Что означает ошибка сервера 504 Gateway Time Out и как ее исправить
Иногда при посещении отдельных страниц сайта мы сталкиваемся с тем, что на экране вместо желаемого контента появляется сообщение об ошибке с цифровым кодом. Для «непосвященного» пользователя это просто набор цифр, но на самом деле в этих цифрах заложена определенная информация. Все они группируются по видам причин возникновения сбоя.
Сообщения, кодирующиеся в формате 5хх, говорят о проблеме на стороне сервера, например, когда невозможно выполнить запрос из-за нарушения связи между несколькими серверами. Ошибка 504 Gateway Time Out не является распространенной, но это не значит, что на нее не стоит обращать внимания, особенно владельцу сайта. Рассмотрим некоторые причины возникновения данной ошибки и способы ее устранения как на стороне обычного посетителя, так и администратором веб-ресурса.
Ошибка 504 Gateway Time Out – это код состояния HTTP, который появляется, когда в течение заданного периода времени один сервер не получает своевременный ответ от другого сервера, который действует как шлюз или прокси.
Описания ошибки могут иметь различную форму:
Наличие дополнительного словесного описания помогает конкретизировать причину возникновения сбоя.
Производительный хостинг в подарок при заказе лицензии 1С-Битрикс
Выбирайте надежную CMS с регулярными обновлениями системы и профессиональной поддержкой. А мы подарим вам год хостинга – специально для сайтов на 1С-Битрикс.
Что делать посетителю сайта при возникновении ошибки 504
Итак, вы столкнулись с появлением на экране сообщения «error 504». Не спешите уходить с сайта, ведь возникновение сбоя может говорить о неправильной работе вашего браузера или даже наличии более серьезных проблем на уровне пользовательского софта. Попробуйте произвести довольно простые действия, чтобы убедиться, что с вашим программным обеспечением и настройками все в порядке.
Если после проведения всех вышеозначенных рекомендаций любая ошибка, в т. ч. 504 Gateway Time Out, продолжает возникать регулярно, обратитесь в техподдержку проблемного интернет-ресурса.
Решение проблем с появлением ошибки сервера 504 администратором веб-ресурса
Некорректная работа сайта чаще всего просто раздражает посетителя и приводит к тому, что пользователь находит альтернативный ресурс. Для владельца сайта такие сбои могут носить более глобальные последствия. Поэтому очень важно своевременно обнаруживать баги и максимально быстро устранять их. Для раннего мониторинга стоит использовать все возможные инструменты:
Соблюдение последнего правила не только позволит практически без дополнительных затрат отслеживать все возможные проблемы, которые возникают при посещении сайта. Своевременная обработка пользовательских запросов, быстрый ответ, выдача рекомендаций и публичное обсуждение повышают лояльность и создают дополнительный PR-эффект.
Почти все ошибки с кодом 5хх, возникающие из-за невозможности обработки определенного количества запросов, поступающих на сервер, решаются методом апгрейда железа (использованием высокопроизводительного хостинга) либо оптимизацией работы программного обеспечения. Второй способ зависит от вида движка, на котором создан конкретный сайт. При использовании условно-бесплатных программ (WordPress, OpeneCart и других) все проблемы придется решать на уровне администрирования, с привлечением конкретного веб-программиста, разработавшего данный сайт. Если баги возникают на платных платформах (1С-Битрикс, UMI. CMS, NetCat CMS), напишите об ошибке 504 Gateway Time Out в техподдержку разработчика. Отправить сообщение о проблеме следует и разработчикам платных скриптов, если они установлены на вашем сайте, и вы считаете, что сбои возникают по причине их некорректного исполнения.
Вот некоторые причины, приводящие к возникновению ошибки 504 Gateway Time Out
Еще одна возможная причина возникновения ошибки 504 – исполняемый скрипт не укладывается в отведенный лимит времени. Это бывает, когда скрипт обращается к другим сайтам либо просто выполняет тяжелую операцию, например, строит поисковый индекс.
Рекомендации по устранению ошибки 504 Gateway Time Out методами администрирования сайта
Ошибка 504 Gateway Time Out может быть вызвана недавними изменениями или обновлениями на сайте. Если после отката к состоянию, предшествующему изменениям, баг исчез, следует найти конкретное действие, повлекшее возникновение ошибки. Для этого необходимо проверить журнал ошибок соответствующей CMS. Пользователи WordPress могут включить журналирование ошибок в файле Wp-config. php добавлением следующих строк:
Все возникающие варианты ошибок будут записаны в файле Wp-contents/debug. log.
Для проверки работоспособности плагинов и расширений попробуйте отключить те, которые вызывают подозрение как источники возникновения ошибки 504. В первую очередь это касается устаревших скриптов, но причиной могут оказаться и обновления. Если проблема исчезла, далее следует найти некорректный плагин или дополнение и устранить или исправить его. Один из способов улучшения работы исполняемого скрипта – увеличить значение параметра PHP max_execution_time или облегчить скрипт.
При использовании CDN для более быстрого получения контента, в частности CloudFlare, который работает как CDN и как сервис предотвращения негативных последствий от DDoS, вы можете столкнуться с двумя типами ошибок 504. В случае возникновения проблемы на стороне CloudFlare лучшим решением будет связаться с поддержкой CloudFlare или отключить его. Второй вариант – когда сбой возникает на стороне хостинг-провайдера. В этой ситуации также необходимо обратиться в службу поддержки хостера.
Часто ошибку 504 можно видеть на серверах, где используется VPS-хостинг и установлен Nginx в качестве фронтенда и Apache в качестве бэкенда. Для устранения проблемы в Apache можно увеличить значение Timeout по умолчанию в файле Httpd. conf:
Также увеличить лимит в Max_execution_time в Php. ini:
После внесения изменений следует перезапустить Apache. Ошибка 504 Gateway Time Out должна исчезнуть.
Аналогичным образом проблема с появлением ошибки HTTP 504 решается пользователями Nginx. Попробуйте увеличить такие параметры в файле /etc/nginx/conf. d/timeout. conf:
Также рекомендуется увеличить Max_execution_time в Php. ini:
Далее перезапустите Nginx и откройте сайт.
Более простым решением устранения данной проблемы является использование панели управления сервером.
Данный способ позволяет администрировать настройки веб-сервера без использования консоли, один раз настроить их под ваш проект и больше не подключаться к серверу без острой необходимости.
Например, в бесплатной панели управления Vesta Control Panel достаточно внести изменения в раздел «Сервер» и навсегда забыть о возможности возникновения ошибок на сайте.
И далее внести соответствующие изменения.
Аналогичным способом проблема устраняется и при использовании альтернативных панелей управления хостингом – Ajenti, CentOS Web Panel, ISPmanager и других.
Если вы считаете, что появление 504 Gateway Timeout вызвано превышением лимита использования ресурсов серверного железа, оптимальным решением будет аренда выделенного сервера или VPS. Когда ваш сайт уже размещен на виртуальном хостинге, но ни одна из рекомендаций не привела к исправлению error 504, обратитесь к хостинг-провайдеру. В этом случае подробно опишите причины, которые, как вы полагаете, привели к появлению сбоя.
Заключение
В данной статье мы рассмотрели основные причины возникновения ошибки HTTP 504 Gateway Timeout и популярные способы устранения неполадки. Уверен, некоторые администраторы веб-ресурсов сталкивались с подобными проблемами, выходящими за рамки приведенных примеров и рекомендаций.
Analyzing Disconnects
When you build an online multiplayer game, you have to be aware that sometimes connections between clients and servers fail.
Disconnects might be caused by software or hardware. If any link of a connection fails, messages get delayed, lost or corrupted and the connection need to be shut down.
If this happens frequently you can usually do something about it.
Contents
Disconnect Reasons
Client SDKs provide disconnection callbacks and a disconnect cause. Use those to investigate the unexpected disconnects you are having. Here we list the major disconnect causes and whether they are caused on the client or the server side.
Disconnects By Client
Disconnects By Server
Timeout Disconnect
Unlike plain UDP, Photon’s reliable UDP protocol establishes a connection between server and clients: Commands within a UDP package have sequence numbers and a flag if they are reliable. If so, the receiving end has to acknowledge the command. Reliable commands are repeated in short intervals until an acknowledgement arrives. If it does not arrive, the connection is timed out.
Both sides monitor this connection independently from their perspective. Both sides have their rules to decide if the other is still available.
If a timeout is detected, a disconnect happens on that side of the connection. As soon as one side thinks the other side does not respond anymore, no message is sent to it. This is why timeout disconnects are one sided and not synchronous.
The timeout disconnect is the most frequent issue, aside from problems to connect «at all».
There is no single point of failure when you run into frequent timeouts but there are a few common scenarios that cause issues and some ways to fix them.
Here is a quick checklist:
You can adjust the number and timing of resends. See «Tweak Resends».
If you are making a mobile app, read about Mobile Background Apps.
If you want to debug your game using breakpoints and all, read this.
Traffic Issues And Buffer Full
Photon servers and clients usually buffer some commands before they are actually put into a package and sent via the internet. This allows us to aggregate multiple commands into (fewer) packages.
If some side produces a lot of commands (e. g. by sending lots of big events), then the buffers might run out.
Filling buffers will also cause additional Lag: You will notice that events take longer to arrive on the other side. Operation responses are not as quick as usual.
First Aid
Check The Logs
This is the first check you need to do.
All clients have some callback to provide log messages about internal state changes and issues. You should log these messages and access them in case of problems.
You can usually increase the logging to some degree, if nothing useful shows up. Check the API reference how to do this.
If you customized the server, check the logs there.
Enable The SupportLogger
The SupportLogger is a tool that logs the most commonly needed info to debug problems with Photon, like the (abbreviated) AppId, version, region, server IPs and some callbacks.
For Unity, the SupportLogger is a MonoBehaviour. When not using PUN, you can add this component to any GameObject and set the LoadBalancingClient for it. Call DontDestroyOnLoad() for that GameObject.
Outside of Unity, the SupportLogger is a regular class. Instantiate it and set the LoadBalancingClient, to make it register for callbacks. The Debug. Log method(s) get mapped to System. Diagnostics. Debug respectively.
Try Another Project
All client SDKs for Photon include some demos. Use one of those on your target platform. If the demo fails too, an issue with the connection is more likely.
Try Another Server Or Region
Using the Photon Cloud, you can also use another region easily.
Hosting yourself? Prefer physical over virtual machines. Test minimum lag (round-trip time) with a client near the server (but not on the same machine or network). Think about adding servers close to your customers.
Try Another Connection
In some cases, specific hardware can make the connection fail. Try another WiFi, router, etc. Check if another device runs better.
Try Alternative Ports
Since early 2018, we support a new port-range in all Photon Cloud deployments: Instead of using 5055 to 5058, the ports start at 27000.
Changing the ports does not sound like it should make a difference but it can have a very positive effect. So far, the feedback was really positive.
In some client SDKs, you might have to replace the numbers in the address-strings which are coming from the server. The Name Server has port 27000 (was 5058), the Master Server 27001 (was 5055) and the Game Server becomes 27002 (was 5056). This can be done with simple string replacement.
Enable CRC Checks
Sometimes, packages get corrupted on the way between client and server. This is more likely when a router or network is especially busy. Some hardware or software is outright buggy corruption might happen anytime.
Photon has an optional CRC Check per package. As this takes some performance, we didn’t activate this by default.
You enable CRC Checks in the client but the server will also send a CRC when you do.
Photon clients track how many packages get dropped due to enabled CRC checks.
Fine Tuning
Check Traffic Stats
On some client platforms, you can enable Traffic Statistics directly in Photon. Those track various vital performance indicators and can be logged easily.
In C#, the Traffic Stats are available in the LoadBalancingPeer class as TrafficStatsGameLevel property. This provides an overview of the most interesting values.
As example, use TrafficStatsGameLevel. LongestDeltaBetweenDispatching to check the longest time between to consecutive DispatchIncomginCommands calls. If this time is more than a few milliseconds, you might have some local lag. Check LongestDeltaBetweenSending to make sure your client is frequently sending.
The TrafficStatsIncoming and TrafficStatsOutgoing properties provide more statistics for in — and outgoing bytes, commands and packages.
Tweak Resends
C#/.Net Photon library has two properties which allow you to tweak the resend timing:
PhotonPeer. QuickResendAttempts
The LoadBalancingPeer. QuickResendAttempts speed up repeats of reliable commands that did not get acknowledged by the receiving end. The result is a bit more traffic for a shorter delays if some message got dropped.
PhotonPeer. SentCountAllowance
By default, Photon clients send each reliable command up to 6 times. If there is no ACK for it after the 5th re-send, the connection is shut down.
The LoadBalancingPeer. SentCountAllowance defines how often the client will repeat an individual, reliable message. If the client repeats faster, it should also repeat more often.
In some cases, you see a good effect when setting QuickResendAttempts to 3 and SentCountAllowance to 7.
More repeats don’t guarantee a better connection though and definitely allow longer delays.
Check Resent Reliable Commands
If this value goes through the roof, the connection is unstable and UDP packets don’t get through properly (in either direction).
Send Less
You can usually send less to avoid traffic issues. Doing so has a lot of different approaches:
Don’t Send More Than What’s Needed
Exchange only what’s totally necessary. Send only relevant values and derive as much as you can from them. Optimize what you send based on the context. Try to think about what you send and how often. Non critical data should be either recomputed on the receiving side based on the data synchronized or with what’s happening in game instead of forced via synchronization.
In an RTS, you could send «orders» for a bunch of units when they happen. This is much leaner than sending position, rotation and velocity for each unit ten times a second. Good read: 1500 archers.
In a shooter, send a shot as position and direction. Bullets generally fly in a straight line, so you don’t have to send individual positions every 100 ms. You can clean up a bullet when it hits anything or after it travelled «so many» units.
Don’t send animations. Usually you can derive all animations from input and actions a player does. There is a good chance that a sent animation gets delayed and playing it too late usually looks awkward anyways.
Use delta compression. Send only values when they changes since last time they were sent. Use interpolation of data to smooth values on the receiving side. It’s preferable over brute force synchronization and will save traffic.
Don’t Send Too Much
Optimize exchanged types and data structures.
Use another service to download static or bigger data (e. g. maps). Photon is not built as content delivery system. It’s often cheaper and easier to maintain to use HTTP-based content systems. Anything that’s bigger than the Maximum Transfer Unit (MTU) will be fragmented and sent as multiple reliable packages (they have to arrive to assemble the full message again).
Don’t Send Too Often
Lower the send rate, you should go under 10 if possible. This depends on your gameplay of course. This has a major impact on traffic. You can also use adaptive or dynamic send rate based on the user’s activity or the exchanged data, this is also helping a lot.
Send unreliable when possible. You can use unreliable messages in most cases if you have to send another update as soon as possible. Unreliable messages never cause a repeat. Example: In an FPS, player position can usually be sent unreliable.
Try Lower MTU
With a setting on the client-side, you can force server and client to use an even smaller maximum package size than usual. Lowering the MTU means you need more packages to send some messages but if nothing else helped, it makes sense to try this.
The results of this are unverified and we would like to hear from you if this improved things.
Tools
Wireshark
This network protocol analyzer and logger is extremely useful to find out what is actually happening on the network layer of your game. With this tool, we can have a look at the facts (networking wise).
Wireshark can be a bit intimidating but there are only a few settings you have to do when we ask you to log our game’s traffic.
Install and start. The first toolbar icon will open the list of (network) interfaces.
Wireshark Toolbar
You can check the box next to the interface which has traffic. In doubt, log more than one interface. Next, click «Options».
We don’t want all your network traffic, so you have to setup a filter per checked interface. In the next dialog («Capture Options»), find the checked interface and double click it. This opens another dialog «Interface Settings». Here you can setup a Filter.
A filter to log anything Photon related looks like so:
When you press «Start», the logging will begin when you connect. After you reproduced an issue, stop the logging (third toolbar button) and save it.
In best case, you also include a description of what you did, if the error happens regularly, how often and when it happened in this case (there are timestamps in the log). Attach a client console log, too.
Platform Specific Info
Unity
PUN implements the Service calls for you in intervals.
However, Unity won’t call Update while it’s loading scenes and assets or while you drag a standalone-player’s window.
Pausing the message queue has two effects:
If you use our Photon Unity SDK, you probably do the Service calls in some MonoBehaviour Update method.
To make sure Photon client’s SendOutgoingCommands is called while you load scenes, implement a background thread. This thread should pause 100 or 200 ms between each call, so it does not take away all performance.
Recover From Unexpected Disconnects
Disconnects will happen, they can be reduced but they can’t be avoided. So it’s better to implement a recovery routine for when those unexpected disconnects occur especially mid-game.
When To Reconnect
First you need to make sure that the disconnect cause can be recovered from. Some disconnects may be due to issues that cannot be resolved or bypassed by a simple reconnect. Instead those cases should be treated separately and handled case by case.
Quick Rejoin (ReconnectAndRejoin)
Photon client SDKs offer a way to rejoin rooms as soon as possible after being disconnected while joined to a room. This is called «Quick Rejoin». Photon client locally caches the authentication token, the room name and the game server address. So when disconnected mid-game, the client can do a shortcut: connect directly to the game server, authenticate using the saved token and rejoin the room.
You can catch these in the OnJoinRoomFailed callback.
Reconnect
If the client got disconnected outside of a room or if quick rejoin failed ( ReconnectAndRejoin returned false) you could still do a Reconnect only. The client will reconnect to the master server and reuse the cached authentication token there.
Disconnected group key timeout mikrotik
Почему возникает ошибка «Disconnected, group key exchange timeout» или «Disconnected, group key timeout» и что с ней делать.
При построении Wi-Fi сети на базе оборудования Mikrotik, может возникать проблема с периодическими отключениями абонентских устройств от Wi-Fi сети и сообщениями в логе «Disconnected, group key exchange timeout» или «Disconnected, group key timeout» (на ROS Пример лога
Если поискать в гугле, то вопросы на эту тему возникают часто и с давних пор (самое раннее упоминание этой проблемы что я нашёл, был 2007 год).
Что же это за ошибка и что она значит…?
«Group key exchange» это процедура обновления временного ключа в WPA для broadcast и multicast трафика. Он общий для всех клиентов и периодически обновляется Wi-Fi роутером. В Mikrotik по умолчанию интервал обновления 5 минут.
В процессе обновления временного ключа, Wi-Fi клиенты его должны получить.
Обычно всё так и происходит, но… но не всегда…
Встречаются устройства, чаще всего смартфоны или медиаплееры, которые в состоянии сна (или если слабый уровень сигнала) не обновляют временный ключ и соответственно отключаются от Wi-Fi сети (ключ они не обновили, используют старый временный ключ, а в сети уже используется новый) и через несколько секунд подключатся снова.
У меня в Wi-Fi сети эксплуатируются множество смартфонов и ноутбуков и с ними такой проблемы нет. Т. е. проблема скорей всего в драйверах/прошивке Wi-Fi модуля в конкретном смартфоне.
Я решил собрать побольше информации по данной ситуации и полез в Интернет. Стало понятно, что данная проблема присутствует не только на Mikrotik, но и на D-Link, Linksys и у других производителей.
В сущности, это не проблема производителя Wi-Fi точек доступа, а проблема производителя клиентского устройства.
Если клиентское устройство новое, остаётся надеяться, что производитель обновит прошивку и проблема исчезнет, ну а пока, будем действовать своими силами.
Частичное решение данной проблемы, известно давно. Оно не решает проблему полностью, а минимизирует её.
За защиту WiFi сети в Mikrotik отвечают три вкладки: Access List (/interface wireless access-list), Connect List (/interface wireless connect-list), Security Profiles (/interface wireless security-profiles).
Access List – список правил, которые ограничивают соединения других устройств к вашей точке, а также служат для управления параметрами подключения. (режим ap mode).
Пример: вы хотите ограничить подключение к вашей точке доступа по MAC-адресам.
Connect List – список правил, которые ограничивают соединение вашего устройства к другим точкам доступа (режим station mode).
Пример: вы хотите автоматически подключать свою клиентскую станцию к точке доступа с максимальным уровнем сигнала (при наличии нескольких базовых станций).
Security Profiles – настраиваются профили методов защиты и, непосредственно, ключи защиты беспроводной сети.
Security Profiles
Начнем с самого интересного – Security Profiles. Именно здесь мы настраиваем шифрование для наших беспроводных точек. Настройка будет осуществляться для домашней или офисной точки доступа. Профиль защиты выставляется непосредственно в свойства беспроводного интерфейса.
При переходе на вкладку /interface wireless security-profiles видим такую картину.
Вы можете добавить свой профиль, я всегда использую стандартный – че добру пропадать =).
Вкладка General
Name – имя профиля.
Если используем стандартный профиль – оставляем по-умолчанию.
Mode – режим шифрования.
Для защиты беспроводной сети ВСЕГДА используем режим dynamic-keys.
Разница между WPA2-PSK и WPA2-ЕАР состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES. Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым. Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа. Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент — сервер авторизации, и почти всегда это RADIUS-сервер.
RADIUS-сервер мы не используем, сотрудники у нас говорливые, но и пароли мы меняем часто, поэтому наш выбор WPA2-PSK. Оставляем галочку только на нем, все другие "небезопасные" протоколы – отключаем.
Unicast Ciphers – выбор типа шифрования. Клиенты смогут подключиться в вашей точке, если поддерживают данный тип шифрования. Поддерживаются два типа tkip и aes-ccm. AES – это современный и более безопасный алгоритм. Он совместим со стандартом 802.11n и обеспечивает высокую скорость передачи данных. TKIP является устаревшим. Он обладает более низким уровнем безопасности и поддерживает скорость передачи данных вплоть до 54 МБит/сек. Кроме того, стандарт алгоритма ССМ требует использования новых временных ключей для каждой вновь создаваемой сессии, а это плюс к безопасности.
Используем только aes-ccm.
Group Ciphers – выбор типа шифрования. Ваша станция будет пытаться подключиться только к тем точкам доступа, которые поддерживаю данный тип шифрования. Описание ничем не отличается от предыдущего параметра.
Используем только aes-ccm.
). Не забывайте регулярно менять пароль (например раз в 15 дней). Mikrotik позволяется сделать это скриптом, у меня так меняется пароль на 10 офисах одновременно, если интересно – могу описать в отдельной статье.
Используем сложный пароль.
Supplicant Identity – EAP-идентификатор, который посылается клиентом в начале аутентификации EAP. Это значение используется в качестве значения для атрибута User-Name в сообщениях RADIUS.
WPA2-ЕАР не используем – значение игнорируем.
Group Key Update – время как часто обновлять ключ шифрования. Функция не работает в режиме station. Фактически изменять значение можно при непонятных отвалах устройств (например Android-смартфонов при уходе в ждущий режим).
Значение оставляем по-умолчанию – 5 минут.
Managment Protection – защита от атак деаутентификации и клонирования MAC-адреса. Свой алгоритм защиты беспроводной сети от Mikrotik.
Managment Protection не используем – оставляем disabled.
Managment Protection Key – ключ защиты Managment Protection.
Поле не активно, если не используется Managment Protection.
Вкладка RADIUS
MAC Authentication – авторизация по mac-адресу. Эта настройка применяется к тем клиентам, которых нет в access-list. Сервер RADIUS будет использовать MAC-адрес клиента в качестве имени пользователя.
MAC Accounting – включить MAC-статистику.
EAP Accounting – включить EAP-статистику.
Interim Update – интервал времени через который точка доступа повторно запрашивает информацию об аккаунте с Radius сервера.
Параметр не изменяем.
MAC Format – формат в котором записываем MAC-адреса. Доступные форматы:
XX: XX: XX: XX: XX: XX
XXXX: XXXX: XXXX
XXXXXX: ХХХХХХ
XX-XX-XX-XX-XX-XX
XXXXXX-XXXXXX
XXXXXXXXXXXX
XX XX XX XX XX XX
Указывает как MAC-адрес клиента кодируется точкой доступа в атрибут User-Name RADIUS-сервера.
Параметр не изменяем.
MAC Mode – значения:
Параметр не изменяем.
MAC Caching Time – промежуток времени через который точка доступа будет кэшировать ответы аутентификации. Значение disabled отключает кэш, все ответы направляются напрямую в RADIUS-сервер.
Параметр не изменяем.
Вкладка EAP
EAP Methods – метод EAP-аутентификации. Значения:
TLS Mode – режим проверки TLS. Значения:
TLS certificate – тут указываем непосредственно сертификат TLS.
MSCHAPv2 Username – имя пользователя для аутентификации eap ttls mschapv2.
MSCHAPv2 Password – пароль для аутентификации eap ttls mschapv2.
Вкладка Static Keys
Данный раздел активен если используется "static keys optional" и "static-keys-required" на вкладке "General". Он используется для ввода ключей WEP-шифрования.
Key 0, Key-1, Key-2, Key-3 – шестнадцатеричное представление ключа. Длина ключа должна соответствовать выбранному алгоритму (40bit-wep, 104bit-wep, tkip или aes-ccm).
Transmit Key – точка доступа будет использовать указанный ключ для шифрования кадров для клиентов, также он будет использоваться для шифрования широковещательной и групповой передачи кадров.
St. Private Key – только для использования в режиме "station". Точка доступа будет использовать соответствующий ключ выбранного алгоритма ( в шестнадцатеричном представлении ключа).
Access List
Чтобы включить доступ по правилам Access List, на вкладке Interfaces необходимо открыть свойства беспроводного интерфейса, где на вкладке Wireless, убрать галочку с параметра Default Authenticate.
После снятия галки, переходим в Access List и создаем правило. Оно может быть для каждого клиента свое, или общее на всех.
MAC Address – MAC адрес устройства, которое будет подключатся к вашему роутеру. Если снять галочку Default Authenticate и выставить тут MAC адрес, то только это устройство сможет подключится к сети. Это и есть ограничение подключения по MAC-адресам в Mikrotik. Для того, что бы другое устройство смогло подключится к вашей точке, нужно внести его MAC в список правил.
Interface – интерфейс к которому будет производится подключение. Если указать "all" – правило будет применяться ко всем беспроводным интерфейсам вашего устройства.
Signal Strength Range – диапазон уровня сигнала, при котором возможно подключение. Настройка применяется в сетях с бесшовным роумингом между точками. Служит для того, что-бы ваше устройство не держалось за текущую точку доступа до критически слабого уровня сигнала, а перерегистрировалось на новую точку (при одинаковом SSID).
Обычно выставляют диапазон типа "-75..120" при наличии нескольких точек доступа в нормальной доступности.
AP Tx Limit – ограничить скорость передачи данных этому клиенту. Значение "0" – без ограничений.
Client Tx Limit – передать ограничение скорости клиента. Поддерживается только на RouterOS клиентах.
Authentication – возможность авторизации. Если убрать галочку, устройство с этим MAC адресом, не сможет подключиться к вашей сети.
Forwarding – возможность обмена информацией с другими участниками беспроводной сети. Если убрать галочку с этого пункта – пользователь этого устройства не будет иметь доступа к другим клиентам wifi-сети.
Обычно на публичных точка доступа – галочку снимают, для экономии трафика и безопасности.
VLAN-Mode – С помощью VLAN Tagging можно отделить трафик виртуальных беспроводных точек доступа от локальных клиентов (например, что-бы отделитель гостевую сеть от рабочей). Значения:
VLAN-ID – VLAN-идентификатор.
VLAN не используем, оставляем по-умолчанию – "1".
Private Key – возможность установки персонального ключа шифрования для устройства с данным MAC адресом. Только для режимов WEP.
Private Pre Shared Key – персональный ключ шифрования. Используется в режиме WPA PSK.
Managment Protection Key – ключ защиты Managment Protection. Managment Protection – защита от атак деаутентификации и клонирования MAC-адреса. Выставляется на вкладке "General" в Security Profiles.
Time – в этом разделе можно указать временной диапазон, в рамках которого будет возможно подключение этого устройства.
Connect List
Interface – правило в списке connect list может быть применимо только к одному беспроводному интерфейсу. Тут мы его выбираем.
MAC Address – указываем MAC AP к которой будем подключатся.
Сonnect – если галочка стоит, то подключатся к точке доступа, которая соответствует этому правило, если не стоит – не подключатся.
SSID – подключатся только к точкам доступа, которые имеют указанный SSID, если не активно – к любым SSID.
Area Prefix – правило действует для интерфейса с заданным префиксом. Area – позволяет создать группу и включить беспроводные устройства в нее, а затем использовать определенные правила для этой группы и всех входящих в нее устройств, вместо того, чтобы создавать отдельные правила для каждого устройства. Это значение заполняется в настройках точки доступа и может быть сопоставлено с правилами в connect-list.
Signal Strength Range – подключатся только к точкам доступа в пределах заданного диапазона уровня сигнала.
Wireless Protocol – протокол беспроводной связи. Значения:
Security Profile – профиль безопасности, который соответствует защите точек доступа к которым идет подключение. Настраивается в Wireless Table — Security Profiles.
Общие рекомендации по безопасности WI-FI — сети:
1) используйте только WPA2-PSK с aes-ccm шифрованием.
2) отключите WPS.
3) для задания пароля используйте цифры, буквы верхнего и нижнего регистра, специальные символы.
4) регулярно меняйте пароль на точках.
5) если это возможно ограничите доступ по MAC-адресам в WiFi-сети.
6) снимите галочку Default Forward в настройках вашего интерфейса – запретите пересылку пакетом между wifi-клиентами.
7) скройте SSID вашей сети.
поменяйте MAC беспроводного интерфейса – для затруднения идентификации устройства.
Бонус
Скрипт, который анализирует логи Mikrotik. Если попадается сообщение о подключении с неправильным паролем – добавляется правило в access-list, которое запрещает данному клиенту (по MAC) подключатся к всем нашим беспроводным интерфейсам.
:local pop 4
:local mac
:local wifi [/log find message
Скрипт в планировщик с запуском каждые N минут. Для того, чтобы в бан не попадали разрешённые устройства – заранее добавляем их в Access List.
Security Profiles
). Не забывайте регулярно менять пароль (например раз в 15 дней). Mikrotik позволяется сделать это скриптом, у меня так меняется пароль на 10 офисах одновременно, если интересно – могу описать в отдельной статье.
Managment Protection не используем – оставляем disabled.
MAC Authentication – авторизация по mac-адресу. Эта настройка применяется к тем клиентам, которых нет в access-list. Сервер RADIUS будет использовать MAC-адрес клиента в качестве имени пользователя.
Галочку не ставим.
MAC Accounting – включить MAC-статистику.
Галочку не ставим.
EAP Accounting – включить EAP-статистику.
Параметр не изменяем.
MAC Mode – значения:
TLS Mode – режим проверки TLS. Значения:
TLS certificate – тут указываем непосредственно сертификат TLS.
Access List
MAC Address – MAC адрес устройства, которое будет подключатся к вашему роутеру. Если снять галочку Default Authenticate и выставить тут MAC адрес, то только это устройство сможет подключится к сети. Это и есть ограничение подключения по MAC-адресам в Mikrotik. Для того, что бы другое устройство смогло подключится к вашей точке, нужно внести его MAC в список правил.
Interface – интерфейс к которому будет производится подключение. Если указать "all" – правило будет применяться ко всем беспроводным интерфейсам вашего устройства.
Signal Strength Range – диапазон уровня сигнала, при котором возможно подключение. Настройка применяется в сетях с бесшовным роумингом между точками. Служит для того, что-бы ваше устройство не держалось за текущую точку доступа до критически слабого уровня сигнала, а перерегистрировалось на новую точку (при одинаковом SSID).
Authentication – возможность авторизации. Если убрать галочку, устройство с этим MAC адресом, не сможет подключиться к вашей сети.
Forwarding – возможность обмена информацией с другими участниками беспроводной сети. Если убрать галочку с этого пункта – пользователь этого устройства не будет иметь доступа к другим клиентам wifi-сети.
Private Key – возможность установки персонального ключа шифрования для устройства с данным MAC адресом. Только для режимов WEP.
Private Pre Shared Key – персональный ключ шифрования. Используется в режиме WPA PSK.
Managment Protection Key – ключ защиты Managment Protection. Managment Protection – защита от атак деаутентификации и клонирования MAC-адреса. Выставляется на вкладке "General" в Security Profiles.
Connect List
Area Prefix – правило действует для интерфейса с заданным префиксом. Area – позволяет создать группу и включить беспроводные устройства в нее, а затем использовать определенные правила для этой группы и всех входящих в нее устройств, вместо того, чтобы создавать отдельные правила для каждого устройства. Это значение заполняется в настройках точки доступа и может быть сопоставлено с правилами в connect-list.
Signal Strength Range – подключатся только к точкам доступа в пределах заданного диапазона уровня сигнала.
Https://timeweb. com/ru/community/articles/chto-oznachaet-oshibka-504-gateway-time-out-i-kak-ee-ispravit
Https://doc. photonengine. com/en-us/realtime/current/troubleshooting/analyzing-disconnects
Https://pcznatok. ru/kompjutery/disconnected-group-key-timeout-mikrotik. html
