Lancom WLAN Fehlermeldungen - Was ist das?

[plumpsack]

Fragen zu *883* Routern mit WLAN

Alarm-Meldungen [WLAN-1] "Kern Alarm" was ist das?

Code: Alles auswählen

KERN 	Alarm 	[WLAN-1] WLAN error: too many beacon transmit failures

Um die Uhrzeit ist niemand Online!

Was ist das?
Wie kann ich das deaktivieren?

Code: Alles auswählen

KERN 	Alarm 	[WLAN-1] WLAN protocol error communicating with xx:xx:xx:xx:xx:xx (xyz xx:xx:xx): SSID info element given once again (with zero length), ignori

Warum will mein Lancom-AP / warum wollen meine Lancom AP's mit dem Gerät quatschen wenn mein AP/ meine AP's auf hidden steht/stehen?

Code: Alles auswählen

KERN 	Alarm 	[WLAN-1] WLAN protocol error communicating with xx:xx:xx:xx:xx:xx (xyz xx:xx:xx): info element 77 requested multiple times in request list

Warum will mein Lancom-AP / warum wollen meine Lancom AP's mit dem Gerät quatschen wenn mein AP/ meine AP's auf hidden steht/stehen?

Code: Alles auswählen

KERN 	Alarm 	[WLAN-1] WLAN protocol error communicating with xx:xx:xx:xx:xx:xx (locally-adm.): Address3 is not broadcast BSSID in broadcasted probe request

Warum will mein Lancom-AP / warum wollen meine Lancom AP's mit dem Gerät quatschen wenn mein AP/ meine AP's auf hidden steht/stehen?

Danke schon einmal für die Informationen vorab.

[Jirka]

Code: Alles auswählen

KERN 	Alarm 	[WLAN-1] WLAN error: too many beacon transmit failures

Was ist das?

Also diese Frage wurde schon gefühlt hundertmal in diesem Forum gestellt. Einfach mal im Forum suchen oder die Forumssuche bemühen und wenn die Forumssuche blöd ist tut es auch eine Google-Suche mit site:lancom-forum.de (gefilterte Suche).
Kurzfassung: Beacons sind regelmäßige, im Normalfall alle 100 ms ausgestrahlte Pakete, die unter anderem die WLAN-SSID und andere Parameter wie Übertragungsraten, Verschlüsselungsmethoden, MAC-Adresse des Absenders u. ä. enthalten, anhand derer Clients APs finden können und wissen, was sie brauchen, um sich mit der SSID zu verbinden. Wenn diese Beacons nicht mehr in das Funkmedium, die Luft, abgegeben werden konnten, weil dieses ständig gestört ist durch Störstrahlungen oder andere WLAN-Übertragungen, dann kommt so eine Meldung und zeigt Dir an, dass Funkstörungen vorliegen, an denen im Normalfall der LANCOM-AP keine Schuld hat.

Wie kann ich das deaktivieren?

Gar nicht oder mit Hilfe eines Kanalwechsels oder indem die Ursache abgestellt wird, z. B. die Mikrowelle oder das Babyphone oder weiß der Geier was.

Um die Uhrzeit ist niemand Online!

Woher willst Du das wissen? Ich bin regelmäßig online, wenn ich eigentlich schon im Bett sein sollte. Davon unabhängig kommt die Fehlermeldung auch, wenn niemand online ist. Es reicht, dass das Funkmedium gestört oder wie auch immer voll ist, so dass die Beacons sich derart in der Warteschlange stauen, weil sie nicht abgegeben werden konnten. Diese Fehlermeldung kommt übrigens auch von der WLAN-Karte/dem WLAN-Chipsatz. LANCOM gibt sie im Gegensatz zu anderen Herstellern weiter.

[jfuchs]

Ich hoffe du bist etwas mit den Frames von IEEE-802.11 vertraut, ansonsten wird das folgende dich wenig erhellen

Code: Alles auswählen

KERN 	Alarm 	[WLAN-1] WLAN protocol error communicating with xx:xx:xx:xx:xx:xx (xyz xx:xx:xx): SSID info element given once again (with zero length), ignori

Hier schickt der Client xyz ein Paket, in dem das SSID Info Element (IE) fälschlicherweise doppelt enthalten ist. Beim zweiten Auftreten hat dies allerdings keine Tags im IE enthalten, ergo Länge "0". Würde ich als "Warning" bezeichnen und kann ignoriert werden. Falls du den Client ausfindig machen kannst, lässt es sich vielleicht an den jeweiligen Hersteller melden, oder per Update beheben.

Code: Alles auswählen

KERN 	Alarm 	[WLAN-1] WLAN protocol error communicating with xx:xx:xx:xx:xx:xx (xyz xx:xx:xx): info element 77 requested multiple times in request list

Hier übersendet ein Client xyz ein Paket in dem ein IE mit der Nummer 77 enthalten ist. Mir ist Tag 77 nicht bekannt (vgl. https://github.com/boundary/wireshark/b ... 211.c#L601). Laut IEEE-802.11-2020 ist dieses Tag "Reserved" (IEEE-802.11-2020 Seite 941 in "Table 9-92 Element IDs"). Keine Ahnung, was der Client da treibt oder vor hat. Ist ebenso nur als Warning oder Info zu betrachten, siehe Aussage oben.

Code: Alles auswählen

KERN 	Alarm 	[WLAN-1] WLAN protocol error communicating with xx:xx:xx:xx:xx:xx (locally-adm.): Address3 is not broadcast BSSID in broadcasted probe request

Hier werde ich etwas unsicherer, aber meiner Meinung nach beanstandet der LANCOM da auch nur das eine MAC-Adresse nicht (mit seiner ausgesendeten BSSID?) übereinstimmt. Irgendeine dritte Adresse (Transmitter Address?) im empfangenen Probe Request. Gleiches wie oben, dient nur als Info. An der Stelle wäre alf29 jedoch der Experte

Insgesamt ist das LCOS hier vielleicht etwas zu "gesprächig" für Endanwender, die dies als Fehler deuten. Gleichzeitig hilft dies etwas, um mögliche Kommunikationsprobleme mit diversen Endgeräten debuggen zu können.

Nachtrag: für die Meldungen ist es zum Teil unerheblich, ob der Client tatsächlich assoziiert ist. Wie dir sicher bekannt ist, scannen Endgeräte die ganze Zeit (je nach Implementierung passiv, aktiv un- und gerichtet). Diese Pakete kommen natürlich auch bei einem "versteckten" Netzwerk/AP an, welcher diese ebenso verarbeiten muss. Deine aufgespannte Funkzelle kann daher auch unbeabsichtigt in Bereiche strahlen, die stark frequentiert sind. Bspw. haben heute moderne Kraftfahrzeuge fast alle selber WLAN an Bord und scannen während der Fahrt ohne Ende. Dies kannst du auch meist an einer endlosen Liste in /Status/WLAN/Seen-Clients beobachten (wobei da noch randomisierte MAC-Adressen eine Rolle spielen).

[GrandDixence]

Code: Alles auswählen

KERN 	Alarm 	[WLAN-1] WLAN error: too many beacon transmit failures

Siehe:
fragen-zur-lancom-systems-routern-und-g ... 19750.html

[plumpsack]

Code: Alles auswählen

KERN 	Alarm 	[WLAN-1] WLAN error: too many beacon transmit failures

Was ist das?

Also diese Frage wurde schon gefühlt hundertmal in diesem Forum gestellt. Einfach mal im Forum suchen oder die Forumssuche bemühen und wenn die Forumssuche blöd ist tut es auch eine Google-Suche mit site:lancom-forum.de (gefilterte Suche).

Und dieser "Alarm" tritt meistens zwischen 03:00 und 05:00 Uhr auf und hat nichts mit dem Funkfeuer des LBS zu tun?

Ich finde leider hier im Forum keine Lösung zu diesem Fehler.

[plumpsack]

Hier schickt der Client xyz ein Paket, in dem das SSID Info Element (IE) fälschlicherweise doppelt enthalten ist

Hier übersendet ein Client xyz ein Paket in dem ein IE mit der Nummer 77 enthalten ist. Mir ist Tag 77 nicht bekannt (vgl.

Hier werde ich etwas unsicherer, aber meiner Meinung nach beanstandet der LANCOM da auch nur das eine MAC-Adresse nicht (mit seiner ausgesendeten BSSID?) übereinstimmt. Irgendeine dritte Adresse (Transmitter Address?) im empfangenen Probe Request. Gleiches wie oben, dient nur als Info. An der Stelle wäre alf29 jedoch der Experte

Was für ein "Client" - das sind nicht meine Geräte!

Und wenn meine AP's schon auf "hidden"* stehen kann niemand "aus Versehen" mit meinen AP's kommunizieren ...

* vor der aktiven Inbetriebnahme

[plumpsack]

Dies kannst du auch meist an einer endlosen Liste in /Status/WLAN/Seen-Clients beobachten (wobei da noch randomisierte MAC-Adressen eine Rolle spielen).

Wie verbiete ich dem Lancom diesen Mist?

[PappaBaer]

Moin,

Wie verbiete ich dem Lancom diesen Mist?

Dafür sorgen, dass sich Deine Funkzelle komplett auf Deine Räumlichkeiten beschränkt oder ganz auf WLAN verzichten.

@jfuchs
Da hast Du nun aber einen ordentlichen Schuss Öl in die Paranoia-Flamme vom TE gegossen. Der sieht jetzt in jedem "Seen Client" einen potentiellen Angreifer.

SCNR

Grüße,
Torsten

[jfuchs]

Was für ein "Client" - das sind nicht meine Geräte!

Und wenn meine AP's schon auf "hidden"* stehen kann niemand "aus Versehen" mit meinen AP's kommunizieren ...

* vor der aktiven Inbetriebnahme

Kurz nur bevor ich es dann aufgebe: jedes WLAN-Endgerät wird als Client oder Station bezeichnet, unerheblich ob das nun zu dir gehört oder nicht.
Der AP hat eingehende Pakete (Probe Requests, also das Scannen bspw.) zu verarbeiten, ob einer deiner Endgeräte nun Urheber der Pakete ist oder nicht, bzw ob du das jetzt willst oder nicht. Das was du meinst sind sicher Datenpakete mit Nutzdaten, davon rede ich aber nicht, ebenso nicht in den vorherigen Posts.

Bitte informiere dich mal was "hidden network" bedeutet. Ich glaube da gibt es eine Diskrepanz zwischer deiner Erwartungshaltung und den harten Fakten [0]. Insbesondere ist der Ansatz in 99% der Fälle nicht notwendig und seit über einem Jahrzent sicher kein "Best-Practice" mehr. Der Sicherheitsgewinn geht auch gegen 0. Schneidet man eine erfolgreiche Anmeldung von einem deiner Clients mit (Wireshark, Packet-Capture) muss der Access-Point seinen Netzwerknamen (SSID) nämlich im Klartext übermitteln, ebenso packt dies der Client in die Frames.

Wie verbiete ich dem Lancom diesen Mist?

Gar nicht, weil es nicht notwendig das zu verbieten da hier von keinerlei Gefahr oder sonstiges Problem ausgeht.
Es besteht lediglich die Möglichkeit die Tabelle manuell oder per Cronjob zu löschen: "do /Status/WLAN/Clear-Seen-Clients-Table".

Da hast Du nun aber einen ordentlichen Schuss Öl in die Paranoia-Flamme vom TE gegossen. Der sieht jetzt in jedem "Seen Client" einen potentiellen Angreifer.

Ja, Ich habs gemerkt, ich bereue es schon wieder.

[0]: https://www.elektronik-kompendium.de/si ... 109151.htm

[alf29]

Wie verbiete ich dem Lancom diesen Mist?

Schalte das WLAN an Deinem LANCOM aus. Alternativ: Bastele ihm einen hübschen Aluhut.

[plumpsack]

Code: Alles auswählen

KERN 	Alarm 	[WLAN-1] WLAN error: too many beacon transmit failures

Siehe:
fragen-zur-lancom-systems-routern-und-g ... 19750.html

Keine Antwort passt, da die Lancom AP's unterschiedliche Kanäle benutzen und die Meldung

WLAN error: too many beacon transmit failures

fast gleichzeitig auf den AP's erscheint:

z.B. AP1 /AP2
AP1:

Code: Alles auswählen

05:33:02 	KERN 	Alarm 	[WLAN-1] WLAN error: too many beacon transmit failures

AP2

Code: Alles auswählen

05:33:00 	KERN 	Alarm 	[WLAN-1] WLAN error: too many beacon transmit failures

AP1:

Code: Alles auswählen

04:39:23 	KERN 	Alarm 	[WLAN-1] WLAN error: too many beacon transmit failures

AP2

Code: Alles auswählen

04:39:21 	KERN 	Alarm 	[WLAN-1] WLAN error: too many beacon transmit failures

[plumpsack]

Da hast Du nun aber einen ordentlichen Schuss Öl in die Paranoia-Flamme vom TE gegossen. Der sieht jetzt in jedem "Seen Client" einen potentiellen Angreifer.

Es geht hier nicht um "Seen Client" - es geht um genau zwei bis drei Mac-Adressen die hier auf meine AP's zugreifen wollen oder auf die mein Lancom-Gerät zugrifen will.

Darum meine Frage zum Thema

"KERN Alarm [WLAN-1] WLAN protocol error communicating with ... SSID info element given once again (with zero length), ignori"

oder auch

"KERN Alarm [WLAN-1] WLAN protocol error communicating with ... (locally-adm.): Address3 is not broadcast BSSID in broadcasted probe request"

Kommt der Fehler/der Alarm vom Lancom oder von der anfragenden Mac/BSSID?

Ich finde zu diesen Fehlermeldungen / Alarmmeldungen nichts in der/den Dokumentation/en von Lancom.

[jfuchs]

es geht um genau zwei bis drei Mac-Adressen die hier auf meine AP's zugreifen wollen oder auf die mein Lancom-Gerät zugrifen will.
[..]
Kommt der Fehler/der Alarm vom Lancom oder von der anfragenden Mac/BSSID?

Niemand sagt, dass diese Endgeräte auf dein Netzwerk zugreifen wollen. Diese Endgeräte scannen lediglich ihre Umgebung nach verfügbaren WLAN-Funkzellen, wobei diese "Scan"-Pakete auch unweigerlich bei deinem AP ankommen, wenn dieser in Reichweite ist. Der AP verarbeitet wiegesagt lediglich diese intern und merkt das in den Paketen eben für ihn Murks drin steht. Dies loggt er als Fehler. Mehr nicht.

Keine Antwort passt, da die Lancom AP's unterschiedliche Kanäle benutzen und die Meldung

Code: Alles auswählen

WLAN error: too many beacon transmit failures

fast gleichzeitig auf den AP's erscheint

Auch dies ist durchaus möglich. Wie schon in vorherigen Posts erwähnt ist der Access-Point nicht in der Lage sein Beacon rauszusenden, da das Medium bereits belegt ist. Passiert dies über eine gewisse längere Zeit, loggt der AP dies als Fehler mit.
Ursachen dafür können vielfältig sein. Mein erster Verdacht wäre ein breitbandiger starker Störer (der sozusagen auch über mehrere WLAN-Kanäle hinweg) das Medium belegt. Ist dieser Störer in Reichweite beider genannter Access-Points, werden auch beide zu ungefähr gleichen Zeitpunkten den gleichen Fehler loggen. Als Beispiel: Handelt es sich bei dem Frequenzband der beiden betroffenen Modulen in den APs um 2.4 GHz, wäre ein vorstellbarer starker breitbandiger Störer schon der Betrieb einer handelsüblichen Mikrowelle, welche gerade mit der Erwärmung einer Speise beschäftigt wird. Weiterhin gibt es unzählbare Geräte, die aufgrund von Fehldesign oder Alterung nicht mehr sachgemäß funktionieren. Da kein Mensch Funkwellen mit derartigem Leistungsspektrum groß schmecken oder spüren kann, bleibt dies in der Regel erst einmal unentdeckt - bis auf den wesentlich empfindlicheren Funkanlagen, wie eben deine WLAN Access-Points. Dazu verweise ich auch auf die Story in [0]. D.h. es ist nicht auszuschließen das ein derartiger Störer unbeabsichtigt von einem deiner Nachbarn oder gar von dir selber betrieben wird.

Darüber hinaus sei noch darauf verwiesen: Jedes Jahr zieht die Bundesnetzagentur [1] unzählige Geräte aus dem Verkehr die aus diversen Gründen nicht hätten betrieben werden dürfen - aber trotzdem in den Markt gebracht wurden. Einige davon "verunreinigen" mit ihren unbeabsichtigten Emissionen eben auch das Funkspektrum.

[0]: https://www.golem.de/news/openreach-alt ... 51034.html
[1]: https://www.bundesnetzagentur.de/Shared ... chung.html

[plumpsack]

Auch dies ist durchaus möglich. Wie schon in vorherigen Posts erwähnt ist der Access-Point nicht in der Lage sein Beacon rauszusenden, da das Medium bereits belegt ist. Passiert dies über eine gewisse längere Zeit, loggt der AP dies als Fehler mit.
...
Mein erster Verdacht wäre ein breitbandiger starker Störer (der sozusagen auch über mehrere WLAN-Kanäle hinweg) das Medium belegt. Ist dieser Störer in Reichweite beider genannter Access-Points, werden auch beide zu ungefähr gleichen Zeitpunkten den gleichen Fehler loggen. Als Beispiel: Handelt es sich bei dem Frequenzband der beiden betroffenen Modulen in den APs um 2.4 GHz, wäre ein vorstellbarer starker breitbandiger Störer schon der Betrieb einer handelsüblichen Mikrowelle, welche gerade mit der Erwärmung einer Speise beschäftigt wird.

Ok, ich glaube ich erkenne jetzt den "Störer" - und der benutzt auf gar keinen Fall "handelsübliches" Equipment.


Jetzt sind noch die Fragen zum Thema

"KERN Alarm [WLAN-1] WLAN protocol error communicating with ... SSID info element given once again (with zero length), ignori"

und

"KERN Alarm [WLAN-1] WLAN protocol error communicating with ... (locally-adm.): Address3 is not broadcast BSSID in broadcasted probe request"

offen.

Wer verursacht den Alarm und warum?

Bin ich das mit meinen Lancom-Geräten oder sind das die externen WLAN-Geräte?

[jfuchs]

Ok, ich glaube ich erkenne jetzt den "Störer" - und der benutzt auf gar keinen Fall "handelsübliches" Equipment.

Kannst du uns aufklären welchen "Störer" mit nicht handelsüblichen Equipment du vermutest? Und wie du darauf kommst, diesen festgestellt zu haben?

Wer verursacht den Alarm und warum? Bin ich das mit meinen Lancom-Geräten oder sind das die externen WLAN-Geräte?

Beide Meldungen hatte ich u.a. in meinem Post (20 Feb 2023, 21:07) eigentlich schon ausführlich erläutert - lies diesen bitte nochmal, oder formuliere die Frage so, das ich nachvollziehen kann, was noch unklar geblieben ist. Verantwortlich für die Erzeugung dieser Nachrichten auf deinem LANCOM AP sind WLAN-Endgeräte (von dir als "externen WLAN-Geräte" bezeichnet), die sich in Reichweite deines APs befunden haben.