wtp Fehler von einem AP

[KKH]

Hallo zusammen,

leider startet sich ein AP von mehreren AP´s jeden Tag zur gleichen Zeit neu?!

im Log ist immer folgende Meldung:
Erklären kann ich mir das nicht so recht, da wir mehrere AP´s im gleichen Netz sowie vom gleichen Modell LX-6200 betreiben.

30.08.2023, 10:31:38 notice event: wtp failure resolved
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2023-11-21 11:32:55]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2022-11-21 11:32:55]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2028-10-06 07:04:30]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2018-10-09 07:04:30]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2028-10-06 07:04:30]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2018-10-09 07:04:31]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2028-10-06 07:04:30]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2018-10-09 07:04:30]
30.08.2023, 10:31:17 notice WLAN event: radio wifi0 station count: 0
30.08.2023, 10:31:14 notice [WLAN] Station XX:XX:XX:XX:XX:XX disassociated from BSSID XX:XX:XX:XX:XX:XX
30.08.2023, 10:31:14 notice [WLAN] Station XX:XX:XX:XX:XX:XX disassociated from BSSID XX:XX:XX:XX:XX:XX
30.08.2023, 10:31:13 notice event: wtp failure

[tstimper]

30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2023-11-21 11:32:55]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2022-11-21 11:32:55]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2028-10-06 07:04:30]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2018-10-09 07:04:30]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2028-10-06 07:04:30]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2018-10-09 07:04:31]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2028-10-06 07:04:30]
30.08.2023, 10:31:37 info Wolfssl compare localtime [2023-08-30 08:31:37] with certtime [2018-10-09 07:04:30]

Das sieht so aus als würde die Zeit auf dem AP ständig springen.
Nutzt Ihr einen WLC?

Ein AP stetzt die lokale Zeit auf die Zeit des WLC, und zwar nur zu dem Zeitpunkt, wenn der AP sich beim WLC anmeldet.
Dann erfolgt nie wieder ein Zeit Sync.
Das dem LCOS-LX zugrunde liegende Linux ( OpenWRT Derivat) reagiert bissiger auf weglaufende Zeiten.
Wir haben bei den LCOS -LX APs separat auf dem AP Zeitserver eingetragen. Geht ab der CLI per Script.
Abgelaufene Zertifikate must Du dann noch verlängern.

Viele Grüße

ts

[KKH]

Hallo tstimper,

danke für die Antwort.
Ja, alle AP´s werden durch ein WLC-1000 gemanagt.
Ich frage mich nur warum... in dem gleichen Netz sind weitere LX am laufen, die das Problem nicht aufweisen.
Der WLC vergibt vor Ablauf der eingestellten Zeit automatisch neue Zertifikate.

[tstimper]

Hallo tstimper,

danke für die Antwort.
Ja, alle AP´s werden durch ein WLC-1000 gemanagt.
Ich frage mich nur warum... in dem gleichen Netz sind weitere LX am laufen, die das Problem nicht aufweisen.
Der WLC vergibt vor Ablauf der eingestellten Zeit automatisch neue Zertifikate.

Hallo KKH,

also die LX-APs MÜSSEN einen gültigen NTP Server eingetragen haben und erreichen können.
Also ein Gerät, das der AP unmittelbar nach dem Booten erreicht, bevor er den WLC kontaktiert.
Und au dem WLC muss die Zeit ebenfalls stimmen.

Welche Firmware haben die problematischen APs und welche Firmware haben die funktionierenden APs?
Und wie alt ist die WLC CA, also mit welcher LCOS Version wurde die ursprünglich erstellt?
Auch da gibt es Probleme, wenn die CA mit einem zu alten LCOS (ältere Algorythmen und älteres OpenSSL) erstellt wurde.

Das Fehlerbild ist uneinheitlich, die Zeit scheint aber das kritischte zu sein in solchen Fällen.

Viele Grüße

ts

[KKH]

Hallo nochmal,

also die LCOS Version ist LC-LX-6200-6.12.0024-Rel auf allen AP´s.
Keiner der AP´s macht ein Reboot bzw. gibt so eine Fehlermeldung bis auf den einen AP.

Das ist auch das was ich nicht verstehe, an der WLC CA kann es meiner Meinung auch nicht liegen... da ich sonst mit den anderen auch Probleme hätte.
Ich habe jetzt zum Test ein NTP Server direkt im AP eingestellt und warte ab, ob dieser Fehler wieder auftaucht.
Falls ja, werde ich diesen AP nochmal resetten und neu aufnehmen.

[tstimper]

Hat der eine AP genug Strom, also ein 2,5 A Netzteil?
Oder ausreichend POE Strom?

Zu wenig Strom kann auch merkwürdige Effekte haben.

Viele Grüße

ts

[GrandDixence]

Das Thema "Zeitsynchronisation von AP bei fehlender, batteriegepufferten Echtzeituhr (RTC)" wurde bereits unter:
lancom-wireless-aktuelle-accesspoints-f ... 19853.html
behandelt.

Gemäss WolfSSL-Fehlermeldung stimmt die aktuelle Uhrzeit des Linuxrechners, jedoch wurde das von WolfSSL verwendete Maschinenzertifikat in der (fernen) Zukunft oder in der (fernen) Vergangenheit erstellt. Ob dieses Maschinenzertifikat für die Kommunikation mit dem WLC oder mit den WLAN-Clients (EAP-TLS => WPA2-/WPA3-Enterprise) verwendet wird, ist hier nicht klar ersichtlich. Ich vermute, dass dieses Maschinenzertifikat vom AP für die verschlüsselte Kommunikation mit dem WLC verwendet wird. Verschlüsselte Kommunikation zwischen AP und WLC per DTLS?

Auch der Ersteller des Maschinenzertifikats ist unbekannt. Wurde dieses Maschinenzertifikat vom AP, WLC oder händisch erstellt?

Ich empfehle aus Sicherheitsgründen den Einsatz von Chrony als lokalen Zeitserver in Kombination mit NTS (Network Time Security). Siehe dazu:
fragen-zur-lancom-systems-routern-und-g ... ml#p113867

[KKH]

Hallo zusammen,

hatte gestern manuell im AP ein Zeitserver intern sowie ein externen eingetragen... außer das der Neustart sich heute etwas verzögert hat, hat sich leider nichts geändert.

uch der Ersteller des Maschinenzertifikats ist unbekannt. Wurde dieses Maschinenzertifikat vom AP, WLC oder händisch erstellt?

Die Zertifikate werden vom WLC zur Verfügung gestellt.

Verschlüsselte Kommunikation zwischen AP und WLC per DTLS?

Korrekt

Ich habe den AP heute zurück gesetzt und neu im WLC mit neuem Zertifikat aufgenommen.
Mal sehen was morgen passiert. Das komisch ist auch, dass ich die Zeit Synchronisation testweise auf 6 stunden gestellt habe, jedoch startet der AP ca. nach 24 Stunden jedes mal neu.

Warte bis morgen mal ab und werde berichten.

[KKH]

Hallo nochmal zusammen,

nach dem resetten und der Neuaufnahme + Eingabe des NTP Servers zusätzlich im AP (leider nur gültig bis zum nächsten Neustart) hat sich der AP nicht neu gestartet. Werde noch einige Zeit abwarten.


Wünsche allen ein sonniges Wochenende.