> transtornos.
>
> :(
>

--

More information about the gter mailing list