LEPS sporadisch Assoziierung abgelehnt

alf29 · Beitrag von **alf29** » 24 Nov 2009, 12:12

Moin,

Ich glaube, ich habe das Problem gelöst, auch wenn es Sicherheitstechnisch weniger befriedigend ist. Offenbar haben meine OAPs der ersten Generation ein Problem mit AES-CCM. Ich habe nun alles, was an den OAPs hängt und natürlich auch die OAPs selbst auf TKIP umgestellt. Wobei ich persönlich die Kombination WPA2/TKIP auch irgendwie gewöhnungsbedürftig finde. Aber es scheint nun zu laufen. Ich habe wieder alle Performance Sachen wie Turbo Modus und TX-Burst aktiviert. Vorher konnte ich darauf warten, daß sich dann was weghängt, nun klappt es aber.

Deshalb die Frage an alf29: Warum?

Keine Idee. Wenn überhaupt, hatte der AR5212 ein Problem
mit TKIP - aber auch nur in Zusammenhang mit QoS, was
Du nicht eingeschaltet hast...

Gruß Alfred

crypticvision · Beitrag von **crypticvision** » 24 Nov 2009, 21:08

Keine Idee. Wenn überhaupt, hatte der AR5212 ein Problem
mit TKIP - aber auch nur in Zusammenhang mit QoS, was
Du nicht eingeschaltet hast...

Aber gut zu wissen.
Heute schon den ganzen Tag ohne Probleme. Wieviel Angst muß ich haben, daß sich nun jemand ins Netzwerk hackt? Die Passwörter sind 63 Zeichen lang und mittels Passwortgenerator erstellt.

@martinw:

root@ACWaltAT-ACThoAT:/
> dir /st/wlan/interf

Ifc Operating Operation-Mode Card-Id
Serial-Number
Firmware-Version MAC-Address Num-Stations Queue-Pac
ket
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
---
WLAN-1 Yes Access-Point Atheros AR5213/AR5112

Venice/9[4.8] 0007d5013b0a 1 0

WLAN-2 Yes Station Atheros AR5213/AR5112

Venice/9[4.8] 0007d5013b0b 0 0

root@ACWaltAT-ACThoAT:/
>

alf29 · Beitrag von **alf29** » 25 Nov 2009, 08:26

Moin,

Wieviel Angst muß ich haben, daß sich nun jemand ins Netzwerk hackt? Die Passwörter sind 63 Zeichen lang und mittels Passwortgenerator erstellt.

Naja, bei TKIP kommen in letzter Zeit die Einschläge näher, zumindest was das
Injizieren von Paketen in ein Funknetz angeht. Geknackt im Sinne, daß ein
Angreifer die Daten entschlüsseln kann, ist TKIP (bisher) nicht. Wie lange das
so bleibt, weiß aber keiner. TKIP war und ist eben nur eine Übergangslösung,
und wegen der Forderung, daß TKIP auf alter WEP-Hardware laufen mußte,
schleppt es einige der Probleme von WEP mit (die ihm vermutlich mittelfristig zum
Verhängnis werden).

Bringt in Deiner Umgebung eigentlich die Hardware-Kompression irgendetwas?
Meine Erfahrungen und auch die bei anderen Kunden sind, daß der Gewinn
igendwo zwischen 10 Prozent und negativ liegt...11n-Chips von Atheros unterstützen
sie auch gar nicht mehr und deswegen wird's kaum noch in der QS bei LANCOM
getestet. Ich habe sie seit Ewigkeiten nicht mehr benutzt...

Gruß Alfred

crypticvision · Beitrag von **crypticvision** » 25 Nov 2009, 17:23

Ich kam heute von der Arbeit und dachte, mich trifft der Schlag. Assoziierung abgelehnt. Obwohl gestern alles problemlos lief. Ich bin mit meinem Latein am Ende. Ich hab nun alle Stationen aus der internen RADIUS Liste gelöscht und allen Stationen das gleiche Passwort gegeben. Somit gibts im Moment kein LEPS mehr. Hab wieder AES eingestellt und warte nun, was passiert.

Kompression bringt eine Performanceverschlechterung. Die CPU Last der APs ist zwar nicht hoch, aber die Übertragungsgeschwindigkeit leidet trotzdem darunter.

alf29 · Beitrag von **alf29** » 25 Nov 2009, 19:38

Moin,

Ich kam heute von der Arbeit und dachte, mich trifft der Schlag. Assoziierung abgelehnt. Obwohl gestern alles problemlos lief. Ich bin mit meinem Latein am Ende. Ich hab nun alle Stationen aus der internen RADIUS Liste gelöscht und allen Stationen das gleiche Passwort gegeben. Somit gibts im Moment kein LEPS mehr. Hab wieder AES eingestellt und warte nun, was passiert.

Hm, hätte mich auch irgendwie gewundert, daß das einen Unterschied macht, die Pakete, die
bei der Anmeldung benutzt werden, sind überhaupt nicht verschlüsselt. Das Angebot mit der
Testfirmware steht immer noch, aber inzwischen gibt es auch einen RC1 der 7.80, wo das auch
drin ist. Ohne einen Mitschnitt einer solchen fehlgeschlagenen Anmeldung geht es leider nicht,
der Trace, den Du vor ein paar Tagen gepostet hast, enthält leider keine Anmeldung. In der
Zwischenzeit versuche ich noch, die Fehlermeldungen im Log etwas genauer zu machen.

Kompression bringt eine Performanceverschlechterung. Die CPU Last der APs ist zwar nicht hoch, aber die Übertragungsgeschwindigkeit leidet trotzdem darunter.

Dann ist es ja OK, es klang nur zwischenzeitlich für mich so, als ob Du sie an hättest.

Gruß Alfred

crypticvision · Beitrag von **crypticvision** » 26 Nov 2009, 17:00

Die RC1 der 7.80 hab ich nun drauf. Im Moment ist es so (LEPS ist ja aus), daß trotzdem ab und zu die Meldung bei Clients auftaucht, Assoziierung abgelehnt. Aber es scheint keine Auwirkung zu haben. Die Geräte hinter dem abgelehnten Client sind immernoch erreichbar. Aber es scheint dann alles ein bischen langsamer zu laufen. Aber irgendwann verschwindet der Eintrag dann wieder und alles ist wieder in Ordnung. Mich wundert wirklich, daß ich der Einzige bin, der solche Probleme hat. Und das eben in erster Linie nur bei den OAPs bzw. den APs, die mit den OAPs direkt in Verbindung stehen.

crypticvision · Beitrag von **crypticvision** » 26 Nov 2009, 17:35

Ich hab hier mal noch eine Tracedatendatei mit Ausgaben. Ich weiß nicht, ob das was nützt, aber ich glaube diesmal steht alles drin. Vor allem die vielen Resets innerhalb kürzester Zeit sind bedenklich.

crypticvision · Beitrag von **crypticvision** » 28 Nov 2009, 15:35

Ich hatte ja bisher auf den OAPs für beide Module die gleiche SSID und das gleiche Passwort. Sind bei dieser Konstellation Probleme bekannt? Ich habe nämlich nun das Passwort bei einem Modul geändert und zumindest seit 2 Tagen keine Audfälle mehr. Aber ich möchte den Tag nicht vor dem Abend loben.

crypticvision · Beitrag von **crypticvision** » 01 Dez 2009, 20:23

Trotzdem wieder Ausfälle. Ich habe jetzt zumindest erstmal einen neuen OAP bestellt, obwohl ich zwei bräuchte. Das liebe Geld, leider... Ich habe extra dazu geschrieben, bitte neueste Hardwarerevision. Mit welcher werde ich wohl rechnen können? alf29 dürfte das ja wissen, oder?

Den Alten kann ich ja mal zur Diagnose einschicken. Wird sowas praktiziert? Beider OAPs, gleiche Revision haben dieselben Probleme. Vielleicht wird ja was gefunden. Was mich immernoch wundert, daß wohl niemand dieselben Probleme hat, wie ich. Ich bin doch nicht der Einzige der OAPs mit Hardwarerevision A verbaut hat.

crypticvision · Beitrag von **crypticvision** » 02 Dez 2009, 20:27

Ich komme mir zwar vor, als führe ich hier Selbstgespräche, aber ich fühle mich irgendwie wohler, wenn ich andere an meinem Leid teilhaben lassen kann.

Ich habe den neuen OAP noch nicht und wer weiß, wie lange das noch dauert. Da sich immernoch regelmäßig alles weghängt, möchte ich so einen Art Job implementieren, der nichts anderes macht, als wenn IP x nicht erreichbar, dann mache bei AP mit IP y reset bzw. Neustart. Geht das und wie könnte ich das praktisch umsetzen? Hab da grad keine Idee. Danke für die Hilfe!

alf29 · Beitrag von **alf29** » 02 Dez 2009, 22:57

Moin,

Ich komme mir zwar vor, als führe ich hier Selbstgespräche, aber ich fühle mich irgendwie wohler, wenn ich andere an meinem Leid teilhaben lassen kann.

Glaub mir, Du hast Zuhörer...

Da sich immernoch regelmäßig alles weghängt, möchte ich so einen Art Job implementieren, der nichts anderes macht, als wenn IP x nicht erreichbar, dann mache bei AP mit IP y reset bzw. Neustart. Geht das und wie könnte ich das praktisch umsetzen?

Es gibt da unter Setup->TCP/IP den Alive-Test. Damit kann man einstellen, daß das Gerät regel-
mäßig (Test-Interval) eine IP-Adresse anpingt. Wenn soundso oft (Fail-Limit) keine Antwort
kommt, macht das Gerät einen Kalt- oder Warmstart.

Gruß Alfred

martinw · Beitrag von **martinw** » 03 Dez 2009, 00:33

Hallo,

wenn Du JETZT einen neuen OAP-54 bestellst, erhältst Du das Hardware-Release C. Wenn nicht, hat Dir jemand einen uralten Lagerbestand angedreht

Das ist für Dich nur insofern interessant, als dass andere/neuere WLAN-Module
verbaut sind (AR-5414).

Gruß,

Martin

crypticvision · Beitrag von **crypticvision** » 03 Dez 2009, 06:54

Danke @alf29! Jetzt kann ich wahrscheinlich wenigstens wieder ohne Sorge mal was arbeiten fahren, da der AP hoffentlich von allein wieder auf die Beine kommt.

Danke auch an martinw. Jetzt weiß ich wenigstens Bescheid und lasse im Fall einer älteren Revision das Ding wieder zurückgehen. Das ein AR 5414 drin ist, davon bin ich momentan sowieso ausgegangen, vor allem weil ich eine Strecke auf BFWA umstellen will, wäre das schon wichtig.

crypticvision · Beitrag von **crypticvision** » 04 Dez 2009, 19:02

Ich habe heute den neuen OAP bekommen und werde ihn morgen anbauen. Was mich etwas verwundert. Auf dem Gehäuse steht Mod C1 aber im Lanconfig bzw. Webinterface zeigt er Hardwarerelease A an. Aber er hat AR5414 Module und ein Überdruckventil. Mal sehen, ob ich nun bald Ruhe habe.

martinw · Beitrag von **martinw** » 05 Dez 2009, 12:00

Was den Release-Aufdruck und die Anzeige in LANconfig angeht: Frau Werwolf sagt, das gehört so

Mit dem Gerät ist alles ok.

Gruß,

Martin