Проблема в настройке внешнего captive portal с авторизацией через RADIUS

one0fnine
one0fnine Публикаций: 17
Friend Collector
Всем привет!
Настраиваю external captive portal с авторизацией через RADIUS. В настройках SSID указал 2 RADIUS сервера. Проверил их доступность через инет. При подключении пользователь не авторизируется. В логах вижу такую ошибку:

Failed login attempt to WAC6103D-I from captive portal due to radius request timeout.

В логах RADIUS серверов никакой информации о попытках подключения. Подскажите, как настроить эту связку?

Accepted Solution

  • one0fnine
    one0fnine Публикаций: 17
    Friend Collector
    Ответ ✓
    Zyxel_Andrew написал:
    Спасибо за предоставленный доступ.
    В данный момент (c 1 августа) точка доступа не подключена (статус в Nebula - offline).
    Проверил настройки, все верно (правда в данный момент настроен только 1 radius сервер).
    Если я верно понимаю, то при подключении к SSID клиент перенаправляется на указанный портал, но при вводе акаунта ничего не происходит и логов на радиусе нет?
    Для изучения проблемы необходимо собрать захват пакетов на аплинк порту точки доступа во время попытки авторизации пользователя. Куда она подключена? Есть такая возможность?


    Проблема в самой точке доступа, протестировали на второй. Там все отлично отработало.
    Тогда другой вопрос. Как полностью сбросить сбойную точку? Мы сбрасывали через WebUI.
    При подключении к Nebule, платформа видит на точке старую лиц-ю, которую не удалить, не продлить, ничего сделать не можем. Может это как-то влиять на текущую проблему?
«1

All Replies

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Здравствуйте.

    Можете предоставить доступ для техподдержки к вашей организации Nebula с указанием названий Организации и площадки для проверки настройки? Конф. информацию можете отправить в ЛС.


    https://support.zyxel.eu/hc/ru/articles/360001661654
  • one0fnine
    one0fnine Публикаций: 17
    Friend Collector
    Zyxel_Andrew написал:
    Здравствуйте.

    Можете предоставить доступ для техподдержки к вашей организации Nebula с указанием названий Организации и площадки для проверки настройки? Конф. информацию можете отправить в ЛС.


    https://support.zyxel.eu/hc/ru/articles/360001661654

    отписался в ЛС
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Спасибо за предоставленный доступ.
    В данный момент (c 1 августа) точка доступа не подключена (статус в Nebula - offline).
    Проверил настройки, все верно (правда в данный момент настроен только 1 radius сервер).
    Если я верно понимаю, то при подключении к SSID клиент перенаправляется на указанный портал, но при вводе акаунта ничего не происходит и логов на радиусе нет?
    Для изучения проблемы необходимо собрать захват пакетов на аплинк порту точки доступа во время попытки авторизации пользователя. Куда она подключена? Есть такая возможность?

  • one0fnine
    one0fnine Публикаций: 17
    Friend Collector
    Zyxel_Andrew написал:
    Спасибо за предоставленный доступ.
    В данный момент (c 1 августа) точка доступа не подключена (статус в Nebula - offline).
    Проверил настройки, все верно (правда в данный момент настроен только 1 radius сервер).
    Если я верно понимаю, то при подключении к SSID клиент перенаправляется на указанный портал, но при вводе акаунта ничего не происходит и логов на радиусе нет?
    Для изучения проблемы необходимо собрать захват пакетов на аплинк порту точки доступа во время попытки авторизации пользователя. Куда она подключена? Есть такая возможность?


    Да, точка пока отключена. Сегодня я буду тестить с другой точкой, чтобы исключить, что это проблема самой точки доступа. По результату отпишусь.
    Да. Мы отправляем его на наш портал. Там происходит авторизация гостя и дальше мы его выпускаем в интернет. Я смотрел в шаблонах nebula, как сделан captive portal и какие параметры, как отсылаются. Мы пробовали отправлять данные на точку и POST и GET запросом от гостя, чтобы получить инет. Это не дало результата. В логах на nebula увидели ошибки на timeout по radius. В итоге начали дебажить радиус, по логам и дампу пакетов - ничего не приходит. Хотя сеть полностью открыта и другие устройства без проблем работали через RADIUS.

    По дампу трафика на аплинк порту, я уточню у коллег.
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Уточните пожалуйста как на данный момент выглядит процесс авторизации беспроводного клиента?  
    При подключении к SSID клиент перенаправляется на указанный портал? Получает приглашение ввода акаунта? Хотелось бы точно понимать на каком именно этапе застревает процедура авторизации.
    А если выбрать внутренний портал Nebula?
  • one0fnine
    one0fnine Публикаций: 17
    Friend Collector
    Ответ ✓
    Zyxel_Andrew написал:
    Спасибо за предоставленный доступ.
    В данный момент (c 1 августа) точка доступа не подключена (статус в Nebula - offline).
    Проверил настройки, все верно (правда в данный момент настроен только 1 radius сервер).
    Если я верно понимаю, то при подключении к SSID клиент перенаправляется на указанный портал, но при вводе акаунта ничего не происходит и логов на радиусе нет?
    Для изучения проблемы необходимо собрать захват пакетов на аплинк порту точки доступа во время попытки авторизации пользователя. Куда она подключена? Есть такая возможность?


    Проблема в самой точке доступа, протестировали на второй. Там все отлично отработало.
    Тогда другой вопрос. Как полностью сбросить сбойную точку? Мы сбрасывали через WebUI.
    При подключении к Nebule, платформа видит на точке старую лиц-ю, которую не удалить, не продлить, ничего сделать не можем. Может это как-то влиять на текущую проблему?
  • one0fnine
    one0fnine Публикаций: 17
    Friend Collector
    отредактировано августа 2021
    Zyxel_Andrew написал:
    Уточните пожалуйста как на данный момент выглядит процесс авторизации беспроводного клиента?  
    При подключении к SSID клиент перенаправляется на указанный портал? Получает приглашение ввода акаунта? Хотелось бы точно понимать на каком именно этапе застревает процедура авторизации.
    А если выбрать внутренний портал Nebula?

    Процесс застревает на моменте авторизации в RADIUS.
    1. Гость ушел на портал
    2. Авторизация
    3. Дальше отправляются данные на https://nap-slogin.nebula.zyxel.com/cgi-bin/login.cgi, либо тот адрес, что приходит в параметре apurl от точки. POST|GET не имеет значение.
    4. Авторизация в RADIUS --> TimeOut

    Да, сам портал отображается, никаких проблем, данные от клиента на сам портал тоже уходят.
    На внутреннем не тестили, проверим.
    Попробуем сбросить и передобавить точку доступа и проверить на внутреннем портале

  • one0fnine
    one0fnine Публикаций: 17
    Friend Collector
    Как-нибудь возможно управлять redirect url динамически? Как пример, другие бренды используют для этого определенный параметр в запросе.
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Проблема в самой точке доступа, протестировали на второй. Там все отлично отработало.
    Можете уточнить, какая вторая точка, на которой все работает? 

     Как полностью сбросить сбойную точку?
    Что вы понимаете под полным сбросом? В заводские настройки и в автономный режим? 
    Точку можно сбросить с заводские настройки через кнопку Reset но если при включении она сможет снова подключиться к Nebula то сделает это и закачает свою конфигурацию из облака. Для перевода в автономный режим после сброса необходимо удалить точку из организации.


  • one0fnine
    one0fnine Публикаций: 17
    Friend Collector
    @Zyxel_Andrew, мак рабочей точки скинул в ЛС
    Глюкнутую пока увели в другую организацию, будем еще тестить.

    Про сброс. На глюкнутой точке есть старая годовая лиц-я. Но с ней нельзя ничего сделать, она висит в информации о точке. Даже продлить не можем ее. Не уверен, можем ли на нее добавлять другие лиц-ии. Думали, что сброс решит эту проблему. Но если бандл настроек берется из облако. То сбросом для нас это не решить.