fauxxami
Anmeldungsdatum: 7. Januar 2012
Beiträge: 493
|
Hallo zusammen, auf meinem 18.04-Server läuft Freeradius 3.0.16 zur Authentifizierung meiner WLAN-Nutzer. Das klappt soweit ganz gut, allerdings frage ich mich beim Betrachten der Logfiles, warum Benutzer immer wieder und auch in sehr kurzen Intervallen authentifiziert werden müssen. Hier nur ein Beispiel: | Mon Mar 25 14:45:18 2019 : Auth: (36269) Login OK: [benutzer_a] (from client wlan-controller port 0 via TLS tunnel)
Mon Mar 25 14:45:18 2019 : Auth: (36270) Login OK: [benutzer_a] (from client wlan-controller port 0 cli 9C-E6-5E-D0-7F-A8)
Mon Mar 25 14:45:23 2019 : Auth: (36283) Login OK: [benutzer_b] (from client wlan-controller port 0 via TLS tunnel)
Mon Mar 25 14:45:23 2019 : Auth: (36284) Login OK: [benutzer_b] (from client wlan-controller port 0 cli 68-A8-6D-03-E6-96)
Mon Mar 25 14:45:43 2019 : Auth: (36295) Login OK: [benutzer_a] (from client wlan-controller port 0 via TLS tunnel)
Mon Mar 25 14:45:43 2019 : Auth: (36296) Login OK: [benutzer_a] (from client wlan-controller port 0 cli 9C-E6-5E-D0-7F-A8)
|
Man sieht also, dass zwischen den beiden sich auf "benutzer_a" beziehenden Vorgängen gerade mal 15 Sekunden liegen. Da die Logs voll sind mit derartigen Einträgen, handelt es sich auch nicht um einen ganz bestimmten Client, der sich komisch verhält und immer wieder anfragt. Leider habe ich keine Ahnung, wie ich den Grund für dieses Verhalten herausfinden kann - kann von euch jemand einen Tipp geben? Vielen Dank und Grüße von fauxxami
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
So nur mit Freeradius Logs wird es schwer dir eine Valide Antwort zu geben. Hast du mehrere APs, dann kann es ein roamender Client sein (ohne 802.11r support). Hast du nur einen AP schaue mal in die Logs des APs ob es zu Problemen beim AUTH kommt. Ist auch da nichts auffälliges musst du beim Client schauen ob und warum es zu häufigen deauthes kommt...
|
fauxxami
(Themenstarter)
Anmeldungsdatum: 7. Januar 2012
Beiträge: 493
|
raptor2101 schrieb:
Hast du mehrere APs, dann kann es ein roamender Client sein (ohne 802.11r support).
Ich habe 43 APs - aber die Option "Force roaming" ist sowohl auf dem WLAN-Controller als auch in der AP-Konfiguration ausgeschaltet.
Hast du nur einen AP schaue mal in die Logs des APs ob es zu Problemen beim AUTH kommt.
Die APs selber können nichts, die ganze "Intelligenz" steckt im Controller, den ich dazu gebracht habe, seine Logs an einen Syslog-Server weiterzureichen. Daher stammen auch die Logs, die ich gepostet habe - mehr ist da nicht zu finden.
Ist auch da nichts auffälliges musst du beim Client schauen ob und warum es zu häufigen deauthes kommt...
Leider beschränken sich diese Vorfälle nicht auf einen einzigen Client. Ich versuche jetzt, die Deauths auf bestimmte APs einzugrenzen - wenn die alle in einem Gebäudeteil liegen, könnte es sein, dass mir jemand einen Streich spielt und irgendwo eine kleine Kiste versteckt hat, die Deauths erzwingt, was ja technisch gesehen kein allzu großes Problem ist. Aber so etwas zu finden, ist so ein wenig das Suchen nach der Nadel im Heuhaufen. Und ehrlich gesagt wüsste ich auch nicht, was jemand davon hätte - aber möglich ist ja alles.
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
fauxxami schrieb: Ich habe 43 APs - aber die Option "Force roaming" ist sowohl auf dem WLAN-Controller als auch in der AP-Konfiguration ausgeschaltet.
OK wir reden hier nicht von einer Hobby Installation... im Zweifelsfall entscheiden die Clients selber ob sie "roamen". Ich hatte mal so ein Problem in Kombination mit UAPSD und 802.11r
Die APs selber können nichts, die ganze "Intelligenz" steckt im Controller, den ich dazu gebracht habe, seine Logs an einen Syslog-Server weiterzureichen. Daher stammen auch die Logs, die ich gepostet habe - mehr ist da nicht zu finden.
Welchen Hersteller nutzt du? Bei meinen Controller kann man auch die APs zum Syslog durchschleifen... Ist auch da nichts auffälliges musst du beim Client schauen ob und warum es zu häufigen deauthes kommt...
Leider beschränken sich diese Vorfälle nicht auf einen einzigen Client. Ich versuche jetzt, die Deauths auf bestimmte APs einzugrenzen - wenn die alle in einem Gebäudeteil liegen, könnte es sein, dass mir jemand einen Streich spielt und irgendwo eine kleine Kiste versteckt hat, die Deauths erzwingt, was ja technisch gesehen kein allzu großes Problem ist. Aber so etwas zu finden, ist so ein wenig das Suchen nach der Nadel im Heuhaufen. Und ehrlich gesagt wüsste ich auch nicht, was jemand davon hätte - aber möglich ist ja alles.
Du hast dem vernehmen nach keine Spielzeug Hardware. Wenn die APs nicht sehr alt sind, sollten sie das detectieren und mindestens mal warnen ...
|
fauxxami
(Themenstarter)
Anmeldungsdatum: 7. Januar 2012
Beiträge: 493
|
raptor2101 schrieb:
Welchen Hersteller nutzt du? Bei meinen Controller kann man auch die APs zum Syslog durchschleifen...
Um deine Bemerkung zur "Spielzeug-Hardware" vorwegzunehmen: ich fange langsam an zu glauben, dass ich doch am falschen Ende gespart habe und in der Tat Spielzeug gekauft habe. Ich nutze Geräte von D-Link, und zwar den DWC2000 als Controller und dazu DWL-6600AP, nach und nach angeschafft in den letzten zwei Jahren. Gekauft, weil sie vom Händler empfohlen wurden und bezahlbar waren. Und gerade eben lese ich zu den APs auf der Webseite von D-Link: "This product was phased out on: 31.12.2018" Na dann ... Ich schaue auf jeden Fall mal nach, ob auch die APs Logs schreiben und diese durchreichen können. Ich fürchte ein wenig, dass die APs nur eine begrenzte Anzahl von Clients verkraften und dann, wenn diese überschritten ist, einfach welche rauswirft. Aber so ganz habe ich den Kram noch nicht durchschaut und weiß nur, dass das ganze WLAN noch längst nicht so zuverlässig tut, wie es das soll. Darum suche ich jetzt an allen Ecken und Enden nach möglichen Ursachen.
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
Definitiv kein Spielzeug, da fehlen die blinkenden LEDs 😀 Gut bei DLINK brauch ich dich auch nicht auf den Support zu verweisen... da kannst du auch gleich gegen die Wand reden... Bei 48 APs macht ein Phase out richtig Spaß... Gibt es paar "modernere" APs von DLINK die du anschließend kanst und in die betroffene Zone bringen kannst. Muss ja nicht gleich ein AP mit eingebauten SecScanner sein, aber wenigstens erweiterten AnalyseMöglichkeiten. Ansonsten stell nen Laptop in die Ecke und schneide den Verkehr mit...
|
fauxxami
(Themenstarter)
Anmeldungsdatum: 7. Januar 2012
Beiträge: 493
|
raptor2101 schrieb: Definitiv kein Spielzeug, da fehlen die blinkenden LEDs 😀
Da bin ich nicht bei dir - die APs haben davon gleich vier Stück, und die können auch noch in rot und grün blinken ... 😉
Gut bei DLINK brauch ich dich auch nicht auf den Support zu verweisen... da kannst du auch gleich gegen die Wand reden...
Nein, musst du nicht - von der Wand kommt mehr zurück als vom Support. Telefonisch erreicht man sowieso keinen, und per Ticket-System kam nach zwei Monaten (!) die Antwort, dass man mir nicht helfen kann.
Ansonsten stell nen Laptop in die Ecke und schneide den Verkehr mit...
Ja, das ist eine gute Idee. Das werde ich mal machen.
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
fauxxami schrieb: Nein, musst du nicht - von der Wand kommt mehr zurück als vom Support. Telefonisch erreicht man sowieso keinen, und per Ticket-System kam nach zwei Monaten (!) die Antwort, dass man mir nicht helfen kann.
Ich weiß, bringt dir nichts, aber es gibt einen Ausstatter, da ist der Support zwischen Weihnachten und Neujahr aktiv, das scheinen alles Nerds zu sein und das ganze ohne Business Vertrag.... Und bei den Geräten kann man die LEDs abschalten 😉
|
fauxxami
(Themenstarter)
Anmeldungsdatum: 7. Januar 2012
Beiträge: 493
|
raptor2101 schrieb: Ich weiß, bringt dir nichts, aber es gibt einen Ausstatter, da ist der Support zwischen Weihnachten und Neujahr aktiv, das scheinen alles Nerds zu sein und das ganze ohne Business Vertrag....
😉
Und bei den Geräten kann man die LEDs abschalten 😉
Das weiß ich wohl - aber tatsächlich sind die Dinger ganz nützlich, weil man u.U. schnell sehen kann, wo der Hase im Pfeffer liegt: neulich hatte ich einen AP, bei dem das Patchkabel aus dem Netzwerkanschluss gerutscht war (was man nicht direkt sieht, weil die APs bei uns an den abgehängten Decken hängen). Da war dann die Ethernet-LED aus und ich wusste, dass es sich lohnt, die Decke aufzumachen. Von daher sollen sie ruhig blinken.
|