Seltsames Verhalten beim 1700er

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Seltsames Verhalten beim 1700er

Beitrag von ua »

Tach Zusammen,

folgendes Setup:
1* 1781VA als CPE am VDSLer mit WLC-Option 10.00.0171RU3
2* 1310er AP 10.00,0171RU3
2* 1700 AP 10.10.0137RU2
4* SSID (2 nur per Tunnel, 2 gemischt), verbunden über ein flaches L3 Netz.
3 SSID mit WPA2, 1 Netz per 802.1x mit dem WLC als Radius.

Funktioniert soweit (aufgrund zeitweiser Ausfälle booten alle AP nachts per Cron nacheinander durch), jedoch zickt ein 1700er regelmäßig, Netze werden ausgestrahlt jedoch ist keine Anmeldung möglich (weder WPA2 noch 802.1x).
Beim ersten Mal half weder ein Reset noch ein Factory-Reset, ein Reserve-AP (1310) ließ sich an dem Standort problemlos in Betrieb nehmen. Auch nach einem manuellem löschen des AP aus dem WLC konnte der 1700 nicht mehr angebunden werden (rechte Maustaste im LM "AP Profil zuweisen" ging nicht) erst nach einem Reset des Routers/WLC konnte das Ding wieder zur Mitarbeit bewegt werden.

Heute lief dann wieder ein ähnlicher Film:
Plötzlich keine DÜ mehr, SSIDs werden ausgestrahlt aber keine Anmeldung möglich (weder WPA2 noch 802.1x), nach einem Power-Reset ging es wieder.

Folgende Einträge schreibt der AP auf den Syslog:

Code: Alles auswählen

2017-07-26,21:21:50,Notice,172.26.59.17,local2,ADMIN_INFO,Download from 172..28 via HTTPS succeeded
2017-07-26,21:21:50,Notice,172..17,local2,ADMIN_INFO,Configuration download started from 172..28 via HTTPS
2017-07-26,21:21:39,Notice,172..17,kern,SYSTEM_INFO,[WLAN-2] WLAN blacklist action on 00::c5 (Ascom-Tateco): omitting priority-independent AES sequence check due to buggy client AES implementation
2017-07-26,21:21:31,Notice,172..17,kern,SYSTEM_INFO,[WLAN-2] WLAN blacklist action on 00::ac (Ascom-Tateco): omitting priority-independent AES sequence check due to buggy client AES implementation
2017-07-26,21:21:16,Notice,172..17,kern,SYSTEM_INFO,[WLAN-2] 40 MHz operation permitted
2017-07-26,21:20:14,Notice,172..17,kern,SYSTEM_INFO,[WLAN-2] Starting DFS channel availability check: channel 52/58 (5260/5290 MHz) 80MHz
2017-07-26,21:19:14,Notice,172..17,kern,SYSTEM_INFO,[WLAN-2] Starting DFS channel availability check: channel 100/106 (5500/5530 MHz) 80MHz
2017-07-26,21:18:41,Notice,172..17,kern,SYSTEM_INFO,[WLAN-2] Starting DFS channel availability check: channel 100/106 (5500/5530 MHz) 80MHz
******* Neustart
2017-07-26,19:08:28,Notice,172..17,kern,SYSTEM_INFO,[WLAN-2] WLAN blacklist action on 00::f9 (Ascom-Tateco): omitting priority-independent AES sequence check due to buggy client AES implementation
2017-07-26,19:08:16,Notice,172..17,kern,SYSTEM_INFO,[WLAN-2] WLAN blacklist action on 00::ac (Ascom-Tateco): omitting priority-independent AES sequence check due to buggy client AES implementation
2017-07-26,19:08:04,Notice,172..17,kern,SYSTEM_INFO,[WLAN-2] WLAN blacklist action on 00::c5 (Ascom-Tateco ): omitting priority-independent AES sequence check due to buggy client AES implementation
2017-07-26,19:07:56,Alert,172..17,kern,SYSTEM_ALERT,[WLAN-2] Channel change due to radar interference
2017-07-26,19:07:56,Notice,172..17,kern,SYSTEM_INFO,radar pattern: 3460 pps - 294 - 273
2017-07-26,19:07:56,Notice,172..17,kern,SYSTEM_INFO,radar pattern: 3460 pps - 294 - 273
2017-07-26,19:03:50,Notice,172..17,kern,SYSTEM_INFO,[WLAN-2] WLAN blacklist action on 00::f9 (Ascom-Tateco): omitting priority-independent AES sequence check due to buggy client AES implementation
2017-07-26,18:56:34,Notice,172..17,kern,SYSTEM_INFO,[WLAN-2] WLAN blacklist action on 00::f9 (Ascom-Tateco): omitting priority-independent AES sequence check due to buggy client AES implementation
2017-07-26,18:55:15,Notice,172..17,kern,SYSTEM_INFO,[WLAN-2] WLAN blacklist action on 00:f9 (Ascom-Tateco ): omitting priority-independent AES sequence check due to buggy client AES implementation
IP & MAC gekürzt
Die Fehlermeldung der Ascom-Telefon (i62 mit 802.1x via WLC) erscheint im Log der anderen AP (Telefone sind ziemlich gleichmäßig über die AP verteilt) nicht??

Der Router schreibt folgende seltsame (zumindest auf die Anzahl der Einträge bezogen) Einträge:

Code: Alles auswählen

2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS accept for user id 'pro4' to 172..17
2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS challenge for user id 'pro4' to 172..17
2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS accept for user id 'pro4' to 127.0.0.1
2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS challenge for user id 'pro4' to 172..17
2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS challenge for user id 'pro4' to 127.0.0.1
2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS accept for user id 'pro4' to 127.0.0.1
2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS challenge for user id 'pro4' to 172..17
2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS challenge for user id 'pro4' to 127.0.0.1
2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS challenge for user id 'pro4' to 172..17
2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS challenge for user id 'pro4' to 172..17
2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS challenge for user id 'pro4' to 172..17
2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS challenge for user id 'pro4' to 172..17
2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS challenge for user id 'pro4' to 172..17
2017-07-26,21:17:09,Notice,RT,auth,CONN-LOGIN_INFO,sent RADIUS challenge for user id 'pro4' to 172..17
Daten rausgestürzt, .17 ist die IP des 1700er AP
Sonst finde ich keine ungewöhnlichen Einträge.

Wonach kann ich suchen oder ist das ggf. ein RMA-Fall?

Bootlog ist auch sauber:

Code: Alles auswählen

****

07/26/2017 21:18:28  System boot after power on

DEVICE:                LANCOM LN-1700
HW-RELEASE:            A
VERSION:               10.10.0137RU2 / 08.06.2017

Voll der Hoffnung auf eine Lösung und schönen Grüßen aus OBC

Udo

PS Wird der Kompatibilität-Guide Ascom/Lancom irgendwann mal auf die 10er aktualisiert (Bitte keine Diskussion über VoWLAN, Danke)?
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Seltsames Verhalten beim 1700er

Beitrag von alf29 »

2017-07-26,21:21:39,Notice,172..17,kern,SYSTEM_INFO,[WLAN-2] WLAN blacklist action on 00::c5 (Ascom-Tateco): omitting priority-independent AES sequence check due to buggy client AES implementation
MAC-Adressen gekürzt? Diese Meldung ist letzten Endes auf ac-Modulen irrelevant, weil die AES-Sequenznummernprüfung nicht auf dem LCOS abläuft.
Plötzlich keine DÜ mehr, SSIDs werden ausgestrahlt aber keine Anmeldung möglich (weder WPA2 noch 802.1x), nach einem Power-Reset ging es wieder.
Bitte etwas näher definieren. Heißt 'keine Anmeldung möglich', daß die Clients nicht in den Zustand 'connected' kommen? Wenn nicht, WLAN-Status-Trace auf die MAC-Adresse des Clients eingeschränkt machen. Wenn's in der 1X-Verhandling klemmt, sehen wir weiter.. Wenn der Client bis in den Zustand 'connected' kommt, ist's eigentlich nicht mein Problem...

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Seltsames Verhalten beim 1700er

Beitrag von ua »

Hallo Alf,
MAC-Adressen gekürzt? Diese Meldung ist letzten Endes auf ac-Modulen irrelevant, weil die AES-Sequenznummernprüfung nicht auf dem LCOS abläuft.
Die IP/MAC habe ich zwecks Pseudonymisierung gekürzt. Interessant ist dabei ist nur, daß diese Fehlermeldung nur auf DISEM AP auftreten, im Log aller Anderen erscheint diese Fehlermedlung nicht.

Die Clients hatten auch nur das Problem sich an DIESEM einem AP nicht anzumelden, sobald das Ding aus war buchten sich die Klients an weitere enfernten problemlos ein.
Zu der Zeit hatte ich kein Debug laufen, jedoch war die Anmeldung weder über WPA2 noch über 802.1x möglich, damit würde ich gefühlt den Radius ausschliessen?

Viele Grüße

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Seltsames Verhalten beim 1700er

Beitrag von alf29 »

Moin,
Interessant ist dabei ist nur, daß diese Fehlermeldung nur auf DISEM AP auftreten, im Log aller Anderen erscheint diese Fehlermedlung nicht.
Diese Meldung kommt nur, wenn diese zusätzliche Sequenznummernprüfung je nach MAC-Adresse des Clients benutzt werden soll oder nicht. Dazu muß der Menüpunkt Setup->WLAN->Omit-Global-Crypto-Sequence-Check auf 'Auto' stehen (was der Konfig-Default ist). Hast Du den Punkt auf den anderen APs vielleicht bereits umkonfiguriert?
Zu der Zeit hatte ich kein Debug laufen, jedoch war die Anmeldung weder über WPA2 noch über 802.1x möglich, damit würde ich gefühlt den Radius ausschliessen?
Mit "WPA2" meinst Du WPA2-PSK anstelle 802.1X? Weil WPA(2) mit 802.1X ist ja auch erstmal WPA ;-) Dann ist der RADIUS-Server vermutlich als Fehlerquelle raus. Wenn Du sagst, daß es geht, sobald Du den AP ausmachst, dann heißt das für mich, daß die Clients den AP prinzipiell 'sehen' und versuchen sich anzumelden, aber beim Versuch der Anmeldung irgendetwas schief geht. Und um das einzukreisen, müssen wir uns halt irgendwie rantasten, dafür ist ein m.E. ein WLAN-Status-Trace im Fehlerfall die erste Anlaufstelle. In dem kommen deutlich mehr Meldungen über den Verlauf einer Anmeldung als im Syslog.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Seltsames Verhalten beim 1700er

Beitrag von ua »

Hallo Alfred,

sorry, in meinen Text steht WPA2 für WPA2 mit PSK und 802.1x für Enterprise WPA2 (EAP).

Habe alle AP geprüft, bei allen vier steht der Punkt: "Globale-Krypto-Sequenz-Pruefung-auslassen" auf Auto.
Den Fehler wirft jedoch nur der besagte Patient, habe eben die Logs noch einmal gesichtet.

Mir ist noch eingefallen, daß beim ersten AP-Ausfall auch das 5GHz Band in gesamten Bereich beeinträchtigt war, zuerst hatte ich damals eine DOS-Attacke (Dealt-Flooding) vermutet. Kann ich so einen Angriff eigentlich mit LC Bordmitteln erkennen? Meinen Wi-Fi-Analyzer hatte damals im Büro.

Bei dem nächsten Ausfall lasse ich dann mal den WLAN-Status-Trace laufen, mein Netzwerkbauchgefühl deutet jedoch auf ein zumindest zeitweise fehlerhaftes AC-Modul?

Viele Grüße aus OBC

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Seltsames Verhalten beim 1700er

Beitrag von alf29 »

Moin,
sorry, in meinen Text steht WPA2 für WPA2 mit PSK und 802.1x für Enterprise WPA2 (EAP).
OK, das war auch mehr eine Erbsenzählerei. Wenn früher jemand '802.1X' geschrieben hat, dann hätte das auch WEP mit Schlüsselrotation und 802.1X-Authentisierung heißen können. Das benutzt aber (hoffentlich) niemand heute mehr...bei der WiFi-Alliance mag man auch gern die die Begriffe 'WPA-Personal' versus 'WPA-Enterprise'....
Habe alle AP geprüft, bei allen vier steht der Punkt: "Globale-Krypto-Sequenz-Pruefung-auslassen" auf Auto.
Den Fehler wirft jedoch nur der besagte Patient, habe eben die Logs noch einmal gesichtet.
Ich habe gerade noch einmal in den LCOS-Quellen nachgeschaut. Diese Meldung kommt dann und nur dann, wenn alle folgenden drei Bedingungen gerfüllt sind:

(1) dieser Schalter auf 'Auto'
(2) Der Client macht WPA-Verschlüsselung (egal ob PSK oder 802.1X)
(3) Der Client hat ein MAC-Adresse der Form 00:21:fe:xx:xx:xx, 00:1f:df:xx:xx:xx, 00:1f:5c:xx:xx:xx, 00:01:3e:xx:xx:xx oder 00:90:33:xx:xx:xx

Irgendeine dieser Bedingungen ist dann an dem anderen Standort nicht gegeben...
Mir ist noch eingefallen, daß beim ersten AP-Ausfall auch das 5GHz Band in gesamten Bereich beeinträchtigt war, zuerst hatte ich damals eine DOS-Attacke (Dealt-Flooding) vermutet. Kann ich so einen Angriff eigentlich mit LC Bordmitteln erkennen? Meinen Wi-Fi-Analyzer hatte damals im Büro.
Du meinst 'Deauth-Flooding' und nicht 'Dealt-Flooding'? Ich glaube, so eine Erkennung hatten wir mal von Hirschmann bekommen und probeweise ins LCOS reingenommen. Es hat nicht viel getaugt, und man mußte auf dem AP dazu das Interface im Promiscuous Mode laufen lassen (sonst hört der AP die an die Clients gerichteten Deauths nicht), und auf den ac-Modulen ging das gar nicht mehr, weil auf denen eine Firmware sitzt, die große Teile des WLAN-Protokolls selber bearbeitet. Letzten Endes sind solche Erkennungen im meinen Augen auch nicht mehr als Schlangenöl. Sorgt dafür, daß Eure Clients PMF/802.11w können, und das hört auf. Oder alternativ: sorgt dafür, daß der Admin im Nebenraum diesen Rogue-AP-Bekämpfungsschwachsinn ausschaltet. Die Quelle von Deauth-Attacken sind nämlich üblicherweise einfach andere WLAN-Systeme beim Nachbarn nebenan, die so etwas ernsthaft als Feature verkaufen. Daß die "eigene Luft" nicht scharf bei der Zimmerwand zu Ende ist und daß man damit unter Umständen das WLAN bei der Nachbarfirma oder -abteilung stört, das ficht solche Leute ja nicht an...sorry, aber das ist so eines von meinen Lieblings-Haßthemen...
Bei dem nächsten Ausfall lasse ich dann mal den WLAN-Status-Trace laufen, mein Netzwerkbauchgefühl deutet jedoch auf ein zumindest zeitweise fehlerhaftes AC-Modul?
Wir werden sehen...ich habe in 15 Jahren WLAN gelernt, daß man am besten überhaupt keine Vermutungen anstellt und statdessen ein Problem besser einfach systematisch herunterbricht und einkreist.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Seltsames Verhalten beim 1700er

Beitrag von ua »

Moin Alfred,
Ich habe gerade noch einmal in den LCOS-Quellen nachgeschaut. Diese Meldung kommt dann und nur dann, wenn alle folgenden drei Bedingungen gerfüllt sind:

(1) dieser Schalter auf 'Auto' :!: checked
(2) Der Client macht WPA-Verschlüsselung (egal ob PSK oder 802.1X) :!: checked
(3) Der Client hat ein MAC-Adresse der Form 00:21:fe:xx:xx:xx, 00:1f:df:xx:xx:xx, 00:1f:5c:xx:xx:xx, 00:01:3e:xx:xx:xx oder 00:90:33:xx:xx:xx :!: checked Client hat 00:01:3e...

Irgendeine dieser Bedingungen ist dann an dem anderen Standort nicht gegeben...
Bingo, alle 3 Bedingungen treffen zu. Habe das ganze noch einmal mit den auslösenden Telefonen getestet, die Meldung "wandert mit". Interessant, dann haben die 3 Hersteller wohl den selben Chipsatz. Stört dieses Verhalten ggf. das WLAN oder kann ich das getrost ignorieren, eine neuere Firmware gibt es derzeit nicht für die Ascom i62.
Du meinst 'Deauth-Flooding' und nicht 'Dealt-Flooding'?
Sch... Autokorrektur und schreiben ohne Brille :roll:
Ja, bei Cisco gibt es das schöne Feature "contain", damit lässt genau das erreichen (Gab es zuerst auch als eigenständiges System RFProtect von Network-Chemistry). Ist jedoch in DE verboten, da es unter den Begriff "Computersabotage" fällt. Hatte mit einigen Firmen schon vielen Gespräche dazu, die Juristen kommen dann mit Ihrem "Hausrecht", welches m.E. nicht über dem Gesetz steht. Jedoch diskutiere ich so etwas nicht mit Kunden (Diskussion gewonnen, Kunden verloren..), ein Hinweis im Übergabeprotokoll und fertig.
Im Umfeld meiner Installation gibt es nur Consumer-Sch..., die können so etwas vermutlich nicht, hatte auch eher an ein Spielkind mit Kali gedacht, daher die Frage ob ich es ggf. im Log erkenn kann.
PMF/802.11w
Habe eben mal die Profile angeschaut, bei WPA2 mit 8021.x war die Verschlüsselung der Management-Frames ausgeschaltet (war wegen den IOS Geräten ausgeschaltet, finde den Thread auf die schnelle aber nicht). Mit der Einstellung "erzwungen" können sich die IOS Geräte anmelden, die Ascoms aber nicht, mit "optional" funktionieren beide (im Interoperabiltätsguide steht die Verschlüsselung auch auf "Aus").
Wir werden sehen...ich habe in 15 Jahren WLAN gelernt, daß man am besten überhaupt keine Vermutungen anstellt und statdessen ein Problem besser einfach systematisch herunterbricht und einkreist.
... und trotzdem braucht man Kunden schon mal einen Pott Weihwasser :mrgreen:

Viele Grüße

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Seltsames Verhalten beim 1700er

Beitrag von alf29 »

Moin,
Bingo, alle 3 Bedingungen treffen zu. Habe das ganze noch einmal mit den auslösenden Telefonen getestet, die Meldung "wandert mit". Interessant, dann haben die 3 Hersteller wohl den selben Chipsatz. Stört dieses Verhalten ggf. das WLAN oder kann ich das getrost ignorieren, eine neuere Firmware gibt es derzeit nicht für die Ascom i62.
Nein, da sollte nichts stören, die Aussage der Meldung ist ja gerade, daß das LCOS unter bestimmten Umständen Frames von diesen Clients wegwerfen würde und es nicht tut, weil's diese Clients nun einmal nicht besser wissen ;-)
Sch... Autokorrektur und schreiben ohne Brille :roll:
Ja, Sch...Älterwerden. So seit einem Jahr hab ich jetzt auch eine Lesebrille, nachdem der letzte Sehtest doch eher ernüchternd war...
Ja, bei Cisco gibt es das schöne Feature "contain", damit lässt genau das erreichen (Gab es zuerst auch als eigenständiges System RFProtect von Network-Chemistry). Ist jedoch in DE verboten, da es unter den Begriff "Computersabotage" fällt. Hatte mit einigen Firmen schon vielen Gespräche dazu, die Juristen kommen dann mit Ihrem "Hausrecht", welches m.E. nicht über dem Gesetz steht. Jedoch diskutiere ich so etwas nicht mit Kunden (Diskussion gewonnen, Kunden verloren..), ein Hinweis im Übergabeprotokoll und fertig.
Im Umfeld meiner Installation gibt es nur Consumer-Sch..., die können so etwas vermutlich nicht, hatte auch eher an ein Spielkind mit Kali gedacht, daher die Frage ob ich es ggf. im Log erkenn kann.
Ja, ob das jetzt wirklich "Eingriff in eine Datenverarbeitungsanlage" ist, darüber streiten sich die Gelehrten. Immerhin haben in den USA einige Hotels von der FTC/FCC eins auf die Finger bekommen , als sie den Kunden damit ihre mitgebrachten LTE-Hotspots stören wollten. Ich habe das zum ersten Mal erlebt, als sich bei einem Großkunden zwei Abteilungen einem Haus gegenseitig gestört haben 8-)
Habe eben mal die Profile angeschaut, bei WPA2 mit 8021.x war die Verschlüsselung der Management-Frames ausgeschaltet (war wegen den IOS Geräten ausgeschaltet, finde den Thread auf die schnelle aber nicht). Mit der Einstellung "erzwungen" können sich die IOS Geräte anmelden, die Ascoms aber nicht, mit "optional" funktionieren beide (im Interoperabiltätsguide steht die Verschlüsselung auch auf "Aus").
OK, dann sind die Ascoms wohl zu alt, daß es geht. Muß man eben damit leben, daß nicht alle Clients davor geschützt sind, und hoffen, daß sich das mit der Zeit rauswächst.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Seltsames Verhalten beim 1700er

Beitrag von ua »

Hallo Alfred,

heute ist es wieder passiert, natürlich während eines Telefonats (gaaaaanz schlechte userexperience.... :shock: )....

Hier der Statustrace des betroffenen AP (alle SSID wurden ausgesendet):

Code: Alles auswählen

# Trace config
trace + WLAN-STATUS

[WLAN-STATUS] 2017/08/07 20:35:49,828  Devicetime: 2017/08/07 20:35:49,402
[WLAN-2] Authenticated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:35:49,828  Devicetime: 2017/08/07 20:35:49,405
[WLAN-2] Associated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**)


[WLAN-STATUS] 2017/08/07 20:36:00,366  Devicetime: 2017/08/07 20:35:59,941
[WLAN-2] WLAN station 34:36:3b:**CL 1** (Apple **CL 1**) failed 802.1x authentication


[WLAN-STATUS] 2017/08/07 20:36:04,585  Devicetime: 2017/08/07 20:36:04,159
[WLAN-2] Authenticated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:36:04,585  Devicetime: 2017/08/07 20:36:04,161
[WLAN-2] Reassociated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**)

[WLAN-STATUS] 2017/08/07 20:36:05,436  Devicetime: 2017/08/07 20:36:05,011
[WLAN-2] Disassociated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**) due to station request: Disassociated because sending station is leaving (has left) BSS

[WLAN-STATUS] 2017/08/07 20:36:06,257  Devicetime: 2017/08/07 20:36:05,829
[WLAN-2-2] Authenticated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:36:06,257  Devicetime: 2017/08/07 20:36:05,832
[WLAN-2-2] Associated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**)


[WLAN-STATUS] 2017/08/07 20:36:16,292  Devicetime: 2017/08/07 20:36:15,868
[WLAN-2-2] Disassociated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**) due to station request: Disassociated because sending station is leaving (has left) BSS

[WLAN-STATUS] 2017/08/07 20:36:16,615  Devicetime: 2017/08/07 20:36:16,187
[WLAN-2-4] Authenticated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:36:16,615  Devicetime: 2017/08/07 20:36:16,189
[WLAN-2-4] Associated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**)


[WLAN-STATUS] 2017/08/07 20:36:26,649  Devicetime: 2017/08/07 20:36:26,224
[WLAN-2-4] Disassociated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**) due to station request: Disassociated because sending station is leaving (has left) BSS

[WLAN-STATUS] 2017/08/07 20:36:27,264  Devicetime: 2017/08/07 20:36:26,835
[WLAN-2-2] Authenticated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:36:27,264  Devicetime: 2017/08/07 20:36:26,838
[WLAN-2-2] Associated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**)


[WLAN-STATUS] 2017/08/07 20:36:37,251  Devicetime: 2017/08/07 20:36:36,825
[WLAN-2-2] Disassociated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**) due to station request: Disassociated because sending station is leaving (has left) BSS

[WLAN-STATUS] 2017/08/07 20:36:37,573  Devicetime: 2017/08/07 20:36:37,146
[WLAN-2-4] Authenticated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:36:37,573  Devicetime: 2017/08/07 20:36:37,148
[WLAN-2-4] Associated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**)


[WLAN-STATUS] 2017/08/07 20:36:47,556  Devicetime: 2017/08/07 20:36:47,131
[WLAN-2-4] Disassociated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**) due to station request: Disassociated because sending station is leaving (has left) BSS

[WLAN-STATUS] 2017/08/07 20:36:48,197  Devicetime: 2017/08/07 20:36:47,768
[WLAN-2-2] Authenticated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:36:48,197  Devicetime: 2017/08/07 20:36:47,771
[WLAN-2-2] Associated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**)


[WLAN-STATUS] 2017/08/07 20:36:58,120  Devicetime: 2017/08/07 20:36:57,694
[WLAN-2-2] Disassociated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**) due to station request: Disassociated because sending station is leaving (has left) BSS

[WLAN-STATUS] 2017/08/07 20:36:58,492  Devicetime: 2017/08/07 20:36:58,064
[WLAN-2-4] Authenticated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:36:58,492  Devicetime: 2017/08/07 20:36:58,066
[WLAN-2-4] Associated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**)


[WLAN-STATUS] 2017/08/07 20:37:08,411  Devicetime: 2017/08/07 20:37:07,985
[WLAN-2-4] Disassociated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**) due to station request: Disassociated because sending station is leaving (has left) BSS


[TraceStopped] 2017/08/07 20:38:03,118
Habe veruscht mich mit einem Macbook auf allen SSID anzumelden, die Telefone und der Rest haben wohl schon aufgegeben.
Interessant ist ebenfalls, das die Kiste zu der Zeit für ca. 1/2h keine syslogs auf den Logserver geschubst hat.

WLAN-Debug sah so aus (ebenfalls während aktiver Anmeldeversuche):

Code: Alles auswählen

# Trace config
trace + WLAN-DEBUG
[Sysinfo] 2017/08/07 20:39:56,122
Result of command: "sysinfo"


[TraceStopped] 2017/08/07 20:41:33,068

Nach dem Reboot des AP funktionierte wieder alles:

Code: Alles auswählen

# Trace config
trace + WLAN-STATUS
[Sysinfo] 2017/08/07 20:46:06,680
Result of command: "sysinfo"
DEVICE:                LANCOM LN-1700
HW-RELEASE:            A
CONFIG-STATUS:         242720;0;a432537b78bae10594df2f479279b057b8f4ed96.08510228072017.49
FIRMWARE-STATUS:       1;1.4;1.1;10.10.0137RU2.08062017.3;10.12.0041RC1.17072017.4
LOADER:                4.36.0002
Production-Date:       2017-04-27
MOD-Level:             A1
**SNIP**
HW-ID:                 NOS2

[WLAN-STATUS] 2017/08/07 20:46:06,743  Devicetime: 2017/08/07 20:46:07,504
[WLAN-1] Determined IPv6 address for station 94:d8:59:**CL 1** (TCT **CL 1**): fe80::

[WLAN-STATUS] 2017/08/07 20:46:07,237  Devicetime: 2017/08/07 20:46:07,997
[WLAN-1] Negotiated Block Ack with peer 94:d8:59:**CL 1** (TCT **CL 1**) successfully: TID 7, unlimited validity

[WLAN-STATUS] 2017/08/07 20:46:09,744  Devicetime: 2017/08/07 20:46:10,502
[WLAN-1-2] Authenticated WLAN station b8:e9:37:**CL 2** (Sonos **CL 2**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:46:09,744  Devicetime: 2017/08/07 20:46:10,504
[WLAN-1-2] Associated WLAN station b8:e9:37:**CL 2** (Sonos **CL 2**)

[WLAN-STATUS] 2017/08/07 20:46:10,048  Devicetime: 2017/08/07 20:46:10,809
[WLAN-1-2] Key handshake with peer b8:e9:37:**CL 2** (Sonos **CL 2**) successfully completed

[WLAN-STATUS] 2017/08/07 20:46:10,048  Devicetime: 2017/08/07 20:46:10,809
[WLAN-1-2] Connected WLAN station b8:e9:37:**CL 2** (Sonos **CL 2**)

[WLAN-STATUS] 2017/08/07 20:46:10,124  Devicetime: 2017/08/07 20:46:10,885
[WLAN-1-2] Disassociated WLAN station 40:b4:cd:**CL 3** due to station request: Deauthenticated because sending station is leaving (has left) IBSS or ESS

[WLAN-STATUS] 2017/08/07 20:46:10,124  Devicetime: 2017/08/07 20:46:10,885
[WLAN-1-2] Deauthenticated WLAN station 40:b4:cd:**CL 3**: Deauthenticated because sending station is leaving (has left) IBSS or ESS


[WLAN-STATUS] 2017/08/07 20:46:14,241  Devicetime: 2017/08/07 20:46:15,001
[WLAN-1-2] Determined IPv4 address for station b8:e9:37:**CL 2** (Sonos **CL 2**): aa.bb.cc.168


[WLAN-STATUS] 2017/08/07 20:46:20,914  Devicetime: 2017/08/07 20:46:21,674
[WLAN-1] Rejected Authentication from WLAN station 70:70:0d:**Cl 5**: R0KH unreachable


[WLAN-STATUS] 2017/08/07 20:46:31,155  Devicetime: 2017/08/07 20:46:31,296
WLAN-1: normal scan on channel 11 (2462 MHz)

[WLAN-STATUS] 2017/08/07 20:46:31,197  Devicetime: 2017/08/07 20:46:31,331
[WLAN-1] Started WLAN BSS ID 00:a0:**

[WLAN-STATUS] 2017/08/07 20:46:31,197  Devicetime: 2017/08/07 20:46:31,331
[WLAN-1-2] Started WLAN BSS ID 02:a0:**

[WLAN-STATUS] 2017/08/07 20:46:31,197  Devicetime: 2017/08/07 20:46:31,331
[WLAN-1-3] Started WLAN BSS ID 06:a0:**

[WLAN-STATUS] 2017/08/07 20:46:31,197  Devicetime: 2017/08/07 20:46:31,331
[WLAN-1-4] Started WLAN BSS ID 0a:a0:**

[WLAN-STATUS] 2017/08/07 20:46:31,637  Devicetime: 2017/08/07 20:46:31,787
[WLAN-1] Rejected Authentication from WLAN station f0:79:60:**Cl 6** (Apple. **Cl 6**): R0KH unreachable


[WLAN-STATUS] 2017/08/07 20:46:42,895  Devicetime: 2017/08/07 20:46:43,041
[WLAN-1] Authenticated WLAN station f0:79:60:**Cl 6** (Apple. **Cl 6**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:46:42,895  Devicetime: 2017/08/07 20:46:43,043
[WLAN-1] Associated WLAN station f0:79:60:**Cl 6** (Apple. **Cl 6**)


[WLAN-STATUS] 2017/08/07 20:46:50,131  Devicetime: 2017/08/07 20:46:50,279
[WLAN-1] Authenticated WLAN station 70:70:0d:**Cl 5**: algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:46:50,131  Devicetime: 2017/08/07 20:46:50,280
[WLAN-1] Associated WLAN station 70:70:0d:**Cl 5**


[WLAN-STATUS] 2017/08/07 20:47:47,622  Devicetime: 2017/08/07 20:47:47,770
[WLAN-1] Rejected Authentication from WLAN station 1c:5c:f2:**CL 9** (Apple **CL 9**): R0KH unreachable


[WLAN-STATUS] 2017/08/07 20:48:12,406  Devicetime: 2017/08/07 20:48:12,554
[WLAN-1] Negotiated Block Ack with peer f0:79:60:**Cl 6** (Apple. **Cl 6**) successfully: TID 7, unlimited validity

[WLAN-STATUS] 2017/08/07 20:48:12,837  Devicetime: 2017/08/07 20:48:12,976
[WLAN-1] WLAN station f0:79:60:**Cl 6** (Apple. **Cl 6**) authenticated via 802.1x: user name is **user1**

[WLAN-STATUS] 2017/08/07 20:48:12,837  Devicetime: 2017/08/07 20:48:12,982
[WLAN-1] Key handshake with peer f0:79:60:**Cl 6** (Apple. **Cl 6**) successfully completed

[WLAN-STATUS] 2017/08/07 20:48:12,837  Devicetime: 2017/08/07 20:48:12,982
[WLAN-1] Connected WLAN station f0:79:60:**Cl 6** (Apple. **Cl 6**)


[WLAN-STATUS] 2017/08/07 20:48:19,406  Devicetime: 2017/08/07 20:48:19,553
[WLAN-1] WLAN station 70:70:0d:**Cl 5** failed 802.1x authentication

[WLAN-STATUS] 2017/08/07 20:48:19,612  Devicetime: 2017/08/07 20:48:19,758
[WLAN-1-2] Authenticated WLAN station 00:22:61:**Cl 7**: algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:48:19,665  Devicetime: 2017/08/07 20:48:19,810
[WLAN-1-2] Authenticated WLAN station 00:22:61:**Cl 7**: algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:48:19,665  Devicetime: 2017/08/07 20:48:19,812
[WLAN-1-2] Associated WLAN station 00:22:61:**Cl 7**

[WLAN-STATUS] 2017/08/07 20:48:19,707  Devicetime: 2017/08/07 20:48:19,825
[WLAN-1-2] Key handshake with peer 00:22:61:**Cl 7** successfully completed

[WLAN-STATUS] 2017/08/07 20:48:19,707  Devicetime: 2017/08/07 20:48:19,825
[WLAN-1-2] Connected WLAN station 00:22:61:**Cl 7**

[WLAN-STATUS] 2017/08/07 20:48:19,747  Devicetime: 2017/08/07 20:48:19,877
[WLAN-1-2] Authenticated WLAN station 40:b4:cd:**CL 3**: algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:48:19,747  Devicetime: 2017/08/07 20:48:19,880
[WLAN-1-2] Associated WLAN station 40:b4:cd:**CL 3**

[WLAN-STATUS] 2017/08/07 20:48:19,787  Devicetime: 2017/08/07 20:48:19,922
[WLAN-1-2] Key handshake with peer 40:b4:cd:**CL 3** successfully completed

[WLAN-STATUS] 2017/08/07 20:48:19,787  Devicetime: 2017/08/07 20:48:19,922
[WLAN-1-2] Connected WLAN station 40:b4:cd:**CL 3**

[WLAN-STATUS] 2017/08/07 20:48:20,211  Devicetime: 2017/08/07 20:48:20,358
[WLAN-1-2] Determined IPv4 address for station 40:b4:cd:**CL 3**: aa.bb.cc.125

[WLAN-STATUS] 2017/08/07 20:48:20,649  Devicetime: 2017/08/07 20:48:20,796
[WLAN-1-2] Negotiated Block Ack with peer 40:b4:cd:**CL 3** successfully: TID 0, unlimited validity

[WLAN-STATUS] 2017/08/07 20:48:20,849  Devicetime: 2017/08/07 20:48:20,995
[WLAN-1-2] Determined IPv6 address for station 40:b4:cd:**CL 3**: fe80:

[WLAN-STATUS] 2017/08/07 20:48:22,454  Devicetime: 2017/08/07 20:48:22,600
[WLAN-1] Negotiated Block Ack with peer f0:79:60:**Cl 6** (Apple. **Cl 6**) successfully: TID 0, unlimited validity

[WLAN-STATUS] 2017/08/07 20:48:22,592  Devicetime: 2017/08/07 20:48:22,733
[WLAN-1] Authenticated WLAN station 1c:5c:f2:**CL 9** (Apple **CL 9**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:48:22,593  Devicetime: 2017/08/07 20:48:22,739
[WLAN-1] Associated WLAN station 1c:5c:f2:**CL 9** (Apple **CL 9**)

[WLAN-STATUS] 2017/08/07 20:48:24,877  Devicetime: 2017/08/07 20:48:25,022
[WLAN-1-2] Determined IPv4 address for station 00:22:61:**Cl 7**: aa.bb.cc.173


[WLAN-STATUS] 2017/08/07 20:48:28,652  Devicetime: 2017/08/07 20:48:28,799
[WLAN-1-2] Negotiated Block Ack with peer 00:22:61:**Cl 7** successfully: TID 0, unlimited validity

[WLAN-STATUS] 2017/08/07 20:48:29,181  Devicetime: 2017/08/07 20:48:29,327
[WLAN-1-2] Negotiated Block Ack with peer 00:22:61:**Cl 7** successfully: TID 3, unlimited validity


[WLAN-STATUS] 2017/08/07 20:48:34,680  Devicetime: 2017/08/07 20:48:34,824
[WLAN-2] 40 MHz operation permitted

[WLAN-STATUS] 2017/08/07 20:48:34,680  Devicetime: 2017/08/07 20:48:34,825
[WLAN-2-4] Started WLAN BSS ID 0a:a0:57:**

[WLAN-STATUS] 2017/08/07 20:48:34,680  Devicetime: 2017/08/07 20:48:34,826
[WLAN-2] Started WLAN BSS ID 00:a0:57:**

[WLAN-STATUS] 2017/08/07 20:48:34,932  Devicetime: 2017/08/07 20:48:35,076
[WLAN-2-2] Started WLAN BSS ID 02:a0:57:**

[WLAN-STATUS] 2017/08/07 20:48:35,180  Devicetime: 2017/08/07 20:48:35,326
[WLAN-2-3] Started WLAN BSS ID 06:a0:57:**

[WLAN-STATUS] 2017/08/07 20:48:36,532  Devicetime: 2017/08/07 20:48:36,675
[WLAN-2] Authenticated WLAN station 00:01:3e:**Cl 8** (Ascom-Tateco **Cl 8**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:48:36,532  Devicetime: 2017/08/07 20:48:36,677
[WLAN-2] WLAN blacklist action on 00:01:3e:**Cl 8** (Ascom-Tateco **Cl 8**): omitting priority-independent AES sequence check due to buggy client AES implementation

[WLAN-STATUS] 2017/08/07 20:48:36,532  Devicetime: 2017/08/07 20:48:36,677
[WLAN-2] Reassociated WLAN station 00:01:3e:**Cl 8** (Ascom-Tateco **Cl 8**)

[WLAN-STATUS] 2017/08/07 20:48:36,532  Devicetime: 2017/08/07 20:48:36,677
[WLAN-2] PMK offered by WLAN station 00:01:3e:**Cl 8** (Ascom-Tateco **Cl 8**) not found, do not skip 802.1x

[WLAN-STATUS] 2017/08/07 20:48:39,685  Devicetime: 2017/08/07 20:48:39,827
[WLAN-2] Authenticated WLAN station 00:01:3e:**Cl 9** (Ascom-Tateco **Cl 9**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:48:39,685  Devicetime: 2017/08/07 20:48:39,829
[WLAN-2] WLAN blacklist action on 00:01:3e:**Cl 9** (Ascom-Tateco **Cl 9**): omitting priority-independent AES sequence check due to buggy client AES implementation

[WLAN-STATUS] 2017/08/07 20:48:39,685  Devicetime: 2017/08/07 20:48:39,829
[WLAN-2] Associated WLAN station 00:01:3e:**Cl 9** (Ascom-Tateco **Cl 9**)

[WLAN-STATUS] 2017/08/07 20:48:39,685  Devicetime: 2017/08/07 20:48:39,829
[WLAN-2] PMK offered by WLAN station 00:01:3e:**Cl 9** (Ascom-Tateco **Cl 9**) not found, do not skip 802.1x


[WLAN-STATUS] 2017/08/07 20:48:44,092  Devicetime: 2017/08/07 20:48:44,237
[WLAN-2] WLAN station 00:01:3e:**Cl 8** (Ascom-Tateco **Cl 8**) authenticated via 802.1x: user name is **user phone**

[WLAN-STATUS] 2017/08/07 20:48:44,132  Devicetime: 2017/08/07 20:48:44,252
[WLAN-2] Key handshake with peer 00:01:3e:**Cl 8** (Ascom-Tateco **Cl 8**) successfully completed

[WLAN-STATUS] 2017/08/07 20:48:44,133  Devicetime: 2017/08/07 20:48:44,252
[WLAN-2] Connected WLAN station 00:01:3e:**Cl 8** (Ascom-Tateco **Cl 8**)

[WLAN-STATUS] 2017/08/07 20:48:44,133  Devicetime: 2017/08/07 20:48:44,262
[WLAN-2] Determined IPv4 address for station 00:01:3e:**Cl 8** (Ascom-Tateco **Cl 8**): aa.bb.cc.196

[WLAN-STATUS] 2017/08/07 20:48:47,269  Devicetime: 2017/08/07 20:48:47,414
[WLAN-2] WLAN station 00:01:3e:**Cl 9** (Ascom-Tateco **Cl 9**) authenticated via 802.1x: user name is **user phone**

[WLAN-STATUS] 2017/08/07 20:48:47,309  Devicetime: 2017/08/07 20:48:47,429
[WLAN-2] Key handshake with peer 00:01:3e:**Cl 9** (Ascom-Tateco **Cl 9**) successfully completed

[WLAN-STATUS] 2017/08/07 20:48:47,309  Devicetime: 2017/08/07 20:48:47,429
[WLAN-2] Connected WLAN station 00:01:3e:**Cl 9** (Ascom-Tateco **Cl 9**)


[WLAN-STATUS] 2017/08/07 20:48:59,043  Devicetime: 2017/08/07 20:48:59,189
[WLAN-1] Determined IPv4 address for station f0:79:60:**Cl 6** (Apple. **Cl 6**): aa.bb.cc.134

[WLAN-STATUS] 2017/08/07 20:48:59,141  Devicetime: 2017/08/07 20:48:59,286
[WLAN-2] Determined IPv4 address for station 00:01:3e:**Cl 9** (Ascom-Tateco **Cl 9**): aa.bb.cc.197


[WLAN-STATUS] 2017/08/07 20:49:09,856  Devicetime: 2017/08/07 20:49:10,001
[WLAN-1] Disassociated WLAN station f0:79:60:**Cl 6** (Apple. **Cl 6**) due to station request: Disassociated because sending station is leaving (has left) BSS

[WLAN-STATUS] 2017/08/07 20:49:10,629  Devicetime: 2017/08/07 20:49:10,773
[WLAN-1] Authenticated WLAN station f0:79:60:**Cl 6** (Apple. **Cl 6**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:49:10,669  Devicetime: 2017/08/07 20:49:10,795
[WLAN-1] Associated WLAN station f0:79:60:**Cl 6** (Apple. **Cl 6**)

[WLAN-STATUS] 2017/08/07 20:49:11,005  Devicetime: 2017/08/07 20:49:11,137
[WLAN-1] WLAN station f0:79:60:**Cl 6** (Apple. **Cl 6**) authenticated via 802.1x: user name is **user**

[WLAN-STATUS] 2017/08/07 20:49:11,005  Devicetime: 2017/08/07 20:49:11,143
[WLAN-1] Key handshake with peer f0:79:60:**Cl 6** (Apple. **Cl 6**) successfully completed

[WLAN-STATUS] 2017/08/07 20:49:11,006  Devicetime: 2017/08/07 20:49:11,143
[WLAN-1] Connected WLAN station f0:79:60:**Cl 6** (Apple. **Cl 6**)

[WLAN-STATUS] 2017/08/07 20:49:11,006  Devicetime: 2017/08/07 20:49:11,149
[WLAN-1] Determined IPv6 address for station f0:79:60:**Cl 6** (Apple. **Cl 6**): fe80::

[WLAN-STATUS] 2017/08/07 20:49:11,076  Devicetime: 2017/08/07 20:49:11,220
[WLAN-1] Determined IPv4 address for station f0:79:60:**Cl 6** (Apple. **Cl 6**): aa.bb.cc.134

[WLAN-STATUS] 2017/08/07 20:49:11,824  Devicetime: 2017/08/07 20:49:11,969
[WLAN-1] Negotiated Block Ack with peer f0:79:60:**Cl 6** (Apple. **Cl 6**) successfully: TID 0, unlimited validity


[WLAN-STATUS] 2017/08/07 20:49:15,153  Devicetime: 2017/08/07 20:49:15,297
[WLAN-2] Rejected Authentication from WLAN station f0:79:60:**Cl 6** (Apple. **Cl 6**): R0KH unreachable

[WLAN-STATUS] 2017/08/07 20:49:15,399  Devicetime: 2017/08/07 20:49:15,543
[WLAN-1] Disassociated WLAN station f0:79:60:**Cl 6** (Apple. **Cl 6**) due to station request: Disassociated because sending station is leaving (has left) BSS

[TraceStopped] 2017/08/07 20:49:18,209
Die Laufzeit des Ap betrug etwa 262 Stunden, durch die weiter oben beschriebene Neukonfiguration ist der morgendliche Reboot herausgefallen. Die restlichen AP laufen maximal 24h am Stück.

Vielleicht hilft es bei der Diagnose, die Traces sind bei Bedarf noch ungeschnitten vorhanden.

Viele Grüße

Udo

Edith: Info zum Syslog ergänzt.
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Seltsames Verhalten beim 1700er

Beitrag von alf29 »

Moin,
[WLAN-STATUS] 2017/08/07 20:35:49,828 Devicetime: 2017/08/07 20:35:49,402
[WLAN-2] Authenticated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:35:49,828 Devicetime: 2017/08/07 20:35:49,405
[WLAN-2] Associated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**)


[WLAN-STATUS] 2017/08/07 20:36:00,366 Devicetime: 2017/08/07 20:35:59,941
[WLAN-2] WLAN station 34:36:3b:**CL 1** (Apple **CL 1**) failed 802.1x authentication
Das ist doch ein Ansatzpunkt, die 1X-Verhandlung tut's nicht. Also im EAP-Trace weiterschauen, ob der Identity Request an den Client rausgeht, ob ein Identity Response zurückkommt, ob der Response an den RADIUS-Server geleitet wird, wenn darauf vom RADIUS-Server keine Antwort kommt, kann man sich mal die Erreichbarkeit des RADIUS-Servers aus Sicht des APs anschauen.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Seltsames Verhalten beim 1700er

Beitrag von ua »

Hallo Alfred,

das Problem ist m.E. der AP, zur selben Zeit funktionierte die Anmeldung auf anderen AP per Radius (den Radius Trace auf den Server/WLC hätte ich auch, da schlug aber kein Request des betroffenen AP auf) problemlos.
[WLAN-STATUS] 2017/08/07 20:36:06,257 Devicetime: 2017/08/07 20:36:05,829
[WLAN-2-2] Authenticated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**): algorithm is open-system

[WLAN-STATUS] 2017/08/07 20:36:06,257 Devicetime: 2017/08/07 20:36:05,832
[WLAN-2-2] Associated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**)


[WLAN-STATUS] 2017/08/07 20:36:16,292 Devicetime: 2017/08/07 20:36:15,868
[WLAN-2-2] Disassociated WLAN station 34:36:3b:**CL 1** (Apple **CL 1**) due to station request: Disassociated because sending station is leaving (has left) BSS
Hier versucht sich derselbe Client -ebenfalls erfolglos- auf einer SSID mit WPA2-PSK anzumelden, daher würde ich Radius ausschliessen...

Viele Grüße

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Seltsames Verhalten beim 1700er

Beitrag von alf29 »

Moin,

ich habe jetzt auch nicht behauptet, daß RADIUS an sich in der Situation kaputt wäre, sondern daß das Problem sich erstmal so äußert, daß die 1X-Verhandlung fehlschlägt. Warum sie fehlschlägt, das sehe ich so erstmal nicht, dafür muß man dann eine Ebene tiefer einsteigen. Kann gut sein, daß sich als Ursache etwas herausstellt, was dann auch erklärt, warum WPA-PSK dann auch nicht mehr tut. Zum Beispiel daß das ac-Modul gar keine Pakete mehr sendet und/oder empfängt. Funktionert eine Anmeldung auf dem selben AP auf WLAN-1 in der Situation noch? Wenn ja, dann ist es wohl irgendein Problem, das spezifisch fürs 11ac-Modul ist - und leider auch der Punkt, wo ich mich aus dem Thema ausklinke, weil ich die Treiber für die 11ac-Module nicht betreue, das macht ein Kollege, der aber üblicherweise hier im Forum nicht schreibt. Will heißen, Du wirst den 'offiziellen' Weg über den Support gehen müssen...

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Antworten