+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Как настроить только WPA3, а не переходный режим WPA2/WPA3 (исправлено)

Как настроить только WPA3, а не переходный режим WPA2/WPA3 (исправлено), RouterOS

ffries

Guest

29.01.2023 11:38:00

Дорогие друзья,
На hAP AX3 я хочу ограничить только WPA3 и отключить переходный режим WPA2/WPA3.

set [ find default-name=wifi1 ] channel.band=5ghz-ax .skip-dfs-channels=all .width=20/40/80mhz configuration.country=France .mode=ap .ssid=XXXXXXXXXXXXXXXX disabled=no security.authentication-types=wpa3-psk .disable-pmkid=yes .encryption=ccmp,gcmp,ccmp-256,gcmp-256 .management-protection=required .wps=disable

hAP AX3 определяется как точка доступа с переходным режимом wpa2/wpa3:
sudo iwlist wlp59s0 используется на моём Debian с Intel ax200 и правильным драйвером.

Cell 16 - Address: XXXXXXXXXXXXXXXX
Channel:149 Frequency:5.745 GHz
Quality=32/70 Signal level=-78 dBm
Encryption key:on ESSID:“XXXXXXXXXXXXXXXXXXX”
Bit Rates:6 Mb/s; 9 Mb/s; 12 Mb/s; 18 Mb/s; 24 Mb/s; 36 Mb/s; 48 Mb/s; 54 Mb/s
Mode:Master

Extra:tsf=0000003663acf32d
Extra: Last beacon: 128ms ago

IE: Unknown: 000B4F69736561752D3567687A
IE: Unknown: 01088C129824B048606C
IE: Unknown: 030195
IE: Unknown: 07544652202401172801172C01173001173401173801173C011740011764011E68011E6C011E70011E74011E78011E7C011E80011E84011E88011E8C011E90011E95010E99010E9D010EA1010EA5010EA9010EAD010E
IE: Unknown: 200100
IE: Unknown: 23020800
IE: IEEE 802.11i/WPA2 Version 1
Group Cipher : CCMP
Pairwise Ciphers (4) : CCMP unknown (8) unknown (10) unknown (9)
Authentication Suites (1) : unknown (8)
IE: Unknown: 0B050100030000
IE: Unknown: 460573D000000C
IE: Unknown: 2D1AEF0903FFFF000000000000000000000100000000000000000000
IE: Unknown: 3D1695050400000000000000000000000000000000000000
IE: Unknown: 7F0A04000F00000000400040
IE: Unknown: BF0CB2798933FAFF0000FAFF0000
IE: Unknown: C005019B00FCFF
IE: Unknown: C304021C1C1C
IE: Unknown: FF1C230D01081A4010047048881F418104110800FAFFFAFF391CC7711C07
IE: Unknown: FF0724F43F0008FCFF
IE: Unknown: FF022703
IE: Unknown: FF0E260403A4FF27A4FF4243FF6232FF
IE: Unknown: F40120
IE: Unknown: DD178CFDF00101020100020101030301010004010109020000
IE: Unknown: DD180050F2020101840003A4000027A4000042435E0062322F00
IE: Unknown: DD168CFDF0040000494C51030209720100000000FDFF0000
IE: Unknown: DD078CFDF004010100

Какие правильные настройки, чтобы отключить переходный режим WPA2/WPA3?
Также хочу оставить только AC и AX и отключить всё остальное. Это возможно?

С уважением,
FF

frengo

Guest

26.12.2023 14:20:00

Всем привет. Я только что купил два устройства Mikrotik NetMetal с тройным радиомодулем (один RB921UAGS-5SHPACT-NM и один RB922UAGS-5SHPACT-NM — не знаю, в чём разница, кажется, минимальная) с целью заменить один из моих старых радиолинков Mikrotik с WPA2 шифрованием, который постоянно отключается примерно каждые 30 секунд, возможно, из-за deauther-атаки. Раньше я никогда не настраивал WiFi5 с WPA3, только с WPA2, и хотел бы понять, как правильно выставить антивзломные параметры, чтобы защититься максимально эффективно, в отличие от WPA2. Что посоветуете? Нужно ли запускать какие-то новые функции или параметры, которых не было в WPA2? Заранее спасибо и извиняюсь за свою неопытность…

mkx

Guest

26.12.2023 21:00:00

Я думаю, что разница в том, что у 922 есть слот miniPCIe и слот для SIM-карты, а у 921 — нет. Что касается WPA3: насколько я понимаю, поддержка WPA3 в ROS есть в wave2/wifi... и она не поддерживается на архитектуре MIPSBE, к которой относятся ваши NetMetals… так что, к сожалению, не повезло.

holvoetn Guest	#4 0 26.12.2023 21:19:00 Верно.

Ca6ko

Guest

27.12.2023 12:23:00

Есть примерно 256 причин. Откройте новую тему. Сигнал на -80 очень слабый. Разберёмся, что происходит. Покажи настройки каждого пункта. Сканируем эфир с каждого пункта. PS Первое, что я рекомендую на этом устройстве — понизить версию ROS до 6.49.10. В долгосрочной перспективе ROS7 им не подходит. PPS Похожая ошибка была на AX в ROS 7.9–7.11, в версии 7.13 поменяли драйвер, на данный момент вероятная причина — версия ROS.

frengo

Guest

26.12.2023 23:16:00

Что? Значит, даже если я настрою соединение с устройствами, поддерживающими 802.11ac, связь всё равно будет страдать от деаутентификации? Я искал на сайте информацию по “deauther” и прочитал, что для защиты от такого рода атак устройство должно поддерживать: 802.11ac или … 802.11w или … WPA3 или … WifiWave2 или … Wifi5 или Wifi6 или … Management Frame Protection или … Tkip или CCMP или … Не должно быть на базе MIPSBE или… что-то ещё или … Я ПОЛНОСТЬЮ НИЧЕГО НЕ ПОНИМАЮ!! Что вообще должен иметь Mikrotik, чтобы противостоять деаутер-атакам? Спасибо экспертам-продавцам Mikrotik, которые рекомендовали NetMetal триплеты RB921UAGS-5SHPACT-NM и RB922UAGS-5SHPACT-NM из-за 802.11ac (как они мне сказали), а я сжёг на них больше 350 долларов. Может, у этих устройств вообще нет шансов противостоять таким атакам? Я могу понять, что 921 уже снят с производства, но 922-то довольно свежий. Каким оборудованием мне лучше заменить свои?

Ca6ko

Guest

27.12.2023 08:20:00

Чтобы дать вам конкретный совет, вы не предоставили никаких данных о радиолинке. Вы купили устройства с 3 каналами. Значит ли это, что у вас есть специальные антенны с 3 поляризациями? Если вы не разберётесь в ситуации и будете отвечать, как продавец оборудования, — получите NetMetal ac² или hAP ax³ с дополнительным герметичным корпусом. Поймите, что сначала именно вы, как радиоинженер, должны определить необходимые требования к оборудованию, а уже потом обращаться к продавцу.

frengo

Guest

27.12.2023 10:24:00

Мне нужен очень простой точка-точка линк с радиомодулем, а с оставшимися двумя радиомодулями — ещё по два точка-многоточка линка. Точно то же самое с другой стороны, где стоит 922. Что тут вообще уточнять? Расстояния от 6 до 15 км. Я могу использовать разные радиомодули по отдельности или вместе. Меня не интересует пропускная способность или тройная поляризация. Мне не нужен двухдиапазон 2.4 и 5.6 ГГц, не нужно 866 МБ трафика. Могу даже работать на ширине канала 5 МГц и передавать пару килобайт в секунду. Главное — чтобы линк не падал из-за deauther-атак. Вот и всё. В общем, у меня есть Netmetal 802.11ac, которые уязвимы, а Nemetal ac2 — нет? Где это написано в техническом описании? Покупая 802.11ac-устройства, думал, что проблема решена, ведь это же поколение WIFI5, а тут вот так… https://blog.spacehuhn.com/5ghz-deauther?x-host=blog.spacehuhn.com Я так и не понял, что именно делает их устойчивыми к этим атакам… WPA3, ac2, 802.11w, MFP, класс Wifi5?

akakua Guest	#9 0 27.12.2023 10:41:00 https://help.mikrotik.com/docs/display/ROS/Wireless+Interface#WirelessInterface-Managementframeprotection

Ca6ko

Guest

#10

27.12.2023 11:53:00

Основываясь на твоём описании, могу сделать три вывода:
1. У тебя низкая квалификация как радиоинженера.
2. Ты очень плохо понимаешь настройки радиолинка, который эксплуатируешь и пытаешься модернизировать.
3. Ты вообще не обращаешь внимания на очень важные параметры радиолинка.

Судя по тому, что ты пишешь, ссылки на 6-15 км — это достаточно сложная задача, и без хороших знаний сделать их качественно почти невозможно. Я на 85% уверен, что проблема не в атаках деаутентификации. Поэтому предлагаю открыть новую тему, где мы сможем разобраться с твоими проблемами.

Ранее ты писал, что используешь RB493 с тремя радиомодулями. Хочу сказать, что устройства 5SHPACT их заменить не могут, потому что у них всего один радиомодуль с тремя цепями. Это не одно и то же. Mikrotik признал ошибку, выпуская устройства с несколькими радиомодулями, и почти все такие модели сняли с производства. Это связано с тем, что невозможно обеспечить качественную изоляцию между радиомодулями внутри устройства.

frengo

Guest

#11

27.12.2023 11:53:00

Это первое, что я включил на своём старом Metal 5Shp 802.11a/n, но вообще ничего не изменилось. Поэтому я перешёл на NetMetal 802.11ac, но ты мне говоришь, что у него нет WPA3. Что мне делать? Стоит ли купить NetMetal 802.11ac2? Разве я не читал в брошюре, что у NetMetal 802.11ac2 есть WPA3? Кто мне это гарантирует? Не сделаю ли я ещё одну ошибку с покупкой?

frengo

Guest

#12

27.12.2023 12:08:00

Теперь, когда появились некоторые выводы, я расскажу вам обо всем, чтобы разные пользователи могли сделать более точные выводы. Давайте посмотрим на единственную ссылку, которая у меня не работает. Эта ссылка на 10 (десять) км работала отлично в течение нескольких месяцев на минимальных настройках с WPA2 PSK и WPA2 EAP с aes ccm как на Unicast, так и на Group, при отключенной защите управления. Сигнал был примерно -80 дБм с обеих сторон, а пропускная способность на ширине канала 10 МГц позволяла передавать файл размером 10 МБ чуть больше чем за минуту между клиентом и AP и обратно. И вдруг, с одного субботнего вечера, связь начала отваливаться и переподключаться примерно каждые 30 секунд, и уже никак нельзя было заставить её работать. Это происходит уже несколько недель. Я пробовал ЛЮБОЙ КАНАЛ, даже те, что из Боливии: НИЧЕГО НЕ ПОМОГАЕТ. НИКТО не менял никаких других настроек. Что это может быть?

frengo

Guest

#13

27.12.2023 12:54:00

Очень надеюсь, что ты прав. Днём сразу же сделаю даунгрейд и выложу результат. Но на официальном сайте есть только версии 6.49.9 и 6.49.11, а 6.49.10 нет. Что делать? Скачивать с какого-то неофициального сайта или у тебя есть надёжная ссылка?

Ca6ko Guest	#14 0 27.12.2023 13:01:00 Извините, я не могу перевести текст с изображения. Пожалуйста, предоставьте текст в письменном виде.

frengo Guest	#15 0 27.12.2023 13:06:00 Ладно, ладно. Огромное спасибо. Сейчас установлю. Разумеется, и основную, и дополнительную, да?

Ca6ko Guest	#16 0 27.12.2023 13:11:00 Я не видел твою конфигурацию, так что не могу сказать. Дополнительный пакет стоит ставить только если ты его используешь, и только нужные пакеты. Кстати, обычно хватает одного основного пакета.

frengo Guest	#17 0 27.12.2023 14:00:00 У меня стоит версия 7.13, и её никак не удалить. Там ещё есть дополнительные пакеты. Я пытался удалить сначала их, но безрезультатно. 7.13 всё равно остаётся, хотя я просто хочу перейти на 7.12.1.

Ca6ko Guest	#18 0 27.12.2023 14:33:00 Я не экстрасенс. Подробно расскажи, как ты делаешь даунгрейд. Вообще, тут на форуме уже много раз подробно писали, как понизить версию прошивки. С версии 7.13 изменяется конфигурация радио. Я бы посоветовал использовать бэкап, который ты сделал перед обновлением на 7.13, или лучше настроить всё заново вручную. Лучший вариант — Netinstall и ручная настройка из дефолтного конфига.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры