Błąd uwierzytelnienia WiFi na telefonie – WPA2, WPA3, PMF, filtrowanie MAC, DHCP, Android, iOS

Pytanie

Błąd uwierzytelnienia podczas łączenia się WiFi z telefonem

Odpowiedź Sztucznej Inteligencji

Bezpośrednia odpowiedź na pytanie

• Komunikat „błąd uwierzytelnienia” zwykle oznacza, że handshake Wi‑Fi (uzgadnianie kluczy) nie zakończył się poprawnie – najczęściej z powodu: złego hasła, niekompatybilnego trybu zabezpieczeń (np. WPA3/PMF), filtrowania MAC, problemów z DHCP lub konfliktu ustawień (pasmo/kanał).
• Najszybszy test: „Zapomnij sieć” w telefonie → połącz ponownie, będąc 1–2 m od routera. Jeśli nie działa: na routerze tymczasowo ustaw WPA2‑PSK (AES), rozdziel SSID na 2,4 i 5 GHz, wyłącz WPS i filtrowanie MAC, zrestartuj router i spróbuj ponownie.

Szczegółowa analiza problemu

• Fazy zestawiania: (1) uwierzytelnienie/assoc z AP, (2) czteroetapowy 4‑way handshake (klucze), (3) uzyskanie IP (DHCP). Błąd może wystąpić w 2 (zabezpieczenia) lub wyglądać na 2, choć faktycznie dotyczy 3 (DHCP).
• Najczęstsze źródła problemu i diagnostyka:
  1. Hasło/profil sieci:
     • Zapomnij sieć w telefonie i wpisz hasło od nowa (pokaż hasło podczas wpisywania).
     • Zmień na routerze SSID o +1 znak (wymuszasz świeży profil).
  2. Tryb zabezpieczeń i PMF:
     • Tryby „WPA2/WPA3 Mixed” i „PMF required (802.11w)” potrafią rozłączać starsze/niektóre telefony.
     • Test: ustaw na próbę WPA2‑PSK (AES), PMF = optional, TKIP/WEP/WPS = OFF. Jeśli zadziała – winna była niekompatybilność WPA3/PMF.
  3. Filtracja MAC a prywatny adres MAC:
     • Android/iOS domyślnie używają losowego/prywatnego MAC per SSID. Jeśli router ma filtrację MAC, telefon może być odrzucany.
     • Rozwiązanie: w ustawieniach tej sieci w telefonie ustaw „Adres MAC urządzenia” lub wyłącz filtrację MAC w routerze.
  4. Pasmo/kanał i band‑steering:
     • Rozdziel SSID na „Nazwa_2G” (2,4 GHz, 20 MHz, kanał 1/6/11) i „Nazwa_5G” (5 GHz, kanał 36/40/44/48 – bez DFS). Część telefonów ma kłopoty z kanałami DFS i/lub agresywnym „Smart Connect”.
     • Połącz się najpierw z 2,4 GHz (większa kompatybilność), potem z 5 GHz.
  5. DHCP vs „błąd uwierzytelnienia”:
     • Gdy DHCP nie działa, Android bywa mylący i pokazuje „uwierzytelnianie nie powiodło się”.
     • Test: w zaawansowanych ustawieniach połączenia ustaw IP statyczne (np. 192.168.1.150/24, brama 192.168.1.1, DNS 8.8.8.8). Jeśli ruszy – sprawdź/napraw DHCP w routerze.
  6. Limity/tryby sieci:
     • Limit klientów AP osiągnięty, izolacja klientów, tryb gościa – mogą blokować dostęp.
     • Wyłącz na próbę izolację klientów, zwiększ limit klientów.
  7. Oprogramowanie i stabilność:
     • Zrestartuj router (odłącz na 30 s) i telefon. Zaktualizuj firmware routera i system telefonu. Wyłącz na próbę VPN/firewalle/aplikacje „Wi‑Fi manager”.
  8. Zasięg i zakłócenia:
     • Słaby sygnał lub silne zakłócenia potrafią psuć handshake (ramki EAPOL gubią się). Testuj obok routera.
  9. Sieci korporacyjne/WPA2‑Enterprise:
     • Jeśli to EAP (np. PEAP/TTLS), sprawdź poprawność certyfikatu CA, serwera i login/hasło – błędny certyfikat też da „błąd uwierzytelnienia”.

Aktualne informacje i trendy

• Domyślnie w nowych routerach często włączone są: WPA2/WPA3 Transition Mode, PMF=Required, band‑steering (k/v/r), kanały DFS. To poprawia bezpieczeństwo/roaming, ale bywa niekompatybilne z częścią telefonów i starszymi sterownikami. Najczęściej pomaga test z czystym WPA2‑PSK (AES), pasmami rozdzielonymi i kanałami nie‑DFS, a następnie stopniowe „podnoszenie” zabezpieczeń.

Wspierające wyjaśnienia i detale

• WPA2‑PSK (AES) – najbardziej kompatybilny tryb domowy. WPA3‑SAE – nowszy, bezpieczniejszy, ale bywa problematyczny w trybie „mixed”.
• PMF (802.11w) – ochrona ramek zarządzania; „required” może odsiać starsze klienty; „optional” zwykle najbezpieczniejszy kompromis.
• DFS (kanały 52–144 w 5 GHz) – wymagają wykrywania radarów; część klientów/sterowników działa na nich gorzej.

Aspekty etyczne i prawne

• Nie używaj WEP/TKIP (niebezpieczne). Hasła przekazuj tylko zaufanym osobom, najlepiej używając odrębnej sieci gościnnej. Nie obchodź polityk dostępu (np. filtracji MAC) w cudzych sieciach.

Praktyczne wskazówki

• Szybka lista kroków (kolejno):
  1. Zapomnij sieć w telefonie → połącz ponownie obok routera.
  2. Router: wyłącz WPS i filtrację MAC; rozdziel SSID (2,4/5 GHz); ustaw kanały: 1/6/11 i 36/40/44/48; szerokość 20 MHz na 2,4 GHz.
  3. Zabezpieczenia: testowo WPA2‑PSK (AES), PMF optional, bez TKIP/WEP.
  4. Jeśli dalej problem: test statycznego IP; aktualizacja firmware; restart zasilania.
  5. Gdy działa – stopniowo włącz z powrotem WPA3 i/lub band‑steering, obserwując, przy którym kroku znów pojawia się błąd.
• Android: Ustawienia → Sieci i internet → Wi‑Fi → nazwa sieci → ikona koła → Zapomnij; Zaawansowane → Ustawienia IP = Statyczny.
• iOS: Ustawienia → Wi‑Fi → (i) przy sieci → Zapomnij tę sieć; Prywatny adres → wyłącz (tylko jeśli używasz filtracji MAC).

Ewentualne zastrzeżenia lub uwagi dodatkowe

• Interfejsy routerów różnią się między producentami/ISP; niektóre opcje mogą nazywać się inaczej.
• Starsze telefony/firmware mogą nigdy nie działać stabilnie z WPA3/PMF required – wtedy pozostaje WPA2‑PSK i segmentacja sieci (np. sieć IoT).

Sugestie dalszych badań

• Jeśli problem trwa: podaj proszę:
  • model telefonu i wersję systemu,
  • model routera/mesh, wersję firmware,
  • tryb zabezpieczeń i czy sieć jest 2,4 czy 5 GHz,
  • czy inne urządzenia łączą się poprawnie,
  • czy błąd pojawił się po konkretnej zmianie (aktualizacja, nowe hasło, nowy router).
• Jeśli masz dostęp do logów routera, poszukaj wpisów o „WPA 4‑Way Handshake failed”, „MIC failure”, „PMF required”, „association denied”, „DHCP NAK/timeout” – to zawęzi trop.

Krótkie podsumowanie

• „Błąd uwierzytelnienia” to zwykle kwestia profilu/hasła albo niekompatybilności konfiguracji zabezpieczeń. Zacznij od „Zapomnij sieć” i testu obok routera, potem uprość konfigurację AP (WPA2‑PSK AES, rozdzielone SSID, brak WPS/MAC‑filter), sprawdź DHCP i aktualizacje. Gdy zadziała – przywracaj nowsze funkcje krok po kroku, aby zidentyfikować winny element.