Auftrag MyTweak 2021-02-28 WLAN

Dies ist ein Auftrag an die Firma MyTweak, primär um die Stabilität des WLANs in unserem Haus zu verbessern.

Situationsbeschreibung

Personell

  • Adrian kennt sich mit dem WLAN so gut wie gar nicht aus, hat quasi keine Kenntnis von der Funktion von Mikrotik-Geräten, wie dem Core-Router oder den WLAN-Access-Points
  • Markus hat deutlich mehr Einblick und bereits einige Erfahrungen gesammelt, ist aber auch beruflich nicht mit Mikrotik befasst.
  • Sonst gibt es im Haus Maherseglerei niemanden mit der nötigen Erfahrung im Bereich IT
  • Es gibt derzeit keinen IT-Servicepartner für die Haustechnik der Mauerseglerei
  • Unser ehemaliger IT-Servicepartner, die Firma MyTweak, die auch das WLAN aufgezogen hat, steht uns derzeit noch für Einzelaufträge zur Verfügung.

Technisch

Das WLAN leidet unter zahlreichen Störungen, under anderem:

  • WLAN-Access-Points (APs) verschwinden einfach aus dem Netz
  • APs “verlieren” bei Reboot oder Stromausfall oder zufällig (?) ihr Zertifikat und sind dann nicht mehr im Netz integriert
  • APs lassen nicht zu, dass User sich anmelden
  • APs scheinen einen anzumelden, es wird im Anschluss aber keine IP-Adresse vergeben. Die User merken dies meist indem sie kein Internet haben.
    • Dieses Problem tritt unabhängig im WLAN “Gastsegler”, “Mauersegler” oder “Mauersegler 5” auf, manchmal auch bei mehrereen oder allen gleichzeitig.
    • Wir haben durch Ausrobieren festgestellt, dass dieses Problem sich durch Reboot (wenn das Zertifikat dabei nicht verloren geht) oder durch herunter und hochfahren des Interfaces (temporär) beheben lässt.
  • APs strahlen manchmal einfach gar kein WLAN aus
    • In manchen Fällen haben wir festgestellt, dass das Gerät irgendwie tot ist (z.B. AP 5.2. rebootet alle 20 Sekunden)

Unser Wissenstand über das WLAN und die Konfiguration von WLAN-Acess-Points ist mangelhaft und muss verbessert werden. Unter anderem:

  • Wir haben eine Anleitung erhalten, wie man die APs konfiguriert und ins Netz itegriert, aber irgendwie hakt es da noch
  • Wir verstehen nicht recht, wie die Vergabe der MAC-Adressen erfolgt
  • Wir verstehen nicht, weshalb die APs unterschiedliche Systemzeiten haben.

Mailverkehr und Aktionen

Mail von Markus an MyTweak, 28.2.2021

Sehr geehrter Herr Horvat,
wir würden bei ein paar Fragen bzw. Anliegen wieder Ihre Unterstützung benötigen. Können Sie uns dazu vorab eine (grobe) Einschätzung Ihres Zeitaufwandes für folgende Themen geben?

  1. AP-Zertifikate werden ungültig und das WLAN fällt dort aus
    1. Vereinzelt verlieren AP´s im laufenden Betrieb alle paar Wochen oder manchmal auch 2x/Woche ihren Trust und werden inaktiv
    2. Mehrere AP’s verlieren ihren Trust bei jedem Neustart des AP´s oder beim Reboot des Core-Routers
      1. Sämtliche neu angeschafften AP´s, die wir nach ihrer Anleitung in Betrieb nehmen, haben jedenfalls das Problem bei jedem Reboot, werden inaktiv bis das Zertifikat gelöscht und neu requested wird
      2. Behebung ist zwar einfach, aber es stört den Betrieb
      3. Diese AP’s sind bisher besonders auffällig:
        2.3b – 6C:3B:6B:BD:6D:26
        3.2b – B8:69:F4:34:DB:F3
        3.4b – B8:69:F4:39:3F:DC
        3.7   – C4:AD:34:8E:CC:E2
        Beispiele für Logs siehe Anhang.
        Uns ist nicht klar ob es hier ein Muster gibt, und ob fehlende Einstellungen (welche?) am AP/Router oder an den LAN-Switches dafür verantwortlich sein könnten.
      4. Ein AP der keine Probleme macht: 2.5b – B8:69:F4:39:3F:40
    3. Mögliche Ursachen? (siehe auch Pt. 5 AP´s neu einrichten – Fehler-Output?)
    4. Maßnahmen / Behebung?
  2. Falsche Systemzeit der Access Points
    1. Alle AP´s haben eine falsche Systemzeit
    2. SNTP-Client am AP bekommt auch bei manueller Konfiguration keine Verbindung
      1. Testhalber den selben SNTP wie vom CoreRouter eingetragen, keine Updates, darf vermutl. nicht ins Internet
    3. Alle AP’s sollen korrekte Systemzeiten haben!
      1. Können bzw. sollten sich die SNTP-Clients am AP die Systemzeit vom Core-Router holen?
      2. Oder können wir den ausgehenden SNTP Traffic für die AP’s erlauben – Firewall Rules
        SNTP-Server müssten dann auf allen AP’s eingetragen werden, müssen die Einstellungen manuell gesetzt werden und welche?
      3. Beste Lösung?
    4. Logs am Core-Router
      1. Es gibt hier ein Phänomen mit alten Logs die erhalten bleiben, weshalb auch neue nur bedingt Platz zu haben scheinen
      2. Bitte um Überprüfung und Reparatur
  3. AP 3.6 –  5 GHz Channel Problem
    (Log: ap.3.6 – 5ghz: failed to select channel, no usable channels)
    1. Problemverständnis?
    2. Reparatur
  4. RouterOS Firmware-Updates
    1. Sind derzeit auf 6.46.4, würden gerne updaten
    2. aktuell ist 6.48.1 (stable)
      1. sollen wir besser auf die Long-Term 6.47.9 setzen?
    3. Bekommen die AP´s automatisch die neue Version dann über das „Require same version“ setting im CAPsMAN-Manager, oder sind diese manuelle einzeln upzudaten?
      1. Was ist dafür die beste Methode bzw. wie sollten wir vorgehen?
  5. AP-Neu Einrichten – Konfiguration einspielen:
    Es gibt ein paar Meldungen.
    1. Abgesehen von denen, die die System-LED´s betreffen, wie sind die Fehler einzuordnen? (Konfig stammt aus Ihrer Anleitung) [Anm. Adrian: siehe WLAN Access Point einrichten]
    2. Kann es einen Zusammenhang mit den verlorenen Zertifikaten (s. Pt.1 geben?)
  6. Korrektes Eintragen/Vergeben der MAC-Adressen beim Einrichten neuer AP´s
    MAC-Adresse vs. Radio-MAC und Radio-Name –> vs. Base-MAC unter CAPsMAN > Remote CAP ??
    1. 2,4 GHz alle 3 gleich und auf 5 GHz 1 oder 2 Octets höher?
    2. z.B. AP 2.2.b:
      (hier scheint alles einheitlich)
      1. Hat am AP hinten aufgedruckt 74:4D:28:80:47:31 = Base MAC unter Remote CAP
      2. CAPsMAN Interface 2,4 GHz MAC + Radio MAC: 74:4D:28:80:47:33
      3. CAPsMAN Interface 5 GHz MAC 74:4D:28:80:47:34
      4. GUEST MAC und Radio-MAC 3C:8D:8C:4B:11:62
    3. Vergleich AP 1.1:
      (hier ist die 2,4 GHz Radio-Mac andres als die Haupt-MAC
      und die 2,4 Radio-MAC gleich mit der 5 GHz Haupt-MAC – warum?)
      1. Base MAC E4:8D:8C:6B:88:66
      2. CAPsMAN Interface 2,4 GHz MAC E4:8D:8C:6B:88:66
      3. CAPsMAN Interface 2,4 GHz Radio MAC E4:8D:8C:6B:88:68
      4. CAPsMAN Interface 5 GHz MAC E4:8D:8C:6B:88:68
      5. CAPsMAN Interface 5 GHz Radio MACE4:8D:8C:6B:88:67
      6. GUEST MAC und Radio-MAC 3C:8D:8C:4B:11:82
    4. Beispiele AP 3.2b und AP 3.4b und AP 3.7
      (Warum ist das Guest-IF bei diesen 3 AP´s auf 00:00…?)
      1. GUEST MAC B8:69:F4:39:3F:DC (3.2b)
      2. GUEST Radio MAC 00:00:00:00:00:00
        Könnte/sollte man vermutl. korrigieren bzw. vereinheitlichen, aber warum ist das scheinbar egal?
    5. Wie sollten die MAC-Adressen der Guest-Interfaces korrekt vergeben werden, diese sind offenbar mit 3C:8D:8C:4B:11:82 begonnen und abwärts gezählt worden. Stimmt das?
      1. Was ist hier richtig und Best Practice, was soll beachtet werden?
      2. Fragen im Text

Wir haben abgesehen davon noch 1-2 andere Themen mit denen wir noch auf sie zukommen möchten, allerdings haben obige Punkte für uns Priorität.

Wir freuen uns auf Ihre Antwort und würden sie dann sofern für uns im Rahmen unmittelbar beauftragen.

Vielen Dank,
freundliche Grüße

Mail von MyTweak an Markus, 5.3.2021

Re: [Ticket#2021022875000023] Mauerseglerei – Mikrotik Themen

Sehr geehrter Hr. Aigner, 

Aufgrund der Recherche und der aktuellen Auslastung bin ich erst heute mit allen Details zu Ihrer umfangreichen Anfrage fertig geworden.

1.) Da hier die Häufigkeit der Ausfälle aufgrund Ihrer Schilderung stark zunimmt würde ich versuchen exemplarisch ein Problem Gerät analysieren und hinzubekommen damit dieses stabil läuft und die Erkenntnisse dann auf die anderen Geräte anwenden.
Aufgrund der guten Vorab Analyse welche Geräte wie betroffen sind kann hier schon rasch und gezielt mit der Fehlersuche begonnen werden. Der Aufwand für Recherche nach Ursachen die nicht direkt ersichtlich sind und die notwendigen Fehlerbehebungen sind leider sehr schwierig. Für diesen Punkt kann ich nur sehr grob Schätzen das es um die 5h dauern wird.

2.) a-c Hier habe ich bereits nach einer Lösung gesucht und im Büro etwas getestet – daher auch die späte Rückmeldung. Aufwand ca. 3h   um hier eine stabile zuverlässige Zeitsynchronisierung zu realisieren. Dann steht ein internen Timeserver zur Verfügung der auch für Sat oder switches genutzt werden kann.
    d  Speicher sollte ausreichend am Router vorhanden sein für Logfiles – Prüfung der Fehlermeldung und etwaige Gegenmaßnahmen, Bereinigungen Ursachenrecherche  – ca. 1h

3.) Bei der Erstkontrolle ist kein Fehler in den Einstellungen ersichtlich. Für das 5Ghz Band sind keine Kanäle vorgegeben. Testweise habe ich den AP neu gestartet und der Fehler ist behoben. Das Gerät hatte eine Uptime von 315 Tagen.

4.) RouterOS Update sollte auf jeden Fall wieder gemacht werden auf die Version 6.48.1 – auch die Firmware gehört auf allen Geräten nachgezogen. Dazu wäre ein entsprechenden Zeitfenster zu definieren. Ich empfehle immer am Corerouter und den AP’s die selbe Firmware. Automatisch kommt die Firmware nur auf die AP’s wenn Require same Version. dazu muss die Firmware am Capsman verfügbar sein.
    Aufwand für Update aller AP’s+Corerouter inkl. Firmware ca. 1,5h

5.) im Screenshot des Config Imports ist ersichtlich das hier ein Zertifikat mit (1) versucht wird zu verwenden. Aktuell hab ich kontrolliert ist der Name aber ohne (1). Das dürfte sich ein aus der Testumgebung sein die genutzt wurde für die Erstellung der Konfiguration. Die Anleitung wird dann angpasst damit die Fehler nicht mehr sind. Diese Fehler sind aber nicht verantwortlich für die Verbindungsprobleme denn sonst wäre niemals eine Verbindung möglich. Es werden durch die Fehler die Default Werte genutzt.
    

6.) Die Namen der Radio Mac sind nicht von Bedeutung. Grundsätzlich hat ein WAP AC 2 Mac Adressen da hier physiklaische Devices dahinter sind – der 2,4GHz Device und der 5GHz Device. Zusätzlich werden dann noch virtuelle Netze aufgeschaltet (z.b. Guest oder Tankstelle) da diese nur virtuell sind könenn hier andere Mac beliebig vergeben werden die sich nicht mit den bestehenden decken. Daher dürfte es hier auch Raido Mac mit nur 0 geben. Das kann dann natürlcih vereinheitlicht werden das z.B. die Guest Radio Mac wie die Mac des darunterleigenden physikalischen Interfaces ist nur z. B. die erste Stelle verändert.
    Wenn hier eine Anpassung von uns durchgeführt werden soll bitte um Info – ist aktuell kein Aufwand eingerechnet    

Damit ergibt sich ein geschätzer Gesamtaufwand von ca. 10,5h 
Umsetzbar ist es innerhalb der nächsten 14 Arbeitstage.

Ich hoffe das ich etwas Licht in einigen Punkten bringen konnte und freu mich auf ein Feedback zu dem Vorschlag.

mit freundlichen Grüßen
Ernst Horvat

my Tweak Support Team

Mail von Markus an MyTweak, 7.3.2021

Sehr geehrter Herr Horvat,
vielen Dank für ihre Ausführungen.

Nach Rücksprache mit Herrn Kowar bitte hiermit um Durchführung im Rahmen dieses Angebotes. Ausgenommen davon sind die Firmware-Updates des Routers und der Access Points. Weil wir als Verein unsere Ausgaben so gering wie möglich halten wollen, machen wir diesen Punkt selbst.
Wir gehen also von etwa 9h Zeitaufwand zu € 95,-/h netto ihrerseits aus. Bei Überschreitung von mehr als 10% bitte vorab eine Freigabe von mir oder Herrn Kowar einholen, über etwaige Unterschreitung freuen wir uns natürlich. Inhaltliche Anmerkungen siehe direkt im Text in rot.
Aus formellen Gründen sind unsere Vereinsobfrau und unser Kassier hier auf cc. Weitere Abstimmung wie gewohnt bitte parallel über Herrn Kowar und mich.

Vielen Dank,
freundliche Grüße
Markus Aigner

Anhang: Zitat eines alten Mails vom 5.3. (siehe oben) mit Anmerkungen von Markus in rot.

1.) Da hier die Häufigkeit der Ausfälle aufgrund Ihrer Schilderung stark zunimmt würde ich versuchen exemplarisch ein Problem Gerät analysieren und hinzubekommen damit dieses stabil läuft und die Erkenntnisse dann auf die anderen Geräte anwenden.
    Aufgrund der guten Vorab Analyse welche Geräte wie betroffen sind kann hier schon rasch und gezielt mit der Fehlersuche begonnen werden. Der Aufwand für Recherche nach Ursachen die nicht direkt ersichtlich sind und die notwendigen Fehlerbehebungen sind leider sehr schwierig. Für diesen Punkt kann ich nur sehr grob Schätzen das es um die 5h dauern wird.

MA: Diese Woche ist der AP 3.2b noch 2x ausgefallen. Anhand der Anzahl der neu ausgestellten Zertifikate am Core-Router lässt sich auch eine gewisse Häufigkeit ablesen. Uns ist klar, dass die Problemsuche schwierig ist. Letztendlich könnten wir auch nach Ihrer Prüfung gemeinsam zu dem Schluss kommen, die Problem-AP´s einfach zu ersetzen, allerdings haben wir das Verhalten genau bei allen neuen Geräten. Vielleicht ist das ja ein Hinweis. Wir haben auch noch ein fabriksneues Gerät auf Lager und können bei Bedarf anbieten, es ihnen für Tests zur Verfügung zu stellen/anzuschließen.

2.)

a-c Hier habe ich bereits nach einer Lösung gesucht und im Büro etwas getestet – daher auch die späte Rückmeldung. Aufwand ca. 3h   um hier eine stabile zuverlässige Zeitsynchronisierung zu realisieren. Dann steht ein internen Timeserver zur Verfügung der auch für Sat oder switches genutzt werden kann.

MA: Klingt gut und passt für uns. Nach Implementierung bitte um eine einfach gehaltene Beschreibung der Settings als Dokumentation..

d  Speicher sollte ausreichend am Router vorhanden sein für Logfiles – Prüfung der Fehlermeldung und etwaige Gegenmaßnahmen, Bereinigungen Ursachenrecherche  – ca. 1h
MA: Danke – ebenso dann abschließend um kurze Erklärung.

3.) Bei der Erstkontrolle ist kein Fehler in den Einstellungen ersichtlich. Für das 5Ghz Band sind keine Kanäle vorgegeben. Testweise habe ich den AP neu gestartet und der Fehler ist behoben. Das Gerät hatte eine Uptime von 315 Tagen.

MA: Vielen Dank, das Problem trat damals nach dem Reboot des Routers auf. Auf das rebooten des AP´s hätte ich auch selbst kommen können…

4.) RouterOS Update sollte auf jeden Fall wieder gemacht werden auf die Version 6.48.1 – auch die Firmware gehört auf allen Geräten nachgezogen. Dazu wäre ein entsprechenden Zeitfenster zu definieren. Ich empfehle immer am Corerouter und den AP’s die selbe Firmware. Automatisch kommt die Firmware nur auf die AP’s wenn Require same Version. dazu muss die Firmware am Capsman verfügbar sein. Aufwand für Update aller AP’s+Corerouter inkl. Firmware ca. 1,5h

MA: wie erwähnt machen wir diesen Teil aus Kostengründen selbst, aber danke für das Angebot. Das Upgrade auf allen Geräten auf 6.48.1 wird nächstes Wochenende 13./14.3. erfolgen, dies ggfls. für Ihre Arbeiten berücksichtigen.

5.) im Screenshot des Config Imports ist ersichtlich das hier ein Zertifikat mit (1) versucht wird zu verwenden. Aktuell hab ich kontrolliert ist der Name aber ohne (1). Das dürfte sich ein aus der Testumgebung sein die genutzt wurde für die Erstellung der Konfiguration. Die Anleitung wird dann angpasst damit die Fehler nicht mehr sind. Diese Fehler sind aber nicht verantwortlich für die Verbindungsprobleme denn sonst wäre niemals eine Verbindung möglich. Es werden durch die Fehler die Default Werte genutzt..

MA: Danke im Voraus für das Anpassen der Anleitung.

6.) Die Namen der Radio Mac sind nicht von Bedeutung. Grundsätzlich hat ein WAP AC 2 Mac Adressen da hier physiklaische Devices dahinter sind – der 2,4GHz Device und der 5GHz Device. Zusätzlich werden dann noch virtuelle Netze aufgeschaltet (z.b. Guest oder Tankstelle) da diese nur virtuell sind könenn hier andere Mac beliebig vergeben werden die sich nicht mit den bestehenden decken. Daher dürfte es hier auch Raido Mac mit nur 0 geben. Das kann dann natürlcih vereinheitlicht werden das z.B. die Guest Radio Mac wie die Mac des darunterleigenden physikalischen Interfaces ist nur z. B. die erste Stelle verändert. Wenn hier eine Anpassung von uns durchgeführt werden soll bitte um Info – ist aktuell kein Aufwand eingerechnet

MA: Vorerst kein Bedarf an Anpassungen, vielen Dank für die Erklärungen.

Damit ergibt sich ein geschätzer Gesamtaufwand von ca. 10,5h 
Umsetzbar ist es innerhalb der nächsten 14 Arbeitstage.

MA: Aus unserer Sicht können sie jederzeit loslegen, wir freuen uns über Updates.

Mail von MyTweak an Markus, 8.3.2021

Sehr geehrter Hr. Aigner,

Danke für die Beauftragung.
Bezüglich dem Einrichten des Zeitserver ist ein Neustart des Routers notwendig. Diesen hab ich unter der Woche für ca. 23:30 vorgesehen wenn das in Ordnung ist. Es sollte nur zu einer Unterbrechnung der Verbindungen von ca. 1 Minute kommen.

mit freundlichen Grüßen
Ernst Horvat

Mail von Markus an MyTweak, 8.3.2021

Ist prinzipiell in Ordnung, allerdings verlieren dann vermutlich ca. 5 AP’s ihr Zertifikat. Wenn sie die dann schnell wieder verbinden wollen, geht das OK. Oder sie bereiten alles vor und wir starten am WE im Zuge des Firmware Updates sowieso auch alles durch, und sie machen heute in einer Woche damit weiter. Andererseits könnten sie sich so auch gleich ein Bild von Zertifikatsproblem machen. Wie es ihnen recht ist, bitte jedenfalls nur um Info an welchem Tag sie den Neustart ansetzen würden.
Danke, Markus Aigner

Mail von MyTweak an Markus, 9.3.2021

Sehr geehrter Hr. Aigner,

Würde den Neustart heute Nacht um ca. 23:30 durchführen. Natürlich kümmere ich mich dann auch um etwaige rausfliegende AP’s.
Bei den neuen AP’s konnte ich feststellen das hier noch die Default Konfiguration am Gerät war und die Einstellungen lt. Anleitung zusätzlich gemacht wurden. Da dürften auch Probleme herrühren. Die Defaultkonfig habe ich soweit möglich bereits entfernt – dies würde ich dann auch gleich in der Nacht beim Neustart prüfen ob hier alles der Defaultkonfig entfernt ist.

mit freundlichen Grüßen
Ernst Horvat

Mail von Markus an MyTweak, 9.3.2021

Hallo Herr Horvat,

freut mich dass es schon erste Hinweise zum Problemverhalten gibt. Was genau von der Default-Konfig entfernt werden muss bitte ich sie uns noch bei Gelegenheit mitzuteilen bzw. am besten dann gleich in die neue Version der Anleitung zu verpacken.
Neustart heute Nacht sehr gerne, vielen Dank schon mal für den nächtlichen Einsatz.
Übrigens habe ich am Router auch das TheDude-Paket dude-6.46.4-arm.npk dazugelegt, sollte sich dann ja beim Neustart mitinstallieren. Wir möchten damit künftige Ausfälle monitoren können.

Beste Grüße
Markus Aigner

Mail von MyTweak an Markus, 10.3.2021

Hallo Hr. Aigner,

Ih möchte ein kurzes Update geben zu den gestrigen Arbeiten.
Der NTP Dienst ist erfolgreich installiert und funktioniert. Alle AP’s beziehen vom Corerouter die Uhrzeit.
Das ist auch unter System/SNTP Client ersichtlich. Somit ist die Zeit komplett synchron.
Beiliegend auch die aktualisierte Anleitung.
Bezüglich der Default Konfig: Hier war in der Anleitung schon die Information enthalten das diese, vor der Einrichtung, komplett entfernt werden muss. Das dürfte nur übersehen worden sein. 
Der Neustart er AP’s funktioniert nun ohen das diese die Verbindung verlieren.
Das Dude Paket ist auch installiert. Allerdings ist das dude-6.46.4-arm.npk Paket falsch. Ich habe es gegen das dude-6.46.4-tile.npk Paket getauscht,  da der CCR1009 Router eine tile Prozessorarchitektur hat. Für das Update bitte entsprechend auch wieder das neue dude Tile Paket auf den Router kopieren und auch das ntp Server tile Paket (ist Bestandteil des all zip Paketes)

mit freundlichen Grüßen
Ernst Horvat

Anmerkung: Adrian hat in dieser Anleitung am 3.4.2021 einen Fehler gefunden. Es fehlt in der Basiskonfiguration ein add Statement. Ohne dieses kommt ein Fehler, dass die Operation nicht existiert.

Mail von Markus an MyTweak, 12.3.2021

Hallo Herr Horvat,
Danke für die Informationen.

Betreffend Anleitung und dem Hinweis die Default-Konfig zu entfernen haben sie recht, das habe ich übersehen bzw. inhaltlich fälschlicherweise ignoriert. Wie ist die korrekte bzw. von ihnen empfohlene Vorgangsweise für das Entfernen der Default-Konfig?
/system reset-configuration no-defaults=yes keep-users=no (??)

Wie erfolgt danach die Verbindung zum AP, nachdem die Settings weg sind? Was braucht der Switchport damit der AP im RoMON über die MAC-Adresse gefunden werden kann?

Update aller Pakete werden wir beim Firmware-Upgrade am Sonntag berücksichtigen.
NTP schaut gut aus! Danke!

Beste Grüße
Markus Aigner

Mail von Markus an MyTweak, 14.3.2021

Sehr geehrter Herr Horvat,

das Firmwareupdate auf 6.48.1 ist heute weitgehend planmäßig erfolgt. Wir haben nun allerdings verschiedene Architekturen auf den AP´s (mipsbe und arm), das hatte ich anfangs nicht bedacht. Daher blieben die AP´s 2.2b, 3.6b, 4.4, 5.2 nach dem 1. Durchgang inaktiv und auf alter Firmware, bis ich das arm-Paket ergänzt hatte. Nach dem 2. Core-Router reboot haben sich der 3.6b und 4.4 korrekt upgedated. Der 5.2 ist aber zu dem Zeitpunkt leider aus der RemoteCAP Liste verschwunden und nicht mehr aufgetaucht. Der 2.2b hat sich nicht upgedated und blieb inaktiv:

Aktuelle Probleme:

  1. AP 2.2b
    Scheint nicht unter RemoteCAP auf, ist aber eigenartigerweise noch über RoMON erreichbar, bekommt allerdings kein Zertifikat auf Request;
    Am AP gibt es den bekannten Fehler failed to join…, am Core-Router passen dazu error: [::ffff:172.21.2.138:52266,IssueCert] requests certificate, but failed to issue: a valid certificate with the same common name already exists! (7)
    Die Zertifikats-Situation ist nun unklar für mich. Ich habe gesehen, sofern ich es richtig interpretiere, dass die bisherigen Zertikate fast alle revoked wurden, und Sie eine neues einheitliches Zertifikat verteilt haben, Hinweis in der neuen Anleitung vorhanden. Am Core-Router sind nun alle alten und früheren Zertifikate auf untrusted. Allerdings weiss ich jetzt nicht mehr mit dem Zertifikatsproblem umzugehen, bitte um Aufklärung. Entfernen und neu importieren des cert_export…p12 hat das Problem nicht gelöst, neu-request wie bisher funktioniert nicht.
    Am 2.2b konnte ich die Firmware offenbar deshalb (?) nur manuell updaten.
  2. AP 5.2
    Scheint auch im RoMon nicht mehr auf und ist weder über die MAC, noch die IP-Adresse erreichbar. Damit sie das besser untersuchen können, habe ich den AP so gelassen wie er ist, hoffe sie finden was dazu raus. Ansonsten könnte ich ihn auch rebooten oder gleich resetten und neu einbinden. Siehe dazu bitte auch meine Frage im Mail von Freitag, was am Switch zusammenpassen muss, damit man „solche“ AP´s noch erreichen kann.

Bitte beide AP´s möglichst dringend wieder in Betrieb nehmen bzw. um entsprechende Anweisungen.

Sonstiges:

  1. Es gibt jede Menge Logeinträge auf den AccessPoints: echo: system,error,critical login failure for user admin from 172.21.2.254 via winbox die ich mir nicht erklären kann, die Adresse ist ja der Router im AP-VLAN selbst. Solche Einträge sind neu. Haben Sie dazu eine Erklärung?
  2. Alle Pakete inkl. NTP sind upgedated, das ipv6-Paket war nach dem Update autom. aktiv, habe ich wieder deaktiviert

Besten Dank für Ihre Unterstützung,
freundliche Grüße
Markus Aigner

Mail von MyTweak an Markus, 15.3.2021

Sehr geehrter Hr. Aigner,

Die neueren Modelle des WAP Ac nutzen einen ARM Prozessor. Leider gibt es die Modelle mit mips nicht mehr um das einheitlich zu halten.
Der AP 22b ist nun wieder im Capsman aktiv. Hier war das erstellte Zertifikat am AP nicht mehr vorhanden. Die Ursache dafür kann nur sein das es gelöscht wurde oder das das Gerät einen defekt hat. Ein Neustart wurde getestet und da ging das Zertifikat nicht verloren. Ich empfehle den AP zu beobachten ob dies nochmal passiert. Falls ja sollte das Gerät komplett resttet werden und neu eingerichtet werden um einen Konfig Fehler auszuschließen
Der AP 5.2 ist nicht erreichbar weder über mac noch ssh und ist auch nicht in der Neighbor List.
Hier kann das Gerät nur resettet werden und neu konfiguriert. 

Die Fehlersuche zu den Loginveruschen die neuerdings laufend auftreten war in der Kostenschätzung nicht vorgesehen. Die Ursache konnte ich nun finden – es wurden die AP’s im Dude angelegt aber keine Zugangsdaten hinterlegt. Daher versucht sich der Dude Dienst laufend zu Verbinden aber scheitern aufgrund fehlender Zugangsdaten. Der Dude Eintrag für den AP 2.2b habe ich nun fertig eingerichtet damit dieser funktioniert. Aufwand für Fehlersuche (Traces usw. wegen unklarer Herkunft der Loginversuche) 70min. 

mit freundlichen Grüßen
Ernst Horvat

Mail von MyTweak an Markus, 16.3.2021

Sehr geehrter Hr. Aigner,

In der unteren Auflistung sind die Antworten bzw. Details der durchgeführten Arbeiten.
Soweit sind aus meiner Sicht alle Themen abgeschlossen.
Zusätzlich kam noch die Fehlersuche hinzu wegen der Loginversuche. Hier war der Aufwand 70min da zu Beginn noch völlig unklar war woher diese Anmeldeversuche kamen. Daher war hier der Aufwnad hauptsächlich im Trace erstellen und analysieren. Es stellte sich wie schon mitgeteilt heraus das der noch nicht fertig eingerichtete Dude Server hier die Ursache ist.
Falls noch neue Punkte von Ihrer Seite dazugekommen sind bzw. die eingangs erwähnten zusätzlichen Punkte noch relevant sind, können Sie diese gerne übermitteln und ich kann dann eine Aufwandsschätzung machen.
Aktuell ist mir in den Logs heute am Core Router aufgefallen das hier möglicherweise ein Loop hinter den  sfpplus Interface gepatcht wurde. 

mit freundlichen Grüßen
Ing. Ernst Horvat

Anhang: Zitat eines alten Mails vom 5.3.2021 mit Anmerkungen von Markus vom 7.3. in rot und von MyTweak vom 16.3. in blau. Reduziert auf die von Mytweak kommentierten Punkte

1.) Da hier die Häufigkeit der Ausfälle aufgrund Ihrer Schilderung stark zunimmt würde ich versuchen exemplarisch ein Problem Gerät analysieren und hinzubekommen damit dieses stabil läuft und die Erkenntnisse dann auf die anderen Geräte anwenden. Aufgrund der guten Vorab Analyse welche Geräte wie betroffen sind kann hier schon rasch und gezielt mit der Fehlersuche begonnen werden. Der Aufwand für Recherche nach Ursachen die nicht direkt ersichtlich sind und die notwendigen Fehlerbehebungen sind leider sehr schwierig. Für diesen Punkt kann ich nur sehr grob Schätzen das es um die 5h dauern wird.

MA: Diese Woche ist der AP 3.2b noch 2x ausgefallen. Anhand der Anzahl der neu ausgestellten Zertifikate am Core-Router lässt sich auch eine gewisse Häufigkeit ablesen. Uns ist klar, dass die Problemsuche schwierig ist. Letztendlich könnten wir auch nach Ihrer Prüfung gemeinsam zu dem Schluss kommen, die Problem-AP´s einfach zu ersetzen, allerdings haben wir das Verhalten genau bei allen neuen Geräten. Vielleicht ist das ja ein Hinweis. Wir haben auch noch ein fabriksneues Gerät auf Lager und können bei Bedarf anbieten, es ihnen für Tests zur Verfügung zu stellen/anzuschließen.

AP’s laufen stabil nach einem Neustart. Konfig der neuen AP’s wurde angepasst – Ursache Default Konfig nicht gelöscht vor der Einrichtung daher Probleme. Ergänzung der Zertifikate und Beschriftung der Zertifikate am Corerouter zur besseren Übersicht. Anleitung für neu Installation angepasst.

2.)

a-c Hier habe ich bereits nach einer Lösung gesucht und im Büro etwas getestet – daher auch die späte Rückmeldung. Aufwand ca. 3h   um hier eine stabile zuverlässige Zeitsynchronisierung zu realisieren. Dann steht ein internen Timeserver zur Verfügung der auch für Sat oder switches genutzt werden kann.

MA: Klingt gut und passt für uns. Nach Implementierung bitte um eine einfach gehaltene Beschreibung der Settings als Dokumentation..

Es wurde ein NTP Server am Core Router eingerichtet. Alle AP’s haben nun eine IP im AP Vlan über DHCP Server erhalten und die SNTP Client beziehen die richtige Zeit vom Corerouter. Auch alle anderen Client in sämtlichen Vlans können das Defaultgateway nun als NTP Server nutzen

d  Speicher sollte ausreichend am Router vorhanden sein für Logfiles – Prüfung der Fehlermeldung und etwaige Gegenmaßnahmen, Bereinigungen Ursachenrecherche  – ca. 1h

MA: Danke – ebenso dann abschließend um kurze Erklärung.

Kontrolle der Logs am Router. Bereinigung alter Logs. Es gibt ausreichend Platz am Router. Aktuell ist der Freie Speicher allerdings auf 21% frei gesunken wegen der am Router abgelegten Firmware für die AP’s ( 34MB – entspricht 26% Speicherplatz) und der Neuinstallation des Dude Servers (hier ist die Empfehlung den Datastore auf eine MicroSD Karte auszulagern – aktuell ca. 15MB – entspricht 12% Speicherplatz)

3.) Bei der Erstkontrolle ist kein Fehler in den Einstellungen ersichtlich. Für das 5Ghz Band sind keine Kanäle vorgegeben. Testweise habe ich den AP neu gestartet und der Fehler ist behoben. Das Gerät hatte eine Uptime von 315 Tagen.

MA: Vielen Dank, das Problem trat damals nach dem Reboot des Routers auf. Auf das rebooten des AP´s hätte ich auch selbst kommen können…

Problem mit AP aufgrund langer Laufzeit -> bei der Kontrolle war der AP nachwievor Fehlerfrei

5.) im Screenshot des Config Imports ist ersichtlich das hier ein Zertifikat mit (1) versucht wird zu verwenden. Aktuell hab ich kontrolliert ist der Name aber ohne (1). Das dürfte sich ein aus der Testumgebung sein die genutzt wurde für die Erstellung der Konfiguration. Die Anleitung wird dann angpasst damit die Fehler nicht mehr sind. Diese Fehler sind aber nicht verantwortlich für die Verbindungsprobleme denn sonst wäre niemals eine Verbindung möglich. Es werden durch die Fehler die Default Werte genutzt..

MA: Danke im Voraus für das Anpassen der Anleitung.

Angepasste Anleitung wurde übermittelt

Mail von Markus an MyTweak, 19.3.2021

Sehr geehrter Herr Horvat,
vielen Dank für Ihre Arbeiten! Wir sind recht froh, dass sich vorallem das Thema rund um die AP Ausfälle geklärt hat [Anm. Adrian: Das glaubten wir damals zumindest] und auch die Zeitsync nun auf einem vernünftigen Stand ist. Ich muss sie aber dazu noch um ein paar weiterführende Informationen bitten, die ich in den Mails zwischendurch bereits formuliert habe. Folgende Fragen sind offen:

  1. Wie ist die korrekte bzw. von ihnen empfohlene Vorgangsweise für das Entfernen der Default-Konfig? system reset-configuration no-defaults=yes keep-users=no (??)
  2. Wie erfolgt danach die Verbindung zum AP, nachdem die Settings weg sind? Was braucht der Switchport damit der AP im RoMON über die MAC-Adresse gefunden werden kann? Mir ist einfach unklar, wie ich dann noch auf den AP komme.
  3. Zertifikats-Situation allgemein unklar: Gibt es jetzt im Unterschied zu vorher 1 Zertifikat für alle und warum? Ist die korrekte Problembehandlung, nun dieses Zertifikat (cert_export…p12) am AP zu entfernen? Bekommt es der AP danach über den request oder muss es importiert werden? Nachdem ich hier zuletzt am AP2.2b gescheitert bitte um Aufklärung wie das System und die Fehlerbehandlung nun funktioniert.

Den AP 5.2, der offline geblieben ist, würden wir dann zurücksetzen, sobald wir ihre Antworten haben, das ist dann gleichzeitig für uns ein Test ob für diesen Teil mit Anleitung und Infos  zurechtkommen.

Zu den fehlerhaften Logins von Dude verursacht: Es gibt nach wie vor einen wiederkehrenden Loginfehler, daher habe ich den Dienst am Router temp. deaktiviert. Dude hatten wir ursprünglich über einen Windows-Client eingerichtet und dessen Settings finden sich am Server. Vielleicht liegt ja dort noch der Fehler, werden wir uns bei Gelegenheit anschauen. Wir wollten vorallem eine E-Mail-Benachrichtigung wegen der AP-Ausfälle antesten, die Notwendigkeit hat sich aber wieder etwas relativiert. Danke für die Info betreffend ihres Aufwandes.

Eine Sache allerdings noch: Der AP 2.1 ist heute zwar nicht ausgefallen, lieferte aber kein Internet. Aufgefallen ist es nur mir, weil ich mom. der Einzige bin der diesen benötigt. WLAN-Authentifizierung war erfolgreich, allerdings habe ich in allen 3 Netzen keine IP-Adressen erhalten (Connected, no Internet). Auch mittels manueller IP Adresse war kein Internet verfügbar.. Nach Reboot des AP´s war das Problem behoben. In den Core-Router-Logs habe ich dazu nichts finden können. (Zeitraum ca. 8-9 Uhr). Wir können das natürlich als einmaliges Problem, das so bisher noch nicht aufgetreten ist, abhaken, aber wenn sie dazu eine Idee haben oder sinnvoll etwas kurz untersuchen könnten wären wir dankbar.

Betreffend des sfp-Loops: Wir schauen uns das übers Wochenende an und melden uns wenn wir hier noch Unterstützung brauchen.

Einen Punkt den wir noch offen hätten, wäre dass wir über die AP’s nicht annähernd die interne NW-Bandbreite bekommen wie technisch zu erwarten wäre [Anm. Adrian: Wenn ich das messe erhalte ich oftmals Bandbreiten von unter 1MB/s, bestenfalls, aber nahezu hie etwa 5MB/s]. Ich spreche mich hier nochmal mit Herrn Kowar ab und wir melden uns damit auch Anfang kommender Woche.

Abhängig von den 2 letzten optionalen Punkten sehen wir auch die Arbeiten als fertig und erfolgreich abgeschlossen. Bitte noch die Zeit für die Beantwortung obiger Fragen berücksichtigen und nächste Woche um Abschluss.

Vielen Dank und schönes Wochenende
Markus Aigner

Mail von MyTweak an Markus 19.3.2021

Sehr geehrter Hr. Aigner, 

Der Reset eines Mikrotik Gerätes erfolgt wie von Ihenn schon geschrieben mittelst reset configuration, no defaults=yes und keep-users=no. Damit hat der Mikrotik keine IP nach dem automatischen Neustart oder sonst eine Konfig. 
Das Gerät ist dann mit der Winbox über Neighbors mittels MAC Adresse erreichbar. 

Die Konfig ist dann wie in der aktualisierten Anleitung durchzuführen. Wichtig wie auch in der Anleitung angeführt ist das Zertifikat zu kopieren und im Mikrotik zu importieren.
Dieses Zertifikat ist die CA (der Capsman). Das automatisch generierte ist dann zusätzlich. Damit sind am AP 2 Zertifikate vorhanden unter /system/certificates
Am Corerouter wird dann das neue Zertifikat erstellt (wenn eines vorhanden und es gibt Probleme ist es zu revoken am Corerouter) am AP kann es gelöscht werden.

Ich sehe immer wieder Einträge vom AP 2.5 – dieser hatte bereits eine IP nun aber nicht mehr – Möglcih das hier das VLAN am Switch nicht mehr passt oder etwas umgepatcht wurde.

Zum AP 2.1 konnte ich am AP nichts sehen da bei einem Neustart die Logs aus dem Memory gelöscht werden.
In den Logs am Corerouter ist zu der MAC Adresse nichts zu finden. Die Logs bezüglich Capsman wurden aber großteils wieder abgeschaltet um nicht den Speicher zu voll zu machen weil ja der Dude aktiviert wurde. Dies kann unter /System/logging/ wieder aktiviert werden. Das wäre dann der Punkt caps mit der Action logcaps zum aktivieren (unter dem Reiter Actions ist dann ersichtlich das die action logcaps auf die Disk schreibt) 

Die Verbindungsgeschwindigkeit der einzelnen Client können sie unter Capsman/Registration Table auslesen. Aktuell sind die schnellsten Verbindungen bei 144Mbit/s symmetrisch. Dieser Wert ist Brutto – netto sind das in der Größenordnung von 50Mbit/s bitte das zu Berücksichtigen.

mit freundlichen Grüßen
Ernst Horvat

Troubleshooting Adrian, 19.3.2021

Das WLAN Gastsegler im Praxiszentrum fällt aus. Ich werde darüber von Christoph am 22.3. informiert. Ich finde heraus, dass das WLAN Gastsegler nicht funktioniert, das WLAN Mauersegler allerdings schon. Das Problem ließ sich durch neustarten des APs beheben.

Mail von Markus an MyTweak, 22.3.2021

Hallo Herr Horvat,

1) Betreffed Zertifikate – Danke, mich verwundert allerdings, dass das zweite, automatisch generierte, Zertifikat am AP den Status Trusted=No zeigt. Ist das korrekt, bzw. warum?

2) Zu ihrem Satz “Ich sehe immer wieder Einträge vom AP 2.5” – denke ich sie meinen den 5.2. Wir haben den am Freitag nun vom Netz genommen, allerdings taucht dieser auch nach mehrfachem factory-reset (https://wiki.mikrotik.com/wiki/Manual:Reset) nicht auf. Winbox und Switchport des AP im gleichen VLAN müsste doch genügen, oder?

3) AP 2.1 danke, ich habe vor dem Reboot kurz in die Logs geschaut gehabt, war nichts vorhaden, Log fast leer. Egal, lässt sich nichts mehr feststellen.

4) SFP-Loop: Hier bitten wir sie um Überprüfung als Ergänzung zum Auftrag. Was wir dazu an Doku haben finden sie bitte in den Screenshots anbei, involviert sind lt. Herrn Kovar die Core-Switches 0.1 (Pt. 14+15) und 3.2 (25+26).

5) Bezüglich WLAN-Bandbreite machen wir noch ein paar interne Tests und melden uns nochmal bei Bedarf.

Besten Dank und freundliche Grüße
Markus Aigner

Anmerkung: Die angehängten Bilder sind Screenshots von unserer Website mit den entsprechenden Einstellungen.

Mail von MyTweak an Markus, 24.3.2021

Hallo Hr. Aigner, 

1.) Das das generierte Zertifikat nicht als Trusted angezeigt wird ist korrekt. Der Grund liegt in der Chain of Trust. Das ist nichts Mikrotik spezifisches sondern generell wie Vertrauensketten mit CA’s, Intermdiate Zertifikaten und Einzelzertifikaten zusammenspielen. 
Das könenn sie auch einfach bei einer https Website betrachten bei den Zertifikat Details.

2.) Nein eigentlcih meinte ich schon den AP 2.5. Beiliegend ein Screenshot vom Router wo dies ersichtlich ist. Ein offenen Firmware Upgrade am AP hat auch keine Veränderung gebracht. 
Grundsätzlich sollte das Port richtig funktinoieren da es sonst gar keinen Lease für den AP gibt. Bitte um Kontrolle der Porteinstellungen des AP’s am Switch sowie den Vergleich zu anderen funktinoierenden AP’s

4.) In der Log Meldung ist die MAC Adresse b8:69:f4:34:db:f3 angeführt. Das ist der AP  3.2b. Auch hier habe ich noch ein Frimware Update zur Sicherheit durchgeführt und neu gestartet. Aktuell kommt diese Warnung das ein möglihcer Loop vorliegt nicht mehr. Verbindungen auf den AP funktionieren und es sind Clients eingebucht.

Ich habe noch wegen dem Reset des AP 5.2 recherchiert. Bitte versuchen sie nach dem Reset (über den Reset Knopf) sich mit dem default Wlan des AP’s zu verbinden und dann mittels Winbox zuzugreifen. 

mit freundlichen Grüßen
Ernst Horvat  

Anmerkung: Direkt danach kam noch ein Mail mit dem Screenshot von AP 2.5

Mail von Markus an MyTweak, 25.3.2021

Hallo Herr Horvat,
einmal mehr danke für die Infos.

Zu Pt. 2 – werden wir uns anschauen

Zu Pt. 4 – auch eigenartig aber wenn die Loop-Meldungen jetzt weg sind ist es wohl auch ok

Und den AP 5.2 betrachten wir als defekt, er liefert auch nach dem Reset kein WLAN und rebootet alle 20 Sekunden. Wir werden einen neuen AP dafür einrichten.

Besten Dank und freundliche Grüße

Markus Aigner

Mail von markus an MyTweak, 28.3.2021

Hallo Herr Horvat,

zur Info, Herr Kowar hat den Fehler in der Switchport-Konfiguration für den AP 2.5 gefunden (VLAN 105 war untagged statt tagged), somit verhält sich dieser wieder normal, keine Fehler mehr. [Anm.: Das hat das Problem scheinbar dich nicht behofen. Es tauchten später neue SFP-Loop Fehler auf.]

Ich denke damit können wir zum aktuellen Stand abschließen und ersuche um Ihre Abrechnung. [Anm. Adrian: Ich wünschte man könnte mit dieser Firma einfach sagen, die Aufträge lt. ihnen abgearbeitet und dann kann man die Geschichte abschließen ohne alles testen zu müssen. DIe Realität ist anders. Siehe unten.]

Danke und Beste Grüße,

Markus Aigner

Test von Adrian am

Mail von MyTweak an Markus, 1.4.2021

Hallo Hr. Aigner,

Danke für die Rückmeldung zu den einzelnen Punkten und die Details zum Thema mit dem Port das Hr. Kowar lösen konnte.
Ich werde die Abrechnung vorbereiten die dann die nächsten Tage kommt.

mit freundlichen Grüßen
Ernst Horvat

Test von Adrian bei Barbara, 1.4.2021

War in Top 4. Gastsegler geht, Mauersegler geht nicht, Mauersegler 5 geht auch nicht. Weder mit Barbaras Crendentials noch mit meinen. Ist geräteunabhängig. Man kann sich anmelden une bekommt keine IP-Adresse. Reboot des APs half nicht.

Ich habe das Problem nicht ins WLAN zu kommen auch innerhalb Top 25b. Nachdem AP 5.2 tot ist empfange ich nur noch den AP 5.1. selbes Phänomen.

Restart des RADIUS-Servers half nichts.

Meine Credentials funktionieren aber noch in anderen Arealen des Hauses, z.B. der Gemeinschaftsküche.

Test von Adrian und Markus, 3.4.2021

Wir haben in einer mehrstündigen (5,5h Markus, 3,5h Adrian, 1h Johannes) Session versucht entsprechend der Anleitung von myTweak einen AP zum Laufen zu kriegen.

Erstens finden wir in der Basiskonfiguration einen fehler. Scheinbar hat MyTweak diese nicht getestet. Der Fehler war relativ leicht zu finden und zu beheben.

Zweitens ist nach reboot der AP nimmer erreichar (irgendwas mim Zertifikat) und nur ein Rücksetzen auf Wertkseinstellung hilft.

Signal von Markus an IT, 3.4.2021

Bei mir gings auch nicht, connected-no internet, korrekt authenifiziert aber keine IP bekommen im Mauersegler. Im MS5 und GS sehr wohl. Hab bei mir am AP2.1 nur mal das eine interface disabled und enabled, jetzt komm ich in MS wieder normal rein.

Generelles Problem dürft es aber keins sein, es sind 18 Geräte im Mauersegler Netz authenifiziert und haben traffic.

Habe das Mauersegler 2.4 GHz Interface auf Verdacht am AP 2.3, 2.3b und 2.4 ebenso dis- und enabled. Müsste man jetzt nochmal mit der Barbara probieren. Weisst du auf welchem AP sie war/ist?

Es gab wieder die “sfp-sfpplus1 probably loop” logeinträge verursacht vom AP3.2b. Hab ihn rebooted, jetzt ist wieder alles ok. Aber es ist quasi das selbe Problem das wir mit dem hatten wieder aufgetreten, Hr. Horvat hatte den am 24.3. nochmal upgadated, nachdem unsere Logs nicht so lange zurückgehen kann man nicht sagen wie lange es gehalten.

Sorry – Alles retour zum Punkt 2 – hat nur ein paar Minuten gehalten, jetzt kommen die sfp-loop fehler wieder :-/

Mail von MyTweak an Martin, 5.4.2021

Sehr geehrte Damen und Herren!

Von den für IT im Haus zuständigen Personen höre ich, dass die Leistung, die Sie hier in Rechnung stellen, noch nicht vollständig erbracht ist.
Ich ersuche Sie daher, den Betrag vorerst nicht einzuziehen, um Ihnen Kosten für die Rückabwicklung des Transfers zu ersparen.
Bei dieser Gelegenheit möchte ich auch gleich das erteilte Lastschrift-Mandat stornieren, da Sie ja nicht mehr auf Grundlage eines Service-Vertrages, sondern nur mehr bei Einzelaufträgen für uns tätig sind.

Für Rückfragen stehe ich selbstverständlich gern zur Verfügung und verbleibe mit den besten Grüßen

Martin Schelm
(Kassier der Mauerseglerei)

Mail von MyTweak an Martin, 6.4.2021

Sehr geehrter Hr. Schelm,
wir werden die Rechnung nicht einziehen.

@Hr. Kowar + Hr. Aigner: da ich von unserer Technik bereits eine Fertigstellungsmeldung erhalten habe würde ich Sie bitten zu definieren was Ihrer Meinung nach noch nicht erledigt wurde. Die in Rechnung gestellten Aufwände wurden ja erbracht, oder?

Herzlichen Dank.
Mit freundlichen Grüßen
Mag. Andreas Kohlweis

Mail von Georg an die IT, 8.4.2021

Hello…
ich bin wirklich! sehr ungern lästig. Aber ich wollte euch über aktuelle Entwicklungen bei mir informieren.Vielleicht hilft das bei eurem allgemeinen Troubleshooting?
Bis vor 2 Wochen hab ich immer das Mauerseglerei WLAN verwendet.
Seit 2 Wochen kann ich mich zwar verbinden, hab aber keine Internetverbindung. Gastsegler geht und verwende ich zZ auch.
Hier einige Erkenntnisse meinerseits:- Im Gastsegler bekomme ich eine “normale” IP (192.168.xxx)- Im Mauerseglerei WLAN bekomme ich folgende IP: (169.254.xxx)
Details dazu im PDF im Anhang.
Vielleicht habt ihr eine schnelle Idee wieso das so ist.
In Karinas Praxis (anderer AP) hab ich das selbe Problem schon vor 4 Wochen mit unterschiedlichen Geräten gehabt (Android Handy, IPhone SE und Karinas Laptop).
Schönen Tag!
Georg

Mail von Markus und Adrian an MyTweak, 12.4.2021

Sg. Herren,

wir haben die Anleitung fürs Einrichten neuer Access Points am 4.4. überprüft und anhand eines neuen AP´s abgearbeitet, dabei sind wir auf Probleme gestoßen.
Details siehe unten, der Vorgang wurde mehrere Male versucht, auch mit Factory-Reset mittels Button am AP.

Auf Anfrage unserer Buchhaltung, ob die Rechnung freigegeben ist, haben wir daraufhin einen Stopp gemeldet.
Aus Zeitgründen kommen wir leider erst jetzt dazu, das Ganze näher zu beschreiben.

Wir ersuchen um Überprüfung und werden nach Behebung bzw. Aufklärung die Rechnung unmittelbar freigeben und überweisen.

Probleme mit der Inbetriebnahme von neuen AP´s und der Anleitung:

Neue Access-Points, die gemäß Anleitung in Betrieb genommen werden, funktionieren nicht stabil, d.h. nach AP Reboot ist das Zertifikat wieder ungültig. Desweiteren enthält die Anleitung einen unwesentlichen Fehler im Script.

  • Im Abschnitt
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys \
    mschapv2-password=mytweak@mauersegler mschapv2-username=support name=\
    default tls-mode=dont-verify-certificate \
    wpa2-pre-shared-key=wsehvloes7002!

    hat das add-Kommando gefehlt. Dies hat eine Fehlermeldung zur Folge, die besagt, dass der Befehl authentication-types nicht existiere. Dadurch lies sich die Fehlerursache erfreulicherweise recht schnell ermitteln.

Wir sind mit einem fabriksneuen AP 5.2b wie folgt vorgegangen:

  1. Vorbereitungen: IF am CAPsMAN anlegen usw. erledigt.
  2. Notebook mit Winbox und AP am gleichen Switch im VLAN 1 (PVID) und im beide 105 tagged
  3. Winbox auf IP 192.168.88.1 verbinden
  4. Am AP: RoMON Verbindung mit Core-Router enablen, secret eintragen, AP scheint danach als RoMON-Neighbour „Mikrotik“-Gerät auf
  5. Firmware-Update hat scheinbar durch RoMON automatisch stattgefunden, war danach akutell (6.48.1)
  6. Reset Config (no default configuration = yes, keep user config = no)
  7. AP danach erreichbar über WinBox mit Eth1 MAC-Adresse
  8. Zertifikat-File vom Core-Router auf neuen AP kopieren
  9. Konfiguration-Script lt. Anleitung:
    1. Fehler in Anleitung ausbessern
    2. AP Identity anpassen
    3. Alle Konfig-Zeilen kopieren und in Terminal am AP einfügen (copy&paste)
       
  10. Problemverhalten:
    1. Verbindung wird während des Verarbeitens der Konfig vom AP getrennt
      (man sieht noch die ersten paar Zeilen der neuen Konig und fliegt aus der WinBox-Session)

                    i.      Keine Überprüfung ob es fehlerhaften Output gibt oder alles vollständig übertragen wurde möglich

  1. Allerdings scheint der AP danach trotzdem korrekt im CAPsMAN auf und die Interfaces sind aktiv, Client-Verbindungen und Traffic sind OK
  2. Nach Reboot des Routers bleiben die Interfaces im CAPsMAN allerdings wieder inaktiv

                    i.      Log am Core-Router zeigt:
[48:8F:5A:D8:68:7F/101/32ab,IssueCert] requests certificate, but failed to issue: a valid certificate with the same common name already exists! (7)

                    ii.      Log am AP zeigt einen „[…] failed to join“ Eintrag

  1. Mittels Revoken des Client-AP-Zertifikats am Corerouter geht der AP dann wieder erfolgreich in Betrieb da ein neues Zertifikat automatisch requested wird
  2. Beim nächsten Reboot sind die IF am AP wieder inaktiv, siehe c.
  3. Da in der Anleitung kein Troubleshooting dafür existiert ist Abhilfe ohne entsprechendes Fachwissen nicht möglich

                    i.      Neu kopieren des Zertifikats und manueller Import erfolglos

                    ii.      Manuell neues Requesten des Zertifikats erfolglos

Der AP 5.2b ist mit dem gleichen Switchport wie während der Konfig verbunden. User admin, noch kein Kennwort eingetragen. E01: 48:8F:5A:D8:68:7F.

Ungeachtet dessen, wird nun ein weiteres Problem vereinzelt aber immer öfter manifest.
Markus Aigner hat dies schon mal kurz im Mail am 22.3. betreffend AP 2.1 beschrieben:

Clients werden im WLAN (Mauersegler +5 + Gastsegler) authentifiziert, aber erhalten keine IP-Adresse (Connected, no internet) und damit kein WLAN und Internet.
Die Capsman-Logs habe ich nun wieder aktiviert nachdem Dude auch weiterhin deaktiviert ist.

Dies tritt mittlerweile mehrfach im Haus auf, aber nur mit spezifischen Clients, nicht mit allen. Es gibt Clients, die an einem AP keine Verbindung bekommen und an anderen schon. Und an dem AP´s, wo sich einzelne nicht korrekt verbinden können, geht es für andere wiederum problemlos.

Wir denken es ist kein Radius-Problem, da es auch im Gastsegler-Netz auftritt. Interface dis/enable behebt das Problem, ebenso wie AP reboot, es tritt aber irgendwann dann wieder auf. Muster konnten wir bisher keines erkennen, haben auch nicht ausreichend aussagekräftige Daten.

Diese Art von Problemen haben wir früher nie so festgestellt, sondern erstmalig eben mit 22.3. Es liegt nahe zu vermuten, dass es irgendwas mit den zuletzt durchgeführten Aktionen zu tun haben könnte, oder mit der neuen Firmware, aber natürlich lässt sich das ohne weitere Untersuchung nicht sagen.

Wir starteten gestern um 22:30 den Core-Router einmal zu Sicherheit neu. Seither gab es keinerlei Probleme mit dem erhalt einer IP-Adresse im WLAN. Wir werden den Zustand die nächsten Wochen beobachten. Sollte das Problem erneut auftreten werden wir versuchen, einen Referenz-Client und AP auszumachen, anhand dessen wir sie bitten würden, die Ursache zu identifizieren und Abhilfe zu schaffen. Gegebenenfalls melden wir uns nochmal konkret bei ihnen.

Bitte um Stellungnahme,

vielen Dank und beste Grüße Adrian Kowar und Markus Aigner

nächste Schritte

  • Der Auftrag wurde ausgeführt, aber wir haben noch immer Probleme.
    Wie lautet unsere Reaktion?
    • Ich habe Martin gebeten die Zahlung noch nicht freuzigeben.
    • Welche Probleme sind offen:
      • Das SFP-Loop-Problem ist nicht gelöst
      • WLAN-APs zeigen immer noch das Problem, dass manchmal Gastsegler oder Mauersegler nicht funktionieren
      • Die Anleitung
        • funktioniert nicht, d.h. nach reboot des APs ist er nicht mehr erreichbar (irgendwas mim Zertifikat). Nur Rücksetzen auf Werkseinstellung hilft
        • hatte einen Syntaxfehler drinnen

Zuletzt bearbeitet am 12. April 2021 von Adrian_Kowar

Schreibe einen Kommentar