+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Таймаут запроса SA (это уже другая тема)

Таймаут запроса SA (это уже другая тема), RouterOS

Josephny

Guest

24.08.2023 09:46:00

Обновился до 7.12beta1 на hAPax3 и постоянно получаю отключения с ошибкой «SA Query Timeout». Пробовал отключить steering, но это не помогло. Вот разделы с беспроводными настройками из экспорта. Спасибо.

/interface wifiwave2
set [ find default-name=wifi1 ] channel.band=5ghz-ax skip-dfs-channels=disabled width=20/40/80mhz configuration.country="United States" mode=ap ssid=76-5ghz disabled=no security.authentication-types=wpa2-psk,wpa3-psk steering.rrm=no wnm=no
set [ find default-name=wifi2 ] channel.band=2ghz-g skip-dfs-channels=disabled width=20mhz configuration.country="United States" mode=ap ssid=76-2ghz disabled=no security.authentication-types=wpa2-psk steering.rrm=no wnm=no

/interface wifiwave2
add configuration.country="United States" mode=ap ssid=2point4 disabled=no mac-address=1A:FD:74:FE:87:EA master-interface=wifi2 name=2point4 security.authentication-types=wpa2-psk steering.rrm=no wnm=no
add configuration.country="United States" mode=ap ssid=Guest disabled=no mac-address=1A:FD:74:FE:87:E8 master-interface=wifi1 name=Guest-wifi1 security.authentication-types=wpa2-psk,wpa3-psk steering.rrm=no wnm=no
add configuration.country="United States" mode=ap ssid=Guest disabled=no mac-address=1A:FD:74:FE:87:E9 master-interface=wifi2 name=Guest-wifi2 security.authentication-types=wpa2-psk steering.rrm=no wnm=no

/interface wifiwave2 security
add authentication-types=wpa2-psk disabled=no name=common-auth wps=disable

Urd

Guest

10.10.2023 10:04:00

У меня было немного свободного времени, чтобы «копнуть» здесь глубже. Очевидно, что проблема связана с каким-то сбоем в Management Frame Protection (802.11w). Как указано в вики WifiWave2, текущая реализация защиты управляющих кадров несовместима с той, что используется в стандартном беспроводном пакете (что бы это ни значило). Поскольку у нас нет возможности настроить SA Query Timeout и Comeback Timer (как это сделано в некоторых устройствах Cisco), я отключил эту функцию. Да, я понимаю, что это дыра в безопасности. Но с тех пор, как я её выключил, ни одного SA Query Timeout не было, так что… не самый лучший способ, но зато решает проблему похуже.

gigabyte091 Guest	#3 0 10.10.2023 13:00:00 Если для тебя это работает и ты осознаёшь риски безопасности, почему бы не отключить это? В домашних условиях так даже лучше... Меньше сбоев и несчастных членов семьи.

Josephny Guest	#4 0 10.10.2023 16:18:00 Отличная работа по устранению неполадок. Могли бы вы подробно объяснить, как это отключить? Спасибо!

gigabyte091 Guest	#5 0 10.10.2023 17:00:00 Это можно найти в настройках безопасности интерфейса. Зайдите в Winbox → Wireless → WiFi Wave2, перейдите на вкладку Security и выберите профиль, который вы создали для своей сети. Там вы увидите следующее:

Neolo Guest	#6 0 02.03.2024 00:13:00 Отключённый режим недопустим при включённом WPA3, даже если вместе с ним активирован WPA2. Проблема не решена. Сохраняется в версии 7.14.

Urd Guest	#7 0 12.03.2024 13:26:00 С WPA3 защищённые служебные кадры должны быть обязательными или разрешёнными, то есть вы можете либо использовать WPA2 с отключённым PMF, либо WPA3, где PMF обязательно. Как я писал в предыдущем посте, это риск безопасности, но решать лично вам. Если настаиваете на WPA3, будьте готовы к возможным отключениям с ошибкой «SA Query Timeout». У меня сложилось впечатление, что проблема возникает на старых устройствах (802.11 b/g/n), где WPA3 (хотя оно должно работать с 802.11 ax устройствами, но не обязательно для старых) вообще не подходит (у меня именно так и было). Поэтому отключение PMF при использовании WPA2 для аутентификации было не совсем правильным, но всё же рабочим решением.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры