Первичная диагностика:
1. Стабильно проявляется ошибка или это было разовое явление? Время воспроизведения проблемы. Если проблема была разовой и больше не воспроизводится, то, вероятно, проблема была с клиентским устройством.
2. На какой точке доступа (MAC адрес) была зафиксирована проблема, какая версия ПО установлена на точке доступа. Если проблема фиксируется на нескольких точках доступа, то желательно привести весь список, если это невозможно, то хотя бы несколько точек.
3. На каком SSID была зафиксирована проблема название, домен, тип авторизации: без авторизации, портальная авторизация, wpa-personal, wpa-personal+портальная авторизация, wpa-enterprise.
4. Тип клиентского устройства, название модели клиентского устройства. При воспроизведении на различных типах устройств желательно составить список всех типов и моделей. MAC адрес клиентского устройства, логин и домен учетной записи.
Если проблема стабильно воспроизводится, то дальнейшие действия будут зависеть от типа авторизации:
1. Сеть без авторизации (открытая)
Необходимо проверить:
- уровень сигнала от клиентского устройства на точке.
Если уровень -75 Дб и ниже, то клиенту необходимо подойти поближе к точке доступа, чтобы точка "видела" клиента с уровнем -65 Дб.
- Получает ли клиентское устройство IP адрес.
Если на устройстве адрес прописан статически, то необходимо включить получение адреса динамически.
Если устройство не получает адрес от DHCP сервера, то необходимо провести диагностику DHCP сервера и сети.
- Если у устройства есть IP адрес, то нужно проверить пинг до шлюза по умолчанию и DNS серверов.
2. Портальная авторизация
Необходимо проверить:
- Уровень сигнала от клиентского устройства на точке.
Если уровень -75 Дб и ниже, то клиенту необходимо подойти поближе к точке доступа, чтобы точка "видела" клиента с уровнем -65 Дб.
- Получает ли клиентское устройство IP адрес.
Если на устройстве адрес прописан статически, то необходимо включить получение адреса динамически.
Если устройство не получает адрес от DHCP сервера, то необходимо провести диагностику DHCP сервера и сети.
(!) Если у устройства есть IP адрес, но авторизация еще не прошла, то шлюз пинговаться не будет.
- Необходимо проверить редирект для этого нужно открыть браузер и попробовать перейти на сайт по протоколу http (но не https (!)), например http://www.sberbank.ru/ , http://www.rostelecom.ru/ , http://eltex.nsk.ru/ .
Если редирект не выполнился, то необходимо выполнить проверки по справочным статьям:
SoftWLC. Настройка тарифных планов для портальной авторизации
- Редирект срабатывает, если в адресной строке браузера ввести сетевой адрес 8.8.8.8.
Проверьте работоспособен ли Ваш локальный DNS - сервер, раздается ли адрес DNS - сервера пользователям по DHCP .
- Редирект сработал и пользователь смог пройти регистрацию, но не получает СМС с паролем.
Если после регистрации на портале было показано сообщение "Данные приняты в обработку. Ожидайте SMS на указанный Вами номер '79ххххххххх'", но СМС не приходит более 5 минут, то это означает, что сообщение было доставлено на СМС шлюз, но находится в очереди на обработку.
Если после регистрации на портале было показано сообщение "Sorry, due to an internal error the service is temporarily unavailable...", то это означает что произошла ошибка при передаче сообщения на СМС шлюз, возможно шлюз недоступен в данный момент. Необходимо перезапросить пароль через несколько минут. если ошибка повторяется, то нужно проверить доступность СМС шлюза с сервера eltex-ngw. Если шлюз пингуется, то необходимо собрать логи eltex-ngw в момент отправки СМС и обратиться с ними в службу технической поддержки компании Элтекс.
- После авторизации пользователя и нажатии кнопки "Продолжить" не работает перенаправление на сайт, указанный в настройках виртуального портала.
Если при этом нет доступа в интернет, то проблема в настройках редиректа и белых список в тарифном плане.
Если тарифный план с белыми списками настроен правильно, необходимо проверить, прописаны ли на точках адреса DNS серверов и есть ли к ним доступ со стороны точек.
Если доступ в интернет есть, то неправильно настроен адрес для перенаправления в настройках виртуального портала.
Необходимо выполнить проверку настройки виртуального портала и тарифного плана по статье: SoftWLC. Настройка тарифных планов для портальной авторизации
- При авторизации через ЕСИА пользователь не может перейти на сайт esia.gosuslugi.ru, либо устройство пользователя указывает на некорректный SSL-сертификат.
Если портал предоставляет пользователю ошибку при редиректе, то проверьте настройку белых списков APB на предмет верного указания в нём сайта ЕСИА.
Если пользователя перенаправляет на сайт esia.gosuslugi.ru через несколько нажатий кнопки "Вход через Госуслуги" или устройство пользователя указывает на некорректный SSL-сертификат при перенаправлении, то проверьте параметр captive-portal white-ip-delay на точке (командой get captive-portal white-ip-delay в консоли точки).
Если параметр captive-portal white-ip-delay более 1, то установите это параметр равным 1 или 0 ( set captive-portal white-ip-delay 0 в консоли точки).
3. wpa-personal
Необходимо проверить:
- Уровень сигнала от клиентского устройства на точке.
Если уровень -75 Дб и ниже, то клиенту необходимо подойти поближе к точке доступа, чтобы точка "видела" клиента с уровнем -65 Дб.
- Правильность введенного пользователем ключа для авторизации.
- Если пользователь проходит авторизацию успешно, то необходимо проверить получает ли клиентское устройство IP адрес.
Если на устройстве адрес прописан статически, то необходимо включить получение адреса динамически.
Если устройство не получает адрес от DHCP сервера, то необходимо провести диагностику DHCP сервера и сети.
- Если У устройства есть IP адрес, то нужно проверить пинг до шлюза по умолчанию и DNS серверов.
4. wpa-personal + портальная авторизация
Необходимо проверить:
- Уровень сигнала от клиентского устройства на точке.
Если уровень -75 Дб и ниже, то клиенту необходимо подойти поближе к точке доступа, чтобы точка "видела" клиента с уровнем -65 Дб.
- Правильность введенного пользователем ключа для авторизации.
- Если пользователь проходит авторизацию успешно, то необходимо проверить получает ли клиентское устройство IP адрес.
Если на устройстве адрес прописан статически, то необходимо включить получение адреса динамически.
Если устройство не получает адрес от DHCP сервера, то необходимо провести диагностику DHCP сервера и сети.
(!) Если у устройства есть IP адрес, но авторизация еще не прошла, то шлюз пинговаться не будет.
- Необходимо проверить редирект для этого нужно открыть браузер и попробовать перейти на сайт по протоколу http (но не https (!)), например http://www.sberbank.ru/ , http://www.rostelecom.ru/ , http://eltex.nsk.ru/ .
Если редирект не выполнился, то необходимо выполнить проверки по справочным статьям:
SoftWLC. Настройка тарифных планов для портальной авторизации
- Редирект срабатывает, если в адресной строке браузера ввести сетевой адрес 8.8.8.8.
Проверьте работоспособен ли Ваш локальный DNS - сервер, раздается ли адрес DNS - сервера пользователям по DHCP .
- Редирект сработал и пользователь смог пройти регистрацию, но не получает СМС с паролем.
Если после регистрации на портале было показано сообщение "Данные приняты в обработку. Ожидайте SMS на указанный Вами номер '79ххххххххх'", но СМС не приходит более 5 минут, то это означает, что сообщение было доставлено на СМС шлюз, но находится в очереди на обработку.
Если после регистрации на портале было показано сообщение "Sorry, due to an internal error the service is temporarily unavailable...", то это означает что произошла ошибка при передаче сообщения на СМС шлюз, возможно шлюз недоступен в данный момент. Необходимо перезапросить пароль через несколько минут. если ошибка повторяется, то нужно проверить доступность СМС шлюза с сервера eltex-ngw. Если шлюз пингуется, то необходимо собрать логи eltex-ngw в момент отправки СМС и обратиться с ними в службу технической поддержки компании Элтекс.
- После авторизации пользователя и нажатии кнопки "Продолжить" не работает перенаправление на сайт, указанный в настройках виртуального портала.
Если при этом нет доступа в интернет, то проблема в настройках редиректа и белых список в тарифном плане.
Если тарифный план с белыми списками настроен правильно, необходимо проверить, прописаны ли на точках адреса DNS серверов и есть ли к ним доступ со стороны точек.
Если доступ в интернет есть, то неправильно настроен адрес для перенаправления в настройках виртуального портала.
Необходимо выполнить проверку настройки виртуального портала и тарифного плана по статье: SoftWLC. Настройка тарифных планов для портальной авторизации
- При авторизации через ЕСИА пользователь не может перейти на сайт esia.gosuslugi.ru, либо устройство пользователя указывает на некорректный SSL-сертификат.
Если портал предоставляет пользователю ошибку при редиректе, то проверьте настройку белых списков APB на предмет верного указания в нём сайта ЕСИА.
Если пользователя перенаправляет на сайт esia.gosuslugi.ru через несколько нажатий кнопки "Вход через Госуслуги" или устройство пользователя указывает на некорректный SSL-сертификат при перенаправлении, то проверьте параметр captive-portal white-ip-delay на точке (командой get captive-portal white-ip-delay в консоли точки).
Если параметр captive-portal white-ip-delay более 1, то установите это параметр равным 1 или 0 ( set captive-portal white-ip-delay 0 в консоли точки).
5. wpa-enterprise
Необходимо проверить:
- Уровень сигнала от клиентского устройства на точке.
Если уровень -75 Дб и ниже, то клиенту необходимо подойти поближе к точке доступа, чтобы точка "видела" клиента с уровнем -65 Дб.
- Правильно ли в настройках SSID указаны настройки подключения к RADIUS: IP адрес, секретный ключ.
- Правильность указываемых пользователем учетных данных при авторизации. Так же нужно проверить, совпадает ли домен учетной записи с доменом SSID, на котором авторизуется пользователь. Нет ли в настройках УЗ ограничений по количеству подключений, не заблокирована ли запись по истечению ограничений по времени или трафику, не истек ли срок действия УЗ.
- Принял ли пользователь сертификат RADIUS как доверенный.
Если нет, то на клиентском устройстве необходимо забыть или удалить сеть и выполнить подключение заново, тогда будет повторно предложено принять сертификат.
- Статус SSID, к которому подключается пользователь. В настройках SSID должен быть "Статус SSID" - "Operational". Если стоит "Locked" - пользователи не смогут подключаться к такому SSID. Данная настройка служит для приостановки услуги по причине неоплаты, заявлению пользователя и т. п. ситуаций.
- При подключении пользователем к сети в логах radius-сервера появляются сообщения reject.
Обновите версии ПО SoftWLC и ПО ТД.
6. Android 11+, как подключить к SSID
При подключении к entrprise сети, при выборе 2го способа аутентификации PEAP нужно ввести домен и указать сертификат, т.к. его игнорирование приводит к ошибке авторизации.
Решение:
- В поле "Сертификат центра сертификации" следует выбрать "Системные сертификаты".
- В поле"Домен" указать radius.eltex.nsk.ru.