KeenTaur

На ретрансляторы может влиять, и может влиять на wifi-клиентов: какие ip-адреса они получат, что получат в качестве шлюза по умолчанию, какие dns-серверы будут использовать и т.д. Все Вояджеры видны в сети, ну хорошо. Даже если вы не настраивали Zyxel GS1915-24E, хабом он от этого точно не стал. Это smart-коммутатор, и у него есть разные функции, которые могут влиять на работу wifi-системы Keenetic, на работу DHCP, на работу клиентов. Значения по умолчанию, скорее всего, не должны вам мешать, но это не точно То, что периодически клиенты (даже которые работали) не могут подключиться, может быть похоже на то, что они не могут получить ip-адрес (посмотреть оснастку и журнал dhcp-сервера, текущие адреса клиентов). Также можно посмотреть коммутатор, нет ли каких ограничений на порт, в который подключен KN-4610 с wifi-системой (например, лимит mac-адресов. Кстати, я стараюсь отключать всем клиентам wifi-систем рандомизированные адреса). Если не проходят аутентификацию проверить сервер NPS (посмотреть журнал Службы политики сети и доступа, нет ли ошибок, доходят ли запросы). Раз у вас сеть все равно плоская и неуправляемая, попробуйте, если такая возможность есть, подключить ваши сервера DHCP и NPS (вероятно, это один и тот же компьютер еще с AD и DNS) к KN-4610. Один-два ретранслятора можете временно отключить, чтобы освободить порты. То, что недоменные клиенты иногда все же успешно подключаются, а доменные всегда сначала просят ключ сети и не подключаются, может говорить о влиянии групповых политик на доменные компьютеры. Честно говоря, мои попытки помочь иссякли, попробуйте все-же обратиться в поддержку, они лучше разберутся в настройках, логах и диагностике, которые запросят и весьма терпеливы. Возможно, ларчик просто открывается.

что ж вы так держитесь за этот dhcp-relay? Просто выполните рекомендации из статьи. DHCP на Кинетике выключить. Задать ip-адрес Кинетику из вашей локальной сети (по вашей схеме все в одном сегменте и одной подсети должно быть? и wifi-клиенты и локальная сеть, в т.ч. существующий сервер DHCP. Так?). И далее по статье. Вы проверили, "...что все ретрансляторы получили IP-адреса из сети главного роутера"? Хорошо. Естественно, с доменными данными - вы же этого и хотели, настраивая WPA-Enterprise. Смотрите оснастку dhcp-сервера, кому какие адреса он выдал, какие адреса при этом на клиентах сейчас. Посмотрите журнал "Службы политики сети и доступа". На данный момент мне кажется, что ретрансляторы вы так и не внесли в качестве radius-клиентов. Так? Те устройства, что успешно подключаются, возможно, делают это через контроллер wifi-системы, а та "половина ранее подключенных смартфонов аналогично - не могут" ломятся через ретрансляторы. Попробуйте проверить эту версию. Также поделитесь информацией, куда подключен пятый порт коммутатора KN-4610? В локальную сеть. А к какому устройству, что оно умеет и как настроен порт, куда подключен KN-4610?

Как-то странно вы связали nat и dhcp. У вас точно схема включения такая: "Возможно ли использовать контроллер Wi-Fi-системы в режиме обычной точки доступа?" Читайте Пункт 2 статьи отдельно, как пояснения к скриншоту с настройками: 2.а. Встроенный DHCP-сервер на Кинетике выключить. Точка. 2.б. Кинетику-контроллеру назначьте свободный IP-адрес из подсети главного роутера. Точка. Возможно, что получающийся таким образом порядок 2.а и 2.б не случаен, а чтобы в вашей локальной сети не появилось двух одновременно работающих dhcp-серверов. (хотя при правильной настройке это не криминал). 2.в. галочка Использовать NAT не влияет на выход устройств сегмента в интернет, можете оставить, можете снять. Точка. WAN-порт при такой схеме включения wifi-контроллера не подключен к интернет-провайдеру, и его (WAN-порт) можно вообще переназначить для работы в LAN (что у вас вроде бы и сделано). Теперь вернемся к новым подробностям о работе вашей системы. Поскольку смартфоны и MAC-book все-таки подключаются без лишнего запроса ключа wifi-сети, а компьютеры (доменные же?) этот ключ прям хотят ввести, то по-моему, надо искать, например, в ваших политиках Active Directory. Для эксперимента взять компьютер не бывший в домене и посмотреть, как будет вести себя он. Ввести в домен, дождаться применения всех политик и проверить еще раз. Ну или вывести из домена какой-нибудь и сбросить на нем политики на "по умолчанию". Другие направления поиска: компьютеры одинаковые? какие у них wifi-адаптеры и их драйвера? какие ОС?

Практически процитирую себя же. Может, конечно, у вас схема включения wifi-системы другая. У меня контроллер включен как точка доступа согласно статье "Возможно ли использовать контроллер Wi-Fi-системы в режиме обычной точки доступа?" Некоторые ваши фразы все-таки позволяют мне думать, что у вас схема такая же. Может быть вас убедят мои скриншоты. Коллаж из скриншотов первый: фоном картинка из настроек wifi-системы, зеленым выделен адрес одного из ведомых участников wifi-системы; поверх него скриншот со списком RADIUS-клиентов (зеленым выделен адрес того же устройства); и поверх всего запись из журнала "Службы политики сети и доступа" об успешном предоставлении доступа некоему пользователю через этого RADIUS-клиента, опять же зеленым выделен адрес того же устройства. Далее, коллаж второй. В свойствах этого RADIUS-клиента на NPS-сервере я меняю адрес - выделено красным. И что мы видим? В журнале "Службы политики сети и доступа" появилась ошибка о том, что мое устройство (адрес в событии журнала выделен зеленым, поскольку он правильный и на самом устройстве я его не менял) теперь является недопустимым RADIUS-клиентом. А я напоминаю, что это устройство - ведомый участник wifi-системы. ну так вот он, вроде бы, смысл прописывать "ведомых". Попробуйте все-таки заглянуть в свой журнал "Службы политики сети и доступа"... когда у вас заработает выдача ip-адресов wifi-клиентам. Часть следующая Марлезонского балета: DHCP. Вы очень хотите использовать свой dhcp-сервер. ОК, любой каприз... У меня тоже было желание использовать другой DHCP-сервер. Но, возникли проблемы с некоторыми особо умными устройствами: Хуавеи и Хоноры не желали получать адреса от Cisco. IOS более свежий для нее я не нашел (где могла быть исправлена эта проблема), поэтому сначал пришел к вашей схеме, т.е. хотел сделать DHCP-релей на интерфейсах Keenetic'ов. Не прокатило, как и у вас. Общался с поддержкой, и, как я понял из этого общения, DHCP-релей работет только на контроллере, на ретрансляторах dhcp-релей на предусмотрен и менять это поведение не планируется. Тогда я поступил следующим образом: на Кинетиках DHCP выключен; vlan'ы для wifi-сетей все равно уже терминировались на стороннем маршрутизаторе, на его, маршрутизатора, интерфейсах я и указал ip helper-address на DHCP-сервер под Windows Server. Но у меня управляемый коммутатор с VLAN'ами; VLAN'ы (и адресация) домашней сети и клиентов wifi разные, клиенты wifi напрямую к ресурсам локальной сети доступа не имеют, только через маршрутизатор. В вашем же случае, я так думаю, должно быть достаточно просто отключить DHCP на кинетиках.

Прошу прощения, я сейчас Вам накидаю и убегу на выходные Но может быть кто-то из более старших и мудрых товарищей подскажет лучше 1. Я думаю, что возможность задействовать не по два порта на каждом устройстве, а по одному с vlan'ами есть. Но через командную строку. Три близкие по теме ссылки: https://habr.com/ru/articles/850532/ 2. может быть можно что-то придумать на тему продвинутого использования pingcheck? Не уверен, что так получится, но вот те самые более мудрые товарищи могут подсказать, наверное. Примерно так: Герой в локальной сети с Ультрой. Герой проверяет доступность чего-то в интернете через Ультру (статические маршруты до проверочного ресурса через Ультру) при недоступности ресурса Герой включает модем. На ультре есть статический маршрут по умолчанию с низким приоритетом через Героя. Сумбурно, конечно.

Клиент к кому подключается? к контроллеру wifi-системы или к экстендеру? На экстендерах компонент WPA-Enterprise установлен? по умолчанию его нет, надо ставить дополнительно. Если Защита сети задана какая-нибудь смешанная (типа WPA2+WPA3 Ent), попробуйте оставить что-то одно (WPA2 Ent). Про WPS. Честно говоря, у меня "галка" WPS нигде не снята (как было по умолчанию), но на запрос ключа пока не нарывался.

Возможно, Вам стОит поддержать такую функцию:

Для начала, в сторону согласования режима работы wan-порта вашего роутера и провадерского оборудования. Проверьте на странице Системный монитор, раздел Сетевые порты, о чем договорился wan-порт после перезагрузки при низкой скорости работы. Скорость и дуплекс. А также через командную строку статистику по wan-интерфейсу Для синего порта Гиги 1012: show interface 0 stat Переподключите кабель и проверьте скорость, дуплекс и ошибки снова. Состояние статистики лучше посмотреть несколько раз и обращать внимание, растет ли количество ошибок и дропов: до эксперимента, после перезагрузки роутера (возможно, статистика будет сброшена, все равно посмотреть несколько раз, не растет ли к-во ошибок/дропов) и после переподключения кабеля. В процессе переподключения кабеля дополнительно возникнут ошибки, смотреть несколько раз в установившемся режиме. Если тут все в порядке, тогда уже думать, на что еще могло повлиять переподключение кабеля .Маршрутизация, например.

Для "типового" подключения - да. Важно не забыть для сегмента разрешить Использовать NAT и правильно указать шлюз. Как говориться: "Вот и славно, трам-пам-пам!". Пожалуйста!

Да, на данный момент по вашему описанию я бы сделал именно так. При этом, imho, сейчас у вас не должно было ничего измениться с точки зрения доступа устройств в интернет. Умный дом. Датчики подключены по wifi, который соответствует сегменту "Умный дом". ZigBee Hub подключен к порту 4 маршрутизатора. VLAN, допустим, Z. Адресация, пусть будет, 192.168.z.0/24, адрес роутера в этом сегменте (=шлюза для устройств в этой подсети), например, 192.168.z.1. Использовать NAT. (номер vlan и цифирьки в адресации могут и не совпадать, но так мне, например, удобнее) Видеонаблюдение. wifi ip-камеры подключены по wifi, который соответствует сегменту "Видеонаблюдение". Видеорегистратор подключен к порту 3 маршрутизатора. VLAN, к примеру, X. Адресация, допустим, 192.168.x.0/24, адрес роутера в этом сегменте (=шлюза для устройств в этой подсети), допустим, 192.168.x.1 Использовать NAT. К портам 1 и 2, предположим, подключены компьютер и телевизор, входящие в сегмент "Домашняя сеть". Если захочется из Домашнего сегмента смотреть записи с регистратора, значит для Домашнего сегмента настраиваем фаервол. PS статья наверняка правильная, скорее всего, что-то упустили при настройке.

А, да! надо было пояснить этот момент. "Входит в сегмент с VLAN" как раз и означает, что через этот порт Ethernet-кадры указанного сегмента передаются с тегом, в котором указан номер VLAN, за счет чего такие кадры имеют немного больший размер, чем нетегированные. Устройство, подключенное к этому порту и желающее работать в сегменте с VLAN, должно уметь понимать тегированные VLAN и должно быть настроено на работу с нужным VLAN. Просто "Входит в сегмент" - Ethernet-кадры, относящиеся к данному сегменту, передаются без дополнительного тега с номером VLAN.

Рекомендую все же немного почитать про VLAN и тегирование, чтобы делать не методом тыка, а хотя бы научного тыка Давайте посмотрим на этот ваш скриншот. На данный момент, он же актуален? На мой вкус, в настройках сегментов "Умный дом" и "Видеонаблюдение" я все-таки явно задал бы номера VLAN для них. Правильно ли вы настроили работу портов с сегментами зависит от того, что и как у вас к этим портам подключено. Умеют ли там устройства работать с тегированными VLAN, настроены ли они на работу с тегами? Предлагаю пойти "от портов" Порт 4. К нему у вас подключены устройства Умного дома. Насколько необходимо вам передавать через Порт 4 сегмент "Домашняя сеть" в тегированном виде (T)? У вас к там ZigBee Hub. Я не очень в курсе, что это за зверь (ну контроллер для умного дома). Ему самому или устройствам к нему присоединенным нужен Доманшний сегмент? "Нет" - вычеркиваем Домашний сегмент (выбрать "прочерк") на порту 4. Порт 3. К нему у вас подключены устройства видеонаблюдения. Видеорегистратор? Тот же вопрос про сегмент "Домашняя сеть": надо ли вам передавать через Порт 3 Домашнюю сеть в тегированном виде (T)? Вероятно, Порт 3 также можно исключить из домашнего сегмента (выбрать "прочерк"). Порты 2 и 1. Вы передаете через них сегмент "Гостевая сеть" в тегированном виде. У вас есть на этих портах устройства, которые должны находиться в гостевом сегменте? "Нет" - вычеркиваем. Про тегированные VLAN вспоминаем, если через один порт надо будет передать несколько сегментов. При этом, непосредственно к порту будут подключены устройства, умеющие работать с тегированными VLAN. Например, IP-телефон, ретранслятор, коммутатор (в том числе, программные), IPMI. Далее. Доступ с устройств в различных сегментах в интернет, доступность их из интернета и других сегментов зависит от множества факторов. Предположим, vlan'ы мы настроили. Впереди еще ip-адресация, маршрутизация, межсетевой экран...

я вот о чем подумал. Синие же порты некоторых Кинетиков на отдельном же чипе вроде? Может он, этот порт, в режиме ретранслятора работать не совсем так, как LAN-порты?

1. Если есть возможность, проверьте все кабели не только Peak'ом, но и кабельным тестером. Хотя бы на предмет, все ли пары обжаты правильно. Ходят слухи, что "синие" порты чувствительнее к качеству линка (и к проводу, и к оборудованию на другом конце этого провода). Промежуточных коммутаторов нет ли? Возможно, стОит нарисовать для форумчан схему вашей сети, чтобы попонятнее было. 2. Правильно ли я понял, что при подключении (контроллера?) к портам 1-3 ретрансляторов, работа нормализуется? Так и оставьте подобное подключение, а "синие" порты ретрансляторов попробуйте задействовать для других своих целей. Хорошо бы еще убедиться, что на портах ретрансляторов, если смотреть "Разъемы сегмента и VLAN" -> "Показать другие сегменты", то, что вы ожидаете. По умолчанию, все порты ретрансляторов работают в режиме транк (проверьте, так ли это для синих/или смотрящих в сторону контроллера/ портов). Если для вашей сети на ретрансляторе потребуется порт в режиме доступа, это сейчас можно настроить через командную строку с контроллера wifi-системы.

Позвольте не поверить, что ни на одном протоколе защиты. Мой скриншот для сети с WPA2-PSK. Разновозрастные яблоки. И вполне возможно, что на iPhone SE 2020 может быть даже iOS14. Те, которые красненькие, им сейчас по расписанию заблокирован доступ в интернет, в разрешенное время доступ будет. Роутер, кстати, как у вас, Giga KN-1012, но и на предшественнике (Extra KN-1711) проблем не наблюдалось. Может быть лучше попробовать сформулировать свою проблему как-то по-другому? И попробуйте оставить только WPA2-PSK для начала.

Не буду сильно настаивать, но у меня от двух wifi-системок (маленькие они, 2 и 4 узла) на RADUIS-сервер приходят запросы и от контроллеров, и от ретрансляторов.

А провайдер один и тот же или разные? Это может быть важным по вашему первому вопросу, про SSL. Посмотрите недавнюю тему, не ваш ли случай, не провадейр ли, через которого работает Ultra, блокирует доступ к Let's Encrypt:

Что-то вы делали не так. Сделайте по статье, ссылку на которую вам дал Leshiyart. Простыми словами, один из Челленджеров верните в режим роутера, он будет контроллером wifi-системы, настройте по указанной статье, чтобы он работал как точка доступа. Потом сбросьте на заводские второй Челленджер, переведите его в режим ретранслятора и "захватите" его контроллером. Получите бесшовный wifi. Разберитесь с маршрутизацией. Как клиенты wifi должны попадать в интернет и как к ресурсам локальной сети (и обратно, как из локальной сети должно что-то приходить к клиентам wifi). Что назначить шлюзом по умолчанию для клиентов wifi, какие, может быть, маршруты дополнительно прописать. Теперь по DHCP. Вам релей для чего потребовался? Сервер DHCP находится в другом сегменте (vlan) за маршрутизатором? В вашей wifi-системе dhcp отключите (как в статье). На DHCP-сервере создайте области (scope) для каждого сегмента WiFi. Сегменты wifi у вас наверняка терминируются на вашем офисном маршрутизаторе. Вот на его интерфейсах и укажите helper-address. Если я неверно телепатирую, то опишите более подробно вашу схему.

Видимо, у нас разные схемы интеграции wifi-системы в локальную сеть. У вас, похоже, для ретрансляторов RADIUS находится за nat-ом контроллера?

1. WPA-Enterprise необходимо установить не только на контроллере системы, но и на всех участниках wifi-системы. Автоматом оно не устанавливается. (Пожелание на тему автоматической установки этого компонента на подчиненных ретрансляторах я выдвигал при общении с поддержкой, пока вроде не внедрили). Контроллеру и ретрансляторам лучше назначить постоянные ip-адреса. А!, Да! Разумеется, необходимо обеспечить связность NPS-сервера и участников всех wifi-системы. 2. В настройках безопасности сегментов на контроллере должны быть доступны "WPAX Enterprise". Задаем адрес и, при необходимости, порт RADIUS-сервера, задаем Секретный ключ. (на картинке Hopper, но в подчинении у него как раз Вояджеры) 3. По настройке NPS лучше погуглить. Можно посмотреть первоисточник (сайт MS), или, к примеру, сайт Cisco. Замечания: На NPS-сервере необходимо создать столько RADIUS-клиентов, сколько у вас участников wifi-системы (т.е. должны быть записи и для контроллера, и для всех ретрансляторов, входящих в систему). Далее, если у вас RADIUS-сервер и wifi-система разделены интернетом, то, возможно, потребуется в политике доступа к wifi добавть параметр Fragmented-MTU Как-то так

Подумайте, нужна ли вам беспроводная транспортная сеть - точки подключены проводом и питаются по PoE. Даже если предположить, что один кабель мышь перегрызла, без питания точка работать перестанет совсем, ей эта сеть не поможет. Попробуйте отключить эту транспортную сеть хотя бы для эксперимента.

Возможно, включена Беспроводная транспортная сеть (Wi-Fi-система - Настройки). Попробуйте выключить, у вас же все узлы mesh-сети подключены проводом.

Помочь - не помогу, но правильно ли я понял проблему, которую вы хотите донести: Работа с USB-накопителем, подключенным непосредственно к Кинетику, осуществляется плюс-минус с одинаковой скоростью, что для клиентов по проводу, что по wifi. И в общем-то упирается примерно в гигабит/с. При работе же с NAS, у беспроводных клиентов скорость почти вдвое ниже, чем у проводных. Т.е. по проводу гигабит/с есть, а по wifi только около половины. Недоумение вызывает факт, что вроде как всё работает в одной и той же среде, с одним и тем же роутером, однако, wifi_клиент-роутер-NAS вдвое проигрывает Ethernet_клиент-роутер-NAS при том, что wifi_клиент-роутер-USB и Ethernet_клиент-роутер-USB идут вровень. Т.е. по wifi гигабит/с вытянуть можно... но только до роутера. Так?

Спасибо за ответ! Хотя жаль, конечно.

Пардон за офтопик, но не планируется ли отвязать VLAN1 от домашней сети? Точнее так, не планируется ли дать возможность назначать сегменту Домашняя сеть произвольный номер VLAN, а VLAN1 оставить для служебных целей (в нем же BPDU etc ходят?)? У меня на работе сейчас с десяток Кинетиков, большинство из них работают в режиме точки доступа, wifi "живут" в отдельных vlan'ах. Мне приходится либо отказываться от использования wifi в сегменте Домашняя сеть, либо сознательно идти на vlan mistmatch, когда на Кинетике это VLAN1, а на порту коммутатора в качестве native я вынужден выставлять другой VLAN. Я сталкивался с коммутаторами, которые считали, что на порту в режиме транк нетегированным обязан быть исключительно VLAN1, остальное с тегами. Также встречал рекомендации не использовать VLAN1 в качестве рабочего. Для себя стараюсь придерживаться этих правил и избегать экзотики типа асимметричных vlan.