Mikrotik: disconnected, group key exchange timeout

При построении Wi-Fi сети на базе оборудования Mikrotik, может возникать проблема с периодическими отключениями абонентских устройств от Wi-Fi сети и сообщениями в логе «disconnected, group key exchange timeout» или «disconnected, group key timeout» (на ROS < 6.45).
Пример лога, который вы можете увидеть в вашем устройстве Mikrotik

03:10:01 wireless,info A4:50:46:XX:YY:3D@wlan1: disconnected, group key exchange timeout 
03:10:10 wireless,info A4:50:46:XX:YY:3D@wlan1: connected, signal strength -50 
04:10:01 wireless,info A4:50:46:XX:YY:3D@wlan1: disconnected, group key exchange timeout 
04:10:05 wireless,info A4:50:46:XX:YY:3D@wlan1: connected, signal strength -50 
05:10:01 wireless,info A4:50:46:XX:YY:3D@wlan1: disconnected, group key exchange timeout 
05:10:10 wireless,info A4:50:46:XX:YY:3D@wlan1: connected, signal strength -49 
06:10:01 wireless,info A4:50:46:XX:YY:3D@wlan1: disconnected, group key exchange timeout 
06:10:20 wireless,info A4:50:46:XX:YY:3D@wlan1: connected, signal strength -49 
07:10:01 wireless,info A4:50:46:XX:YY:3D@wlan1: disconnected, group key exchange timeout 
07:10:24 wireless,info A4:50:46:XX:YY:3D@wlan1: connected, signal strength -50 
08:10:01 wireless,info A4:50:46:XX:YY:3D@wlan1: disconnected, group key exchange timeout 
08:10:29 wireless,info A4:50:46:XX:YY:3D@wlan1: connected, signal strength -50

Если поискать в гугле, то вопросы на эту тему возникают часто и с давних пор (самое раннее упоминание этой проблемы что я нашёл, был 2007 год).

Что это за ошибка и что она значит…?

«group key exchange» это процедура обновления временного ключа в WPA для broadcast и multicast трафика. Он общий для всех клиентов и периодически обновляется Wi-Fi роутером. В Mikrotik по умолчанию интервал обновления 5 минут.

У разных производителей, параметр обновления ключа может называться по разному. Например, в D-Link это — «Group Key Update Interval» , в Linksys — «Group key renewal» , а в Mikrotik — «group-key-update» .

В процессе обновления временного ключа, Wi-Fi клиенты его должны получить.

Обычно всё так и происходит, но не всегда…

Встречаются устройства (чаще всего смартфоны или медиаплееры), которые в состоянии сна, или если слабый уровень сигнала (например в пределах 70-80dBm) не обновляют временный ключ и соответственно отключаются от Wi-Fi сети (ключ они не обновили, используют старый временный ключ, а в сети уже используется новый) и через несколько секунд подключатся снова.

В сущности, это не проблема производителя Wi-Fi точек доступа, а проблема производителя клиентского устройства.

Как решить проблему?

Если клиентское устройство новое, остаётся надеяться, что производитель обновит прошивку и проблема исчезнет, ну а пока, будем действовать своими силами.

Частичное решение данной проблемы, известно давно. Оно не решает проблему полностью, а минимизирует её.

Мы можем увеличить интервал обновления временного ключа. В Mikrotik это параметр «group-key-update» . По умолчанию он 5 минут, ставим 1 час.

В консоли

/interface wireless security-profiles set default group-key-update=1h

Такой же параметр есть и в CAPsMAN

В консоли

/caps-man security set security1 group-key-update=1h

Да, полностью это не избавит от проблемы, но значительно её минимизирует. Теперь проблемное спящее устройство (смартфон или медиаплеер) будет отключаться раз в час.

Страшно ли это? Думаю, что нет! Если устройство спит, то им явно не пользуются, значит если оно раз в час отключится от Wi-Fi, то ни чего криминального не случится.

Что сделано не удобно в Mikrotik по сравнению с другими производителями, так это то, что максимальный интервал обновления ключей можно выставить один час, в то время как у других производителей можно установить например сутки. Соответственно клиенты реже замечают какие-то проблемы, т.к. связь рвётся раз в сутки.

С точки зрения безопасности, конечно лучше не ставить большой интервал обновления временных групповых ключей, но тут вы решайте для себя сами, что вам важнее безопасность или стабильность.

Вывод

И так, ошибка «disconnected, group key exchange timeout» или «disconnected, group key timeout» может возникать в двух случаях:

1. Некоторые клиентские устройства, когда засыпают не обновляют групповой ключ.
2. Когда слабый уровень сигнала между AP и клиентским устройством, могут быть проблемы с обновлением группового ключа.