keule3000
Goto Top

Alle paar Stunden: CAP sent max keepalives without response

Hallo,

ich habe ein RB3011und zwei cAP als AP. Die Einrichtung erfolgte nach Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik. RouterOS ist 7.8. Die beiden APs werden per CAPsMAN vom RB3011 konfiguriert. Local Forwarding ist aktiviert.

Es funktioniert (fast) alles wie erwartet. Alle paar Stunden, manchmal auch erst nach einem Tag sehe ich jedoch im Log eines der beiden APs folgendes:

cap1

Der RB3011 meldet (folgerichtig):

cap2

Weder der RB3011 noch der AP melden auf dem entsprechenden Interface einen Rx oder Tx-Fehler. Die sind immer 0.

Der andere AP läuft ohne jeden Fehler. Die Konfiguration läuft im Prinzip schon seit über einem Jahr so, der Fehler ist mir aber jetzt erst aufgefallen. Ich habe zwischenzeitlich ein paar Dinge geändert, doch die betrafen (nach meinem Verständnis) nie CAPsMAN (Update von 6.49 auf 7.7, Installation von PiHole im Docker-Container). Der einzige für mich erkennbare Unterschied besteht darin, dass in der VLAN-Bridge das Interface, an dem der AP mit dem Fehler hängt, der root port ist.

Wo kann ich nach der Ursache suchen?

Danke und Gruß!
cap4
cap5
cap7
cap3
cap8
cap6

Content-Key: 6225051928

Url: https://administrator.de/contentid/6225051928

Printed on: February 23, 2024 at 06:02 o'clock

Mitglied: 2423392070
2423392070 Mar 05, 2023 at 10:03:11 (UTC)
Goto Top
(R)STP kannst Du ausschließen?
Das bisschen was von den Fehlermeldungen zu sehen ist, lässt darauf schließen, dass es auf dem Layer2 ein Problem gibt.

Übrigens sind Mac Adressen nicht geheim und niemand will sie dir wegnehmen.
Member: aqui
Solution aqui Mar 05, 2023 at 10:26:36 (UTC)
Goto Top
Wie oben schon richtig vermutet verliert der CapsMan die CAPS Verbindung auf den AP. Auf die vom 3011er gesendet Keppalives kommt keine Antwort vom AP.
Das kann physische Gründe haben und damit u.a. auch das oben angesprochene Spanning Tree. Es ist in jedem Fall wichtig das du die RSTP Priority der RB3011er Bridge auf z.B. hex 0x7000 setzt um den 3011er als Root Bridge zu setzen. (Default ist 0x8000. Kleinerer Wert = höhere RSTP Priority)
Kann aber auch die pysische Verbindung selber sein, Kabel, Stecker etc. Also alternativ auch ggf. mal das Kabel und/oder den Anschlussport wechseln um das auszuschliessen.
Fakt ist das du in der Verbindung zu dem betreffenden AP Unterbrechungen hast die die IP Connectivity stoppen.
Member: keule3000
keule3000 Mar 13, 2023 at 08:37:59 (UTC)
Goto Top
Vielen Dank euch beiden für die Hinweise. Ich habe die RSTP Priority auf 0x700 gesetzt und ein paar Tage getestet, seither taucht der Fehler nicht mehr auf.

@ MAC-Adressen: In einem Tutorial sind sie auch (teilweise) geschwärzt. Und da ich mich nicht damit auskenne hab ich das übernommen.

Danke und Gruß!
Member: aqui
aqui Mar 13, 2023 at 08:59:15 (UTC)
Goto Top
Und da ich mich nicht damit auskenne hab ich das übernommen.
Wo genau hapert es denn bei Mac Adressen mit dem Wissen?? Eigentlich ist deren Logik recht banal.
https://de.wikipedia.org/wiki/MAC-Adresse
Member: keule3000
keule3000 Mar 13, 2023 at 09:09:20 (UTC)
Goto Top
Damit meinte ich, dass ich keine Ahnung davon habe, ob und wenn ja wie MAC-Adressen für Angriffe genutzt werden können. Und bevor ich das als Heim-Admin alles recherchiere und lese war das unkenntlich machen die schnellere Variante (wenngleich natürlich die erstere die erkenntnisreichere gewesen wäre - aber Zeit ist nunmal endlich ;) )
Member: aqui
aqui Mar 13, 2023 updated at 09:36:02 (UTC)
Goto Top
ob und wenn ja wie MAC-Adressen für Angriffe genutzt werden können.
Aaahhsoo. Sorry, missverstanden.
Mac Adressen sind letztlich in allen OS frei konfigurierbar wie allgemein bekannt. Theoretisch könnte also jemand irgendwie eine deiner Macs in Erfahrung bringen und an seinem Endgerät dann nutzen um in dein Netz einzudringen. Das erfordert aber gute IT Kenntnisse und ob das für dich und dein Netz dann eine Bedrohung sein könnte musst du letztlich immer selber entscheiden.
Member: keule3000
keule3000 Mar 13, 2023 at 14:34:20 (UTC)
Goto Top
Wahrscheinlich nicht face-smile Aber so schön fänd ich den Gedanken trotzdem nicht, dass jemand die Kontrolle über meine Daten und meine Haussteuerung übernehmen könnte. Aber spätestens wenn ein Rolladen ungeplant fährt, check ich das nochmal face-smile

Danke für Deine Hilfe!
Member: aqui
aqui Mar 13, 2023 at 15:24:12 (UTC)
Goto Top
Dann nimmst du halt 802.1x mit Usernamen und Passwort. Das ist dann, sofern du in einer Bierlaune deine Passwörter nicht verrätst, natürlich sicherer. Fort Knox bekommst du bekanntlich mit 802.1x und Userzertifikaten. face-wink
Member: keule3000
keule3000 Mar 13, 2023 at 16:59:51 (UTC)
Goto Top
Das mit 802.1x steht tatsächlich schon auf dem Zettel face-smile aber vorher gibt es noch ein paar andere Baustellen zu erledigen.