PfSENSE -> WiFi AP -> Android



  • Ребят доброго времени суток. Помогите пожалуйста, а то я уже всю голову сломал.  :-[
    В общем ситуация такая:
    В оффисе шлюз на PfSense 2.1.5-RELEASE (i386) DHCP+PPTP. Настроил все работает, больше ничего не ставил. Далее подключаю в маршрутизатор TPLink WR1043ND в режиме точки доступа. Интернет раздает все отлично.
    На ноутбуке интернет есть.
    Захожу с телефона и  :-. Интернет вроде есть, а вроде и нет его. Страницы не открывает, Play Martet не открывает. VK не грузится. Телефон Android (С телефона в терминалке пингую vk.com, mail.ru, yandex.ru пинги идут)
    Накидал схемку в Paint  ;D
    [img]http://Схемка.jpg
    Понимаю что описание не полное, если нужна еще инфа напишу больше. Может кто сталкивался с такой траблой.
    Заранее спасиб!



  • Смените шифрование на AES+TKIP (чтобы оба были одновременно) и WPA + WPA2 (чтобы оба были одновременно) поставьте.
    Обновите прошивку на тп-линке до последней возможной.
    Не получится - прийдется на WEP переходить.

    Последний вариант - перейти на OpenWRT или Gargoyle (https://www.gargoyle-router.com/).



  • @werter:

    Смените шифрование на AES+TKIP (чтобы оба были одновременно) и WPA + WPA2 (чтобы оба были одновременно) поставьте.
    Обновите прошивку на тп-линке до последней возможной.
    Не получится - прийдется на WEP переходить.

    Последний вариант - перейти на OpenWRT или Gargoyle (https://www.gargoyle-router.com/).

    Спасибо за ответ!
    Я пробовал менять шифрование и на AES и на TKIP и Автоматически ставил - безуспешно :-[ (Правда только на TPLINK-e) на Андроиде не знаю как поставить шифрование, там вроде нельзя изменить данный параметр.

    Попробую прошить на выходных OpenWRT, отпишусь. Если нет, придется переходить на WEP :-[

    Спасибо!



  • Отключение AES отключает 802.11n
    Попробуйте использовать точку как бридж, просто  воткнув кабель из pfsense в любой из портов LAN Tplink, или в свободный порт свитча не используя  порт WAN.
    Это заодно избавит мобильных клиентов от двойного NAT.

    придется переходить на WEP
    WEP - солидная дыра в безопасности.



  • @izot0p:

    @werter:

    Смените шифрование на AES+TKIP (чтобы оба были одновременно) и WPA + WPA2 (чтобы оба были одновременно) поставьте.
    Обновите прошивку на тп-линке до последней возможной.
    Не получится - прийдется на WEP переходить.

    Последний вариант - перейти на OpenWRT или Gargoyle (https://www.gargoyle-router.com/).

    Спасибо за ответ!
    Я пробовал менять шифрование и на AES и на TKIP и Автоматически ставил - безуспешно :-[ (Правда только на TPLINK-e) на Андроиде не знаю как поставить шифрование, там вроде нельзя изменить данный параметр.

    Попробую прошить на выходных OpenWRT, отпишусь. Если нет, придется переходить на WEP :-[

    Спасибо!
    [/quote]

    Проверил WEP! Видимо дело не в шифровании  :-\ Ставил без шифрования, такая же бабуйня (((
    На Windows Phone 8.1 все нормально работает, на Apple тоже все отлично. Приложение VK просто на ура работают. На моем андроиде нет((( В чем дело, даже не укладывается в голове( Дома все работает (Дома тоже TPLink )



  • @pigbrother:

    Отключение AES отключает 802.11n
    Попробуйте использовать точку как бридж, просто  воткнув кабель из pfsense в любой из портов LAN Tplink, или в свободный порт свитча не используя  порт WAN.
    Это заодно избавит мобильных клиентов от двойного NAT.

    придется переходить на WEP
    WEP - солидная дыра в безопасности.

    Спасибо! У мну как раз так и cделано) Все как вы сказали. Кабель из PfSense.LAN подключен к маршрутизатору, а от маршрутизатора кабель идет в LAN.TPLink (DHCP off) :'(



  • На форуме вы уже не первый, кто жалуется на неадекватную работу Андроид-девайсов в связке AP+PfSense.
    Предположу - дело именно в связке -  AP-PfSense-конкретный Андроид, так как остальные WiFi устройства работают нормально.
    Встречался с подобным и сам, правда вне PfSense:
    Китайский планшет ни в какую не хотел работать с бесплатными модемами разных версий, выдаваемыми провайдером и прекрасно заработал с самым дешевым tplink.

    Перебирать всю сеть из-за одного Андроид-девайса…
    Возьмите на тест другую точку доступа - у коллег\друзей\в магазине.



  • 2 pigbrother
    Вы уж определитесь, дело в "конкретном" Андроиде или в "другой точке доступа", конкрентный вы наш.
    И каков смысл во фразе "бесплатными модемами разных версий, выдаваемыми провайдером"? :-)
    –-
    Единственный вывод - следующий: у человека работает ICMP протокол и не работают TCP/UDP. Если хосты пингуются по IP, то UDP на 53 порт тоже пашет. А далее смотреть надо почему дропаются/не роутяться пакеты. Только здесь грусть-печать: torch'а же нетути. :-)



  • Все же смените прошивку на альтернативную. Советую Gargoyle - она проще в понимании. Если что, то вернете заводскую обратно.



  • @pigbrother:

    Возьмите на тест другую точку доступа - у коллег\друзей\в магазине.

    Пробовал с другой точкой, Dlink AP2100, результат точно такойже :-[

    [quote author=werter link=topic=82298.msg450353#msg450353 date=1412055074]
    Все же смените прошивку на альтернативную. Советую Gargoyle - она проще в понимании. Если что, то вернете заводскую обратно.

    Спасибо попробую(обязательно), но чую что дело тут не в роутере вообще.
    Этот же роутер раздавал интернет, до появление PfSense и по LAN и по WiFi. Работал не очень стабильно, но работал.  :-[

    [quote author=aleksvolgin link=topic=82298.msg450260#msg450260 date=1412015102]
    2 pigbrother
    Единственный вывод - следующий: у человека работает ICMP протокол и не работают TCP/UDP. Если хосты пингуются по IP, то UDP на 53 порт тоже пашет. А далее смотреть надо почему дропаются/не роутяться пакеты. Только здесь грусть-печать: torch'а же нетути. :-)

    Где можно проверить? В PfSense недавно, читал что надежный не проблематичный. Пока у мня складывается совсем другое представление. :-\



  • Где можно проверить? В PfSense недавно, читал что надежный не проблематичный. Пока у мня складывается совсем >другое представление. :-\

    То, что в PfSense заработало, будет работать, надежно и без проблем. Это справедливо, по крайней мере, для ветки 2.0.х



  • @werter:

    Все же смените прошивку на альтернативную. Советую Gargoyle - она проще в понимании. Если что, то вернете заводскую обратно.

    Перепрошил на выше указанную прошивочку роутер. Настроил все как полагается, но к сожалению проблема осталась на месте.  :-[
    Так что теперь точно можно сказать что трабл не в роутере, а где-то в PfSense 8)

    P.S Перепрошил так же телефон, на стоковую прошивку. Как выше писал проблема на том же((

    Интересно еще такая вешь, сайты в браузере грузит, правда одни вроде до конца, другие не до конца. Когда качал прошивку через [b]браузер+яндекс.диск загрузка 3 Mbs. В два счета загрузилась)
    Приложение Вконтакте при обновление 10-80 Bits\s. А Play Market вообще не открывается, пишет что соединения с интернетом отсутствует :-[ :-[
    Даже не знаю уже в какую сторону смотреть. Может кто еще что предложит? Рассмотрим любые варианты))
    Спасибо!



  • Прокси сервер есть на pf ? И сквидгвард ?



  • @werter:

    Прокси сервер есть на pf ? И сквидгвард ?

    Нет. Пока не ставил. Но планирую Сквид+сквидгуард ставить, если конечно заработает у меня эта прелесть))
    Практически чистый PfSense.

    1. Поднято соединение с провайдером по pptp+dhcp.
    2. DHCP Server прописал только диапазон IP адресов + DNS
    3. Проброс порта RDP
      И все)


  • Правила на LAN покажите. У вас на WAN белый адрес или серый получаете при поднятие сессии ?



  • @werter:

    Правила на LAN покажите. У вас на WAN белый адрес или серый получаете при поднятие сессии ?

    1. LAN правила в картинке
    2. На WAN интерфейсе, при поднятии сессии получаю серый IP (172.18….)


  • Возьмите на время др. роутер.



  • @izot0p:

    @werter:

    Правила на LAN покажите. У вас на WAN белый адрес или серый получаете при поднятие сессии ?

    1. LAN правила в картинке
    2. На WAN интерфейсе, при поднятии сессии получаю серый IP (172.18….)

    1. полный адрес и маску покажи которую ты получил на wan.
    2. какой ip и какая маска у тебя  стоит на lan
    а. проводные клиенты получают ip или у них статика?
    б. Какие параметры получают клиенты по wifi (dns, ip, шлюз,)?
    3. что за интерфейс opt1?(если это wan, то важно)
    4. что за провайдер? Клиентов много?
    p.s. Проблема не в андроид, будь уверен. И наверника не в роутере.



  • @bill_open:

    @izot0p:

    @werter:

    Правила на LAN покажите. У вас на WAN белый адрес или серый получаете при поднятие сессии ?

    1. LAN правила в картинке
    2. На WAN интерфейсе, при поднятии сессии получаю серый IP (172.18….)

    1. полный адрес и маску покажи которую ты получил на wan.
    2. какой ip и какая маска у тебя  стоит на lan
    а. проводные клиенты получают ip или у них статика?
    б. Какие параметры получают клиенты по wifi (dns, ip, шлюз,)?
    3. что за интерфейс opt1?(если это wan, то важно)
    4. что за провайдер? Клиентов много?
    p.s. Проблема не в андроид, будь уверен. И наверника не в роутере.

    То что проблема не в андроиде и не в роутере это точно. Какой-то незатык с PFSense  :-[

    [u]1) Инфа по WAN:
    IPv4 address         172.18.22.3 
    Subnet mask IPv4 255.255.255.0
    Gateway IPv4       172.18.22.1
    ISP DNS servers      127.0.0.1
                                  195.135.213.5
                                  195.135.212.6
                                  195.135.212.5

    1. Инфа по LAN:
      IPv4 address          192.168.1.1 
      Subnet mask IPv4 255.255.255.0

    2. Проводные клиенты получают IP по DHCP, как вообщем и WiFi пользователи
      Настроики DHCP:
      Subnet                192.168.1.0
      Subnet mask      255.255.255.0
      Available range   192.168.1.1 - 192.168.1.254
      Range                    192.168.1.120-192.168.1.180
      DNS 1                      192.168.1.1

    3. Интерфейс Opt1 - это виртуальный интерфейс, настраивается поверх WAN интерфейса.
      Настройки Opt1:
      IPv4 address         109.237..
      Subnet mask IPv4 255.255.255.255
      Gateway IPv4       195.135.212.5

    4. Провайдер Etype (Калининград), клиентов много.



    1. Интерфейс Opt1 - это виртуальный интерфейс, настраивается поверх WAN интерфейса.

    В смысле - это что-то туннельное ?



  • @werter:

    1. Интерфейс Opt1 - это виртуальный интерфейс, настраивается поверх WAN интерфейса.

    В смысле - это что-то туннельное ?

    ТС в первом посте вроде как указал:
    В оффисе шлюз на PfSense 2.1.5-RELEASE (i386) DHCP+PPTP.



  • https://forum.pfsense.org/index.php?topic=78325.0
    Вот мой топик, такая же проблема, и роутеры другие пробовал, и телефон другой брал, и полный доступ открывал! Мне ничего не помогло…. Думал, может косяк в размере MTU, так как в PfSense я указал 1492, а на андроиде изменить не нашёл как....
    Но теперь у меня новый провайдер, там размер MTU 1500, но всё равно не работает! Хотя, я подозреваю то, что PfSense не может вернуть размер MTU на 1500, потому что, если я на ноутах возвращаю размер MTU 1500, то интернет пропадает... Видимо надо сбрасывать в ноль прокси и с бэкапа настройки восстанавливать...



  • @Volk170288:

    https://forum.pfsense.org/index.php?topic=78325.0
    Вот мой топик, такая же проблема, и роутеры другие пробовал, и телефон другой брал, и полный доступ открывал! Мне ничего не помогло…. Думал, может косяк в размере MTU, так как в PfSense я указал 1492, а на андроиде изменить не нашёл как....
    Но теперь у меня новый провайдер, там размер MTU 1500, но всё равно не работает! Хотя, я подозреваю то, что PfSense не может вернуть размер MTU на 1500, потому что, если я на ноутах возвращаю размер MTU 1500, то интернет пропадает... Видимо надо сбрасывать в ноль прокси и с бэкапа настройки восстанавливать...

    Читал на форумах про изменения значения MTU, и на PfSENSE впринцыпе знаю где поменять. Только у меня чувство, что инет ляжет, как только изменения вступят в силу((
    Я оставил данное значение пустым, чтоб автоматом получать. Звонил провайдеру, хотел узнать точное значение MTU, ответа так и не дождался, они предлагают оставить авто(((



  • Я оставил данное значение пустым, чтоб автоматом получать. Звонил провайдеру, хотел узнать точное значение MTU, ответа так и не дождался, они предлагают оставить авто(((

    Зачем звонить, мой младший друг ? Открою тайну великую - команды tracert и ping. И да пребудет с тобой Сила!



  • @werter:

    Я оставил данное значение пустым, чтоб автоматом получать. Звонил провайдеру, хотел узнать точное значение MTU, ответа так и не дождался, они предлагают оставить авто(((

    Зачем звонить, мой младший друг ? Открою тайну великую - команды tracert и ping. И да пребудет с тобой Сила!

    Спасибо! Буду знать) Прошу прощение за тупость))
    P.S
    Попробовал вариант определения MTU ping-ом. Делаю так:

    –- ping google.com -f -l 1480

    Обмен пакетами с google.com [46.61.155.152] с 1480 байтами данных:
    Требуется фрагментация пакета, но установлен запрещающий флаг.
    Требуется фрагментация пакета, но установлен запрещающий флаг.
    Требуется фрагментация пакета, но установлен запрещающий флаг.

    Статистика Ping для 46.61.155.152:
        Пакетов: отправлено = 3, получено = 0, потеряно = 3
        (100% потерь)

    –- ping google.com -f -l 1470

    Обмен пакетами с google.com [46.61.155.152] с 1470 байтами данных:
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.

    Должен же пинговаться? Пинг без длины пакетов и фрагментации, проходят на ура((

    –- ping google.com

    Обмен пакетами с google.com [46.61.155.55] с 32 байтами данных:
    Ответ от 46.61.155.55: число байт=32 время=27мс TTL=59
    Ответ от 46.61.155.55: число байт=32 время=25мс TTL=59
    Ответ от 46.61.155.55: число байт=32 время=24мс TTL=59
    Ответ от 46.61.155.55: число байт=32 время=29мс TTL=59

    Статистика Ping для 46.61.155.55:
        Пакетов: отправлено = 4, получено = 4, потеряно = 0
        (0% потерь)
    Приблизительное время приема-передачи в мс:
        Минимальное = 24мсек, Максимальное = 29 мсек, Среднее = 26 мсек





  • Теперь так:
    Проблема у тебя скорее всего из за маршрута по умолчанию в системе(выложи какой интерфейс у тебя считается по умолчанию). Для мобильных клиентов при использовании двух wan часто возникает проблема маршрутизации трафика(незнаю почему).
    Диагностика гипотезы:
    Нужно на мобильном клиенте(где наблюдается проблема) запустить ping адреса 172…..(какой нибудь адрес, например сервер соединений pptp, он у тебя указан в правиле подключения opt1).
    Второй вариант проблемы:
    Проблема с резолвинглм днс. Домен в сети есть? в pfsense галочка dns forward стоит?
    Попробуй настроить dhcp, что бы клиенты получили вторым днсом 8.8.8.8.
    Жду результатов....



  • И да, на пк запусти пинг 172…



  • @bill_open:

    Теперь так:
    Проблема у тебя скорее всего из за маршрута по умолчанию в системе(выложи какой интерфейс у тебя считается по умолчанию). Для мобильных клиентов при использовании двух wan часто возникает проблема маршрутизации трафика(незнаю почему).
    Диагностика гипотезы:
    Нужно на мобильном клиенте(где наблюдается проблема) запустить ping адреса 172…..(какой нибудь адрес, например сервер соединений pptp, он у тебя указан в правиле подключения opt1).
    Второй вариант проблемы:
    Проблема с резолвинглм днс. Домен в сети есть? в pfsense галочка dns forward стоит?
    Попробуй настроить dhcp, что бы клиенты получили вторым днсом 8.8.8.8.
    Жду результатов....

    Когда прописываю гугловский DNS телефон что-то пытается, но очень скудно.
    Прописывал так: (192.168.1.1 + 8.8.8.8) и (8.8.8.8 + 8.8.4.4)



  • Я не понимаю "очень скудно", открывает или нет? Запусти с проблемного клиента пинг и трасерт ya.ru



  • @bill_open:

    Я не понимаю "очень скудно", открывает или нет? Запусти с проблемного клиента пинг и трасерт ya.ru

    C гугловскими DNS или с 192.168.1.1?
    Пинги идут и так и так, а страницы не грузит и приложение VK (android) не грузит, PlayMarket тоже(((



  • Так же заметил такую вещь:

    Скорость передачи данных, какая-то слабая совсем, если учесть что телефон лежит на одном столе с точкой((



  • Рискну предположить, что может быть следует с каналами WiFi поиграться? Встать, например, на 1-й. У андроида выше 10го канала может быть ступор случиться. Желательно на андроиде запустить Wifi Analyzer, или на я ноуте запускаю insssider (старую версию).

    ОФФ: Интересная горгулина, даже не знал о такой. Рисует скорость и мощность сигнала до клиента.



  • @NetWiz:

    Рискну предположить, что может быть следует с каналами WiFi поиграться? Встать, например, на 1-й. У андроида выше 10го канала может быть ступор случиться. Желательно на андроиде запустить Wifi Analyzer, или на я ноуте запускаю insssider (старую версию).

    ОФФ: Интересная горгулина, даже не знал о такой. Рисует скорость и мощность сигнала до клиента.

    Данная статистика представлена на 6-канале. WiFi Analyzer кажет, что все отлично, связь с точкой отличная.



  • @NetWiz:

    ОФФ: Интересная горгулина, даже не знал о такой. Рисует скорость и мощность сигнала до клиента.

    Это вы еще Tomatousb shibby's mod не видели :) http://tomato.groov.pl/?page_id=31



  • Скажите, с андроида открывается веб-морда pfSense? Не увидел этого теме.



  • @NetWiz:

    Скажите, с андроида открывается веб-морда pfSense? Не увидел этого теме.

    Да. Отлично открывается)



  • Домен есть?



  • @bill_open:

    Домен есть?

    Да



  • Попробовал вариант определения MTU ping-ом. Делаю так:

    –- ping google.com -f -l 1480

    --- ping google.com -f -l 1470

    --- ping google.com

    ping до WAN гейта

    ping 195.135.212.5

    варьируйте -l от 1400 и до пропадания
    Такой MTU оставьте на роутере.


Log in to reply