O cliente associa ao SSID, mas nenhum pacote RADIUS aparece no Wireshark? Em ambientes com NPS, isso quase sempre significa que o equipamento de acesso não iniciou a MAB (MAC Authentication Bypass) ou que o NPS não está preparado para usar o MAC como identidade. Veja como habilitar, verificar e depurar.
Cenário e sintomas
Um administrador configurou o Network Policy Server (NPS) para autenticação baseada em endereço MAC numa rede Wi‑Fi. O dispositivo conecta-se ao SSID, mas não há Access‑Request nem Access‑Accept RADIUS na captura do Wireshark. O endereço MAC já está cadastrado no Active Directory e há uma condição de NAS‑Identifier na política.
Em termos práticos, “Wi‑Fi associado sem RADIUS” significa que o AP/switch não iniciou a MAB ou que o NPS não reconheceu o MAC como identidade. A seguir, um guia completo para ativar a MAB no NPS, obter o fluxo de chamadas e resolver os pontos de falha típicos.
Como a MAB funciona no NPS
A MAB substitui o 802.1X: o equipamento de acesso (AP ou switch) envia um Access‑Request ao servidor RADIUS usando o MAC do cliente como User‑Name e, em muitos fabricantes, também como User‑Password. Por padrão, o NPS não utiliza o MAC como identidade do usuário, mas pode fazê-lo quando instruído a ler a identidade a partir do atributo Calling‑Station‑ID. Para isso, é necessário habilitar uma chave de registro específica.
Pré‑requisitos
- Servidor Windows com NPS instalado e unido ao domínio.
- Conectividade UDP 1812/1813 entre NAS (AP/WLC/switch) e NPS (inclua as regras no firewall).
- Fabricante do NAS com suporte a MAB/MAC Authentication.
- Contas de usuário no AD correspondentes aos MACs (padrão recomendado: sem separadores).
Plano de ação rápido
- Criar (ou revisar) as contas no AD com usuário = senha = MAC sem separadores.
- Habilitar, no NPS, o uso do
Calling‑Station‑IDcomo identidade via registro. - Configurar a Network Policy “MAC Bypass” com método PAP/SPAP e, opcionalmente, VLAN dinâmica.
- Ativar a função de MAB no AP/switch; sem isso, não haverá Access‑Request.
- Capturar com Wireshark na interface certa e confirmar o call‑flow completo.
Preparar as contas MAC no Active Directory
Crie uma conta por dispositivo. A prática mais interoperável é usar o MAC em formato contínuo (12 hex) para samAccountName e definir a mesma cadeia como senha. Exemplos válidos:
| MAC físico | Login no AD | Senha | Observação |
|---|---|---|---|
| 00:11:22:33:44:55 | 001122334455 | 001122334455 | Sem separadores |
| AA-BB-CC-DD-EE-FF | AABBCCDDEEFF | AABBCCDDEEFF | Normalizado para hexadecimal contínuo |
Inclua as contas num grupo de segurança do AD, por exemplo MAC Bypass, que será usado como condição na política do NPS. Recomenda-se marcar “Senha nunca expira”.
Exemplo em PowerShell para criar em massa
Arquivo macs.csv com a coluna MAC:
MAC
00:11:22:33:44:55
aa-bb-cc-dd-ee-ff
Script:
Import-Csv .\macs.csv | ForEach-Object {
$macRaw = $_.MAC
$mac = ($macRaw -replace '[:.\-]', '').ToUpper()
$pwd = ConvertTo-SecureString $mac -AsPlainText -Force
New-ADUser -Name "MAC-$mac" -SamAccountName $mac `
-AccountPassword $pwd -Enabled $true -PasswordNeverExpires $true `
-Path "OU=MAC,DC=exemplo,DC=local" -Description "MAB - criado via script"
Add-ADGroupMember -Identity "MAC Bypass" -Members $mac
}
Ativar o MAC bypass no NPS
O NPS precisa aceitar o Calling‑Station‑ID como identidade do usuário. Para isso, crie o valor de registro abaixo:
| Caminho | Valor | Tipo | Conteúdo |
|---|---|---|---|
| HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy | User Identity Attribute | DWORD | 31 (0x1F) |
Esse valor instrui o NPS a usar o atributo Calling‑Station‑ID (o MAC do cliente) como identidade do usuário, permitindo autenticação sem 802.1X.
Após criar ou alterar o valor, reinicie o serviço do NPS:
sc stop IAS & sc start IAS
Criar as políticas do NPS
Você pode operar com uma única Network Policy para a MAB. Em ambientes mais complexos, também é comum criar uma Connection Request Policy específica para diferenciar tráfego vindo de WLANs ou de switches, mas não é obrigatório.
Network Policy “MAC Bypass”
- Condições:
- Grupo de usuários do Windows: MAC Bypass.
- (Opcional) NAS‑Identifier, NAS IPv4 Address ou Called‑Station‑ID contendo o SSID, para escopo mais restrito.
- Constraints:
- Habilite PAP/SPAP apenas (sem criptografia). A MAB não usa EAP.
- Desmarque PEAP/EAP‑TLS/EAP‑MSCHAPv2.
- Settings (opcional – VLAN dinâmica):
Tunnel‑Type = VLANTunnel‑Medium‑Type = 802Tunnel‑Pvt‑Group‑ID = <número da VLAN>
Resumo de atributos de VLAN
| Atributo RADIUS | Valor | Significado |
|---|---|---|
| Tunnel‑Type | VLAN (13) | Tipo do túnel |
| Tunnel‑Medium‑Type | 802 (6) | Meio 802.x (Ethernet/802.11) |
| Tunnel‑Private‑Group‑ID | Ex.: 20 | Identificador numérico da VLAN |
Configurar o equipamento de acesso
Sem a MAB habilitada no NAS, não haverá Access‑Request e o Wireshark permanecerá silencioso. Ative a autenticação por MAC conforme o fabricante:
- AP/Controladora Wi‑Fi: habilite “MAC Authentication/MAC Filtering” no SSID. Em alguns fabricantes:
- SSID Open + “MAC Authentication”.
- Para redes com criptografia PSK, a MAB geralmente é adicional (controle de acesso em camada 2/3).
- Defina o servidor RADIUS (NPS), a porta 1812, 1813 e o segredo compartilhado.
- Switch de acesso: habilite MAB na porta e aponte o RADIUS. Exemplo ilustrativo (IOS clássico; ajuste aos seus padrões):
aaa new-model
radius server NPS1
address ipv4 10.0.0.10 auth-port 1812 acct-port 1813
key <segredo_compartilhado>
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
interface GigabitEthernet1/0/10
switchport mode access
authentication port-control auto
mab
dot1x pae authenticator Notas:
- Em muitos ambientes, a porta tenta 802.1X primeiro; se o cliente não fala EAPOL, o switch/SSID cai para MAB e envia o RADIUS.
- Em Wi‑Fi, alguns controladores exigem que a base de MACs seja local ou remota (RADIUS). Certifique-se de selecionar “RADIUS”.
Ver o tráfego RADIUS no Wireshark
Capture na interface que recebe o tráfego entre NAS e NPS. Filtros úteis:
| Filtro | Uso |
|---|---|
udp.port == 1812 || udp.port == 1813 | Autenticação e contabilização RADIUS |
radius | Decodificação completa de pacotes RADIUS |
wlan.addr == <MAC do cliente> | Correlacionar frames Wi‑Fi ao MAC do cliente |
Exemplo de Access‑Request esperado na MAB:
Code: Access-Request (1)
User-Name: 001122334455
User-Password: 001122334455
Calling-Station-Id: 00-11-22-33-44-55
Called-Station-Id: SSID example (AP-01)
NAS-IP-Address: 10.10.10.2
NAS-Identifier: WLC-LAB
NAS-Port-Type: Wireless-IEEE 802.11
Message-Authenticator: ...
Exemplo de Access‑Accept com VLAN:
Code: Access-Accept (2)
Tunnel-Type: VLAN (13)
Tunnel-Medium-Type: IEEE-802 (6)
Tunnel-Private-Group-ID: 20
Dica: se estiver capturando no próprio NPS e não enxergar pacotes de saída, verifique offloads de checksum. A captura pode mostrar checksums “incorretos” (calculados pela NIC) mesmo com tráfego real fluindo.
Roteiro de troubleshooting
Quando nenhum pacote RADIUS aparece
- MAB não habilitada no NAS: o AP/switch só associa o cliente, mas não envia Access‑Request. Habilite MAB/MAC Authentication no SSID/porta.
- 802.1X obrigatório sem fallback: em alguns perfis, se 802.1X falhar, a conexão é negada sem tentar MAB. Ajuste a ordem 802.1X → MAB.
- Rota/ACL/firewall: UDP 1812/1813 bloqueado entre NAS e NPS.
- RADIUS Client não cadastrado no NPS: adicione o NAS como “Cliente RADIUS” com o IP correto e o segredo.
- Porta/segredo incorretos no NAS: divergência de segredo impede o envio/aceitação de respostas visíveis no outro lado.
- Captura no ponto errado: capture na NIC do NPS ou num espelhamento na porta do switch/WLC.
Quando há Access‑Request, mas o NPS nega
- Chave de registro ausente: sem o “User Identity Attribute = 31”, o NPS não usa o
Calling‑Station‑IDcomo identidade. - Método de autenticação incompatível: a política precisa aceitar PAP/SPAP.
- Ordem das políticas: uma política acima pode estar capturando a sessão e negando/encaminhando.
- Conta no AD inexistente/errada: verifique o samAccountName (sem separadores) e se a senha coincide com o MAC.
- Condição de escopo estreita: NAS‑Identifier ou Called‑Station‑ID diferentes do que o NAS envia.
- Formato do MAC: alguns NAS enviam
Calling‑Station‑IDcom “:” ou “-”, enquanto oUser‑Namepode vir sem separadores.
Verificações no Event Viewer e logs de NPS
- Event Viewer → Logs do Windows → Segurança: eventos como 6272 (concedido) e 6273 (negado) trazem a razão do êxito/erro.
- Accounting: opcionalmente habilite logs de contabilização do NPS para histórico das sessões.
- Tracing:
netsh ras set tracing * enabledpode ajudar em depuração avançada.
Formato de MAC por fabricante (tendências)
| Campo | Possíveis formatos | Impacto |
|---|---|---|
| User‑Name | 001122334455, AABBCCDDEEFF | Usado no Access‑Request como nome de usuário |
| Calling‑Station‑ID | 00:11:22:33:44:55, 00-11-22-33-44-55 | Identidade real quando habilitado o registro “User Identity Attribute” |
Fluxo de chamadas completo
- Associação Wi‑Fi: o cliente associa ao SSID (sem 802.1X).
- Detecção de MAB: o AP/switch percebe ausência de EAPOL e dispara Access‑Request (tipicamente
User‑Name = MACeUser‑Password = MAC). - Avaliação no NPS: com o registro habilitado, o NPS lê o
Calling‑Station‑IDcomo identidade, procura a conta no AD e avalia a Network Policy. - Resposta RADIUS: Access‑Accept (opcionalmente com VLAN) ou Access‑Reject com motivo.
- Autorização de sessão: o NAS aplica VLAN/perfil e libera a porta/sessão.
- Tráfego do cliente: DHCP, obtenção de IP e tráfego normal.
Diagrama ASCII resumido
[Cliente] --assoc--> [AP/Switch] ==RADIUS Access-Request==> [NPS/AD]
(sem 802.1X) | |
<== Access-Accept/Reject == |
(VLAN opcional) |
[Cliente] <--- porta liberada/VLAN aplicada --- [AP/Switch]
Por que “sem pacotes RADIUS no Wireshark”?
Sem MAB habilitada, o NAS não tem credenciais para enviar. A associação Wi‑Fi por si só não implica autenticação: o 802.11 permite associação “open” sem RADIUS. A MAB é a peça que dispara o RADIUS quando não há 802.1X. Portanto:
- Se o NAS não estiver configurado para MAB, nenhum Access‑Request surgirá.
- Se o NPS não souber identificar pelo MAC, a sessão será negada (haverá pacotes, mas não sucesso).
Segurança e considerações operacionais
- Sensível a spoofing: MAC pode ser falsificado. Use MAB apenas onde 802.1X não é possível (equipamentos legados, IoT, impressoras, leitores, etc.).
- PAP em texto claro: o método usa PAP; o conteúdo do
User‑Passwordé ofuscado pelo algoritmo RADIUS, não criptografado ponta a ponta. Preferencialmente, mantenha o RADIUS em rede confiável ou encapsule em IPsec/DTLS. - VLAN de quarentena: aplique VLAN restrita para “MAC desconhecido”.
- Governança: inventário de MACs, naming padronizado, revisão periódica de contas.
Checklist rápido de verificação
- NAS cadastrado como “Cliente RADIUS” no NPS com IP e segredo corretos.
- Chave de registro User Identity Attribute = 31 presente.
- Política do NPS aceita PAP/SPAP e contém o grupo AD correto.
- Conta do AD para o MAC existe, está habilitada e, se aplicável, pertence ao grupo MAC Bypass.
- MAB ativada no SSID/porta do AP/switch.
- UDP 1812/1813 liberado no caminho e no firewall do Windows.
- Captura no Wireshark feita no ponto certo.
Exemplos de políticas e campos úteis
Connection Request Policy (opcional)
- Condição: NAS‑Port‑Type = Wireless – IEEE 802.11.
- Condição: NAS‑Identifier contém “WLC‑LAB” (ou outro identificador do seu ambiente).
- Autenticação: deixe como “RADIUS Authentication” padrão (o NPS fará a autenticação local).
Network Policy
- Condição: Grupo de usuários do Windows = MAC Bypass.
- Constraint: PAP/SPAP habilitado; desabilitar EAP/PEAP.
- Settings: VLAN dinâmica (se necessário) conforme tabela acima.
Captura e análise com exemplos práticos
Para obter um quadro completo, faça duas capturas simultâneas: uma na uplink do AP/switch (espelhamento de porta) e outra na NIC do NPS. Assim você comprova se o NAS está enviando e se o NPS está respondendo.
- Se há Access‑Request no link do NAS, mas nada sai do NPS, verifique firewall/serviço do NPS.
- Se há Access‑Request e Access‑Accept no NPS, mas o cliente não navega, valide a VLAN/ACL aplicadas.
Boas práticas para dados de identidade
- Normalize MACs para uma única representação (hex contínuo, maiúsculo), evitando confusões de formato.
- Para interoperabilidade, mantenha usuário = senha = MAC nas contas AD voltadas à MAB.
- Use o atributo Called‑Station‑ID para diferenciar SSIDs quando o mesmo NPS atende vários WLANs.
Perguntas frequentes
A MAB exige 802.1X?
Não. A MAB é um método alternativo; o NAS envia o RADIUS usando o MAC como credencial.
Preciso de criptografia na WLAN?
Não para a MAB em si. Entretanto, considere WPA2/WPA3‑Personal ou segmentação adequada para proteger o tráfego dos clientes.
O NPS suporta VLAN dinâmica com MAB?
Sim. Basta devolver os atributos Tunnel‑Type, Tunnel‑Medium‑Type e Tunnel‑Pvt‑Group‑ID na Network Policy.
Por que vejo associação Wi‑Fi mas nenhum RADIUS?
Porque associação 802.11 não implica autenticação. Sem MAB (ou 802.1X), o NAS não tem motivo para abrir diálogo RADIUS.
O formato do MAC é sensível a maiúsculas?
AD não diferencia maiúsculas/minúsculas no samAccountName, mas padronizar em maiúsculas ajuda na operação e nos scripts.
Conclusão
Ao registrar o MAC no AD, ativar no NPS o uso do Calling‑Station‑ID como identidade (chave de registro 31), criar uma Network Policy que aceite PAP e, sobretudo, habilitar a MAB no AP/switch, o fluxo RADIUS passa a aparecer no Wireshark. Com isso, é possível observar todo o call‑flow, validar atributos como VLAN e resolver rapidamente cenários em que o SSID associa, mas não há tráfego RADIUS aparente.
Resumo operacional
- Contas no AD: usuário = senha = MAC sem separadores.
- Registro no NPS:
HKLM\...\Policy\User Identity Attribute = 31. - Network Policy: grupo MAC Bypass, PAP/SPAP habilitado, VLAN opcional.
- NAS: MAB ativada e RADIUS apontando para o NPS.
- Wireshark: filtros
udp.port==1812||1813e confirmação de Access‑Request/Accept.
Exemplo de linha do tempo de implantação
| Fase | Atividade | Responsável | Saída esperada |
|---|---|---|---|
| Planejamento | Definir padrão de contas e OU no AD | Equipe de diretório | Modelo de nome e grupo “MAC Bypass” |
| Configuração | Aplicar chave de registro e políticas no NPS | Equipe de redes/Windows | NPS aceitando PAP e VLAN dinâmica |
| NAS | Habilitar MAB no SSID/portas e apontar RADIUS | Equipe de redes | Access‑Request gerados |
| Teste | Capturar tráfego e validar call‑flow | Equipe de redes | Access‑Accept com atributos corretos |
| Operação | Inventário e ciclo de vida dos MACs | Equipe de suporte | Ambiente estável e auditável |
Boas práticas adicionais
- Defina VLANs específicas para MAB e isole dispositivos por perfil de risco.
- Crie relatórios periódicos de contas AD “MAC‑*” para remover equipamentos desativados.
- Considere captive portal apenas para exceções; o caminho principal deve ser 802.1X quando suportado.
- Para alta disponibilidade, configure múltiplos servidores RADIUS no NAS (primário/secundário).
O que mudou após o ajuste de registro
Ao inserir o valor de registro User Identity Attribute = 31, o solicitante passou a visualizar o diálogo RADIUS completo no Wireshark e confirmou o funcionamento do fluxo de autenticação baseado em MAC:
- Access‑Request com
User‑NameeCalling‑Station‑IDdo cliente. - Access‑Accept do NPS, com ou sem atributos de VLAN.
- Porta liberada no NAS e tráfego normal de rede (DHCP, IP, aplicações).
Modelo de registro e políticas para documentação
Use o trecho abaixo na sua base de procedimentos internos:
[Registro NPS]
Chave: HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy
Valor: User Identity Attribute (DWORD) = 31
\[Network Policy - MAC Bypass]
Condições: Grupo AD = MAC Bypass
Constraints: PAP/SPAP (apenas)
Settings: VLAN dinâmica (opcional) - Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Pvt-Group-ID=\
\[Equipamento de Acesso]
Ativar MAB/MAC Authentication no SSID/porta
Configurar RADIUS 1812/1813 com segredo correto Encerramento
Com contas padronizadas no AD, a chave de registro apropriada no NPS e a MAB devidamente ativada no equipamento de acesso, o diagnóstico “associado sem RADIUS no Wireshark” deixa de ser um mistério. Você terá um call‑flow completo, capaz de comprovar políticas, VLANs e decisões do NPS de ponta a ponta.