Probleem Radius Server en Synology Router [opgelost]

[Briolet]

Ik had recentelijk problemen met de radiusserver. Het probleem is begonnen toen ik mijn Apple Airport router vervangen heb door een Synology 1900ac router. Dit probleem was heel specifiek voor de combinatie van mijn MacBook Pro (mid 2010 met High Siera) en de Apple Airports. Inmiddels lijkt het probleem opgelost, maar ik noem het hier voor anderen die ooit een vergelijkbaar probleem tegen komen.

Wat doet een radiusserver: Via een radiusserver kun je een gebruiker toegang verlenen tot een Wifi accespoint. Er wordt dan niet gebruik gemaakt van een universeel wachtwoord voor je Wifi, maar de Wifi stuurt je accountnaam en wachtwoord naar de radiusserver. Dit verkeer wordt versleuteld met het certificaat dat je op de nas ingesteld hebt voor de radiusserver.
Het voordeel hiervan is dat je mensen weer de toegang tot je Wifi netwerk kunt onttrekken zonder dat je het Wifi wachtwoord moet veranderen.

Sinds ik mijn Apple Airport router door de Synology 1900ac vervangen heb, ervoer ik problemen met de radius server. Maar alleen als ik man MacBook Pro via mijn airport accesspoint verbond. Mijn laptop klaagt regelmatig dat hij geen verbinding meer heeft met de verificatieserver. En toont dan een storend dialoog "Indentiteitscontrole mislukt in netwerk" op het scherm dat niet weg te klikken is. (behalve dan met de "verbreek verbinding" button)



Als ik verbond via mijn Ubee router, die aan de WAN kant van de 1900ac zit, was er geen probleem. Ook als ik verbond met de 1900ac of een Wifi-dongle in mijn nas was er geen probleem. Alleen het airport-accesspoint gaf problemen. Maar dit systeem werkte al jaren en de enige verandering was het uitwisselen van de routers. En de router zou helemaal geen invloed mogen hebben omdat alles alleen via het switch gedeelte van de router loopt. Of daar nu een Apple router of een Synology router staat, zou geen verschil mogen aken.

Mijn smartphone gaf geen probleem. Ik had het ook getest met twee iMac’s. De een is een model 2009 met Sierra. De andere een model 2020 met Catalina. Deze gaven ook geen probleem.

Ik heb ook nog getest wat er gebeurd als ik de radiusserver op de1900ac installeer, maar dat gaf hetzelfde probleem.

Voor het overzicht een plaatje van mijn netwerk layout.



Dat steeds in het midden van het beeld springende dialoog maakte het werken onmogelijk. Uiteindelijk heb ik maar alles via de Ubee router gedaan en dan via een VPN op mijn echte netwerk ingelogd.

[Briolet]

Netwerkproblemen los je het beste op via Wireshark. Die toont elk bitje dat uitgewisseld wordt. De belangrijkste kunst van Wireshark is het filteren van de bitjes omdat je anders door de bomen het bos niet meer ziet.

Als ik b.v. filter op het mac adres van mijn airport, dan zie ik heel netjes de hele authenticatie met de radiusserver in beeld:



Binnen die data vind je zelfs het versienummer van de gebruikte radiusserver terug.

Bij het bekijken van alle data, viel het op dat ook de Synology router EAP pakketjes naar mijn MacBook stuurde. Dus heb ik eens gefilterd op alle pakketjes waar EAP in staat:



Bij pakketje 503 zie je plotseling dat de 1900ac om een identity vraagt. (Heb ik even omcirkeld)
Hij blijf het vragen, totdat hij bij pakketje 528 een “failure” naar mijn MacBook stuurt. Ik denk dat dit het moment is dat mijn MacBook het vervelende fout-dialoog op mijn scherm zet.

Met deze kennis heb ik de Wifi van de 1900ac uit gezet en het probleem was weg. Toen ik het weer aan zette, bleef het probleem weg. Ergens lijkt het erop dat de 1900ac nog steeds dacht dat het mac adres van mijn MacBook een gebruiker was en stuurde requests naar dat mac-adres.

Dat ik geen problemen met de Ubee en de Wifi dongle had zal komen omdat mijn MacBook zich op dat moment in een ander netwerksegment bevond en buiten het netwerksegment kun je apparaten niet via mac-adressen benaderen.

Bij het weer aanzetten van de Wifi op de 1900ac blijft het probleem weg. Maar ik heb mijn MacBook nog niet weer verbonden met de 1900ac. De kans is dan aanwezig dat het probleem terug komt.

[Briolet]

Maar ik heb mijn MacBook nog niet weer verbonden met de 1900ac. De kans is dan aanwezig dat het probleem terug komt.

Om dit toch na te gaan ben ik kort na de vorige post met mijn laptop richting 1900ac gelopen, totdat de verbinding door de Synology router overgenomen werd. Eenmaal terug bij mijn airport begonnen de problemen opnieuw. Wireshark liet wederom zien dat de Synology router probeert een identity van mijn laptop te krijgen, zonder dat de Synology router een verbinding onderhoudt.

De wifi op de 1900ac uit en weer aanzetten lost het probleem weer op. Ik wil inmiddels toeval uitsluiten en de 1900ac is de bron van het probleem. (tenslotte werkte alles tot de introductie van de 1900ac al zo'n 8 jaar probleemloos).

Ik heb nu het mac adres van mijn laptop in de filter regels van de 1900ac gezet, zodat hij uitgesloten wordt voor het verbinden. Dat werkt goed en ik gebruik mijn laptop toch bij uitzondering op die plek.

[Babylonia]

Het is dus niet echt een oplossing, maar een manier om het probleem te omzeilen.
Weet niet of je alsnog de moeite wilt nemen om bijv. een ticket te openen bij Synology Support,
omdat je met de work-around die je nu hebt, daar eigenlijk mee klaar bent?
Maar mocht je je een keer vervelen (we zitten toch al veel thuis), kan het alsnog natuurlijk      

[Briolet]

Een ticket wil ik zeker nog indienen. Dan mag Synology uitzoeken wie de schuldige is. Want op zich kan ook mijn MacBook besluiten om de verzoeken voor her-identificatie te negeren in plaats van te proberen te authenticeren met de router waar hij niet mee verbonden is.

Op mijn telefoon zal iets vergelijkbaars gebeuren, maar daarvan is het lastiger het internetverkeer te volgen. Ik kan daarop geen Wireshark installeren, maar op de nas deed ik het wel eens met het commando:

Code: [Selecteer]

tcpdump -i bond0 -s 65535 -w "dumpfile.pcap"
Deze file kun je dan in Wireshark inladen. Op de router moet het ook kunnen als ik 'bond0' door 'wlan0' vervang. (of hoe die interface op de router heet). Dan zie ik al het verkeer dat via de wlan verbinding loopt. Maar ik zal ook eth0 moeten checken, want voor hetzelfde geld lopen die verzoeken bedraad naar buiten.

Een voorbeeld voor de capture van accesspoint verkeer staat hier. Leuk voor een lang weekend. 

[Briolet]

Ik had even tijd. Dus SSH aangezet op de router en aan de gang gegaan met:

Code: [Selecteer]

tcpdump -i wlan1 -s 655350 -w /volumeUSB1/usbshare1-3/dumpfile.pcap
wlan1 is het 5GHz verkeer. De dumpfile vervolgens ingelezen in Wireshark. Leerzaam, want ik had me niet gerealiseerd dat ik al het verkeer zou tegenkomen dat via deze interface loopt. Bij mijn PC is het alleen verkeer van/naar de PC, maar hier is het ook verkeer tussen mijn telefoon en externe sites.

Even filteren op het EAP verkeer laat zien dat de telefoon geen probleem heeft met de router. Op het moment van onderstaande dump is de telefoon verbonden met mijn Airport. De 1900ac stuurt ook identity requests naar mijn telefoon, maar de listing laat zien dat mijn Samsung telefoon deze negeert. (De Samsung staat nooit bij de source adressen) Bij de MacBook zag je antwoorden op deze requests.



Blijft dus de vraag of de bug in de router zit of in de MacBook.

[Babylonia]

En heb je niet een kennis in de buurt met een jongere of ander model Macbook om te vergelijken??

[Briolet]

Niet om even mee te testen. Ik heb mijn eerdere test met twee iMac's echter herhaald. Nu echter met logging.

Eerst even forceren dat ze met beide (Airport en 1900ac) verbonden zijn geweest. Dan zorgen dat ze met de airport verbonden blijven en 10 minuten het verkeer door het 5GHz van de 1900ac loggen.

De 1900ac stuurt geen "identity requests" naar de iMac's. Ik zie wel nog steeds de reeks "identity requests" richting Samsung telefoon in het log.

Blijkbaar maakt de 1900ac wel een keuze aan wie deze requests gestuurd worden.

Het kan zijn dat de wifi software voor de statische iMac's anders werkt dan bij mobiele apparaten. Bij mobiele apparaten wil je dat ze naadloos van het ene naar het andere accesspoint overstappen. Hiervoor bestaan speciale protocollen (802.11k, 802.11r en 802.11v) Ik kan me voorstellen dat dit uit staat op statische Wifi devices zoals een iMac.