Cisco WAP321 netwerk verbinding problemen - Netwerken

vrijdag 26 mei 2017 21:07

Acties:

Verwijderd

Topicstarter

Beste,

In een klein zakelijke omgeving heb ik volgend materiaal (Alle firmwares zijn up to date): Driemaal een Cisco switch SG220-50P waarvan 1 "hoofdswitch" die in verbinding staat met de 2 andere. Vervolgens 9 tal access points opgesplitst in 2 clusters waarvan een cluster "Hoofdgebouw" (6 AP's) en een cluster "Zijgebouw" (3 AP's). Elke switch heeft 3 AP's aangesloten en voorziet PoE. Vervolgens is er nog een router van Proximus Bbox 3 V+.

Elke WAP heeft 2 SSID's die (voorlopig) op VLAN 1 staan. Elke met een WPA 2 AES (geen TKIP) wachtwoord. Een heel eenvoudige opstelling die ik al meerdere malen heb toegepast bij andere klanten maar hier wil het echt niet lukken.

In de voormiddag loopt alles prima. Vanaf een uur of 12 kan je niet meer verbinden met het draadloos netwerk. Klik je op verbinding maken dan krijg je vrij onmiddellijk de melding "Kan geen verbinding maken met dit netwerk". Soms lost het probleem zichzelf op in de avond en anders in de ochtend.

Na wat onderzoek blijkt de tijd helemaal niet goed te staan op de switches en accesspoint. Even een andere ntp meegeven en op een van de switches het gateway adres corrigeren en in plaats van het jaar 2000 weer de datum van vandaag. Merkwaardig dit lost het probleem niet op rond 12 uur laat het draadloos netwerk het weer afweten. Kleine correctie weer daylight savings aangezet bleek de klok een uurtje achter te lopen. Om 12 uur blijkt het draadloos netwerk nu prima te functioneren alleen vanaf 13 uur ligt alles weer plat. Dus dit moet iets zijn gerelateerd aan een leasetijd of keyrenewal?

Verschillende opties afgezet en doorlopen (op advies TAC Cisco).

Green ethernet disable.
Qos en power savings disable.
Bandwith Utilization disable
Bonjour protocol disable

Dit brengt ook geen oplossing. Wanneer het draadloos netwerk niet functioneert lukt het tevens niet om bv een simpele configuratie werkende te krijgen. Bv: Een WAP321 gewoon resetten naar default 1 SSID opzetten met WPA AES key geeft hetzelfde probleem...

Fouten die terug te vinden zijn in de logs:
Verlies van connectiviteit met de time server (adres gekregen van Cisco zelf)
sntp[1087] time.nist.gov 2610:20:6f15:15::27 no UCST response after 30 seconds

Errors EAPOL-key

code:

192.168.1.210   May 24 12:46:54     daemon  warning hostapd[1121]    Received invalid EAPOL-Key MIC (msg 2/4)
192.168.1.210   May 24 12:46:55     daemon  info    hostapd[1121]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 22
192.168.1.210   May 24 12:46:55     daemon  warning hostapd[1121]    Received invalid EAPOL-Key MIC (msg 2/4)
192.168.1.210   May 24 12:46:56     daemon  info    hostapd[1121]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 22
192.168.1.210   May 24 12:46:56     daemon  warning hostapd[1121]    Received invalid EAPOL-Key MIC (msg 2/4)
192.168.1.210   May 24 12:46:58     daemon  info    hostapd[1121]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 16
192.168.1.210   May 24 12:47:00     daemon  info    hostapd[1121]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 22
192.168.1.210   May 24 12:47:00     daemon  warning hostapd[1121]    Received invalid EAPOL-Key MIC (msg 2/4)
192.168.1.210   May 24 12:47:01     daemon  info    hostapd[1121]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 22
192.168.1.210   May 24 12:47:01     daemon  warning hostapd[1121]    Received invalid EAPOL-Key MIC (msg 2/4)
192.168.1.210   May 24 12:47:02     daemon  info    hostapd[1121]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 22
192.168.1.210   May 24 12:47:02     daemon  warning hostapd[1121]    Received invalid EAPOL-Key MIC (msg 2/4)
192.168.1.210   May 24 12:47:04     daemon  info    hostapd[1121]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 16
192.168.1.210   May 24 12:47:09     daemon  info    hostapd[1121]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 22
192.168.1.210   May 24 12:47:09     daemon  warning hostapd[1121]    Received invalid EAPOL-Key MIC (msg 2/4)
192.168.1.210   May 24 12:47:10     daemon  info    hostapd[1121]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 22
192.168.1.210   May 24 12:47:10     daemon  warning hostapd[1121]    Received invalid EAPOL-Key MIC (msg 2/4)
192.168.1.210   May 24 12:47:11     daemon  info    hostapd[1121]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 22
192.168.1.210   May 24 12:47:11     daemon  warning hostapd[1121]    Received invalid EAPOL-Key MIC (msg 2/4)
192.168.1.210   May 24 12:47:13     daemon  info    hostapd[1121]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 16
192.168.1.211   May 24 12:49:00     daemon  info    hostapd[1431]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 22
192.168.1.211   May 24 12:49:00     daemon  warning hostapd[1431]    Received invalid EAPOL-Key MIC (msg 2/4)
192.168.1.211   May 24 12:49:01     daemon  info    hostapd[1431]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 22
192.168.1.211   May 24 12:49:01     daemon  warning hostapd[1431]    Received invalid EAPOL-Key MIC (msg 2/4)
192.168.1.211   May 24 12:49:02     daemon  info    hostapd[1431]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 22
192.168.1.211   May 24 12:49:02     daemon  warning hostapd[1431]    Received invalid EAPOL-Key MIC (msg 2/4)
192.168.1.211   May 24 12:49:04     daemon  info    hostapd[1431]    Station 14:a5:1a:51:54:88 had an authentication failure, reason 16

Ik ben al een tijdje mijn hoofd aan het breken over dit probleem. Iets wat mij 5 minuten tijd kost om bij andere klanten op te zetten is hier nu al langer dan een week een heuse bezigheid. Enige dagen terug heb ik met Cisco contact opgenomen iemand via TAC heeft zelfs even het systeem hier overgenomen maar tot op heden zonder resultaat. Even meegeven dat het bekabeld netwerk zonder problemen functioneert.

Ik heb nu de cluster van 3 AP's meegenomen naar huis om daar verder te testen en te kijken hoe deze functioneert thuis.Morgen ben ik ook van plan een andere router in te schakelen. Verder zit ik een beetje zonder opties om nog uit te proberen.

Een tip of wat advies zou fantastisch zijn! Bedankt

vrijdag 26 mei 2017 21:11

Acties:

arjants

Heb op een ander type wap een soortgelijk probleem gehad.
Daar bleek een dhcp issue in te zitten icm gbit poort.
Deze naar 100 gezet en probleem was weg.

Misschien leasetime?

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

zaterdag 27 mei 2017 14:13

Acties:

Verwijderd

Topicstarter

@arjants Dankjewel voor jouw feedback jammer genoeg lukt het niet met de 100Mbit omschakeling.

Vreemd is wel dat wanneer ik de BBOX Proximus herstart (router) de wifi ook weer gewoon werkt...

zaterdag 27 mei 2017 14:18

Acties:

johnkeates

Klinkt eerder alsof de clients wat fout doen, of de AP's 802.1x aan hebben staan.

Received invalid EAPOL-Key MIC (msg 2/4) -> EAP is niet voor WPA2-PSK, klopt dus niet..

zaterdag 27 mei 2017 14:33

Acties:

ik222

Is je DHCP scope wel groot genoeg voor het aantal clients? Het klinkt namelijk alsof je client geen IP meer krijgt.

Als het weer werkt na een herstart van de modem / router is het geen WiFi issue namelijk. Maar sowieso, zoveel AP's en dan zo'n standaard provider modem / router, dan kan het ook zomaar zijn dat het ding het simpelweg niet aan kan.

zaterdag 27 mei 2017 14:40

Acties:

Houtenklaas

Verwijderd schreef op zaterdag 27 mei 2017 @ 14:13:
@arjants Dankjewel voor jouw feedback jammer genoeg lukt het niet met de 100Mbit omschakeling.

Vreemd is wel dat wanneer ik de BBOX Proximus herstart (router) de wifi ook weer gewoon werkt...

Dan zou ik met Wireshark eens meekijken wat er aan verkeer de lijn over gaat en welk verschil er is als je die BBOX herstart. Meekijken op het netwerk geeft in ieder geval inzicht wat er aan verkeer loopt. Of niet. In de morgen een scan doen als alles werkt en later als het niet meer werkt. En dan maar puzzelen ...

O ja, als het bij een andere klant WEL werkt, dan zou het ook nuttig kunnen zijn om daar de firmwareversies eens van te vergelijken. En als die verschillen eens te kijken of default settings gewijzigd zijn.

[ Voor 14% gewijzigd door Houtenklaas op 27-05-2017 14:42 ]

zaterdag 27 mei 2017 14:44

Acties:

Piebas

Probeer een wirelesclient eens een vast ip te geven i.p.v. via DHCP.
Doet de router van Proximus de DHCP?

zaterdag 27 mei 2017 14:54

Acties:

Verwijderd

Topicstarter

De router van Proximus doet inderdaad de dhcp

zaterdag 27 mei 2017 16:03

Acties:

Kabouterplop01

chown -R me base:all

Kun je wat van de logfile zien van die router? (het zou een scope issue kunnen zijn, of een MAC issue, of een VTP issue, maar dat zijn meer bedenksels) Gaat er iets down?
Kun je wat zien de logging van alle boxen op het moment dat het fout gaat?

[ Voor 18% gewijzigd door Kabouterplop01 op 27-05-2017 16:06 . Reden: more info ]

zaterdag 27 mei 2017 17:16

Acties:

Verwijderd

Topicstarter

Dankjewel iedereen voor de feedback. De pool van IP's is is groot genoeg en het probleem lag niet bij de clients. Ik had eerst geprobeerd met een Linksys WRT1200AC te koppelen via DHCP en vervolgens een aparte range op te zetten. Maar het probleem bleef hetzelfde. Via een PPPoe sessie blijkt alles nu te werken.

Ik had graag meer in diepte het probleem onderzocht en zoals @Houtenklaas aangeeft even met Wireshark de boel bekeken.maar mijn tijd bij de klant is ver ten einde. Morgen test ik nog even grondig het systeem en hoop ik dat alles blijft werken.

Voor mensen buiten België kan ik jullie meegeven dat de BBOX3 van Proximus weinig mogelijkheden geeft, buiten een DHCP range aanpassen en enkele statische adresjes meegeven kan je weinig doen. Ik heb ook de indruk dat het Cisco SMB gamma stroef samenwerkt met deze routers. Bv: Wanneer je Spanning Tree niet uitschakelt op de switch in een Proximus netwerk verloopt de indentificatie tergend traag wanneer je een ethernet kabel gebruikt.Iets wat binnen een telenet netwerk geen probleem geeft.

Ik duim voor morgen en laat zeker nog wat feedback na. Dankjewel voor het advies en de tips!

zaterdag 27 mei 2017 17:29

Acties:

Houtenklaas

Ik las ergens in een andere post toen ik zocht naar die "Received invalid EAPOL-Key MIC (msg 2/4)" dat er bij die poster (met een Ubiquiti ding) dat er een verschil in de EAPOL versies zat. Een hidden SSID aanmaken met AES/TKIP gaf daar de oplossing. Geen idee of het dan een chipset fout is, of een Ubiquiti implementatie. 't Zal wel onzin zijn hier, maar toch maar even gemeld.

Hoe dan ook, ik ben machtig nieuwsgierig naar de uitkomst. (Ik wilde bijna zeggen: "het vervolg", maar daar zit zowel jij als de klant niet op te wachten). Succes !!!

woensdag 31 mei 2017 19:29

Acties:

skelleniels

Waarom gebruik je de B-box en niet een fatsoenlijke firewall waarbij je vanuit de B-box een DMZ doet naar die firewall? B-box is goed voor particulieren, dat laat zich goed zien in de interface. Wanneer er teveel clients geconnecteerd zijn, loopt de hele interface al vast. Voor een business lijn is, wordt er toch via een Technicolor gewerkt van Proximus uit? Dit laat mij vermoeden dat het een gewone particuliere lijn is(met eventueel vast IP erop).

Als je al met 3 switches en 9 AP's werkt, lijkt het me al geen kleine organisatie te zijn.

Ik vraag me ook net zoals Piebas af wat er gebeurt als je een cliënt een vast IP geeft. Los van wat ik hierboven heb getypt blijft het wel een vreemd probleem, maar je geeft zelf ook al aan dat het na een restart van de B-box opgelost is.

[ Voor 5% gewijzigd door skelleniels op 31-05-2017 19:30 ]

http://specs.tweak.to/16567