WPA Enterprise спрашивает shared key

[thundersnail]

Хелло!

На точке доступа строен WPA2 Enterprise (radius server - NPS на windows)
WPS выключен на обоих диапазонах
При подключении Windows клиента сначала предлагает ввести shared key (кототрого нет) - вводишь любой набор символов и только после этого предлагает ввести логин и пароль
Проверил на маке - сразу логин пароль, на телефонах - тоже сразу логин и пароль спрашивает
Что может быть настроено не так?
 

 

Изменено 1 июля, 2024 пользователем thundersnail

[thundersnail]

Ршение:
На контроллере WPS выключен, а на точках настройка не применилась, хотя проверял, галка не активная была.
Через сутки активная галочка WPS появилась у всех других точек доступа, пришлось выключать на каждой.

После этого проблема ушла - сразу запрашивает логин и пароль.

[aen1975]

Добрый день.Может быть есть инструкция как сделать через Voyager авторизацию в беспроводную сеть по доменным учеткам? Что указывать в настройках самого виндового NPS, и где потом настраивать под него в самом Кинетике? Mesh сделал, компонент wpa-eap установил. В настройках вифи ничего не появилось. 

[KeenTaur]

В 31.01.2025 в 18:49, aen1975 сказал:

Добрый день.Может быть есть инструкция как сделать через Voyager авторизацию в беспроводную сеть по доменным учеткам? Что указывать в настройках самого виндового NPS, и где потом настраивать под него в самом Кинетике? Mesh сделал, компонент wpa-eap установил. В настройках вифи ничего не появилось. 

1. WPA-Enterprise необходимо установить не только на контроллере системы, но и на всех участниках wifi-системы. Автоматом оно не устанавливается. (Пожелание на тему автоматической установки этого компонента на подчиненных ретрансляторах я выдвигал при общении с поддержкой, пока вроде не внедрили).

Контроллеру и ретрансляторам лучше назначить постоянные ip-адреса.

А!, Да! Разумеется, необходимо обеспечить связность NPS-сервера и участников всех wifi-системы.

2. В настройках безопасности сегментов на контроллере должны быть доступны "WPAX Enterprise". Задаем адрес и, при необходимости, порт RADIUS-сервера, задаем Секретный ключ. (на картинке Hopper, но в подчинении у него как раз Вояджеры)

3. По настройке NPS лучше погуглить. Можно посмотреть первоисточник (сайт MS), или, к примеру, сайт Cisco. Замечания: На NPS-сервере необходимо создать столько RADIUS-клиентов, сколько у вас участников wifi-системы (т.е. должны быть записи и для контроллера, и для всех ретрансляторов, входящих в систему). Далее, если у вас RADIUS-сервер и wifi-система разделены интернетом, то, возможно, потребуется в политике доступа к wifi добавть параметр Fragmented-MTU

 

Как-то так

Изменено 3 февраля пользователем KeenTaur

[aen1975]

RADIUS достался от старых Юбиков - оказалось, что достаточно клиентской настройки для контролера - ретрансляторы авторизуют через него.

[KeenTaur]

12 часов назад, aen1975 сказал:

... оказалось, что достаточно клиентской настройки для контролера - ретрансляторы авторизуют через него.

Видимо, у нас разные схемы интеграции wifi-системы в локальную сеть.

У вас, похоже, для ретрансляторов RADIUS находится за nat-ом контроллера?

[aen1975]

12 часов назад, KeenTaur сказал:

Видимо, у нас разные схемы интеграции wifi-системы в локальную сеть.

У вас, похоже, для ретрансляторов RADIUS находится за nat-ом контроллера?

Они все и контроллер в одной сети офиса - "0" WAN порт на контроллере переключен в качестве LAN.

Изменено 4 февраля пользователем aen1975

[KeenTaur]

Не буду сильно настаивать, но у меня от двух wifi-системок (маленькие они, 2 и 4 узла) на RADUIS-сервер приходят запросы и от контроллеров, и от ретрансляторов.

[aen1975]

В 03.07.2024 в 17:21, thundersnail сказал:

Ршение:
На контроллере WPS выключен, а на точках настройка не применилась, хотя проверял, галка не активная была.
Через сутки активная галочка WPS появилась у всех других точек доступа, пришлось выключать на каждой.

После этого проблема ушла - сразу запрашивает логин и пароль.

Новый комплект Voyager 4Pack - все настроил, сохранил конф. на всякий случай. Через 3 дня на одном вояджере отказал PoE порт - пришлось вернуть все продавцу. Получил новый комплект - понял что заливать конф. от предыдущего комплекта нет смысла и настраиваю все заново - МЕШ создался, ретрансляторы захватились.  Но появилась такая же проблема с запросом ключа перед авторизацией WPA2 Enterprise . На всех узлах WPS откл. на всех диапазонах. Что еще может быть и куда копать? Вояджер или радиус-сервер?

[KeenTaur]

Клиент к кому подключается? к контроллеру wifi-системы или к экстендеру? На экстендерах компонент WPA-Enterprise установлен? по умолчанию его нет, надо ставить дополнительно.

Если Защита сети задана какая-нибудь смешанная (типа WPA2+WPA3 Ent), попробуйте оставить что-то одно (WPA2 Ent).

Про WPS. Честно говоря, у меня "галка" WPS нигде не снята (как было по умолчанию), но на запрос ключа пока не нарывался.

[aen1975]

Я считал, что на радиус-сервере прописывается лишь один клиент - контроллер (ip-адрес) - какой смысл прописывать всех "ведомых"?

WPA-3 не включал - хоть бы со 2-ой версией запустить.

И еще момент - как все-таки правильно в понимании разработчиков Keenetic должно быть настроено в Домашняя сеть - если:

1. В сети уже есть DHCP-сервер от AD - контроллер получает адрес на 0-порт от него. (он назначен в Домашнюю сеть)

2. Устройства подключающиеся к беспроводной сети тоже должны получить адреса из AD-сети - есть принтер с вифи и др.девайсы.

Сейчас настроено  - на 0-порт назначен вручную адрес из доменной сети и режим Relay на DHCP. Вкл или откл. NAT - никаких отличий не заметил - ретрансляторы получают свои адреса, и в МЕШ захватываются в обоих случая. Есть подозрение, что проброс клиентов до радиус-сервера должен зависеть от НАТ - но не смог проверить.

Все 4 девайса подключены к PoE неуправляемый коммутатор Keenetic KN-4610 - 5 порт в общую сеть.

 

[KeenTaur]

В 28.02.2025 в 23:40, aen1975 сказал:

Я считал, что на радиус-сервере прописывается лишь один клиент - контроллер (ip-адрес) - какой смысл прописывать всех "ведомых"?

Практически процитирую себя же. Может, конечно, у вас схема включения wifi-системы другая. У меня контроллер включен как точка доступа согласно статье "Возможно ли использовать контроллер Wi-Fi-системы в режиме обычной точки доступа?"  Некоторые ваши фразы все-таки позволяют мне думать, что у вас схема такая же.

Может быть вас убедят мои скриншоты. Коллаж из скриншотов первый: фоном картинка из настроек wifi-системы, зеленым выделен адрес одного из ведомых участников wifi-системы; поверх него скриншот со списком RADIUS-клиентов (зеленым выделен адрес того же устройства); и поверх всего запись из журнала "Службы политики сети и доступа" об успешном предоставлении доступа некоему пользователю через этого RADIUS-клиента, опять же зеленым выделен адрес того же устройства.

 

Далее, коллаж второй. В свойствах этого RADIUS-клиента на NPS-сервере я меняю адрес - выделено красным. И что мы видим? В журнале "Службы политики сети и доступа" появилась ошибка о том, что мое устройство (адрес в событии журнала выделен зеленым, поскольку он правильный и на самом устройстве я его не менял) теперь является недопустимым RADIUS-клиентом.

А я напоминаю, что это устройство - ведомый участник wifi-системы.

В 28.02.2025 в 23:40, aen1975 сказал:

какой смысл прописывать всех "ведомых"?

ну так вот он, вроде бы, смысл прописывать "ведомых".

Попробуйте все-таки заглянуть в свой журнал "Службы политики сети и доступа"... когда у вас заработает выдача ip-адресов wifi-клиентам.

 

Часть следующая Марлезонского балета: DHCP. Вы очень хотите использовать свой dhcp-сервер. ОК, любой каприз... У меня тоже было желание использовать другой DHCP-сервер. Но, возникли проблемы с некоторыми особо умными устройствами: Хуавеи и Хоноры не желали получать адреса от Cisco. IOS более свежий для нее я не нашел (где могла быть исправлена эта проблема), поэтому сначал пришел к вашей схеме, т.е. хотел сделать DHCP-релей на интерфейсах Keenetic'ов. Не прокатило, как и у вас. Общался с поддержкой, и, как я понял из этого общения, DHCP-релей работет только на контроллере, на ретрансляторах dhcp-релей на предусмотрен и менять это поведение не планируется. Тогда я поступил следующим образом: на Кинетиках DHCP выключен; vlan'ы для wifi-сетей все равно уже терминировались на стороннем маршрутизаторе, на его, маршрутизатора, интерфейсах я и указал  ip helper-address на DHCP-сервер под Windows Server. Но у меня управляемый коммутатор с VLAN'ами; VLAN'ы (и адресация) домашней сети и клиентов wifi разные, клиенты wifi напрямую к ресурсам локальной сети доступа не имеют, только через маршрутизатор. В вашем же случае, я так думаю, должно быть достаточно просто отключить DHCP на кинетиках.

Изменено 3 марта пользователем KeenTaur
очепятки и п(д)ополнения

[aen1975]

Относительно релея DHCP - был вопрос про влияние NAT, согласно инструкции он не функционирует в режиме релея, что в принципе логично  - " NAT выключать не нужно, он просто не будет использоваться, т.к. на роутере не будет задействован внешний WAN-интерфейс. "

Смартфоны подключаются к сети - все относительно просто - требует удостоверение т.е. домен\логин, сертификаты не используются - буквально все занимает минуту-две. С компами проблема - если подключаться к сети из списка видимых то требует сначала ключ сети - вводишь абракадабру - выходит на логин пароль - думает около минуты и не подключает.

Если создавать подключение вручную к центре управления сетью - выбираю не использовать сертификаты, проверка подлиности - пользователя - то подключился только макбук - т.к. там нет таких настроек, компы на винде не подключаются.

Буду искать ответ на других форумах - похоже дело не в кинетике.

 

Изменено 3 марта пользователем aen1975

[KeenTaur]

Как-то странно вы связали nat и dhcp. У вас точно схема включения такая: "Возможно ли использовать контроллер Wi-Fi-системы в режиме обычной точки доступа?"

Читайте Пункт 2 статьи отдельно, как пояснения к скриншоту с настройками:

2.а. Встроенный DHCP-сервер на Кинетике выключить. Точка.

2.б. Кинетику-контроллеру назначьте свободный IP-адрес из подсети главного роутера. Точка. Возможно, что получающийся таким образом порядок 2.а и 2.б не случаен, а чтобы в вашей локальной сети не появилось двух одновременно работающих dhcp-серверов. (хотя при правильной настройке это не криминал).

2.в. галочка Использовать NAT не влияет на выход устройств сегмента в интернет, можете оставить, можете снять. Точка. WAN-порт при такой схеме включения wifi-контроллера не подключен к интернет-провайдеру, и его (WAN-порт) можно вообще переназначить для работы в LAN (что у вас вроде бы и сделано).

 

Теперь вернемся к новым подробностям о работе вашей системы. Поскольку смартфоны и MAC-book все-таки подключаются без лишнего запроса ключа wifi-сети, а компьютеры (доменные же?) этот ключ прям хотят ввести, то по-моему, надо искать, например, в ваших политиках Active Directory. Для эксперимента взять компьютер не бывший в домене и посмотреть, как будет вести себя он. Ввести в домен, дождаться применения всех политик и проверить еще раз. Ну или вывести из домена какой-нибудь и сбросить на нем политики на "по умолчанию". Другие направления поиска: компьютеры одинаковые? какие у них wifi-адаптеры и их драйвера? какие ОС?

Изменено 4 марта пользователем KeenTaur

[aen1975]

Пункты 2а-в - не влияют на ситуацию  - все также как и при назначенном вручную адресе в режиме Relay DHCP.

Проверил с недоменным пк - он подключился и без ввода в домен, но с доменными данными. Но прошло 2-3 часа - включаю, пробую подключиться - сбой подключения. И кстати половина ранее подключенных смартфонов аналогично - не могут подключиться. Их яблочных - айфон 15 подключается мгновенно , макбук Macbook Air 13" M2 2022 MC7X4 - уже нет. Я в ступоре ...

 

[KeenTaur]

50 минут назад, aen1975 сказал:

Пункты 2а-в - не влияют на ситуацию  - все также как и при назначенном вручную адресе в режиме Relay DHCP.

что ж вы так держитесь за этот dhcp-relay? Просто выполните рекомендации из статьи. DHCP на Кинетике выключить. Задать ip-адрес Кинетику из вашей локальной сети (по вашей схеме все в одном сегменте и одной подсети должно быть? и wifi-клиенты и локальная сеть, в т.ч. существующий сервер DHCP. Так?). И далее по статье. Вы проверили, "...что все ретрансляторы получили IP-адреса из сети главного роутера"?

1 час назад, aen1975 сказал:

Проверил с недоменным пк - он подключился и без ввода в домен, но с доменными данными

Хорошо. Естественно, с доменными данными - вы же этого и хотели, настраивая WPA-Enterprise.

1 час назад, aen1975 сказал:

Но прошло 2-3 часа - включаю, пробую подключиться - сбой подключения. И кстати половина ранее подключенных смартфонов аналогично - не могут подключиться. Их яблочных - айфон 15 подключается мгновенно , макбук Macbook Air 13" M2 2022 MC7X4 - уже нет. Я в ступоре ...

Смотрите оснастку dhcp-сервера, кому какие адреса он выдал, какие адреса при этом на клиентах сейчас. Посмотрите журнал "Службы политики сети и доступа".

На данный момент мне кажется, что ретрансляторы вы так и не внесли в качестве radius-клиентов. Так? Те устройства, что успешно подключаются, возможно, делают это через контроллер wifi-системы, а та "половина ранее подключенных смартфонов аналогично - не могут" ломятся через ретрансляторы. Попробуйте проверить эту версию.

Также поделитесь информацией, куда подключен пятый порт коммутатора KN-4610? В локальную сеть. А к какому устройству, что оно умеет и как настроен порт, куда подключен KN-4610?

[aen1975]

DHCP откл и вкл - не влияет - я к тому, что все вояджеры из комплекта - и контролер, и ретрансляторы - видны в сети отлично в обоих режимах. KN-4610 - 5 порт подкл в локалку - после него Zyxel GS1915-24E - как простой хаб.

16 часов назад, KeenTaur сказал:

На данный момент мне кажется, что ретрансляторы вы так и не внесли в качестве radius-клиентов. Так? Те устройства, что успешно подключаются, возможно, делают это через контроллер wifi-системы, а та "половина ранее подключенных смартфонов аналогично - не могут" ломятся через ретрансляторы. Попробуйте проверить эту версию.

Проверял и  так и этак - все как-то рандомно. По-простому - при указании в радиус-клиенте только контролера -  айфон и андроид, и некоторые пк конектятся через ретранслятор - что видно в списке клиентов на контролере. При указании всех вояджеров - аналогично.  Если перемещаться между точками - все кто законектился есть в журнале переходов и отлично передаются между точками. 

Пока есть прогресс лишь в том, что если пк подключить создав вифи-подключение к сети вручную то подключается  - без проверки сертификатов и проверки подлиности - "компьютер и пользователь". 

Хотя в настройках NPS есть сертификат. Если пытаться подключиться с лету - то просит сначала ключ сети.

 

 

Изменено 5 марта пользователем aen1975

[KeenTaur]

В 05.03.2025 в 09:58, aen1975 сказал:

DHCP откл и вкл - не влияет - я к тому, что все вояджеры из комплекта - и контролер, и ретрансляторы - видны в сети отлично в обоих режимах.

На ретрансляторы может влиять, и может влиять на wifi-клиентов: какие ip-адреса они получат, что получат в качестве шлюза по умолчанию, какие dns-серверы будут использовать и т.д. Все Вояджеры видны в сети, ну хорошо.

В 05.03.2025 в 09:58, aen1975 сказал:

KN-4610 - 5 порт подкл в локалку - после него Zyxel GS1915-24E - как простой хаб.

Даже если вы не настраивали Zyxel GS1915-24E, хабом он от этого точно не стал. Это smart-коммутатор, и у него есть разные функции, которые могут влиять на работу wifi-системы Keenetic, на работу DHCP, на работу клиентов. Значения по умолчанию, скорее всего, не должны вам мешать, но это не точно

 

То, что периодически клиенты (даже которые работали) не могут подключиться, может быть похоже на то, что они не могут получить ip-адрес (посмотреть оснастку и журнал dhcp-сервера, текущие адреса клиентов). Также можно посмотреть коммутатор, нет ли каких ограничений на порт, в который подключен KN-4610 с wifi-системой (например, лимит mac-адресов. Кстати, я стараюсь отключать всем клиентам wifi-систем рандомизированные адреса). Если не проходят аутентификацию проверить сервер NPS (посмотреть журнал Службы политики сети и доступа, нет ли ошибок, доходят ли запросы). Раз у вас сеть все равно плоская и неуправляемая, попробуйте, если такая возможность есть, подключить ваши сервера DHCP и NPS (вероятно, это один и тот же компьютер еще с AD и DNS) к KN-4610. Один-два ретранслятора можете временно отключить, чтобы освободить порты.

То, что недоменные клиенты иногда все же успешно подключаются, а доменные всегда сначала просят ключ сети и не подключаются, может говорить о влиянии групповых политик на доменные компьютеры.

Честно говоря, мои попытки помочь иссякли, попробуйте все-же обратиться в поддержку, они лучше разберутся в настройках, логах и диагностике, которые запросят и весьма терпеливы. Возможно, ларчик просто открывается.

Изменено 6 марта пользователем KeenTaur