Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 27450 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WPA2 Authentication Failures

CClasen
We have an SG330 with AP100s, AP30s and an AP15.  We are using WPA2 Personal with TKIP+AES without MAC filtering, without 802.1r, with client isolation.

A large number of clients (both Windows and Mac) are unable to authenticate.  Sometimes removing the network altogether and re-adding it will allow a connection, but most of the time not.  The log it filled with these:

id="4105" severity="info" sys="System" sub="WiFi" name="STA WPA failure"

Both 2.4 and 5Ghz.  These occur across all APs, and on two different SSID's.

I have an open case with Sophos, but the best I got from them was "It's a known bug with 9.3, we don't know when we will have a patch ready."  They gave me a Mantis ID (33792), which does me no good since I can't track it myself.

I am so frustrated with Sophos right now -this is not the first wireless issue we've dealt with since the 9.3 upgrade.  I didn't see anyone here with this problem, so I thought I'd post something to help others or just make it known to the larger community.


This thread was automatically locked due to age.
Parents
  • 0
    Andreas, please also note to the Dev that it should not be possible to select client isolation when bridge-to-LAN/VLAN is selected. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Here's the deal with client isolation on Bridged mode:

    It only works for clients connected to the same AP.  This means that if you have two APs connected to the same LAN/VLAN which client traffic is bridged to, clients across different APs can see each other.  I'm guessing that it's because the devices use MAC blacklists/whitelists applied at the AP.

    What I did to fully isolate clients was put an IP access-list on the switchports where APs were connected.  This works to keep all clients isolated (at layer 3 anyway).  I've verified this with NMAP scans on the wireless network.

    So far, removing the special characters from the SSIDs has fixed the Mac authentication problems.  This really needs to be documented somewhere, as does the client isolation behavior.
Reply
  • 0 in reply to BAlfson
    Here's the deal with client isolation on Bridged mode:

    It only works for clients connected to the same AP.  This means that if you have two APs connected to the same LAN/VLAN which client traffic is bridged to, clients across different APs can see each other.  I'm guessing that it's because the devices use MAC blacklists/whitelists applied at the AP.

    What I did to fully isolate clients was put an IP access-list on the switchports where APs were connected.  This works to keep all clients isolated (at layer 3 anyway).  I've verified this with NMAP scans on the wireless network.

    So far, removing the special characters from the SSIDs has fixed the Mac authentication problems.  This really needs to be documented somewhere, as does the client isolation behavior.
Children
No Data
Unfiltered HTML