Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 27450 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WPA2 Authentication Failures

CClasen
We have an SG330 with AP100s, AP30s and an AP15.  We are using WPA2 Personal with TKIP+AES without MAC filtering, without 802.1r, with client isolation.

A large number of clients (both Windows and Mac) are unable to authenticate.  Sometimes removing the network altogether and re-adding it will allow a connection, but most of the time not.  The log it filled with these:

id="4105" severity="info" sys="System" sub="WiFi" name="STA WPA failure"

Both 2.4 and 5Ghz.  These occur across all APs, and on two different SSID's.

I have an open case with Sophos, but the best I got from them was "It's a known bug with 9.3, we don't know when we will have a patch ready."  They gave me a Mantis ID (33792), which does me no good since I can't track it myself.

I am so frustrated with Sophos right now -this is not the first wireless issue we've dealt with since the 9.3 upgrade.  I didn't see anyone here with this problem, so I thought I'd post something to help others or just make it known to the larger community.


This thread was automatically locked due to age.
  • 0
    Hi CClasen,
    could you please post some more information? I would like to reproduce your issue.
    Which version are you running?
    What clients are you using (Model / Vendor)? 
    What ssid type do you stream?
    Did you already try to workarround (like changing encryption or algorithm; choosing bridge to lan instead of separate zone ... and so on)? Did this have an effect? 
    Greetings,
    Andreas
  • 0 in reply to treskaan
    "Which version are you running?"

    9.305

    "What clients are you using (Model / Vendor)?"

    Both Mac and Windows 7 -I have not verified mobile devices.

    "What ssid type do you stream?"

    Not sure what you mean -they are both 2.4 and 5Ghz WPA2.

    "Did you already try to workarround (like changing encryption or algorithm; choosing bridge to lan instead of separate zone ... and so on)? Did this have an effect?"

    We are using bridge to VLAN here, but my other Sophos wireless sites have the saem problem with the "Separate Zone" configuration.  Changing encrption algo did not help.  Below is the email I received from Sophos support:

    "Let me help you on this issue, this is a known bug on the UTM with a version 9.3x.
    The fix on this will be patched in an upcoming release but there is no estimated time frame on it.
    You may reference the issue on this Mantis ID: 33792.

    For the meantime, as a work around. You can re-image the UTM to 9.209/9.210 so that it will work."

    Re-imaging the UTM in my production environment of this size is not a great option in my opinion.  I'm going to try to roll back at a smaller site as a test case and see if it fixes the issue.
  • 0
    Okay, 
    let me conclude: you are running bridge to VLAN SSIDs with WPA2 Personal encryption, TKIP&AES Algorithm with 2.4 and 5 ghz client isolation enabled, fast transition disabled and no mac filtering.
    Your clients fail to authenticate to the ssid until you restart the AP.
    This happens on all APs?
  • 0
    We haven't restarted the APs.  about 1/4 of clients cannot join the network (WPA authentication failure -they get a message that the passphrase is incorrect).  Repeatedly trying to join will sometimes eventually work.  Most clients connect without any issues.  Running a tail -f on the wireless log shows an authentication failure about once every three seconds.  

    We have 150-200 devices connected daily.
  • 0 in reply to CClasen
    I have now noticed that client isolation is not working.  I have it enabled on both SSIDs but an nmap ping sweep shows me all the connected devices.

    WTF.  I hope this is also fixed by rolling back to 9.2.

    My Sophos representative has mentioned that the Mantis ID given to me by support is regarding MAC address filtering -which does not apply to me.  I am attempting to reach support again.  This is getting ridiculous.
  • 0
    It looks like the issues may be related to special characters in the SSID.  The networks with problems contain '@' and '-'.  Removing those looks like it may have fixed the authentication issue.  Client isolation only seems to work with separate zone -even in 9.2.
  • 0
    Wow, CC, I'm glad you figured that out!  Treskaan, can you get that special-character issue entered as a bug?00

    Client isolation only seems to work with separate zone -even in 9.2.

    Doesn't that sound like desired behavior when bridged to LAN or VLAN?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks CClasen,
    we have been struggeling with certain characters in the past;  but this allways has been a noone can connect issue. The fact that only some devices have been effected sometimes confuses me. Could you please go into detail which clients have connection issues with these characters?
    Greetings,
    Andreas
  • 0
    Andreas, please also note to the Dev that it should not be possible to select client isolation when bridge-to-LAN/VLAN is selected. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Here's the deal with client isolation on Bridged mode:

    It only works for clients connected to the same AP.  This means that if you have two APs connected to the same LAN/VLAN which client traffic is bridged to, clients across different APs can see each other.  I'm guessing that it's because the devices use MAC blacklists/whitelists applied at the AP.

    What I did to fully isolate clients was put an IP access-list on the switchports where APs were connected.  This works to keep all clients isolated (at layer 3 anyway).  I've verified this with NMAP scans on the wireless network.

    So far, removing the special characters from the SSIDs has fixed the Mac authentication problems.  This really needs to be documented somewhere, as does the client isolation behavior.
Unfiltered HTML