Привет, Хабр!

В работе с гостевыми Wi-Fi сетями столкнулся с неприятной проблемой. Много устройств Apple iPhone и iPad отключается от Wi-Fi при затухании экрана (блокировка) и, при отсутствии мобильного интернета, сообщения из мессенджеров не приходят и гости эмоционально реагировали: «не в АйФоне же дело!? Дома всё в порядке на домашнем роутере!»

Дело почти дошло до «замены шлюза с встроенным контроллером точек доступа», управляющего десятками точек доступа, но ведь у Андроидов и Windows-устройств всё в порядке было...

В статье излагаются результаты проведенных исследований, перечисляются все танцы с бубном и перепробованные способы устранения проблемы. Печально, но решение, устроившее бы всех, так и не было найдено. Может быть после прочтения кому-то придет в голову что можно сделать. А тому, кто изложит в комментариях реальный фикс, который решит проблему на моём оборудовании, будет подарок: функциональный и стильный рюкзак от Zyxel.

Мои предыдущие статьи (спойлер).

В конце текста информация обо мне.

Итак, если разблокировать экран, телефон снова ищет Wi-Fi точку доступа и подключается к ней, если стояла галочка «Автоподключение», которая по дефолту не стоит при первом подключении к Wi-Fi. Необходимо вручную активировать её.

Рис.1 - Галочка для автоподключения к Wi-Fi.
Рис.1 - Галочка для автоподключения к Wi-Fi.

При повторной блокировке экрана аналогично АйФон отключается от Wi-Fi и снова к нему подключается при разблокировке и так было у всех и постоянно. Очень раздражало всех, и меня как сетевика, и гостей, что Wi-Fi «хреново» работает на их суперском АйФоне. У меня самого iPhone, когда интернет заканчивался на симке по тарифу, при отключении от Wi-Fi сообщения в мессенджерах не приходили.

Да сколько же это будет продолжаться?
Да сколько же это будет продолжаться?

Не оставлять же телефон с постоянно включённым экраном? Поиск в интернете предложил много сайтов и видеороликов. Рекомендации в основном были такие:

  • «Помощь Wi-Fi» отключить;

  • эксперименты с настройками GPS, конфиденциальностью;

  • эксперимент с временами аренды DHCP.

Это не помогло. Ещё были рекомендации, которые совпали с рекомендациями техподдержки Apple после официального обращения к ним:

  • жёсткая перезагрузка (кнопки ДОМОЙ+ВКЛ/ВЫКЛ или др. комбинации);

  • обновление ПО шлюза (роутера);

  • сброс шлюза и с повторной настройкой с нуля;

  • «Сбросить настройки сети» на телефоне.

Перечисленные рекомендации, не помогли, кроме последней. Она помогла на пару дней, потом проблема снова повторялась. Далее были ещё рекомендации:

  • обновление версии iOS до актуальной;

Обновление iOS реально помогло, но потом редко у некоторых проблема стала повторяться. Хозяин телефона «Сбросить настройки сети» отказывался и такое всем не предложишь.

Самое удивительное было то, что когда выходит новая версия iOS,  нынешняя исправная версия начинает отваливаться от Wi-Fi. Раньше же нормально работало на этой же версии! Получается, что как версия iOS устаревает, телефон будет отваливаться от Wi-Fi.

Как быть тогда с пенсионерами Apple 5s; 6 у которых последняя версия iOS 12.5.5? Эти модели тоже отваливались от Wi-Fi.

Следующая рекомендация такая была:

  • замените! шлюз или точку доступа.

Замените шлюз с точками доступа количеством 128 шт.
Замените шлюз с точками доступа количеством 128 шт.

Звучит как приговор. Домашний роутер ладно, там одна железка за 3 тыс.рублей и поменяться с кем-нибудь на время можно.

Как быть с шлюзом с аппаратным контроллером, который заведует десятками точек доступа? В этот комплекс столько денег, нервных клеток, переговоров с интеграторами, времени было вложено. Один только шлюз стоит 100 тыс.рублей, а если Cisco за 1 млн рублей был бы? Ну да, конечно, денег молча дали, заказал шлюз, привезли, поменял, ага, размечтались. 128 штук точек доступа тоже нужно поменять? Большинство на потолках, высотой 3-9 м, со стремянки не достанешь.

И руководству что говорить? Что в проекте ошиблись вендором, нужно его поменять на другого вендора ради телефонов Apple?

Поэтому вариант смены шлюза и точек доступа был неприемлемым, но давайте проверим детально, а верна ли эта рекомендация? Может поможет или АйФоны опять будут отваливаться? 

Поэтому пришлось собрать АйФоны моделей iPhone 4s (iOS 9.3.5), 5s (iOS 12), 6 (iOS 10) и 7 (iOS 11 и 13), звал коллег из других подразделений потестить их АйФоны, вкусняшки покупал в знак благодарности. Всё это тестировал на свободном резервном шлюзе Zyxel UAG5100 с управляемой точкой доступа Zyxel NWA5121-NI, сброшенные в дефолтное состояние, настраивал шлюз небольшими шагами с обязательной проверкой поведения АйФонов, после какой настройки начнут отваливаться АйФоны от Wi-Fi.

Таблица 1 - Поиск причины отключения АйФона от Wi-Fi.

№ шага

Внесённая настройка

iPhone 4s (iOS 9.3.5), 5s (iOS 12), 6 (iOS 10) и 7 (iOS 11 и 13) и другие отключились от Wi-Fi?

1

WAN порт, DHCP в LAN подсети и SSID “Test”

нет

2

Время аренды DHCP

нет

3

DNS

нет

4

Радиоканалы, мощность, балансировка SSID

нет

5

Привязка IP/MAC, изоляция L2

нет

6

BWM; ограничение скоростей в SSID; Intra-BSS

нет

7

Включение Captive Portal (портал авторизации)

ДА, после ввода ваучера

8

Выключение Captive Portal (портал авторизации)

нет

9

Включение Captive Portal (портал авторизации)

ДА, после ввода ваучера

10

Внесение MAC-адресов АйФонов в белый список, чтобы не запрашивать у них авторизацию

нет

Значит после пройденной авторизации через Captive Portal (могут называться как портал авторизации или веб-аутентификация) АйФон отваливается от Wi-Fi.

Сбрасываю ещё раз конфиг UAG5100, чтобы исключить остальные взаимосвязанные настройки, оставив критические. Если проблема повторится, то попробую другие точки доступа.

Таблица 2 - Сравнение поведение АйФонов с различными точками доступа Wi-Fi на этом же шлюзе из таблицы 1, но с нуля заново настроенный по таблице 2.

№ шага

Внесённая настройка

iPhone 4s (iOS 9.3.5), 5s (iOS 12), 6 (iOS 10) и 7 (iOS 11 и 13) и другие отключились от Wi-Fi?

1

WAN порт, DHCP в LAN подсети и SSID «Test»

нет

2

Включение Captive Portal (портал авторизации)

ДА

3

Выключение Captive Portal (портал авторизации)

нет

4

Точку доступа меняю на Zyxel NWA5123-AC с SSID «Test2»

нет

5

Включение Captive Portal

ДА

6

Выключение Captive Portal

нет

7

Точку доступа меняю на автономную D-Link DAP-2690 с SSID «Test3»

нет

8

Включение Captive Portal

ДА

9

Выключение Captive Portal

нет

10

Точку доступа меняю на домашний однодиапазонный роутер Zyxel Keenetic 4G в режиме точки доступа, чтобы SSID «Test4» работал только на 2.4 ГГц

нет

11

Включение Captive Portal

ДА

12

Выключение Captive Portal

нет

13

Точку доступа меняю на Элтекс WEP-2ac «Test5»

нет

14

Включение Captive Portal

ДА

15

Выключение Captive Portal

нет

16

Возвращаю точку доступа Zyxel NWA5121-NI в режиме автономной (заранее сбросив её конфиг)

нет

17

Включение Captive Portal

ДА

18

Выключение Captive Portal

нет

19

Выключаю DHCP на шлюзе и установил статический IP на АйФонах

нет

20

Включение Captive Portal

ДА

21

Выключение Captive Portal

нет

22

Переключаю Zyxel NWA5121-NI в управляемый режим

нет

23

Включение Captive Portal

ДА

В таблицах 1 и 2 Captive Portal тестировал со встроенным сервисом по ваучерам, потом тестировал с пятью внешними сервисами авторизаций, проблема оставалась такая же, iPhone отваливается от Wi-Fi.

Рис.2 - Поведение АйФона по логам шлюза с DHCP.
Рис.2 - Поведение АйФона по логам шлюза с DHCP.

Меняю шлюз на другие на тестовом стенде.

Таблица 3 - Проверка поведения АйФонов, подключённых к Wi-Fi после прохождения авторизации через Captive Portal на различных шлюзах.

Наименование шлюза с настройками как из таблицы 2 (1-я и 2-я строки).

iPhone 4s (iOS 9.3.5), iPhone 5s (iOS 12), 6 (iOS 10) и 7 (iOS 11 и 13) и другие отключились от Wi-Fi?

1

Zyxel VPN300

ДА

2

Не шлюз, но с функционалом Captive Portal. Программный комплекс Элтекс SoftWLC

ДА

3

Шлюз Элтекс ESR-20

ДА

В таблице 3 проверялись встроенные и внешние сервисы авторизации, поведение не поменялось, iPhone отключается от Wi-Fi.

Прошу обратить внимание, во всех трёх таблицах проблем с Андроидами и Windows не было. Там всё хорошо.

Спросил у знакомого, любителя Микротиков, насчёт АйФонов. Ответил, что у него тоже самое, iPhone отваливаются от Wi-Fi.

Узнаем у Гугла, как у заокеанских коллег на родине АйФонов дела обстоят? Первым предложил ссылку на форум Микротиков

Рис.3 - Скриншот с форума Микротика с темой про iPhone, отключающиеся от хотспотов.
Рис.3 - Скриншот с форума Микротика с темой про iPhone, отключающиеся от хотспотов.
Рис.4 - Перевод текста на рис.3.
Рис.4 - Перевод текста на рис.3.

Но больше волнуют Cisco и Aruba, земляки АйФонов, всё-таки в одной стране находятся, может у них получше с этой проблемой.

Вот на форуме Арубы

Рис.5 - Скриншот с форума Арубы с темой про iOS, отключающихся от Wi-Fi (с переведённым текстом).
Рис.5 - Скриншот с форума Арубы с темой про iOS, отключающихся от Wi-Fi (с переведённым текстом).

Там на форуме Cisco

Рис.6 - Скриншот с форума Cisco с темой про iPhone.
Рис.6 - Скриншот с форума Cisco с темой про iPhone.

Перевод текста (рис.6, 7 и 8):

Рис.7 - Перевод текста.
Рис.7 - Перевод текста.
Рис.8 - Перевод текста (продолжение рис.7).
Рис.8 - Перевод текста (продолжение рис.7).
Рис.9 - Перевод текста (продолжение рис.8).
Рис.9 - Перевод текста (продолжение рис.8).

А вот и реакция гостей в этой же теме «iPhone silent disconnect issue in guest wireless network.» и как много точек доступа и гостей у них, 6000! точек доступа!

Рис.10 - Скриншот с форума Cisco с переводом.
Рис.10 - Скриншот с форума Cisco с переводом.

напоследок видео из этой же темы.

Действительно так и ведут себя АйФоны в гостевых сетях с Captive Portal. Даже добавить нечего.

Итог: дочитав вышеуказанные ссылки на форумы, проблему так и не устранили. На американском оборудовании тоже американские АйФоны отваливаются и обратите внимание на даты создания тем. Проблема годами сохраняется. У коллеги iPhone 12 на прошлой неделе обновился на самую последнюю версию iOS 15 и стал отваливаться от Wi-Fi, а на предыдущем обновлении всё нормально было.

Вывод: проблема в устройствах Apple, но не в шлюзах и точках доступа, поэтому рекомендация «смена шлюза и точек доступа» явно не сработала, не помогла и, к огромному счастью, ей следовать не придётся.

В общем, отключение Captive Portal действительно помогает, всё отлично работает, но его отключать нельзя (постановления Правительства РФ №758 от 31 июля 2014 года и №801 от 12 августа 2014 года). Ищем варианты подружить Apple с Captive Portal.

Методом тыка выявил , что есть шанс немного помочь гостям двумя способами, прошедшие авторизацию:

Способ 1 (для чайников):

1. Забыть сеть;

2. Заново подключиться к Wi-Fi

и устройство не будет отключаться от Wi-Fi до истечения срока авторизации. Когда истечёт авторизация, страница авторизации сама не выскочит и гость впадает в ступор, почему нет интернета и как пройти авторизацию, если страница авторизации не появляется?

Объяснение, с какой проблемой сталкиваются чайники:

по идее, ему нужно идти в Safari и самостоятельно набрать в адресной www.ru или любой http сайт, таких почти не осталось в интернете, всё на https переехало. Большинству набор адреса страницы является трудновыполнимой задачей (в некоторых браузерах адресной строки уже нет).

Поэтому,  чтобы страница авторизации появилась как прежде, необходимо:

3. Забыть сеть;

4. Заново подключиться к Wi-Fi;

5. Появится страница авторизации, но после прохождения авторизации по устройство снова будет отключаться от Wi-Fi как прежде. Повторить пункт 1 и 2.

И так каждый раз, пока не поставят последнюю версию iOS (не является 100% гарантией устранения проблем).

Способ 2 (для продвинутых):

1. Забыть сеть;

2. Заново подключиться к Wi-Fi

и устройство не будет отключаться от Wi-Fi до истечения срока авторизации. Когда истечёт авторизация, страница авторизации сама не выскочит.

3. Зайти в Safari и в адресной строке (не в строке поиска!!!) набрать самостоятельно www.ru или http://www.ru или http://6.6.6.6 (IP-адрес хотспота шлюза) или любой http сайт. Редирект на страницу авторизации с https сайта не будет работать;

4. Пройти авторизацию как обычно и всё будет нормально работать, АйФоны не отключаются от Wi-Fi. При истечении авторизации повторить пункт 3.

Не совсем удобные способы, слишком много действий нужно, чтобы всё нормально заработало и всем не объяснишь, мануалы никто не читает.

Дальше ещё одно исследование с неуспешным концом. Яндекс подсказал ещё эту статью. Цитирую оттуда кусочек текста

Убедитесь, что страница www.apple.com/library/test/success.html доступа из вашей сети, или настройте редирект на свой веб-сервер, который будет убеждать айфоны в том, что все в порядке. :)

Получается, что при подключении к Wi-Fi Apple ищет наличие интернета успешной загрузкой страницы  http://www.apple.com/library/test/success.html и если удалось загрузить страницу, значит всё в порядке с доступом в интернет и не будет отключаться от Wi-Fi. Но в сетях с Captive Portal очевидно, что интернета не будет до успешной пройденной авторизации, соответственно Captive Portal не позволит неавторизованным АйФонам загрузить страницу http://www.apple.com/library/test/success.html и выскочит страница авторизации, что в принципе правильное поведение. Если гость потом авторизацию успешно пройдёт, АйФон всё равно будет считать, что интернета нет и продолжит отключаться до сброса сети. Далее, после повторного подключения к Wi-Fi ранее авторизованного АйФона, он не будет отключаться от Wi-Fi, т.к. успешно загрузит http://www.apple.com/library/test/success.html.

Исходя из этого, попробуем занести эту ссылку в белый список, которые можно пропускать в интернет без авторизации.

Это не помогло, АйФоны отключаются от Wi-Fi как обычно, хотя на ссылку удаётся зайти без авторизации.

Всё на сегодня. Мне самому очень нравятся АйФоны, несмотря на цену, но эта вот болячка с Wi-Fi через авторизацию портит всё.

А как у вас? Удалось ли кому решить проблему? Поделитесь, пожалуйста, в комментариях. Предлагайте решение, я проверю у себя и если всё заработает - рюкзак ваш.

Устройства, где нужно пофиксить проблему:

  • Zyxel UAG5100 (несильно отличается от шлюзов серий ZyWALL, USG);

  • Zyxel VPN300 (несильно отличается от шлюзов серии USG Flex; ATP);

  • Точки доступа любые, они не влияют на Captive Portal.

Об авторе:

Кто я? Меня зовут Александр. 16 лет профессионально занимаюсь СКС и сетевым оборудованием. Больше времени провожу с СКС (монтаж, обслуживание), чем с настройкой сетевого оборудования, поэтому на настройки времени особо нет, но получил много опыта работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в телеграме - @NSanchez13, так что, если будут вопросы, комментарии, мнения – милости прошу.

Полезные ссылки:

Комментарии (118)


  1. cepera_ang
    19.10.2021 12:36

    То есть проблема только в открытых сетях?


    1. Zyxel_South Автор
      19.10.2021 12:46
      +2

      Нет. Проблема только там, где авторизация средствами Captive Portal (портал авторизации). Если не ставить пароль или ставить пароль на SSID — это не помогает. Вся проблема АйФонов упирается только в портал авторизации.
      Если отключить портал авторизации, всё нормально у АйФонов в открытой сети )


      1. cepera_ang
        19.10.2021 12:52

        Прикольно :)


      1. sirocco
        19.10.2021 18:42

        Ну не знаю. У меня другая проблема. Все устройства работают прекрасно. Все! И даже iPad. И айфон работал прекрасно. Но в какой-то момент только айфон перестал работать - брать интернет от wifi. У меня обычная точка доступа сяоми и микротик. В афоне просто перестал работать интернет при подключении по wifi. Всё, что только можно делал, и все блокировки отключал, и mac/имя сети менял... После очередного обновления инэт на афоне начал работать и через WiFi, но скорость ~100Кбит.

        Опять, что только не делал, не победил. До сих пор такая фигня. С айпадом проблем небыло.

        Было решено купить новую точку доступа. И вуаля, снова всё заработало. Но до очередного обновления айфона. Я не знаю как это происходит, словно операционка айфона добавляет мои точки доступа и окружение в блек лист и работает на минимальной скорости. Причём это касается и локальных ресурсов, работающих через WiFi. Ненавижу айфоны.


        1. Zyxel_South Автор
          19.10.2021 19:24

          После очередного обновления инэт на афоне начал работать и через WiFi, но скорость ~100Кбит.

          Ваша проблема очень знакома, это другое, не портал авторизации.
          У вас телефон не случайно XS модели?


          1. sirocco
            19.10.2021 20:20

            Старенький 6S+.


            1. Zyxel_South Автор
              19.10.2021 22:19
              +4

              Старенький 6S+.


              С такой проблемой как у вас столкнулся со всеми моделями XS, когда они впервые ночью обновились с iOS 12 на iOS 13.
              Откатить версию как известно — невозможно стандартно.
              С другими Apple и Андроидами проблем не было никаких. Проблема была только с XS, точку доступа менял на аналогичную, проблема оставалась.

              Поэтому проверьте на вашей точке доступа, какая скорость соединения Wi-Fi у iPhone XS. Показывал Tx 1 мбит/с, а Rx от 54 до 128 мбит/с, по факту iPhone XS всё качал со скоростью ~10-100 кбит/с как у вас, а отправка была не менее 30 мбит/с, сигнал был отличным -50 дБм!

              На других iPhone и iPad всё отлично было, на 2.4 ГГц 100 мбит/с показывали как на отправку, так и на приём. Они больше показывают, но коммутатор был 100 мбитный.
              Долго искал причину, нашёл 3 варианта, которые помогли:
              1. отключить 2.4 ГГц и оставить только 5 ГГц.
              2. Поиграться с настройками для 2.4 ГГц: support rate; basic rate, MCS, fixed rate Multicast и Multicast To Unicast.
              3. Смена шлюза с функционалом контроллера точек доступа (Zyxel NXC5200 был EOL) на Zyxel UAG5100, но ведь когда был iOS 12 никаких проблем не было!
              В этом случае проблема была в явной несовместимости iOS 13-14 только у iPhone XS с прошивкой единичного конкретного контроллера EOL, который с 2015 не получает новые прошивки и такая же прошивка стояла у управляемой точки доступа.


              1. Zyxel_South Автор
                20.10.2021 10:36

                Вдобавок к этому сообщению:

                4. Поменяли iPhone XS на iPhone 12 Pro с iOS 15, всё отлично никаких проблем нет, какие были только у XS. Почему мы все теперь должны были менять контроллер с точками доступа из-за какой-то одной модели телефона?


      1. Zalechi
        21.10.2021 12:04
        +1

        Открываем вики и узнаем механизм работы Capativ Portal: https://ru.wikipedia.org/wiki/Captive_portal

        Такие ощущение, что Apple в iOS так настроила механизмы поведения системы, что при блокировке телефона сбрасываются активное WiFi-подключение установленное через HTTP-ответ: код-511; ради целей безопасности пользователей в ущерб гибкости, но в угоду защиты.

        Связываться с разработчиками стандарта из Стэнфордского университета видимо нет смысла, ибо из описания проблемы видно, что сессия принудительно сбрасывается операционной системой.


        1. Zyxel_South Автор
          21.10.2021 20:47
          +1

          Открываем вики и узнаем механизм работы Capativ Portal: ru.wikipedia.org/wiki/Captive_portal
          Такие ощущение, что Apple в iOS так настроила механизмы поведения системы, что при блокировке телефона сбрасываются активное WiFi-подключение установленное через HTTP-ответ: код-511; ради целей безопасности пользователей в ущерб гибкости, но в угоду защиты.
          Связываться с разработчиками стандарта из Стэнфордского университета видимо нет смысла, ибо из описания проблемы видно, что сессия принудительно сбрасывается операционной системой.


          Спасибо. Даже нечего добавить. Жаль, что поизящнее не придумали защиту.


        1. Zyxel_South Автор
          23.10.2021 23:39
          +1

          Такие ощущение, что Apple в iOS так настроила механизмы поведения системы, что при блокировке телефона сбрасываются активное WiFi-подключение установленное через HTTP-ответ: код-511; ради целей безопасности пользователей в ущерб гибкости, но в угоду защиты.

          stitrace сообщал здесь, что при авторизации 802.1х такая же проблема.

          Я это протестирую и если повторится поведение, получается, что не совсем дело в HTTP.


          1. Zalechi
            25.10.2021 12:52

            Да я думал об этом. Возможно тут комплекс зависимостей от которых система строит такое поведение. Анулирует сеанс беспроводного подключения.


    1. ketzal
      19.10.2021 13:25
      +1

      Нет, у меня тоже самое в закрытой wpa-eap сети с mikrotik и ios 14/15


  1. V1tol
    19.10.2021 12:57
    +2

    Вот что на этот счёт говорит эпловская страничка https://developer.apple.com/news/?id=q78sq5rv

    Моя первая мысль после прочтения статьи была - айфонам может не нравиться открытая сеть без шифрования и\или кэптив портал без шифрования.


    1. Zyxel_South Автор
      19.10.2021 13:12

      Спасибо за ссылку, сложная информация, время займёт, обязательно изучим детально.

      Но поводу второго, но ведь, если удалять сеть на АйФоне и заново подключиться авторизованным АйФоном, то ничего не отваливается, получается до авторизации в работу вступает ещё какой-то механизм защиты от перехвата… который впоследствии отключает телефон от Wi-Fi и удаляется с настройками Wi-Fi…


    1. flif
      21.10.2021 08:11
      +2

      к слову да, касательно hotspot и авторизации - важен сертификат ssl.

      Мы так генерим сертификат для микротика на всем известной площадке, подсовываем и после этого так же включается редирект большинства https сайтов. логика в том что данный сертификат помогает хотспоту заглянуть в заголовок пакета, а для редиректа этого достаточно. не работает для таких сайтов как google/yandex в чистом виде, но там появляется кнопка перехода на captive portal))))

      С яфонами проблем не наблюдаем на хотспоте(время сессии/лизы/авторизации ставим 30 дней, а так же авторизовываем по mac cooky и по http/https cocky). портал конечно дно, ни лк ни статистики, но зато работает как часы


      1. Zyxel_South Автор
        21.10.2021 09:00

        flif

        Спасибо за комментарий. Попробую время сессии увеличить до безлимита )

        Во избежание дублирующих комментариев, прошу заглянуть туда на существующий ответ в этой же статье, почему сертификат особо не подошёл.


    1. Zyxel_South Автор
      08.11.2021 15:14

      Вот что на этот счёт говорит эпловская страничка https://developer.apple.com/news/?id=q78sq5rv

      Попробовал по их страничке добавить DHCP опцию 114 с указанием адреса на внешнюю страницу авторизации (либо FQDN, либо TEXT). Не помогло к сожалению. Проблема осталась.


  1. Yaris
    19.10.2021 13:11
    +5

    Начало статьи несколько более широкую проблему озвучивает, нежели основная часть. Iphone отключают WiFi независимо от наличия Captive Portal (у меня точки доступа с EAP - тоже отрываются), просто способы аутентификации, отличные от Captive Portal, Iphone могут "повторить" без участия пользователя, т.к. помнят credentials (хотя тот же EAP занимает заметное время для восстановления соединения). Для Captive Portal и credentials идут фактически мимо системы, и определить, что WiFi охраняется Captive Portal, Iphone не умеет.


  1. stitrace
    19.10.2021 13:25
    +2

    Такая же проблема на сети в основе Cisco WLC2504 с dot1x авторизацией, продолжается годами, от прошивок, моделей точек или конкретных экземпляров железок.


    1. Zyxel_South Автор
      19.10.2021 13:28

      Подскажите, в вашей схеме портал авторизации (Captive Portal) включён?
      Или у вас только 802.1х настроен и всё?


      1. stitrace
        20.10.2021 15:32
        +1

        Только 802.1x и все, никаких дополнительных авторизаций нет.


        1. Zyxel_South Автор
          21.10.2021 08:24

          Только 802.1x и все, никаких дополнительных авторизаций нет.

          Да уж, это неприятно, что и в 802.1х такая же проблема. Спасибо, теперь предупреждён :)


      1. stitrace
        20.10.2021 15:37
        +1

        Есть мнение, что это поведение как то связано с качеством сети в целом, если соединение не стабильное (например иногда пропадает пинг), то айос какими то внутренними алгоритмами оценки качества соединения переходит на более стабильный LTE. Есть в планах проверить поведение с отключённой передачей данных на соединении с сотовой сетью.


        1. stitrace
          20.10.2021 15:41
          +1

          Вероятно, там имеется некий алгоритм весов объема трафика и стабильности связи, этим объясняется тот факт, то при разблокировке устройства оно заново переходит на wifi, справедливо предполагая, что сейчас требования к ширине канала могут возрасти.


          1. Zyxel_South Автор
            21.10.2021 08:29

            Есть мнение, что это поведение как то связано с качеством сети в целом, если соединение не стабильное (например иногда пропадает пинг), то айос какими то внутренними алгоритмами оценки качества соединения переходит на более стабильный LTE. Есть в планах проверить поведение с отключённой передачей данных на соединении с сотовой сетью.

            Вероятно, там имеется некий алгоритм весов объема трафика и стабильности связи, этим объясняется тот факт, то при разблокировке устройства оно заново переходит на wifi, справедливо предполагая, что сейчас требования к ширине канала могут возрасти.

            Согласен с вами. Это не указывал в статье, большая бы получилась.

            В общем, пробовал отключение мобильных данных, оставляя только голосовую связь и СМС. Странно получилось, мне на iOS 11 и одному на 5s iOS 12 помогало, но ровно на пару-тройку дней, потом всё снова повторялось и это сложно было. Постоянно забывали, что нужно отключать мобильные данные и включать их обратно, когда удалялись с территории Wi-Fi. Гораздо проще "Удалить сеть".


    1. Zyxel_South Автор
      26.10.2021 15:46

      Такая же проблема на сети в основе Cisco WLC2504 с dot1x авторизацией, продолжается годами, от прошивок, моделей точек или конкретных экземпляров железок.

      Проверил у себя авторизацию 802.1X (WPA-Enterprise) при отключённом Captive Portal, iPhone не отключаются, даже если интернета нет вообще.


  1. kiff
    19.10.2021 13:25

    то есть, iPhone руководствуется не только успешной загрузкой html страницы для wifi соединения.. Возможно есть что-либо еще?

    Как вариант, от несведующего - что если сделать перенаправление адреса на внутреннюю страницу?


    1. Zyxel_South Автор
      19.10.2021 13:40

      Как вариант, от несведующего — что если сделать перенаправление адреса на внутреннюю страницу?


      Если внутренннюю страницу имеете в виду страницу авторизации, это не помогало.
      У шлюзов Zyxel есть встроенный сервис авторизации и фактически его страница находится внутри сети.
      Или ПО Элтекс SoftWLC, его страница авторизации тоже внутри сети была.

      Или внутреннюю страницу как рекламу имели в виду? Она выскакивает после прохождения авторизации, а не перед авторизацией, но чтобы она выскакивала перед авторизацией, пока не получилось сделать из-за ограничений в телефонах.


      1. dreesh
        20.10.2021 08:43

        DNS не участвует в загрузке страницы?


        1. Zyxel_South Автор
          20.10.2021 10:20

          DNS не участвует в загрузке страницы?

          Участвует. Ему нужно отвечать на запросы Wi-Fi устройств именами сайтов.


  1. DaemonGloom
    19.10.2021 14:08

    На qna когда-то было такое решение проблемы: https://qna.habr.com/q/357448
    Но там переделывали логику Captive Portal, так что вам может не подойти.


    1. Zyxel_South Автор
      19.10.2021 14:22

      Спасибо за ссылку.


  1. talik
    19.10.2021 15:11
    +4

    Если не ошибаюсь, то с ios12 в айфонах появилась опция маскировки Mac адреса в wifi сетях по умолчанию.

    Прндполагаю, что именно эта фича и ломает авторизацию.

    На домашнем keeneric ultra 2 пока не отключил маскировку мак адреса в айфоне жены, он каждый раз отваливался в список незарегистрированных устройств на маршрутизаторе.


    1. Zyxel_South Автор
      19.10.2021 17:00
      +2

      Маскировку не находил, а не случайно это «частный адрес» в настройках Wi-Fi? «Частный адрес» появился с iOS14 и генерирует мак-адреса, поэтому возможно на Кинетике отваливался из-за несоответствия мак-адреса с вашим списком мак-адресов, а в гостевой сети у таких телефонов заново авторизация запрашивалась. Мы «Частный адрес» выключали и проверяли, не помогает, также отваливается от Wi-Fi. Да и с частным адресом тоже отваливается от Wi-Fi.


      1. talik
        19.10.2021 20:35
        +1

        Все именно так. Это частный мак адрес.

        Пишу с телефона, долго все детали было описывать.

        Все как вы и написали. Генерация случайного мак адреса для роутера означало новое устройство для которого ограничение скорости.

        Как отключил это опцию соединения стали стабильнее но с каптив порталом похоже никак не связано.


    1. V1tol
      19.10.2021 18:26

      У меня Keenetic Speedster и никаких проблем с Wi-Fi не наблюдал. Да, тоже использую регистрацию устройств. Посмотрел в настройках - "Частный адрес" включён. Почитал описание - это генерирование уникального мак адреса для каждой сети (чтобы избежать отслеживания по маку разными сетями), он не должен изменяться для уже известной и подключённой сети.


      1. Zyxel_South Автор
        19.10.2021 18:39

        Гостевой хотспот с авторизацией (Captive Portal) включён?


      1. YMA
        20.10.2021 09:20
        +1

        По факту меняется для одной и той же сети при каждом подключении, мне пришлось на всех iOS устройствах дома отключить эту галочку для домашней сети, иначе у роутера эти устройства плодились и размножались в списке подключенных.


  1. ColdSUN
    19.10.2021 16:09

    А в логах на контроллере в этот момент что? На каком основании iPhone отключается от AP? Он же должен сообщить что-то.

    Второй вариант поснифать трафик, с iPhone, куда он лезет перед отключением. Если экран выключен, там трафика будет немного.


    1. Zyxel_South Автор
      19.10.2021 17:07

      А в логах на контроллере в этот момент что? На каком основании iPhone отключается от AP?


      Пишет такого рода событий, что «клиент сам отключился», нет таких событий, как ограничение сессий или типа такого.

      Второй вариант поснифать трафик, с iPhone, куда он лезет перед отключением. Если экран выключен, там трафика будет немного.


      Успех не приносило, протестирую ещё раз на своём телефоне, может что-то ещё вылезет.


    1. Zyxel_South Автор
      21.10.2021 11:57

      А в логах на контроллере в этот момент что? На каком основании iPhone отключается от AP? Он же должен сообщить что-то.

      Прикрепил скриншот с логами, тут.


  1. Kelv13
    19.10.2021 17:06

    А тестировали с отключенным private mac address и батареей не в режиме энергосбережения?

    Private mac address - не со всеми роутерами работает, по опыту.

    А батарея в режиме энергосбережения - как у Вас на скриншоте - пытается отключать максимум всего - не удивлюсь, что при заблокированном экране wifi тоже переходит в режим "ожидания"...


    1. Zyxel_South Автор
      19.10.2021 17:10

      Отключение режима энергосбережения не помогает, на зарядку ставил, тоже не помогает. Даже, если на 100% заряжен. Да, мой скриншот не подходит.
      По видеоролику проверить можете, там режим энергосбережения выключен. Вот.
      Подскажите, как выглядит настройка Private mac address на iOS? Или это «частный адрес»?


      1. Kelv13
        19.10.2021 17:43

        Напротив имени WiFi в настройках айфона нажимаете (i) и там будет второй переключатель сверху - у меня называется Private Address - не знаю, как по-русски его назвали.

        Вот многие сети не работают, если его не отключить. Не знаю, с чем связано.


        1. Zyxel_South Автор
          19.10.2021 18:25

          Да, «Private Address» переводится как «Частный адрес».
          Русский язык — support.apple.com/ru-ru/HT211227

          Английский язык — support.apple.com/en-us/HT211227


  1. scruff
    19.10.2021 17:48
    +5

    А еще ИОС при засыпании отрубает любой VPN, а при пробуждении его подключает заново. Бредовая ОС.


  1. GypsyBand
    19.10.2021 18:54

    Был опыт с точками доступа Ubiquiti и использовал авторизацию по ваучерам, а так же в дальнейшем авторизация через провайдера на его сервисе, правда роутером был не микротик. Проблем с айфонами не было.

    Ещё много где в мануалах по настройке микротика рекомендуют при настройке передатчика выставлять страну СШП и конкретно пишут для того, чтобы айфоны лучше работали. возможно копать стоит в эту сторону?


    1. Zyxel_South Автор
      19.10.2021 19:08

      Был опыт с точками доступа Ubiquiti и использовал авторизацию по ваучерам, а так же в дальнейшем авторизация через провайдера на его сервисе, правда роутером был не микротик. Проблем с айфонами не было.

      Там страница авторизации сама выскакивала или гости в браузере набирали вручную адрес сайта какого-нибудь, чтобы отредиректило на страницу ввода ваучера?

      Ещё много где в мануалах по настройке микротика рекомендуют при настройке передатчика выставлять страну СШП и конкретно пишут для того, чтобы айфоны лучше работали. возможно копать стоит в эту сторону?


      Спасибо за идею, попробую.
      Такое действительно рекомендуют, тк американские модели (только для США), ограничены в частотах Wi-Fi и могут не найти российские каналы как 12, 13, 132 и дальше.
      Как проявляется в РФ? Чистокровный американец не отобразит в списке сетей те точки доступа, которые работают на 12, 13 канале. Аналогично не отобразит точки доступа с каналами 132 и дальше, но 5 ГГц от конкретной модели Apple зависит (например, iPad A1337) и другие.


      1. GypsyBand
        20.10.2021 07:51
        +1

        Айфоны сразу редиректило на сайт авторизации как только они подключались к гостевой сети, а вот дроиды и винда требовали первичного пинка в виде обращения к какой либо странице, после чего их редиректило на сайт авторизации.


    1. stitrace
      23.10.2021 19:57
      +1

      в США более либеральные ограничения на мощность передатчика, чем в почти всех других странах мира, поэтому один и тот же (модель) роутер для американского и российского рынка будет обладать разной мощностью (и, как уже сказано, диапазонами радиочастот), причём у многих вендор это ограничивается программно. Называется это «регулятореый домен». Например в решениях cisco это нельзя поменять руками в настройках.


      1. stitrace
        23.10.2021 19:59

        Ну и в качестве интересного факта, некоторые производители залочивают это на основании данных встроенного датчика систем геопозиционирования, например DJI так делает.


    1. Zyxel_South Автор
      11.11.2021 10:29

      Ещё много где в мануалах по настройке микротика рекомендуют при настройке передатчика выставлять страну СШП и конкретно пишут для того, чтобы айфоны лучше работали. возможно копать стоит в эту сторону?

      Выставил США в настройках:

      Не помогло. Телефон также отваливается при блокировке экрана как обычно.


  1. K0styan
    19.10.2021 20:45
    +3

    Чисто из-за расходения поведения при актуальной и не очень версиях ОС: может, девайс ещё и на сервера обновления ломится? И так же, не достучавшись, считает сеть безынтернетной?


    1. Zyxel_South Автор
      19.10.2021 21:00
      +1

      Чисто из-за расходения поведения при актуальной и не очень версиях ОС: может, девайс ещё и на сервера обновления ломится? И так же, не достучавшись, считает сеть безынтернетной?


      Спасибо за идею. Попробую серверы обновлений Apple занести в «Ресурсы без аутентификации» (Walled Garden), чтобы неактуальные версии «успокоились».
      Теперь список актуальных имён этих серверов обновлений найти бы.


    1. Zyxel_South Автор
      27.10.2021 08:44

      Чисто из-за расходения поведения при актуальной и не очень версиях ОС: может, девайс ещё и на сервера обновления ломится? И так же, не достучавшись, считает сеть безынтернетной?

      Проверил вашу идею. Добавил сервера обновлений в список ресурсов без аутентификации.

      Не помогло. Список брался отсюда. АйФон отключается как прежде.

      Для проверки, неавторизованным АйФоном заходил в Настройки -> Основные -> Обновление ПО. Не ругается, подключается к серверам обновлений. Значит список этот действительно разрешился до авторизации. Отключаю этот список, пишет: "Сбой проверки наличия обновлений".

      Пробовал подключить АйФон к Wi-Fi, в котором нет интернета и портала авторизации - не отключается АйФон. Получается, что отсутствие доступа к серверам обновлений и к интернету не является причиной отключения АйФонов от Wi-Fi, авторизованных через портал авторизации.


      1. K0styan
        27.10.2021 12:47

        Спасибо за проверку. А неавторизованный аЙфон, кстати, сквозь портал авторизации нормально проходит или так же клинит, как и авторизованный?


        1. Zyxel_South Автор
          27.10.2021 16:40

          Спасибо за проверку. А неавторизованный аЙфон, кстати, сквозь портал авторизации нормально проходит или так же клинит, как и авторизованный?

          Не понял ваш вопрос. Пожалуйста, по другому изложите вопрос.


          1. K0styan
            28.10.2021 17:34

            Сорри, неверно интерпретировал ваш ответ. Почему-то подумалось, что "неавторизованный" - это аппарат, на котором в текущий момент не пройдена авторизация в аккаунте Apple (iCloud).

            По идее в таком случае каких-то подкапотных попыток достучаться до серверов вендора явно будет меньше (ну хотя бы за счёт того, что девайс не будет пытаться синхронизироваться с iCloud), но это уже прям совсем пальцем в небо.

            А что до адресов, принадлежащих Apple - вспомнил, что в своё время просил админов (по совсем другому поводу) открыть доступ ко всему блоку 17.0.0.0/8 (он действительно весь Apple-вский), т.к. конкретных адресов нужного мне сервиса не знал.


  1. pon007
    19.10.2021 22:32

    WiFi раздает ubiquity, роутер mikrotik, соответственно - hotspot повешен на vlan. Подобная проблема была, когда пробовал внутреннюю авторизацию. Помогло, когда для авторизации использовал radius-сервер, логин-пароль mac-mac. Страницу авторизации микротика переписывал. Проблема только с частным адресом, но научил юзеров отключать.


  1. Zyxel_South Автор
    19.10.2021 22:38

    WiFi раздает ubiquity, роутер mikrotik, соответственно — hotspot повешен на vlan. Подобная проблема была, когда пробовал внутреннюю авторизацию. Помогло, когда для авторизации использовал radius-сервер, логин-пароль mac-mac. Страницу авторизации микротика переписывал. Проблема только с частным адресом, но научил юзеров отключать.

    Благодарю за комментарий.
    Не понял, что именно отключают?

    И ещё вопрос, у гостей страница авторизации сама выскакивает или сами в браузере вводят какой-нибудь адрес сайта, чтобы отредиректило на страницу авторизации?


    1. Radiohead72
      20.10.2021 11:21

      Не понял, что именно отключают?

      Снимите чекбокс "частный адрес".

      Если не снять, то при каждом переподключении к вашей гостевой сети, айфон генерит рандомный МАС. И система авторизации начинает сходить с ума)


      1. Zyxel_South Автор
        20.10.2021 11:41

        Снимите чекбокс "частный адрес".

        Благодарю. Да, сразу не разобрался о чём речь, а оказалось про генерируемые мак-адреса :)

        Но это, к сожалению, не помогло в статье, пробовали отключать и включать. Проблема в другом, авторизованный АйФон в момент блокировки экрана сам отключается от Wi-Fi. Как проснётся, снова ищет Wi-Fi и подключается. Если мак-адрес не поменялся, то дальше выходит в интернет, а если поменяется мак-адрес - снова запрашивает авторизацию.


        1. Radiohead72
          20.10.2021 11:49

          Если мак-адрес не поменялся, то дальше выходит в интернет, а если поменяется мак-адрес - снова запрашивает авторизацию.

          Ну так если снять чекбокс, он не будет менять МАС. А значит не будет запрашивать авторизацию при переподключении к WiFi.

          PS

          Я похоже знаю одну фирму которая решила все эти проблемы.

          Но вряд-ли она поделится информацией)

          Если интересно - могу рассказать предысторию.


          1. Zyxel_South Автор
            20.10.2021 11:57

            Ну так если снять чекбокс, он не будет менять МАС. А значит не будет запрашивать авторизацию при переподключении к WiFi.

            Всё правильно, но почему успешно авторизованный АйФон отключается от Wi-Fi при блокировке экрана при снятом чекбоксе? Вот видео как он долго ищет Wi-Fi, т.к. он отключился от него при блокировке экрана. Соответственно, сообщения из мессенджеров не приходят при заблокированном экране.

            Если интересно - могу рассказать предысторию.

            Интересно, расскажите.


            1. Radiohead72
              20.10.2021 14:15
              +1

              Года полтора назад понадобилось сделать гостевой доступ к WiFi в ресторане.

              Маршрутизатор mikrotik, точки доступа и контроллер - Ubiquiti.

              Изначально решил не изобретать велосипед а получить готовое решение от одной из Московских фирм. Благо все это стоит не очень дорого.

              Приехал их инженер, накатил скрипт на мой микротик, кое-что настроили и в общем все заработало.

              Но практически сразу полезли проблемы с айфонами. Все как у вас.

              Промучался полгода и стал искать альтернативы. Нашел некую фирму Hot-WiFi которая клятвенно уверяла что смогла решить проблемы с айфонами. Каким образом - не рассказывает.

              Решил попробовать. Снова приехал инженер, залил скрипт на микротик и все заработало.

              Как это ни странно - проблемы с айфонами пропали. Уже несколько месяцев жалоб от посетителей не поступает. Единственное НО - у них бывает что невозможно дозвонится по телефону аутентификации. Но это уже не проблемы айфонов.

              Самое интересное что они смогли решить проблемы без манипуляций с абонентскими устройствами... Т.е. они емнип не требуют отключать например рандомизацию MAC-адресов.

              PS

              Кстати.

              Если вы пытаетесь подключится к гостевой WiFi сети Московского метрополитена и у вас включена рандомизация MAC - выскакивает предупреждение что рандомизацию необходимо отключить. Иначе может не работать. И такое предупреждение выскакивает не только на айфонах но и на андроидах последних версий. На 11-м точно.


              1. Zyxel_South Автор
                20.10.2021 14:40

                Radiohead72, спасибо за историю. Вопрос. Когда проблемы исчезли, у гостей на АйФонах страница авторизации сама выскакивает или они сами набирают сайт авторизации как в московском метрополитене, судя по их памятке?

                https://maximatelecom.ru/support.html там на втором этапе обязаны набрать:

                В адресной строке браузера введите gowifi.ru


                1. Radiohead72
                  20.10.2021 14:50
                  +1

                  Если память не изменяет - сама выскакивает.

                  Наверное можете спросить у них в телеге - https://t.me/hotwifiofficial

                  Она кстати и в метро выскакивает. Но не всегда)


              1. PocketSam
                05.12.2021 17:22

                Прошу прощения, насколько реально выложить конфиг этого Микротик, скрыв, конечно, все персональные и чувствительные данные?


  1. pon007
    19.10.2021 22:58

    Постоянные и гостевые у меня один и тот же hotspot используют . Постоянных по mac завожу на radius , чтоб авторизацию не просил. Разруливаю доступ к внутренним сервисам через группы на радиус-сервере (Радиус отдает ip в address-list на роутер)

    Негостевые пользователи в настройках wifi отключают частный адрес на айфонах. Гостевые бывают ненадолго , им не надо, ну или повторно авторизуются.

    Страница авторизации выскакивает.

    За айфон сейчас не вспомню, андроид иногда воспринимает вайфай как открытую сеть без интернета и спрашивает лишнее подтверждение на подключение, но потом нормально страница выскакивает.


    1. Zyxel_South Автор
      19.10.2021 23:06

      Помогло, когда для авторизации использовал radius-сервер, логин-пароль mac-mac.

      5 разных внешних радиус-серверов пробовали, увы, одна и та же проблема с АйФонами (


  1. 4lex
    19.10.2021 23:05

    Возможно я не прав, но глянул у себя на телефоне, по умолчанию опция "Частный адрес" включена на все WiFI сети, но уникальный мак генерится для всех WiFI сетей и потом не меняется (то есть он разный для разных сетей и не меняется при переподключении)

    Возможно, проблема все же не с оборудованием, а с самой системой которая у Вас делает авторизацию Captive Portal и у Вас не правильно настраивается время жизни Hotspot-клиента. Проверит это можно тут: ip hotspot active

    Собственно я вижу проблему так:
    1. IOS устройство подключилось.
    2. IOS устройство ушло в сон
    3. IDLE-TIMEOUT - истек и клиента удалили.
    4. IOS устройство проснулось, подключилось к WiFI и юзеру нужно опять зайти и "авторизоваться"  на Captive Portal-e

    Когда делал свою систему для авторизации клиентов через Captive Portal с соц. сетями и смс-ками - я запоминал клиентские маки с неким таймаутом и авторизовывал их на микротик-овом hotspot-e без участия клиента.


    1. Zyxel_South Автор
      19.10.2021 23:21
      +1

      1. IOS устройство подключилось.
      2. IOS устройство ушло в сон
      3. IDLE-TIMEOUT — истек и клиента удалили.
      4. IOS устройство проснулось, подключилось к WiFI и юзеру нужно опять зайти и «авторизоваться» на Captive Portal-e


      Пункт 3 idle-timeout выставлен на 600 мин (как пример).
      Между пунктами 2 и 4 интервал 30-50 секунд и iOS при блокировке экрана (пункт 2) сразу отключается от Wi-Fi и при наступлении пункта 4 ищет точку доступа и успешно подключается к ней обратно. Если частный адрес был отключен, то авторизацию не требует повторно.
      Проблема в том, что когда экран тухнет, телефон сам отключается от Wi-Fi сам по себе, но при этом сессия авторизации ещё активна на хотспоте. Как телефон разблокируется, ищет по 5-10 сек точку доступа и обратно подключается к ней и спокойно сёрфится как будто ничего не было и так до следующей блокировки экрана.


  1. tsifra
    19.10.2021 23:33
    +3

    Извиняюсь, не совсем по теме, но я в прошлом году ковырялся с офисной IP телефонией для яблочных мобильников и с удивлением узнал, что эта прекрасная операционная система блокирует фоновую передачу UDP. Со всеми вытекающими для телефонии: исходящие звонки можно, а входящие только при включеном экране. Зачем так делать одному Эплу известно, но как говаривал Ричард Столман, если программа выполняет не только команды пользователя устройства, а команды кого-то ещё, то это несвободное программное обеспечение.


    1. vladkorotnev
      20.10.2021 03:48

      Веселее — входящие только через VoIP-пуши и, спасибо индусам, которые любили их юзать для пробуждения телефонов в своих кривых поделиях с сопутствующим пожиранием батарейки — только через CallKit.


      Что влечёт за собой мало того что пуш-сервер, так ещё и отображение сраного яблочного окна входящего звонка, которое в некоторых юзкейсах, прямо скажем, не пришей кобыле пятое колесо.


      У нас, например, нет никакого звука, пока юзер не ответит на звонок сам, посмотрев на видео с камеры наблюдения. В итоге получается очень всратый UX:


      1. Юзеру прилетает звонок на залоченный телефон, звучит рингтон
      2. Юзер отвечает слайдом, высвечивается яблочный интерфейс звонка, звучит опять рингтон! Только уже воспроизводимый приложением.
      3. Юзер жмякает на кнопку на панели и попадает уже в приложение, видит видео и решает, отвечать или нет.

      В панели есть кнопка "видео", которая, впрочем, тоже никакого системного апи не представляет для показа своего видеопотока. И принудительно после ответа прыгнуть в наше приложение можно только при разлоченном телефоне.


      При этом до айос 13 всё было нормально, а потом всё ни с того ни с сего обдристали.


  1. grigoryvp
    20.10.2021 08:24
    +1

    по идее, ему нужно идти в Safari и самостоятельно набрать в адресной www.ru или любой http сайт, таких почти не осталось в интернете, всё на https переехало. Большинству набор адреса страницы является трудновыполнимой задачей (в некоторых браузерах адресной строки уже нет).

    Для этого есть http://neverssl.com


    1. Zyxel_South Автор
      20.10.2021 09:36
      +1

      Для этого есть http://neverssl.com

      Кстати, да, забыл про этот момент в статье указать (да нет, это совсем другая тема). Нынешняя статья про конкретную проблему с АйФонами. Пробовали сертификаты, но не прокатило. Они выпускаются только для публичных IP, а в гостевой сети у хотспота внутренний IP, поэтому гостям выдаёт ошибку сертификата, даже если происходит редирект на внешнюю страницу авторизации. Дело в том, что процессом редиректа заведует сам хотспот, поэтому после подключения к точке доступа телефоны сначала к нему подключаются (к его внутреннему IP), а потом к внешнему сервису авторизации. Но всё ломается на этапе подключения к хотспоту.

      Например, гость нажал в браузере в разделе "ИЗБРАННОЕ" на страницу с https://yandex.ru, его редиректит сначала на хотспот (не отображено на скриншоте), но выдаёт ошибку как на скриншоте, поэтому дальше никуда не пускает, т.к. браузер телефона предупредил и отказывается какие-либо соединения производить.

      Но эта проблема касается всех устройств, как АйФоны, так и Андроиды и Виндовсы.

      Поэтому в этой ситуации наилучшим вариантом является CNA браузер, в CNA браузере таких проблем нет, но успешно авторизованные АйФоны потом отключаются от Wi-Fi при блокировке экрана, о чём и было поведано в этой статье.

      Необходимо, напрягать внешний сервис авторизации, чтобы сделали http сайт и все гости его вручную набирали? Но как всем гостям расскажешь, что нужно такой-то сайт набирать правильно!? Они всё равно забудут и попрут нажимать на страницу в ИЗБРАННОЕ. Проходили 4 года, знаем, невозможно отучить их от этой привычки. Поэтому CNA является наилучшим вариантом для наших гостей.


      1. flif
        21.10.2021 21:13
        +1

        сертификат выпускается на доменное имя, если оно у Вас есть, можете хоть wildcard выпустить.

        Для примера у меня сертификат выпущен на имя hs.companyname.ru, и адрес у этого доменного имени 10.5.5.5, и норм робит, замочек нормальный имеется и зелёная галочка тоже.

        арендуйте доменное имя, если нету, выпустить на летсэнкрипт сертификат - почти уверен будет вам счастье, к слову если нет авторизации по мак кукам и http/https кукам - то проблема скорее всего останется, но зато будет нормальный редирект https)))

        попробуйте поюзать связку mikrotik (hotspot) + Freeradius (radius) + Mysql (бд логопасов) + sms портал(можно поизвращаться с астериском)

        Так что если хотите попут


        1. Zyxel_South Автор
          22.10.2021 08:38

          Спасибо большое за развёрнутый ответ, вспомнил что в 2018 техподдержка Zyxel аналогичный сценарий предложила, но не получилось на UAG5100 реализовать, там механизм редиректа по FQDN имени не работал, они дефект исследовали и признали его. Обещали, что всё работает на шлюзах VPN, а UAG5100 не исправляют, т.к. он в статусе EOL и не поддерживается разработчиками.

          Если до конца года не получится гуманным путём пофиксить АйФоны по предложенным комментариям, придётся пойти по пути сертификатов и попробую реализовать на шлюзе VPN.


  1. vovaxa44
    20.10.2021 09:20

    У меня Ubiquiti, но на айфонах реально помогает в настройке SSID отключение динамического MAC для этого SSID .

    Могу еще посоветовать отключить airtime fairness и порог минимальной скорости для клиентов (потому что фактический uplink клиента в режиме энергосбережения - когда отключен экран равно 1мбит/сек)

    Есть еще вариант отключить опцию на DHCP сервере "Add ARP for Leases", если есть (как например в мтиках)


  1. VanSun
    20.10.2021 09:20
    +1

    столько исследований, обсуждали жанную проблему на курсах по mikeotik.

    проблема аот в чем: iphone при выключении экрана вырубает модуль wifi полностью, а при включении включает обратно, фиксится увеличением времени аренды ip адреса в dhcp сервере, т.к. через половину от времени аренды устройство должно подтвердить что оно все еще арендует адрес, в домашних роутерах это обычно несколько дней, в открытых сетях обычно минуты. но поможет ли это с captive portal я не знаю.


  1. v1000
    20.10.2021 09:46

    Самое удивительное было то, что когда выходит новая версия iOS,  нынешняя исправная версия начинает отваливаться от Wi-Fi. Раньше же нормально работало на этой же версии! Получается, что как версия iOS устаревает, телефон будет отваливаться от Wi-Fi.

    похожая штука была с тетерингом через блютус, когда в последнем апдейте iOS он вдруг почему-то "ломался", и старые устройства, которые больше нельзя было обновить на новую версию, переставали нормально работать по расшаренному интернету. словно это такой "привет" от Эппл, с намеком на то, что нефиг использовать старое - иди покупать новое.


  1. Zyxel_South Автор
    20.10.2021 09:48

    Спасибо за комментарии.

    Могу еще посоветовать отключить airtime fairness и порог минимальной скорости для клиентов (потому что фактический uplink клиента в режиме энергосбережения - когда отключен экран равно 1мбит/сек)

    Попробую, но я столько разных точек доступа перепробовал, одно и тоже.

    Есть еще вариант отключить опцию на DHCP сервере "Add ARP for Leases", если есть (как например в мтиках)

    проблема аот в чем: iphone при выключении экрана вырубает модуль wifi полностью, а при включении включает обратно, фиксится увеличением времени аренды ip адреса в dhcp сервере, т.к. через половину от времени аренды устройство должно подтвердить что оно все еще арендует адрес, в домашних роутерах это обычно несколько дней, в открытых сетях обычно минуты. но поможет ли это с captive portal я не знаю.

    Вы, наверное, пропустили абзац в статье. Я статический IP выставлял, чтобы исключить какое-либо влияние DHCP на АйФоны - абсолютно ничего не поменялось.


  1. Wer
    20.10.2021 10:15

    Попробуйте ещё открыть доступ к captive.apple.com без авторизации. Я не очень понимаю что это за магия и каким образом работает, но я заметил что в некоторых сетях с captive авторизацией меня на айфоне перебрасывает именно туда. К слову- у нас в компании не знаю чьё решение , но используется captive-авторизация и вайфай не отваливается при выключенном экране.


    1. Zyxel_South Автор
      20.10.2021 10:29

      Спасибо за комментарий.

      Попробуйте ещё открыть доступ к captive.apple.com без авторизации. Я не очень понимаю что это за магия и каким образом работает, но я заметил что в некоторых сетях с captive авторизацией меня на айфоне перебрасывает именно туда. К слову- у нас в компании не знаю чьё решение , но используется captive-авторизация и вайфай не отваливается при выключенном экране.

      Для интереса пробовал такое :) страница авторизации тогда не выскочит ни у одного Apple.

      captive.apple.com нужен для Apple, по нему он определяет, есть ли интернет или его отредиректит на страницу авторизации.


    1. vovaxa44
      21.10.2021 08:45

      а таблицу ARP проверяли?


      1. Zyxel_South Автор
        21.10.2021 09:16

        а таблицу ARP проверяли?

        Где и на что её проверить? На порте коммутатора обычный список мак-адресов, подключившихся к точке доступа и сама точка доступа. Когда АйФон блокирует экран и тухнет, его мак-адрес исчезает из таблицы.


        1. vovaxa44
          21.10.2021 09:21

          Таблицу ARP нужно смотреть на роутере, и возможно, на контроллере. Нужно посмотреть, какой ip он будет ВИДЕТЬ при новом маке. Эти записи могут отличаться от DHCP кэша. В идеале, на новом маке должен сразу же быть другой новый ip, а не старый.


          1. Zyxel_South Автор
            21.10.2021 09:53

            Таблицу ARP нужно смотреть на роутере, и возможно, на контроллере. Нужно посмотреть, какой ip он будет ВИДЕТЬ при новом маке. Эти записи могут отличаться от DHCP кэша. В идеале, на новом маке должен сразу же быть другой новый ip, а не старый.

            На новый МАК-адрес роутер выдаёт новый IP. Старые IP к старым МАК-адресам роутер никому не отдаст пока действует время аренды. Далее по обстоятельствам, исчезает ли клиент или попросит продлить аренду.


            1. vovaxa44
              21.10.2021 10:05
              +1

              Я же специально указал: "какой ip он будет ВИДЕТЬ при новом маке". Не в таблице лизов DHCP, которые он РАЗДАЕТ, а в таблице ARP, где он ВИДИТ.

              "Эти записи могут отличаться от DHCP кэша."


              1. Zyxel_South Автор
                21.10.2021 10:28

                Я же специально указал: "какой ip он будет ВИДЕТЬ при новом маке". Не в таблице лизов DHCP, которые он РАЗДАЕТ, а в таблице ARP, где он ВИДИТ.

                "Эти записи могут отличаться от DHCP кэша."

                Имеете в виду сверку таблицу мак-адресов в CLI с DHCP-таблицей выданных адресов. Правильно понимаю?

                И потом, у iOS 9 - 13 нет функции рандомных мак-адресов. Предполагаете, что в момент блокировки (затухании экрана) АйФона в таблице возникает аномалия с мак-адресом с IP-адресом? Пронаблюдаю.


                1. vovaxa44
                  21.10.2021 10:38

                  Нет, это таблица кэша, где сверяется mac и айпи. DHCP таблица там не имеет отношения. На винде прописывается как "arp -a". На мтике это нужно зайти на IP==>ARP.

                  Кстати по цитате "Имеете в виду сверку таблицу мак-адресов в CLI с DHCP-таблицей выданных адресов. Правильно понимаю?", могу предложить, что может срабатывать защита от DHCP спуфинга, и контроллер или роутер для защиты принудительно кикают клиента


                  1. Zyxel_South Автор
                    21.10.2021 10:53

                    Нет, это таблица кэша, где сверяется mac и айпи. DHCP таблица там не имеет отношения. На винде прописывается как "arp -a". На мтике это нужно зайти на IP==>ARP.

                    Я понял, спасибо. Пронаблюдаю, может что всплывёт.

                    могу предложить, что может срабатывать защита от DHCP спуфинга, и контроллер или роутер для защиты принудительно кикают клиента

                    В логи ничего такого аварийного не пишется, кроме сообщений, что телефон отключился от Wi-Fi, типа такого, как потух экран:

                    Oct 21 10:49:47 UAG5100 src="0.0.0.0:0" dst="0.0.0.0:0" msg="STA Disassociation(8:DISASSOC_STA_HAS_LEFT) MAC:xx:xx:xx:xx:AB:xx, AP:TD01-06" note="" user="unknown" devID="xx5dxxxxxxxx" cat="Wlan Station Info"

                    Роутер сбрасывал до дефолтных настроек, все-все ограничения были отключены, DHCP выключал целиком и ставил телефонам только статические IP. Ничего не помогло. Отключение портала авторизации или "Забыть сеть" на АйФонах отлично помогает.


  1. RMtechtrend
    20.10.2021 13:18

    Здравствуйте.
    Посмотрите ниже статью, может поможет описания работы Apple и сопутсвующие проблемы.
    Распределённый Captive Portal в публичных местах и сложности с Apple - https://habr.com/ru/post/252263/


    1. Zyxel_South Автор
      20.10.2021 13:26

      Здравствуйте.
      Посмотрите ниже статью, может поможет описания работы Apple и сопутсвующие проблемы.
      Распределённый Captive Portal в публичных местах и сложности с Apple - https://habr.com/ru/post/252263/

      Благодарю за ссылку. Знакомы с вашей ссылкой и после неё специально проводил тест АйФона только с одной с однодиапазонной 2.4 ГГц точкой доступа, чтобы исключить влияние 5 ГГц и рядом других точек доступа с дублирующим SSID не было. Проблема осталась. Можете убедиться в вышеприведённой таблице №2, как замена имени SSID не помогала, чтобы исключить влияние распределённой сети на iPhone.


      1. RMtechtrend
        20.10.2021 14:58

        Добро. Помимо описанного Вами "Забыть сеть", не помню говорилось ли об этом или нет, может стоит попробовать иные манипуляции с телефоном:
        - включить и отключить «Авиарежим»
        - "Обновить соединение" (находится ниже "Забыть сеть" - Renew Lease)
        - отключить на телефоне "Помощь Wi-Fi" (типа если с ним что-то не то вырубает его и подключает через мобильный интернет)
        - отключить службы геолокации и "сетевые сервисы Wi-Fi" (System Services - Wi-Fi Networking)
        - деактивировать VPN, если он есть
        - деактивировать «Автоподключение»
        - включить «Подтверждать соединение»
        - поставить DNS вручную (например на 8.8.8.8)
        - как крайний вариант, выполнить принудительную перезагрузку или "Сбросить настройки сети" (перезагрузится после этого, после нужно заново водить пароли вайфая - Reset Network Settings).

        А на устройстве сети есть такой параметр «Wi-Fi Multimedia» (WMM, WME, ...)? Можно попробовать его активировать.
        Когда тестировали при подключении чтоб работал только на 2.4 ГГц, канал (частота) у точки доступа стоял фиксированный или "авто"? Если "авто", то можно попробовать поставить на определённый канал.


        1. Zyxel_South Автор
          21.10.2021 08:50

          RMtechtrend

          Ваши вышеуказанные рекомендации неоднократно проделывались на различных моделях АйФонов и различных шлюзах, хотспотах и точках доступа. Это подробно расписано в статье.

          А на устройстве сети есть такой параметр «Wi-Fi Multimedia» (WMM, WME, ...)? Можно попробовать его активировать.

          По дефолту она была включена у точек доступа Zyxel.

          Когда тестировали при подключении чтоб работал только на 2.4 ГГц, канал (частота) у точки доступа стоял фиксированный или "авто"? Если "авто", то можно попробовать поставить на определённый канал.

          Фиксированные каналы стоят и однодиапазонные точки доступа ставились, чтобы только 2.4 ГГц (канал 1) работал или 5 ГГц (канал 36).


  1. PAPIruss
    20.10.2021 13:57

    Не пробовал ли автор отключить в айфонах функцию регулярной смены мак адреса?
    Ну и общие рекомендации. Канал не выше 10го, заглавные буквы в SSID, кип алив (если таковой есть в настройках). В микротиках (не знаю есть ли такой параметр в зюкселях) в свое время была проблема с параметром preamble mod, айфоны работали только если параметр равнялся "long" и канал был не выше 10го.


    1. Zyxel_South Автор
      20.10.2021 14:31

      Благодарю за комментарий. По порядку:

      Не пробовал ли автор отключить в айфонах функцию регулярной смены мак адреса?

      В первую очередь это было отключено и этой функции не было в iOS 9 - iOS13 до 2020 года, а всё равно отключаются с 2016 года и по сегодняшний день с iOS 14-15.

      Ну и общие рекомендации. Канал не выше 10го, заглавные буквы в SSID, кип алив (если таковой есть в настройках). В микротиках (не знаю есть ли такой параметр в зюкселях) в свое время была проблема с параметром preamble mod, айфоны работали только если параметр равнялся "long" и канал был не выше 10го.

      Рекомендуемые вами параметры для тестируемой точки доступа уже стояли, совпали с вашими ) Преамбула - скорее всего это "Guard Interval". Тем не менее, различные варианты пробовал, ничего не помогает. Прошу учесть, если выключить портал авторизации - всё нормализуется у АйФонов.

      Keep Alive не встретил в настройках Wi-Fi. В названии SSID 6 английских букв (маленькие и заглавные) без пробелов. Нет спецсимволов.


      1. RMtechtrend
        21.10.2021 13:58

        Судя по скрину ширина канала 20 МГц. Можно попробовать разширить пропускную способность, поставить 40 МГц (или 20/40 - не знаю какие опции есть). Возможно когда портал авторизации "есть", то при отсутствии "принудиловки" по поддержанию состояния подключения (экран затухет и переходит в эконом режим) он этот "суженный" канал (20 МГц.) считает "не тем что надо" при подключении по 802.11n.
        Также пробовали ли "Allow Station Connection after Multiple Retries" ставить на максимум (100)?
        Можно также "поиграться" с "Multicast Settings", типа поставить "Мulticast to Unicast" или "Rate" поменять - не понимаю как это поможет, но стоит потыкать всюду.


        1. RMtechtrend
          21.10.2021 14:05

          ОПС ... только заметил что насчёт мультикаста уже писали ...


        1. Zyxel_South Автор
          21.10.2021 20:27

          Судя по скрину ширина канала 20 МГц. Можно попробовать разширить пропускную способность, поставить 40 МГц (или 20/40 — не знаю какие опции есть). Возможно когда портал авторизации «есть», то при отсутствии «принудиловки» по поддержанию состояния подключения (экран затухет и переходит в эконом режим) он этот «суженный» канал (20 МГц.) считает «не тем что надо» при подключении по 802.11n.


          Ничего не помогает, к сожалению.
          Лечится только удалением сети.
          Просмотрите таблицы выше, там написано после чего отключаются от Wi-Fi и два способа частичного лечения.

          Ещё особенность, АйФоны от 4s до 7, iPad 1-3 не работают на 40 мГц в 802.11n 2.4 гГц. Специально их проверял на роутере Zyxel Keenetic 4G, он умеет отображать в статусе подключённых устройств ширину канала.
          Работают только на 20 мГц в 802.11n 2.4 гГц.
          Андроид (производитель Fly) и ноутбук HP работают хорошо с шириной 40 мГц на этом же роутере.


  1. dr_duke
    20.10.2021 15:56

    https://developer.apple.com/news/?id=q78sq5rv А сюда смотрели?


    1. Zyxel_South Автор
      21.10.2021 08:48

      https://developer.apple.com/news/?id=q78sq5rv А сюда смотрели?

      Спасибо за комментарий. Да, смотрели, выше приводили ссылку. Пока ничего не скажу, нужно детально проанализировать и понять как работает.


  1. Mike-M
    20.10.2021 16:21

    Вопреки утверждению автора, проблема отключения Wi-Fi после засыпания относится и к Android, причем даже без Captive Portal.
    На своем примере: смартфон Lenovo C2 (Android 6) + роутер Trendnet (прошивка 2007 года).
    IP адрес статический, настройка «Keep WLAN on during sleep» = Always.


    1. Alexufo
      21.10.2021 16:06
      +1

      скажем честно, уж слишком много может быть кастомного от вендора в Андройде.


  1. Dzzzen
    21.10.2021 08:34

    А почему такой странный IP-адрес у хотспота шлюза 6.6.6.6?


    1. Zyxel_South Автор
      21.10.2021 08:45
      +1

      А почему такой странный IP-адрес у хотспота шлюза 6.6.6.6?

      В дефолтном конфига шлюза выставлен. Легко запоминается, легко набирается, никем не занят в интернете. При обращении к нему гостям откроется внутренняя страница хотспота с оставшимся временем сессии интернета и кнопкой завершения сессии интернета.

      При желании, этот адрес можно сменить на любой незанятый публичный IP (большой стрелкой указан).


  1. Zyxel_South Автор
    21.10.2021 11:31

    Добавил скриншот логов.

    Поведение iPhone iOS 13 по логам шлюза. Отсутствуют критические аварии по мак-адресу и по IP-адресу. Одно спокойствие.


  1. Illeanectedd
    23.10.2021 17:20
    +1

    на рюкзак претендовать будет сложно, но предложу решение, которое напрашивается само собой: не пользоваться iphone.


    1. cepera_ang
      23.10.2021 17:40
      +3

      Если бы я был пользователем айфона, то на чьё-то предложение мне поменять телефон, только потому что они не могут настроить гостевой вай-фай со своим дурацким captive порталом, просто отправил бы подальше. Тоже самое, если бы был пользователем любого другого телефона.


      1. Zyxel_South Автор
        23.10.2021 23:26

        Если бы я был пользователем айфона, то на чьё-то предложение мне поменять телефон, только потому что они не могут настроить гостевой вай-фай со своим дурацким captive порталом, просто отправил бы подальше. Тоже самое, если бы был пользователем любого другого телефона.

        Встречаются такие, отстаивают телефон, доводят до замены точки доступа (перевод на 5 ГГц). Казалось, что шлюз как контроллер точек доступа придётся менять, тк показалось, что все новые модели телефонов не будут работать как XS, но к счастью, АйФоны 11, 12 исправили и хорошо работают на нынешних точках доступа и шлюзе, ничего не пришлось менять.

        Но столько времени даром потратили на радиоисследование, замену точек доступа, перебор настроек, поиск помех.


        1. Zyxel_South Автор
          24.10.2021 00:13

          Встречаются такие, отстаивают телефон, доводят до замены точки доступа (перевод на 5 ГГц). Казалось, что шлюз как контроллер точек доступа придётся менять, тк показалось, что все новые модели телефонов не будут работать как XS, но к счастью, АйФоны 11, 12 исправили и хорошо работают на нынешних точках доступа и шлюзе, ничего не пришлось менять.

          Но столько времени даром потратили на радиоисследование, замену точек доступа, перебор настроек, поиск помех.

          Это про случай здесь.


  1. IGHOR
    08.11.2021 13:29

    Там не только одну ссылку http://www.apple.com/library/test/success.html надо разрешать.

    Доменов у них для этой цели много. Попробуйте разрешить все /library/test/success.html

    И у старых iOS другой формат ссылки /hotspot-detect.html


    1. Zyxel_South Автор
      11.11.2021 10:42

      Там не только одну ссылку http://www.apple.com/library/test/success.html надо разрешать.

      Доменов у них для этой цели много. Попробуйте разрешить все /library/test/success.html

      И у старых iOS другой формат ссылки /hotspot-detect.html

      Разрешить всё на адрес /library/test/success.html не получилось, необходимо домен указывать.

      Тут добавлял домены серверов Apple, проблема осталась.


      1. IGHOR
        11.11.2021 12:47

        Это не те домена которые нужны для Captive Portal.

        Среди них должны быть www.apple.com и captive.apple.com

        Перенаправить запросы по url можно через wpad


  1. Zyxel_South Автор
    11.11.2021 13:19

    Это не те домена которые нужны для Captive Portal.

    Среди них должны быть www.apple.com и captive.apple.com

    Добавлял "www.apple.com" в "Ресурсы без аутентификации", не помогло. Если туда же добавить "captive.apple.com" страница авторизации не выскочит ни у одного Apple.

    captive.apple.com нужен для Apple, по нему он определяет, есть ли интернет или его отредиректит на страницу авторизации.

    Перенаправить запросы по url можно через wpad

    Можете подробнее рассказать? Есть примеры реализации этого механизма на хотспотах?


  1. PocketSam
    03.12.2021 08:12

    Сетка обычная совершенно, без Captive Portal. iPad 6 A1893 (2018 г) постоянно отключается после перехода в ожидание. Так же пока не удаётся найти решения.