none
Radius / DHCP - Problem im WLAN RRS feed

  • Frage

  • Hallo zusammen,

    Ausgangssituation: Sophos UTM+APs; Radius-Server ist auf dieser konfiguriert. Radius übernimmt unser dc1 (win2008), dhcp wird von unserem dc2 (win2008) übernommen.

    Seit einigen Tagen bekommen die Clients, die sich über unser Radius-WLAN authentifizieren nur noch sporadisch eine IP zugewiesen. Im Radius-LAN funktioniert alles, auch im nicht-Radius-WLAN funktioniert alles problemlos. Allerdings scheinen die DHCP-Requests des Radius-WLAN nur noch selten zum DHCP zu kommen. NPS sagt, dass der User sich erfolgreich authentifiziert hat, allerdings bekommt er nur eine 169er IP-Adresse.

    Hat jemand ein ähnliches Verhalten schonmal festgestellt oder eine Idee, woran das liegen könnte oder einen Vorschlag, was ich noch testen könnte?

    Vielen Dank im Voraus!

    Dienstag, 27. Januar 2015 08:20

Antworten

  • Das sieht nach einem Problem mit Swich oder AP aus. Ich gehe mal davon aus, dass die Komponenten schon mal neu gestartet wurden.

    Wie verhält sich ein Client mit statischer IP? Kann der kommunizieren? Vielleicht betrifft das Problem nur Broadcast und Unicast läuft.

    Eventuell gibt es eine neuere Firmware die das Problem löst.

    Es wäre auch einen Versuch wert, das 'faule' WLAN testweise auf PSK umzustellen und zu prüfen, wie es sich dann verhält.

    Du könntest Dich auch an den Herstellersuport oder ans Herstellerforum wenden. Vorher solltest Du versuchen das Problem soweit einzugrenzen, dass entweder Switch oder AP als Quelle identifiziert ist.


    This posting is provided AS IS with no warranties.

    • Als Antwort markiert LNAG Mittwoch, 28. Januar 2015 11:30
    Dienstag, 27. Januar 2015 19:22
  • Hey,

    das Problem ist jetzt behoben. Ich habe Abends die Sophos UTM und damit auch die APs neugestartet. Seitdem kommen wieder alle Clients in ihr VLAN. Innerhalb der UTM ist ein Paket rumgeschwirrt, welches ca. 15 mal pro Sekunde geloggt wurde; Source war die UTM selbst, Dest irgendeine Website. Das hat das Webfiltering Log auf mehrere GB ansteigen lassen und die UTM Performance-Technisch durchgehend an ihre Grenzen gebracht. Aber ob das mit dem WLAN-Problem zusammenhängt, sei mal dahingestellt.

    Ich kann mir nur absolut nicht erklären, warum das nur einige bestimmte VLANs in dem Radius-WLAN betroffen hat - diese VLANs haben nicht mal mehr einen Zusammenhang. Einige hatten gar kein Problem und kamen immer rein, andere gar nicht - Zeit- und Geräteunabhängig.

    Danke für deine Hilfe!


    • Als Antwort markiert LNAG Mittwoch, 28. Januar 2015 11:30
    • Bearbeitet LNAG Mittwoch, 28. Januar 2015 11:47
    Mittwoch, 28. Januar 2015 11:30

Alle Antworten

  • Moin,

    ich kenne die Sophos/Astoro Komponenten zwar nicht, aber ein paar generelle Tipps kann ich Dir trotzdem geben.

    Den ARP Cache auf Client, Server, Switches und APs prüfen.  Auf einem Windows Rechner geht's mit 'arp -g'.

    Bei den Netzwerkkomponenten auch mal einen Blick in die MAC Table werfen und prüfen ob Adresse und Port zusammen passen. Eventuell mal den ARP Cache und die MAC Table leeren oder die Geräte neu starten.

    Der Netzwerkmonitor auf Client und Server kann auch nicht schaden.


    This posting is provided AS IS with no warranties.

    Dienstag, 27. Januar 2015 11:07
  • Hey,

    danke erstmal für die Antwort.

    Die Sophos an sich dürfte meines Erachtens nicht viel machen an der Stelle. Die APs sind an einem Port angeschlossen, der als Trunk dient. Das Log der Sophos bekommt sogar mit, welches VLAN-Tag der Client bekommt. Mittels Wireshark sehen wir auch, dass der Client ein DHCP-Discover an Broadcast schickt. Allerdings bekommt er kein Offer zurück und auf dem dc2 (dhcp-Server) sehen wir den Discover auch nicht ankommen. Wie schon erwähnt, funktionierte es bis vor Kurzem problemlos und es wurden - auch wenn es unglaubwürdig klingt - keine Änderungen in der Infrastruktur getätigt. Die MAC-Tables stimmen soweit. Und wie auch schon erwähnt: Einige Clients kommen sporadisch rein. Einige, die schon ein DHCP-Lease haben und einige, die noch keines haben. Für mich sieht es so aus, als würde er den DHCP-Discover teilweise an einen nicht existenten DHCP-Server schicken wollen. Kann das eventuell sein?


    • Bearbeitet LNAG Dienstag, 27. Januar 2015 11:29
    Dienstag, 27. Januar 2015 11:28
  • Hast Du die Möglich zum Port Mirroring am Switch? Dann könntest Du mal einen AP-Port überwachen und prüfen, ob die dhcp Discover bis zum Switch kommen oder der AP sie schon 'verschluckt'.

    Ein weiterer Ansatz wäre die Prüfung, ob der authetifizierende AP auch der AP ist über den der dhcp Verkehr läuft. Eventuell gibt es hier ein Problem mit dem Roaming.

    Keine Änderung? Ich hatte letzte Woche erst ein Update auf meiner UTM (home).


    This posting is provided AS IS with no warranties.

    Dienstag, 27. Januar 2015 12:15
  • Hey, Port-Mirroring ist ein gute Idee. Werde ich auf dem HP2910al, an dem die APs dran stecken heut Abend mal probieren. Mach ich ungern im laufenden Betrieb.

    Wir haben es schon mit nur einem aktivierten AP probiert, um Roaming-Probleme auszuschließen: selbes Ergebnis.

    Das Update wird uns auch seit letzter Woche angeboten, haben wir allerdings noch nicht durchgeführt.

    LG,

    Dienstag, 27. Januar 2015 13:12
  • Hey,

    nach diversen Tests konnten wir es weiter einschränken! Das Problem, dass zwar die Authetifizierung lt. Radius durchläuft, der Client aber keine IP bekommt, besteht nur in ca. der Hälfte der VLANs. Wenn wir ein Notebook in ein anderes VLAN packen, funktioniert es. Packen wir es wieder zurück, schlägt es fehl. Das konnten wir mit 5 anderen Notebooks nachstellen, so dass wir jetzt wissen, mit welchen VLANs das Problem besteht. Ich habe mit die Netzwerkzugriffrichtlinien angeschaut > Passt alles; identisch zu den anderen VLANs außer halt das VLAN-Tag. Auch die DHCP-Scopes sind nicht voll. An der Port-Config der Switche wurde nicht rumgeschraubt. In diesen VLANs werden im Radius-WLAN keine IPs mehr vergeben - auch bei Smartphones nicht.

    LG,

    Dienstag, 27. Januar 2015 15:19
  • ..noch einen Schritt weiter: Zum Testen haben wir einfach mal ein weiteres VLAN angelegt und die Zugriffsrichtlinie angepasst. Die Clients+User kommen damit in ihr "neues" VLAN rein. Die Config hab ich sowohl auf allen Switchen, als auch im DHCP und der UTM haargenau von einem nicht-funktionierenden VLAN übernommen. Das legt die Vermutung nahe, dass einige VLANs "gesperrt" sind. Ich hab keine Ahnung, wo das sein könnte. Wie gesagt, habe ich die Config des neuen VLANs ganz genauso eingestellt - mit Ausnahme des VLAN-Tags natürlich.
    Dienstag, 27. Januar 2015 16:28
  • Das sieht nach einem Problem mit Swich oder AP aus. Ich gehe mal davon aus, dass die Komponenten schon mal neu gestartet wurden.

    Wie verhält sich ein Client mit statischer IP? Kann der kommunizieren? Vielleicht betrifft das Problem nur Broadcast und Unicast läuft.

    Eventuell gibt es eine neuere Firmware die das Problem löst.

    Es wäre auch einen Versuch wert, das 'faule' WLAN testweise auf PSK umzustellen und zu prüfen, wie es sich dann verhält.

    Du könntest Dich auch an den Herstellersuport oder ans Herstellerforum wenden. Vorher solltest Du versuchen das Problem soweit einzugrenzen, dass entweder Switch oder AP als Quelle identifiziert ist.


    This posting is provided AS IS with no warranties.

    • Als Antwort markiert LNAG Mittwoch, 28. Januar 2015 11:30
    Dienstag, 27. Januar 2015 19:22
  • Hey,

    das Problem ist jetzt behoben. Ich habe Abends die Sophos UTM und damit auch die APs neugestartet. Seitdem kommen wieder alle Clients in ihr VLAN. Innerhalb der UTM ist ein Paket rumgeschwirrt, welches ca. 15 mal pro Sekunde geloggt wurde; Source war die UTM selbst, Dest irgendeine Website. Das hat das Webfiltering Log auf mehrere GB ansteigen lassen und die UTM Performance-Technisch durchgehend an ihre Grenzen gebracht. Aber ob das mit dem WLAN-Problem zusammenhängt, sei mal dahingestellt.

    Ich kann mir nur absolut nicht erklären, warum das nur einige bestimmte VLANs in dem Radius-WLAN betroffen hat - diese VLANs haben nicht mal mehr einen Zusammenhang. Einige hatten gar kein Problem und kamen immer rein, andere gar nicht - Zeit- und Geräteunabhängig.

    Danke für deine Hilfe!


    • Als Antwort markiert LNAG Mittwoch, 28. Januar 2015 11:30
    • Bearbeitet LNAG Mittwoch, 28. Januar 2015 11:47
    Mittwoch, 28. Januar 2015 11:30