Este artículo aborda un problema común que ocurre en entornos de redes inalámbricas, donde el ID de VLAN y la clave compartida previamente son perdidos al cambiar de un punto de acceso (AP) a otro dentro de una red configurada con un perfil de Múltiples Claves Compartidas (MPSK) y con la transición rápida de BSS habilitada. Esto es crucial porque interfiere con la conectividad del cliente, afectando la experiencia del usuario. A continuación, se describirán las causas, pasos de diagnóstico y soluciones recomendadas para resolver este inconveniente.
Índice
Descripción del problema
Cuando un SSID con un perfil MPSK es transmitido a través de dos o más FortiAP, el cliente inicialmente recibe una dirección IP del ID de VLAN correcto. Sin embargo, al cambiar de un AP a otro, se pierde tanto el ID de VLAN como la clave compartida, lo que provoca problemas de conectividad.
Alcance
Este artículo es aplicable a las versiones de FortiGate v7.4.5 y v7.6.0.
Diagnóstico paso a paso
Para diagnosticar el problema, es importante observar el comportamiento de la red antes y después de realizar el roaming entre los puntos de acceso.
Comportamiento antes del roaming:
diag wireless-controller wlac -d sta online
vf=0 mpId=0 wtp=4 rId=2 wlan=wifi vlan_id=100 ip=10.100.80.2 ip6=fe80::1cdc:a003:61c1:f7a9 mac=26:20:f6:33:96:30 vci= host= user= group= signal=-45 noise=-95 idle=4 bw=8 use=5 chan=161 radio_type=11AX_5G security=wpa2_only_personal mpsk=p1 encrypt=aes cp_authed=no l3r=1,0 G=0.0.0.0:0,0.0.0.0:0-0-0 — 0.0.0.0:0 0,0 online=yes mimo=2
Comportamiento después del roaming:
diag wireless-controller wlac -d sta online
vf=0 mpId=0 wtp=3 rId=2 wlan=wifi vlan_id=0 ip=192.168.10.2 ip6=:: mac=26:20:f6:33:96:30 vci= host= user= group= signal=-39 noise=-95 idle=2 bw=0 use=5 chan=153 radio_type=11AX_5G security=wpa2_only_personal mpsk= encrypt=aes cp_authed=no l3r=1,0 G=0.0.0.0:0,0.0.0.0:0-0-0 — 0.0.0.0:0 0,0 online=yes mimo=2
Solución recomendada
Este problema se ha resuelto en la versión 7.6.1 de FortiOS. Para solucionar el inconveniente hasta que actualice, puede replantear la configuración de su red. A continuación, se presenta una configuración de ejemplo que incluye la activación de la transición rápida de BSS y el uso de un perfil MPSK adecuado:
config wireless-controller vap
edit «wifi»
set ssid «WiFi_SSID»
set fast-bss-transition enable
set schedule «always»
set mpsk-profile «mac-mpsk-st»
set dynamic-vlan enable
set quarantine disable
next
end
config wireless-controller mpsk-profile
edit «mac-mpsk-st»
config mpsk-group
edit «mpsk-grp1»
set vlan-type fixed-vlan
set vlan-id 100
config mpsk-key
edit «key1»
set passphrase ENC
next
end
next
end
next
end
Comandos CLI utilizados
Para la resolución y diagnóstico del problema, se enumeran los comandos CLI necesarios:
- Debugs:
- Informe TAC:
- Archivo de configuración de la FortiGate.
diag debug application wpad 7
diag debug enable
diag wireless-controller wlac -c sta
diag wireless-controller wlac -d sta online
<Reproduzca el problema haciendo roaming de un AP a otro y luego recupere las salidas de los registros de depuración:
diag wireless-controller wlac -d sta online
diag debug reset
execute tac report
Buenas prácticas y recomendaciones
Es recomendable mantener actualizadas las versiones de FortiOS para evitar problemas relacionados con la conectividad y la seguridad. Además, al configurar redes con múltiples puntos de acceso, considere la interacción entre los perfiles de seguridad y los métodos de autenticación utilizados.
Notas adicionales
Asegúrese de que todos los registros de depuración estén habilitados para facilitar la identificación de problemas. Siempre es aconsejable realizar pruebas de conectividad después de realizar cambios en la configuración de la red.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!