Mikrotik: disconnected, group key exchange timeout

Автор: Андрей Торженов

Обновление от:

07/07/2019Почему может ещё возникать проблема с «disconnected, group key timeout»


Почему возникает ошибка «disconnected, group key exchange timeout» или «disconnected, group key timeout» и что с ней делать.

При построении Wi-Fi сети на базе оборудования Mikrotik, может возникать проблема с периодическими отключениями абонентских устройств от Wi-Fi сети и сообщениями в логе «disconnected, group key exchange timeout» или «disconnected, group key timeout» (на ROS < 6.45).

Пример лога

Если поискать в гугле, то вопросы на эту тему возникают часто и с давних пор (самое раннее упоминание этой проблемы что я нашёл, был 2007 год).

Что же это за ошибка и что она значит…?

Что же это за ошибка и что она значит…?

«group key exchange» это процедура обновления временного ключа в WPA для broadcast и multicast трафика. Он общий для всех клиентов и периодически обновляется Wi-Fi роутером. В Mikrotik по умолчанию интервал обновления 5 минут.

У разных производителей, параметр обновления ключа может называться по разному. Например, в D-Link это — «Group Key Update Interval» , в Linksys — «Group key renewal» , а в Mikrotik — «group-key-update» .

В процессе обновления временного ключа, Wi-Fi клиенты его должны получить.

Обычно всё так и происходит, но… но не всегда…

Встречаются устройства, чаще всего смартфоны или медиаплееры, которые в состоянии сна (или если слабый уровень сигнала) не обновляют временный ключ и соответственно отключаются от Wi-Fi сети (ключ они не обновили, используют старый временный ключ, а в сети уже используется новый) и через несколько секунд подключатся снова.

Некоторые смартфоны не обновляют ключ когда засыпают (выключается экран).

Мой телефон Xiaomi Mi A2 Lite (Android 9), когда я им пользуюсь, то проблем нет, но как только он засыпает, то каждые N секунд (указанные в параметре «group-key-update» ) он отключается и подключается заново с ошибкой «disconnected, group key exchange timeout» . Когда смартфон спит, он не обновляет временный ключ.

У меня в Wi-Fi сети эксплуатируются множество смартфонов и ноутбуков и с ними такой проблемы нет. Т.е. проблема скорей всего в драйверах/прошивке Wi-Fi модуля в конкретном смартфоне.

Я решил собрать побольше информации по данной ситуации и полез в Интернет. Стало понятно, что данная проблема присутствует не только на Mikrotik, но и на D-Link, Linksys и у других производителей.

В сущности, это не проблема производителя Wi-Fi точек доступа, а проблема производителя клиентского устройства.

Как решить проблему?

Если клиентское устройство новое, остаётся надеяться, что производитель обновит прошивку и проблема исчезнет, ну а пока, будем действовать своими силами.

Частичное решение данной проблемы, известно давно. Оно не решает проблему полностью, а минимизирует её.

Мы можем увеличить интервал обновления временного ключа. В Mikrotik это параметр «group-key-update» . По умолчанию он 5 минут, ставим 1 час.

Mikrotik: WPA Group Key Update

Mikrotik: WPA Group Key Update

В консоли

Такой же параметр есть и в CAPsMAN

Mikrotik: CAPsMAN WPA Group Key Update

Mikrotik: CAPsMAN WPA Group Key Update

В консоли

Да, полностью это не избавит от проблемы, но значительно её минимизирует. Теперь проблемное спящее устройство (смартфон или медиаплеер) будет отключаться раз в час.

Страшно ли это? Думаю, что нет! Если устройство спит, то им явно не пользуются, значит если оно раз в час отключится от Wi-Fi, то ни чего криминального не случится.

Хочу ещё раз акцентировать внимание, что данная ситуация возникает не только на Mikrotik, но и у других производителей и проблема скорей в клиентских устройствах.

Что сделано не удобно в Mikrotik по сравнению с другими производителями, так это то, что максимальный интервал обновления ключей можно выставить один час, в то время как у других производителей можно установить например сутки. Соответственно клиенты реже замечают какие-то проблемы, т.к. связь рвётся раз в сутки.

С точки зрения безопасности, конечно лучше не ставить большой интервал обновления временных групповых ключей, но тут вы решайте для себя сами, что вам важнее безопасность или стабильность.

Почему может ещё возникать проблема

Собрал статистику по своим объектам, где развёрнута Wi-Fi сеть на Mikrotik и обнаружил ещё возможную причину возникновения ошибки «disconnected, group key timeout» — плохой уровень сигнала от клиентского устройства.

Логи анализировал примерно за один месяц. В Wi-Fi сетях используются клиентские устройства Apple, Samsung, Xiaomi, Huawei и др.

Пример:

Выше видно, что клиентское устройство (Apple) постоянно отключается и подключается и так всю ночь. Судя по всему, пошли спать (судя по времени) и телефон находится в месте, где слабый уровень сигнала (-76…-78 dBm).

Обратите внимание, на данном объекте параметр group-key-update установлен на 1 час, но клиентское устройство отключается чаще. Это ошибка в ROS.

В 6.43.8 эту ошибку исправили:

Так что, не забываем вовремя обновлять ROS и конечно Firmware!

Далее, в 09:07, телефон уже с хорошим уровнем сигнала (-62 dBm) подключился к AP

и уже следующее отключение произошло только через два часа.

На данном объекте, версия ROS 6.43.2. CAP — cAP ac (RBcAPGi-5acD2nD), CAPsMAN — hEX PoE (RB960PGS).

На других объектах используются разные версии ROS от 6.42.11 до 6.45.1 и различные Mikrotik’и (hAP ac Lite, hAP ac, hAP ac², CAP ac, wAP и др.).

На этих объектах схожая ситуация. Я не обнаружил ни с чем не связанного массового появления ошибки «disconnected, group key timeout» . Если она возникала, то причина была в слабом уровне сигнала от клиентского устройства (в логах, в момент появления ошибки — «disconnected, group key timeout» , так же часто была ошибка «disconnected, extensive data loss» и после подключения устройства, уровень сигнала был низкий, например — «connected, signal strength -77» ).

Пока без причинное появление ошибки «disconnected, group key timeout» проявляется только на моём телефоне Xiaomi Mi A2 Lite, когда он засыпает. Буду ждать обновки прошивки.

Подведём итоги

И так, ошибка «disconnected, group key exchange timeout» или «disconnected, group key timeout» может возникать в двух случаях:

  1. Некоторые клиентские устройства, когда засыпают не обновляют групповой ключ.
  2. Когда слабый уровень сигнала между AP и клиентским устройством, могут быть проблемы с обновлением группового ключа.

Если у вас есть ещё варианты, пишите в комментариях.

Полезные ссылки

The following two tabs change content below.
В профессиональной сфере занимаюсь всем, что связанно с IT. Основная специализация - VoIP и сети передачи данных. Стараюсь не заниматься Windows серверами (но иногда приходится) и 1С.

Добавить комментарий