Postado por m4d3 em 23 de Outubro de 2010 às 12:05
Bom dia, estou com este problema:
MK-AUTH 4.81
Quando por algum motivo ainda desconhecido a conexão do usuário cai ou o mesmo desconecta, o radio insistentemente fica tentando se logar novamente com usuário e senha no PPPOE e no log do mikrotik aparece a seguinte mensagem:
terminating... - user fulanodetal authentication failed
O cenário é:
A RB433 verifica o WPA2 INDIVIDUAL+MAC no MK-AUTH e libera o acesso na registration table, e logo após o radio disca o PPPOE e recebe o IP PÚBLICO.
A solução funciona, rodou por 3 dias e após começaram os problemas, ao que parece os dados de autenticação (USER/SENHA) do usuários errados (apesar de conferidos e estarem corretos, isso é certeza absoluta), mesmo após varias trocas, reparo no banco de dados, restart do radius nada resolveu, voltamos a senha original e o problema persistiu, por ultimo reiniciamos o mikrotik e então os usuários voltaram a logar em uma das RBs enquanto outra os usuários tem acesso a registration table mas nem chegam no concentrador PPPOE pra autenticar, apenas 4 usuários que estavam bloqueados ficavam aparecendo nos logs, quando liberamos o acesso destes 4 bloqueados, os demais usuários que estavam liberados começaram a fazer login.
Seria um BUG do MikroTik ?
Uma limitação/BUG do RADIUS ?
Alguem que tenha sofrido deste mesmo mal conseguiu resolver sem reinciar ?
Obs.:
1 - Todos os acessos são feitos por rádios wireless, os clientes não tem acesso as configurações dos radios, o usuário e senha fica dentro do próprio rádio em modo cliente ISP.
2 - Os usuários mesmo desativados/bloqueados continuam autenticando via WPA2+MAC nas RBs, o que me parece um problema já que o cliente fora desativado e portanto não deveria mais ter acesso a rede wireless.
3 - Temos urgência pois a solução pareceu profissional e de fácil implantação, só não contavamos com tanta dor de cabeça depois de tudo funcionando.
4 - Pedro Filho, o seu auxilio é fundamental, eu peço sua atenção neste caso pois começamos a alguns meses fazer indicações de sistemas de gerenciamento e o seu sistema ocupa posição de destaque.
Se precisar de testes estaremos a disposição, contanto é claro que os clientes não sejam prejudicados.
Agradeço por qualquer ajuda, o objetivo não é debater mas criar formas de resolver o problema.
Abraço a todos.
Visualizações: 1118
Para adicionar comentários, você deve ser membro de MK-AUTH.
O relato é justamente esse, implantamos sistemas e este é um case de cliente, sim somos prestadores de serviço e com qualidade, utilizamos linux e fazemos propaganda afinal isso não é crime.
A propósito, não desistimos e esta implantado e funcionando falta algum ajuste ainda e esperamos resolver em breve, os radios autenticam WPA2 INDIVIDUAL + MAC e ta que é uma belezinha.
Perguntei no inicio do tópico... Seria um BUG do MikroTik ?
Uma limitação/BUG do RADIUS ?
Você leu o tópico todo? As explicações e o relato completo?
Ta resolvido irmãozinho, todo mundo acessando normalmente usando o tal chipset com defeito (rss), pra não dizer que tá perfeito demais, falta o Pedrão mandar a atualização com bloqueio da autenticação MAC pro cliente desativado, no restante ta bombando.
Deus abençoe a todos, ele conhece o coração de cada um.
Afinal o-que cai a autenticação pppoe ou a conexão wireless ou anbos a rb e 433 ou 433ah.usa os 3 cards. se usa os 3 ocore com clientes alatorios ou em determinado card.outra coisa quando tem poucos clientes conectatos ocore.
No mais... ficou muito bom aí o marketing subliminar... uhauhauhau! Tipow, um problema de incompatibilidade que gera um monte de posts e daí todo mundo vê uma imagem bunitinha de rede e tal com logo PCRAM e implatação bla bla blá... é isso aí! cada um ganha do jeito que dá.
--------------
É mais ou menos assim... o cara entra no forun de medicina e pergunta porque que quando ele bebe refrigerante na primeira golada dá um soluço... hehehhe aí um tanto de gente explica que é assim mesmo e tal... e o cara jura que não é normal, porque tem vez que ele bebe e não soluça! Então... ele acha que a coca cola tem que resolver isso porque deve ser a qualidade do gás... aí na assinatura o cara mete um emblema de todo tamanho ::: LABORATÓRIO JOÃO SEM BRAÇO ME CHAMA QUE EU TE AJUDO, mais tem que pagar :::
Aí num falei... radinhos realtek(rtl8189), atenticando wpa2 com mikrotik! Desista disso por enquanto! Não vai dar um serviço 100%...
Ou... podemos tratar desse assunto em outros foruns para o caso específico....
A rede tem aproximadamente 60 clientes online, acontece que 58 ficam OK, 2 ficam dando pau, as vezes todos OK, as vezes 4 ou 5 dando pau. O resto já falei no tópico todo.
Hooo amigão... é o seguinte! Seu problema não tem a ver com o mk-auth... essa mensagem é um bug do mikrotik com o wpa2 de "radinhos realtek".
Estou te falando pq já vi este filme antes.
O Pedro foi em cima quando disse que não tem a ver com o radius e realmente não tem...
Eu já tentei resolver isso de várias formas mas não teve como... Estou aguardando novas atualizações do mikrotik para saber se vai resolver.
E é um problema chato porque quando vc coloca pra funcionar parece que está tudo certo, mas aí do nada começa a dar esta mensagem de erro! Já tentei até com um cartão onde só tinha 4 clientes para testar e realmente o wpa2 do mikrotik não conversa direito com os radinhos...
irei adicionar para que se for desativado o login desative o mac tb, mais é como falei não existe login simultaneo de mac, somente o de login caso contrario mac silmultaneo é clonagem de mac facil. quando se ativa o login simultaneo ele permite mais de um cliente conectado com o mesmo login mais não mais de um cliente com o mesmo mac, se vc olhar a tabelas do mysql pode ver que na tabela radcheck ele adiciona Simultaneous-Use somente ao login e não tb ao mac.
m4d3 disse:
É irônico o bloqueio que permite o login do cliente e se desativado também, e no entanto o cliente com cadastro liberado não consegue se conectar sem liberar login simultâneo usando MAC+WPA2. Sendo assim tenho um possível usuário indesejado (inadimplente ou cancelado) que foi bloqueado ou desativado e que ainda tem o acesso permitido ou facilitando todo tipo de ataque a rede. Se eu puder escolher, quando esta bloqueado ou desativado escolho que fique bloqueado ou desativado, que pra mim nas duas opções significa sem acesso nenhum.
Também acho que seria interessante uma tela de aviso, esta sim permitiria o acesso, mas bloqueado e desativado como o próprio nome diz não deveria permitir o acesso em nenhuma hipótese.
Pedro tenho certeza de que a sua intenção foi a melhor possível para permitir o aviso na tela e a comunicação com o cliente, mas vejo que seria mais interessante então um modo de aviso ou ao menos no modo desativado que não permitisse nenhum acesso, por favor considere.
Agradeço pelo seu sistema, muito muito muito bom e sempre evoluindo.
É irônico o bloqueio que permite o login do cliente e se desativado também, e no entanto o cliente com cadastro liberado não consegue se conectar sem liberar login simultâneo usando MAC+WPA2.
Sendo assim tenho um possível usuário indesejado (inadimplente ou cancelado) que foi bloqueado ou desativado e que ainda tem o acesso permitido ou facilitando todo tipo de ataque a rede.
Se eu puder escolher, quando esta bloqueado ou desativado escolho que fique bloqueado ou desativado, que pra mim nas duas opções significa sem acesso nenhum.
Também acho que seria interessante uma tela de aviso, esta sim permitiria o acesso, mas bloqueado e desativado como o próprio nome diz não deveria permitir o acesso em nenhuma hipótese.
Pedro tenho certeza de que a sua intenção foi a melhor possível para permitir o aviso na tela e a comunicação com o cliente, mas vejo que seria mais interessante então um modo de aviso ou ao menos no modo desativado que não permitisse nenhum acesso, por favor considere.
Agradeço pelo seu sistema, muito muito muito bom e sempre evoluindo.
Respostas
O relato é justamente esse, implantamos sistemas e este é um case de cliente, sim somos prestadores de serviço e com qualidade, utilizamos linux e fazemos propaganda afinal isso não é crime.
A propósito, não desistimos e esta implantado e funcionando falta algum ajuste ainda e esperamos resolver em breve, os radios autenticam WPA2 INDIVIDUAL + MAC e ta que é uma belezinha.
Perguntei no inicio do tópico...
Seria um BUG do MikroTik ?
Uma limitação/BUG do RADIUS ?
Você leu o tópico todo? As explicações e o relato completo?
---------------------------------------------------
Jorge,
Ta resolvido irmãozinho, todo mundo acessando normalmente usando o tal chipset com defeito (rss), pra não dizer que tá perfeito demais, falta o Pedrão mandar a atualização com bloqueio da autenticação MAC pro cliente desativado, no restante ta bombando.
Deus abençoe a todos, ele conhece o coração de cada um.
--------------
É mais ou menos assim... o cara entra no forun de medicina e pergunta porque que quando ele bebe refrigerante na primeira golada dá um soluço... hehehhe aí um tanto de gente explica que é assim mesmo e tal... e o cara jura que não é normal, porque tem vez que ele bebe e não soluça! Então... ele acha que a coca cola tem que resolver isso porque deve ser a qualidade do gás... aí na assinatura o cara mete um emblema de todo tamanho ::: LABORATÓRIO JOÃO SEM BRAÇO ME CHAMA QUE EU TE AJUDO, mais tem que pagar :::
Ou... podemos tratar desse assunto em outros foruns para o caso específico....
O mk-auth não tem nada a ver com isso!
m4d3 disse:
A rede tem aproximadamente 60 clientes online, acontece que 58 ficam OK, 2 ficam dando pau, as vezes todos OK, as vezes 4 ou 5 dando pau. O resto já falei no tópico todo.
Espero que encontremos alguma solução em breve.
Estou te falando pq já vi este filme antes.
O Pedro foi em cima quando disse que não tem a ver com o radius e realmente não tem...
Eu já tentei resolver isso de várias formas mas não teve como... Estou aguardando novas atualizações do mikrotik para saber se vai resolver.
E é um problema chato porque quando vc coloca pra funcionar parece que está tudo certo, mas aí do nada começa a dar esta mensagem de erro! Já tentei até com um cartão onde só tinha 4 clientes para testar e realmente o wpa2 do mikrotik não conversa direito com os radinhos...
m4d3 disse:
Sendo assim tenho um possível usuário indesejado (inadimplente ou cancelado) que foi bloqueado ou desativado e que ainda tem o acesso permitido ou facilitando todo tipo de ataque a rede.
Se eu puder escolher, quando esta bloqueado ou desativado escolho que fique bloqueado ou desativado, que pra mim nas duas opções significa sem acesso nenhum.
Também acho que seria interessante uma tela de aviso, esta sim permitiria o acesso, mas bloqueado e desativado como o próprio nome diz não deveria permitir o acesso em nenhuma hipótese.
Pedro tenho certeza de que a sua intenção foi a melhor possível para permitir o aviso na tela e a comunicação com o cliente, mas vejo que seria mais interessante então um modo de aviso ou ao menos no modo desativado que não permitisse nenhum acesso, por favor considere.
Agradeço pelo seu sistema, muito muito muito bom e sempre evoluindo.
-
1
-
2
-
3
-
4
de 4 Próximo