This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WLAN disconnect nach an MDE Geräten nach Umstieg auf Sophos APs

Moin zusammen,

wir haben in unseren Lagerhallen kürzlich die WLAN Access Points auf Sophos APX 320 umgestellt und seitdem Probleme mit den MDE Handscannern. Die APs werden über die UTM gemanaged. An allen Orten an denen 2 APs gut erreichbar sind bricht die Verbindung im Netzwerk kurz ab, wodurch unsere Lager-Software abstürzt und die Geräte jedesmal neu gestartet werden müssen. Scheinbar werden die Geräte nicht sauber von einem AP an den nächsten übergeben, bzw springen die ganze Zeit hin und her.

Im betroffenen WLAN haben wir "Fast Transition" bereits aktiviert und das Roaming ist auch an den Endgeräten aktiviert. Die Geräte kommunizieren über 2.4 GHz mit WPA2 (AES) Encryption.

Gibt es noch etwas, dass wir beachten oder testen müssen/können? Mit den zuvor eingesetzten Motorola APs funktionierte alles ohne Probleme. Da diese aber nicht mehr produziert werden können wir leider zwecks Ausfallsicherheit auch nicht mehr zurück auf die alte Umgebung.

Danke im Voraus



This thread was automatically locked due to age.
Parents
  • Falls die APs auf automatischer Kanalauswahl stehen könnte ich mir vorstellen, dass sie, dadurch, dass sie in Reichweite des anderen APs sind, relativ häufig auf andere Kanäle wechseln. Das hat jedesmal einen Disconnect des Clients zu Folge, da der Vorgang ein paar Sekunden dauert.

    Es wäre eine Variante, die automatische Kanalwahl zu deaktivieren und feste Kanäle eintragen. Dabei darauf achten, dass nicht beide APs bspw. im Kanal 6 sind sondern, einer im Kan. 1 und der andere im Kan. 12 bspw. Sollte bei 2 APs ja kein Problem sein.

    Alternativ noch die Sendeleistung der APs reduzieren, falls die überlappenden Bereiche in den Hallen zu groß sind.

  • Die automaische Kanalauswahl ist zwar aktiviert, allerdings mit der "Time based sync" option. Die vier betroffenen APs suchen damit außerhalb der Geschäftszeiten und zeitlich voneinander versetzt jeweils den besten verfügbaren Kanal.

    Mir ist mittlerweile aufgefallen, dass nicht nur die MDEs diverse Probleme mit dem neuen WLAN aufweisen, sondern auch unsere Temperaturlogger, die Temperatur der Waren in den Hallen überwachen. Die Geräte sind alle baugleich und gut 25 von 60 Geräten melden sich nach dem Umstellung einfach nicht mehr bei den Access Points.

    Im Wireless Log sehe ich dabei verhäuft eine RADIUS Authentifizierung. Was mich hier verwundert ist, dass wir RADIUS nicht für Wireless Geräte nutzen und somit auch kein RADIUS Server in der UTM eingerichtet ist. Muss ich für Wireless irgendwo explizit RADIUS Authentifizierung verbieten? In der Konfig der APs und der WLANs finde ich hierzu nichts.

    Anbei mal die Logs eines der Temperatur-Logger:

    2020:07:08-15:46:53 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: associated
    2020:07:08-15:46:53 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 RADIUS: starting accounting session 7DB1BE69-0000087C
    2020:07:08-15:46:53 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 WPA: pairwise key handshake completed (RSN)

    2020:07:08-15:46:56 P52001HP3XH6D77 kernel: [4426222.781160] ieee80211_mlme_recv_deauth 1597 mac e8:96:06:02:03:92 reason 3
    2020:07:08-15:46:56 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: disassociated
    2020:07:08-15:46:56 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: Deauth - client left (code:3)
    2020:07:08-15:46:56 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: associated
    2020:07:08-15:46:56 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 RADIUS: starting accounting session 7DB1BE69-0000087D
    2020:07:08-15:46:56 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 WPA: pairwise key handshake completed (RSN)

    2020:07:08-15:47:07 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: disassociated
    2020:07:08-15:47:07 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: Unspecified error (code:1)
    2020:07:08-15:47:07 P52001HP3XH6D77 kernel: [4426233.386998]
    2020:07:08-15:47:07 P52001HP3XH6D77 kernel: [4426233.386998] ieee80211_mlme_recv_deauth 1597 mac e8:96:06:02:03:92 reason 1

    2020:07:08-15:47:07 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: associated
    2020:07:08-15:47:07 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 RADIUS: starting accounting session 7DB1BE69-0000087E
    2020:07:08-15:47:07 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 WPA: pairwise key handshake completed (RSN)

    2020:07:08-15:47:17 P52001HP3XH6D77 kernel: [4426243.695505] ieee80211_mlme_recv_deauth 1597 mac e8:96:06:02:03:92 reason 1
    2020:07:08-15:47:17 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: disassociated
    2020:07:08-15:47:17 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: Unspecified error (code:1)

  • Folgende Zeilen sehe ich auch immer wieder im Log, vermutlich weil die Clients eben alle paar Minuten wieder versuchen, sich zu verbinden

    2020:07:08-17:49:46 P52001HP3XH6D77 kernel: [4433593.323999]  ieee80211_kick_node sta kicked due to excessive retry e8:96:06:02:03:92 reason IEEE80211_REASON_KICK_OUT rssi 37  
    2020:07:08-17:49:46 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: disassociated
    2020:07:08-17:49:46 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: 4WAY handshake timeout (code:15)

Reply
  • Folgende Zeilen sehe ich auch immer wieder im Log, vermutlich weil die Clients eben alle paar Minuten wieder versuchen, sich zu verbinden

    2020:07:08-17:49:46 P52001HP3XH6D77 kernel: [4433593.323999]  ieee80211_kick_node sta kicked due to excessive retry e8:96:06:02:03:92 reason IEEE80211_REASON_KICK_OUT rssi 37  
    2020:07:08-17:49:46 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: disassociated
    2020:07:08-17:49:46 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: 4WAY handshake timeout (code:15)

Children
  • What is the MTU of the UTM Interface these APs connect to?

    I still like the idea of experimenting with fixed channels.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • RADIUS muss nicht explizit verboten werden. Und du verwendest ja auch kein WPA2 Enterprise.

    Unter XG gibt es aktuell einen Bug mit der Firmware der AP-Serie (nicht APX) von dem wir selbst auch betroffen sind. Dort startet der AP permanent seine Radios neu, sobald ein Wireless LAN mit VLAN auf dem AP aktiviert wird. Vielleicht findest du hierfür Hinweise zwischen den geposteten Log lines.

    Grundsätzlich sieht es hier füt mich auch nach einem Bug der APs aus, sollte dann aber auch für andere Geräte als die von dir beschriebenen gelten.

     

    Welche Firmware hat die UTM, welche die APX?

    Liefen die alten APs auch mit Fast Transition?

    Wie verhält sich ein Notebook - aufgebaut im gleichen Bereich wo die Handscanner und Logger Probleme verursachen?

    Die Sendeleistungsanpassung der APs kommt nicht in Frage?

  • @BAlfson die MTU des Interface ist 1500.

    Die UTM läuft auf v9.703-3

    Die APX.devinfo sagt mir:
    FIRMWARE_WIFI_VERSION="tags/release-11.0.010-1-0-g099eb053"
    QCA_VERSION="tags/release-11.0.009-1-0-g37b888825"
    SOPHOS_VERSION="tags/release-11.0.011-1-0-g5c8a4915"
    FIRMWARE_VERSION=11.0.012-1

    Notebooks haben keinerlei Probleme in dem genannten Netz und auch mein Handy läuft ohne Probleme.
    Und wie gesagt - gut 55% unserer Temperatur-Logger liefen direkt bei Inbetriebnahme der neuen APs sofort und ohne murren - nur der Rest will ums Verrecken nicht verbinden. Die Geräte sind alle baugleich und größtenteils aus der gleichen Produktionsserie / -Generation, es ist kein gemeinsamer Nenner an den Geräten zu finden, an dem es liegen könnte. Der Hersteller schiebt den Fehler auf die stattfindende RADIUS Authentifizierung, die laut Support nicht von den Geräten kommt. Sophos hingegeben sagt, sie erzwingen über die APs kein RADIUS. Auf gut deutsch weiß niemand so wirklich, woher diese Anfrage kommt.

  • Umstellung auf feste Kanäle sowie Signalanpassung werde ich heute nacht mal testen. Dies würde allerdings nicht erklären, warum die Logger auch hier bei uns im Büro-Komplex wo ich sie jetzt extra rübergeholt habe nicht connecten, hier habe ich nur einen AP, also bin weit außerhalb des "problematischen Warehouse Bereiches". Das Problem mit den Loggern muss ein anderes sein. Sorry ich werfe hier auch gerade 2 Dinge in einen Thread.

    Wie die alten APs konfiguriert waren kann ich leider nicht sagen. Es waren Motorola Devices und die Konfiguration war vor meiner Zeit - die Umstellung auf die Sophos APs war quasi mein erstes Projekt hier im für mich neuen Unternehmen. Ich hatte die Sophos APs aber initial ohne Fast Transition aufgebaut. Die Umstellung auf Fast Transition war quasi mein erster Versuch, das Problem zu fixen.

  • I don't understand why RADIUS appears in the log.  Please show a picture of the Edit of the Wireless Network object.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • That's perfect, so it's time to get Sophos Support involved.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi,

     

    2020:07:08-15:46:56 P52001HP3XH6D77 hostapd: ath001: STA e8:96:06:02:03:92 IEEE 802.11: Deauth - client left (code:3)

     

    Seems like the Roaming is involved.

    As this client is leaving and trying to get another AP, likely such old hardware is not able to handle the roaming? 

    Did you do a proper wireless survey? Are there no cross over of the wireless radius involved? 

     

    See: https://community.sophos.com/products/sophoswireless/f/recommended-reads/121021/sophos-wireless-wi-fi-fundamentals

     

    Would recommend to create a own SSID with only one APX and recreate this issue. Is it possible to login to this single APX? 

     

    For older devices, its crucial to have a stable setup with perfect coverage, because those Clients left the client. 

    See: https://www.youtube.com/watch?v=_2iq6s9dIG0

     

    __________________________________________________________________________________________________________________