Problema com downloads erro e timeout

[zekkerj]

Então, cara... o problema é que as máquinas não conseguem descobrir sozinhas que precisam mudar o MTU. O servidor DHCP tem que informar isso pra elas, e o do Ubuntu não faz isso por padrão.
Como eu te disse, o Ubuntu não é a melhor opção pra um servidor de Internet.

[jeangregs]

Então, cara... o problema é que as máquinas não conseguem descobrir sozinhas que precisam mudar o MTU. O servidor DHCP tem que informar isso pra elas, e o do Ubuntu não faz isso por padrão.
Como eu te disse, o Ubuntu não é a melhor opção pra um servidor de Internet.

Não há nenhum método ou pacote que eu possa instalar para inserir isso na política da rede pra rodar isso?

[zekkerj]

Vc faz isso corrigindo o serviço DHCP.

[jeangregs]

Vc faz isso corrigindo o serviço DHCP.

pois bem! eu havia colocado esse fórum no âmbito de iniciante justamente por não ter tanto conhecimento nos arquivos do linux. Qual eu devo mexer para refazer? parâmetros?  Obrigado!

[zekkerj]

OK.
Consultando o Google, encontrei os seguintes links:
http://www.microhowto.info/howto/change_the_mtu_of_a_network_interface_using_dhcp.html
http://linux.die.net/man/5/dhcpd-options

Eles indicam que, supondo que você esteja usando o servidor DHCP padrão do Ubuntu (pacote isc-dhcp-server), você deve incluir a diretiva "option all-subnets-local true" ao arquivo /etc/dhcp/dhcpd.conf", para que ele assuma que todas as subnets servidas usem o mesmo MTU da interface local. Eu também entendo que vc deve incluir a diretiva "option interface-mtu 1492" às suas subnets (novamente, uma suposição, de que o MTU ideal pra vc é esse).

Há uma chance de que você esteja usando o dnsmasq pra fazer o compartilhamento da conexão, em vez do ISC DHCP. Nesse caso, a configuração é outra; novamente, numa busca pelo Google, encontrei o link abaixo, que não tive tempo de ler, mas parece ter a indicação de qual configuração precisa ser feita, e onde.
http://lists.thekelleys.org.uk/pipermail/dnsmasq-discuss/2008q3/002423.html

Volto a dizer, no entanto, que o Ubuntu não é o ambiente mais adequado para um servidor de internet. Se você estivesse usando um sistema dedicado, poderia estar resolvendo isso tudo via uma interface web, ou melhor ainda, provavelmente nem precisaria estar fazendo isso, pois o sistema saberia que precisa repassar aos clientes o MTU ideal da conexão internet.

[jeangregs]

Prezados, verifiquei a conexão e apresenta tudo ok. porém olhando os logs do FreeRadius e encontrei  dois erros, algo que me deixou em dúvida..

o freeradius define o mtu?? veja abaixo. Se sim... como eu mudo isso? acho que fica no etc/freeradius/users , modifiquei lá mas nada aconteceu!


 Packet-Type = Access-Request
        User-Name = "heitor.junior@xxxxx.com.br"
        NAS-IP-Address = 10.0.1.4
        NAS-Identifier = "0418d6c08983"
        NAS-Port = 0
        Called-Station-Id = "16-18-D6-F1-89-93:AIS Enterprise"
        Calling-Station-Id = "3C-15-C2-C5-6D-E6"
        Framed-MTU = 1400
        NAS-Port-Type = Wireless-802.11
        Connect-Info = "CONNECT 0Mbps 802.11b"


segundo erro:

                         Tue Mar 22 15:24:48 2016 : Error: TLS Alert write:fatal:unknown CA
                         Tue Mar 22 15:24:48 2016 : Error:     TLS_accept: error in error
                         Tue Mar 22 15:24:48 2016 : Error: rlm_eap: SSL error error:14089086:SSL routines:ssl3_get_client_               certificate:certificate verify failed
                          Tue Mar 22 15:24:48 2016 : Error: SSL: SSL_read failed in a system call (-1), TLS session fails.
                         Wed Mar 23 09:19:35 2016 : Error: TLS Alert read:fatal:unknown CA
                        Wed Mar 23 09:19:35 2016 : Error:     TLS_accept: failed in unknown state
                        Wed Mar 23 09:19:35 2016 : Error: rlm_eap: SSL error error:14094418:SSL routines:ssl3_read_bytes:               tlsv1 alert unknown ca

[zekkerj]

Prezados, verifiquei a conexão e apresenta tudo ok. porém olhando os logs do FreeRadius e encontrei  dois erros, algo que me deixou em dúvida..

o freeradius define o mtu?? veja abaixo. Se sim... como eu mudo isso? acho que fica no etc/freeradius/users , modifiquei lá mas nada aconteceu!

Não, essa informação vem do suplicante, o FreeRadius apenas a registra.

Packet-Type = Access-Request
        User-Name = "heitor.junior@xxxxx.com.br"
        NAS-IP-Address = 10.0.1.4
        NAS-Identifier = "0418d6c08983"
        NAS-Port = 0
        Called-Station-Id = "16-18-D6-F1-89-93:AIS Enterprise"
        Calling-Station-Id = "3C-15-C2-C5-6D-E6"
        Framed-MTU = 1400
        NAS-Port-Type = Wireless-802.11
        Connect-Info = "CONNECT 0Mbps 802.11b"

Essa informação é gerada pelo seu roteador, quando você o programa pra acesso em WPA/WPA2 Enterprise.
O que me abre a questão... vc precisa mesmo de um WPA2 Enterprise aí? E ainda não decidiu por fazer o controle com um firewall dedicado?...

segundo erro:

                         Tue Mar 22 15:24:48 2016 : Error: TLS Alert write:fatal:unknown CA
                         Tue Mar 22 15:24:48 2016 : Error:     TLS_accept: error in error
                         Tue Mar 22 15:24:48 2016 : Error: rlm_eap: SSL error error:14089086:SSL routines:ssl3_get_client_               certificate:certificate verify failed
                          Tue Mar 22 15:24:48 2016 : Error: SSL: SSL_read failed in a system call (-1), TLS session fails.
                         Wed Mar 23 09:19:35 2016 : Error: TLS Alert read:fatal:unknown CA
                        Wed Mar 23 09:19:35 2016 : Error:     TLS_accept: failed in unknown state
                        Wed Mar 23 09:19:35 2016 : Error: rlm_eap: SSL error error:14094418:SSL routines:ssl3_read_bytes:               tlsv1 alert unknown ca

Ambos os erros dão conta de que não foi possível autenticar um certificado, pois a Autoridade Certificadora (CA) que o emitiu não é reconhecida. Isso pode ser esperado, se for um certificado auto-assinado, ou um big problema, se vc estiver lidando com um certificado A1.

[jeangregs]

A questão é que sou novo na empresa, cheguei e esse sistema já estava implementado e apresentando esse problema. Como não tenho tanta intimidade com o linux, ainda não tomei coragem de refazer esse sistema. por isso estou procurando uma solução primeiro, assim ganho tempo para aprender mais e tomar a iniciativa de refazer esse sistema.

[zekkerj]

Você está sozinho na equipe?

[jeangregs]

Praticamente sim! A equipe é composta por desenvolvedores, sou o unico na carteira infra/sup! Foi um deles que implementou, porém nem ele sabe o que está acontecendo.

[zekkerj]

Complicado, hein? Vc está lidando com um sistema de complexidade bem alta (WPA2 Enterprise). Procura saber com eles pelo menos quais foram os objetivos das escolhas que foram feitas, e como cada sistema se integra aos outros.

[jeangregs]

Complicado, hein? Vc está lidando com um sistema de complexidade bem alta (WPA2 Enterprise). Procura saber com eles pelo menos quais foram os objetivos das escolhas que foram feitas, e como cada sistema se integra aos outros.

Pois é cara, pior que eles fazem questão dos certificados! Cara, valeu aí por tudo aí! Só mais uma pergunta, o pfsense aceita de boa o freeradius, correto? Só pra ter certeza! Esse fds vou colocar ele no servidor lá!

[zekkerj]

Pois é cara, pior que eles fazem questão dos certificados! Cara, valeu aí por tudo aí! Só mais uma pergunta, o pfsense aceita de boa o freeradius, correto? Só pra ter certeza! Esse fds vou colocar ele no servidor lá!

Sim, o pfsense integra na boa com o FreeRadius, vai integrar até com outros servidores RADIUS que vc possa usar, pois a "conversa" entre eles vai ser por um protocolo padronizado (o RADIUS).

Os certificados é que vão te dar um trabalhinho pra acertar. Vc primeiro precisa descobrir onde e como esses certificados foram emitidos. Se forem auto-assinados, lascou, vc tem simplesmente que mandar ignorar o erro e aceitá-los na marra, enquanto estiverem no período de validade e íntegros.
Se tiverem sido assinados por uma CA não registrada (é comum que isso aconteça quando se usa uma CA interna), vc tem que localizar o certificado raiz dessa CA e colocá-lo num diretório específico de seu servidor de autenticação, e esse diretório vai depender de quem está reclamando o erro.
A alternativa final é vc gerar novos certificados, com uma CA já reconhecida pelo destino, e substituir os que estão em uso.

Resumindo: não quero estar na sua pele. E eu falo isso de cadeira, já estive nela.