максимальное количество повторных попыток обмена ключами (capsman)

Привет, Beone, ты случайно не нашёл решение по этому вопросу? С уважением.

Форум MikroTik — это место, где умирают вопросы о Wi-Fi. Покойся с миром, маленький вопрос от когда-то увлечённого клиента MikroTik, с уверенностью, что никто никогда не потрудится ответить, последить за темой или вообще попытаться сделать этот форум полезной и надёжной базой знаний.

Спасибо, Jarda. Возможно, я попробую это сам...

Хочу подключиться к обсуждению и буду благодарен за помощь с решением. У меня есть 14 RBcAP2n и Groove A-52HPn, подключённые к CCR1009 и управляемые Capsman. Прошивка на всех устройствах сейчас 6.38.8. WiFi настроен как WPA2-EAP с EAP passthrough на Windows NPS/Radius сервер. Когда пытаюсь подключить планшет Win 10 с 802.1x PEAP и аутентификацией пользователя MsChapV2, появляется окно входа с запросом учётных данных пользователя. Если пользователь медлит, то окно сбрасывается, пока он вводит данные. Пользователь путается — звонит в ИТ.

Если посмотреть с точки зрения Mikrotik, клиент отключается с сообщением AA:BB:CC:DD:EE:FF@CAP2 disconnected, max key exchange retries, а затем сразу переподключается, снова вызывая появление окна входа на примерно 40 секунд, после чего снова отключается. (Или пользователь успевает быстрее — нажимает Enter, подключается и все счастливы). Как только подключение установлено, оно держится стабильно. Проблему, описанную в оригинальном топике — где после подключения через какое-то время происходит обрыв с ошибкой — я не наблюдал.

Эта проблема не возникает при использовании Windows 7 и аутентификации пользователей. Нет проблем с устройствами Android или примерно 50 компьютерами, аутентифицирующимися по 802.1x через их машинные учётные записи. При вводе учётных данных никакие пакеты на Radius сервер не отправляются. Могу предположить, что CCR или RBcAP2n при первоначальном подключении представляет себя клиенту (Win10) как 802.1x аутентификатор и ждёт заданное время получения EAP-пакета. Если пользователь недостаточно быстр, чтобы ввести данные, нажать Enter и послать пакет, RBcAP сбрасывает сессию, и Win10 начинает процесс входа заново. У кого-то ещё была такая проблема? Есть ли какой-то скрытый таймаут, который можно увеличить — на стороне Mikrotik или Windows 10? Как уже говорил, на Android, Apple, Win7 или вообще по 802.1x никаких проблем, кроме этого конкретного случая, нет.

Буду признателен за любые подсказки! Спасибо заранее, Кристиан.

P.S. Проверил проблему на Win7. Там тоже происходит сброс соединения с “max key exchange retries” во время окна входа. Windows 7 не очищает окно после сброса, поэтому пользователь этого не замечает. Как только он нажимает Enter, EAP-пакет отправляется аутентификатору и отвергается с “EAP failure” (предполагаю, что RBcAP открыл новую EAP-сессию с клиентом, а клиент отправляет устаревший ID сессии).

Так что, пожалуйста, подскажите, где можно увеличить “EAP handshake timeout” на Mikrotik для тех, кто вводит данные слишком медленно?