Обратная связь радиуса от AP до клиента WiFi
Я не думаю, что стоит реализовать централизованный сервер для Вашего AV, если Вы имеете 25 клиентов и являетесь некоммерческой организацией с низкими бюджетами.
Вы получите макс. выгоду с минимальными издержками:
- Стандартизация клиента AV вниз к единому продукту. Моя рекомендация была бы Основами Защиты Microsoft. Это - бесплатные и очень низкие эксплуатационные расходы. Установка занимает несколько минут на машину.
- Заберите права локального администратора от пользователей по мере возможности. Если Вы распространены через несколько офисов, назначаете человека с большей частью здравого смысла IT на том сайте еще для содержания администратора creds, но никого.
- Настройте свои интернет-ссылки для использования OpenDNS для определения имен, и использовать в своих интересах вредоносное программное обеспечение, блокирующее его прозрачно, обеспечивает.
Извинения за ответ несколько вне темы. В последнее время, хотя, я съеживаюсь дома и люди малого бизнеса, говорящие об оплате AV. Я действительно не думаю, что это допустимо больше.
Acquire a wireless card that supports "Monitoring" or "rfmon" mode and use it in conjunction with Wireshark to view the 802.11 headers in your network traffic. This is wildly chipset, operating system and driver dependent but Wireshark has some nice documentation to point you in the right direction. What you are after is the actual 802.11 management headers and not just "translated" Ethernet layer-2 information (again, see the Wireshark documentation). It sounds like your network is primarily over 802.11 so the time spent getting this figured out will probably be worth it later - you'll need to look at the actual 802.11 headers eventually for troubleshooting purposes.
Confirm that this actually is an issue with your access points (it probably is). Start Wireshark using '802.11' as your link layer type and then authenicate against an access point and purposely mistype the password. See what happens. You might need to also need to see what happens between the Radius server and the access point side of things as well. If you're having trouble interpreting the resulting data, you can always save it as a pcap and provide it here. You probably just want to confirm that it is an issue with the radius client before you spend a bunch of money on access points.
Once you've confirmed that it is an issue with the access points, go purchase some nice "enterprise-y" ones. We use D-Link DWL3200s which are a pretty middle of the road access point as far as access points go. My only real complaint is that their command line interface sucks but on the other hand they are only about $300 each so I can't really expect too much.
Bottom line: Before you start throwing money at the problem (even if you have lots of money to throw) figure out what's actually wrong first.
Вы не упомянули, какой протокол аутентификации используете. «WPA2 Enterprise» - это общий термин. Вы используете EAP-TLS? Или PEAP-MSCHAPv2? У вас есть сертификаты клиентов или только сертификат CA + имя пользователя / пароль? В зависимости от фактического протокола, ошибка аутентификации происходит на другом уровне стека протоколов.
Если вы используете PEAP-MSCHAPv2 (скорее всего, учитывая ваш намек на пароли), убедитесь, что сервер Radius настроен для отправки MS-CHAP -Сообщение об ошибке клиенту. Думаю, в некоторых версиях freeradius он отключен по умолчанию. Найдите это в eap.conf:
mschapv2 { # До версии 2.1.11 модуль никогда # отправил сообщение MS-CHAP-Error на # клиент. Это сработало, но были проблемы # когда кешированный пароль был неправильным. В # сервер * должен * отправить "E = 691 R = 0" на # client, который сообщает ему, чтобы он запрашивал пользователя # для нового пароля. # # По умолчанию действует как в 2.1.10 и # ранее, что, как известно, работает. если ты # установите "send_error = yes", тогда ошибка # сообщение будет отправлено обратно клиенту. # Это * может * помочь некоторым клиентам работать лучше, # но * может * также вызвать остановку других клиентов # работает. # #send_error = нет }
и измените его на "да".
I think may be a problem with MacOSX as I have a similar issue but it's not using radius or Linksys gear.
Have you got a another OS to test it with? see if it does it with an iphone or windows pc.
Если вы уверены, что цена не является проблемой, приобретите настоящую точку доступа Cisco (например, cisco aironet), по возможности избегайте Linksys.
http://www.cisco. com / en / US / products / hw / wireless / index.html
Linksys подходит для дома и небольшого офиса. Однако это не рекомендуется для чего-то большего.
Вы даже можете получить WLC (контроллер беспроводной локальной сети). Это большие вложения, но они того стоят. Вы можете управлять своими AP из центрального места, и беспроводные клиенты также могут получить выгоду, поскольку он управляет настройками вашего канала, уровнями мощности антенны и роумингом клиентов.
Обновление (ответ на комментарий): I use wrt54gl at home it works great in general, but if I download with high speed the wireless part can die (which is fixable with a reboot). The switch fuction is implemented in CPU. If you copy a large file from one machine to another cpu usage goes up significantly. With high cpu usage it is not that stable.
update2: No WLC is not strictly necessary. I do not even have one at work, but I would like to because it just makes things easier. To test if your AP is causing the trouble get a Cisco (standalone) Aironet AP (just one) and test it with the same setup to see if it solves your problem. I am sure you can get a test drive from a decent vendor.