2x WPA2 Enterprise bridged networks not working

Nobody?

I find it very annoying now, that has not really done anything since October. 
Priority for this Case is "Medium", this is not really acceptable.
 I am now on v8.102, no change.

CaseID 00136025  --  Enterprisauthentifizierung -- Priority: Medium

Yves, I'm not sure I understand, so let me try to describe the,situation in my own words...

In two different locations, you have an Astaro with Astaro Wireless Access Points.  These Astaros are not joined with a VPN, or, if they are connected, there is no overlap between any of the subnets or the overlapping subnets are not included in the tunnel.

When you have one separate wireless guest network and one network bridged to 'Internal (Network)', everything works perfectly.

If that's correct so far, I think you can't have two wireless networks bridged to 'Internal (Network)'.  What is driving the need for having a second non-guest network?

Cheers - Bob

Hi, 

Thank you for your answer.

What is driving the need for having a second non-guest network?

We have a merger between two company's. These company's work together, users traveling around, because of than you have two diffrent SSID's.

Can you tell me why you think its not possible to have two bridged SSID's?

I'm just guessing that you have two Astaros, each with its own Wireless Security subscription, and that the two Astaros are connected via VPN.  Further, I'm guessing that your issue is that once you create SSID-1 at site 1, you can't create it in site 2; and that you have the same problem after you create SSID-2 at site 2, and then try to create it in site 2.  Is that right?  If so, then you have a networking conflict when you have the same SSID in both sites.

With or without a VPN, it seems like the easiest solution would be for the roaming users to setup connections for both SSIDs on their laptops/smartphones.  They will connect automatically in either site.  Why won't that work?

Cheers - Bob

Hi Bob,

I don't know why you think VPN has anything to to with the issue. Cut away the VPN and bridge two SID's on the AP Net, with any names you won't, then you can't authenticate any longer. 
I don't have a conflict because i am on different subnets on each site. Trust me, it has nothing to do with the Naming of the SID's etc.

We are using only Mac's in one site, the problem is, Apple supports only one Systemprofile. For example MacBook Air users have only wireless connection. With the Systemprofile they get wifi connected at login for password changes etc.

Well, no one's paying me to figure this out, so I can't login to your two Astaros to test my intuitive guesses. [;)] Your description of what you're seeing just sounds like a networking conflict.

Are you saying that you've tried disabling the VPN before configuring the second SSID, and that the second one still fails?

Cheers - Bob

Are you saying that you've tried disabling the VPN before configuring the second SSID, and that the second one still fails?

Cheers - Bob

Hello Bob,

excuse me if I sounded a little harsh, that was not my intention. I appreciate your help.
But, yes i have tried that. I had this problem before, even without a VPN tunnel. My ticket is from october 2010 [;)]. 
The second Astaro was only named in my post, because it is reproducible.

excuse me if I sounded a little harsh, that was not my intention.

Thanks, Yves, I recognized your frustration with the situation, but I couldn't resist.

Let's hope that one of the developers sees this.  In the meantime, maybe we can find something...

I assume you've checked the packet filter log.  Is there anything unusual in the User authentication daemon log?  I wonder if there might be something in the Intrusion Prevention log - if IPS isn't seeing a LAND attack or something like that.

Cheers - Bob

Is there anything unusual in the User authentication daemon log? 

The behavior is the following:
The Client try to authenticate, in the client logfiles i get "authentication successful", but the client gets no IP Address.

  I wonder if there might be something in the Intrusion Prevention log - if IPS isn't seeing a LAND attack or something like that.

Nice guess [;)], but the IPS is off at the site.

I wonder why Asatro has no solution, there are only three options:

1st Error
2nd Not possible
3rd I'm too stupid

mhh..

Have you tried to look (like with WireShark) at the traffic on the AP-Lan?  To see what happens when the second SSID is activated?  I ask that because it appears that Astaro does its job authenticating, but then the DHCP server in the LAN seems to not be receiving requests from the AP.

Cheers - Bob