Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 20 replies
  • Subscribers 0 subscribers
  • Views 9800 views
  • Users 0 members are here
Options
Suggested

[8.940][CLOSED] wireless client disconnected

wingman
Hi All

I have an AP10 connected using vlans ,Clients are authenticated via Radius. One of the users complains that he gets a lot of disconnects 

According to the Event viewer of the laptop ,the error messages are:

Source:        Microsoft-Windows-Time-Service
Date:          30-Apr-12 12:39:13
Event ID:      134
Task Category: None
Level:         Warning
Keywords:     
User:          LOCAL SERVICE
Computer:      *********
Description:
NtpClient was unable to set a manual peer to use as a time source because of DNS resolution error on ''. NtpClient will try again in 3473457 minutes and double the reattempt interval thereafter. The error was: The requested name is valid, but no data of the requested type was found. (0x80072AFC)
Event Xml:

  
    
    134
    0
    3
    0
   0
    0x8000000000000000
    
    115225
    
    
    System
   ****-PC
    
  
  
    The requested name is valid, but no data of the requested type was found. (0x80072AFC)
    3473457
    
    
  



Source:        Microsoft-Windows-DNS-Client
Date:          30-Apr-12 12:27:17
Event ID:      1014
Task Category: None
Level:         Warning
Keywords:     
User:          NETWORK SERVICE
Computer:      ********
Description:
Name resolution for the name mcs1-1234.broker.sophos.com timed out after none of the configured DNS servers responded.
Event Xml:

  
    
    1014
   0
    3
    0
    0
    0x4000000000000000
    
    115235
    
    
    System
    ****-PC
    
  
  
    mcs1-1234.broker.sophos.com
    16
    02000035C0A802640000000000000000
  


Checking the wifi log during that Time I can find the relevant info (attached)

I had the same issue before but it was because of high CPU (https://community.sophos.com/products/unified-threat-management/astaroorg/f/60/t/56248 Doesn't seem to be the case this time though

NIC info below
Intel(R) Wireless WiFi Link 4965AGN
 
Wireless LAN adapter Wireless Network Connection:
 
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) Wireless WiFi Link 4965AGN
   Physical Address. . . . . . . . . : 00-1D-E0-72-09-A9
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::342a:e652:a6e5:112e%11(Preferred)
   IPv4 Address. . . . . . . . . . . : 192.168.2.13(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : Monday, April 30, 2012 08:27:47
   Lease Expires . . . . . . . . . . : Tuesday, May 01, 2012 20:15:04
   Default Gateway . . . . . . . . . : 192.168.2.100
   DHCP Server . . . . . . . . . . . : 192.168.2.100
   DHCPv6 IAID . . . . . . . . . . . : 218111456
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-15-8A-93-80-00-1D-09-3A-7B-2F
 
   DNS Servers . . . . . . . . . . . : 192.168.2.100
   NetBIOS over Tcpip. . . . . . . . : Enabled
  • 0 
    Log Name:      System
    Source:        Service Control Manager
    Date:          30-Apr-12 12:39:43
    Event ID:      7036
    Task Category: None
    Level:         Information
    Keywords:      Classic
    User:          N/A
    Computer:      ******
    Description:
    The TCP/IP NetBIOS Helper service entered the stopped state.
    Event Xml:

      
        
        7036
        0
        4
        0
        0
        0x8080000000000000
        
        115240
        
        
        System
        *****-PC
        
      
      
        TCP/IP NetBIOS Helper
        stopped
        6C006D0068006F007300740073002F0031000000
      

     
    Log Name:      System
    Source:        Service Control Manager
    Date:          30-Apr-12 12:39:42
    Event ID:      7042
    Task Category: None
    Level:         Information
    Keywords:      Classic
    User:          SYSTEM
    Computer:      ******
    Description:
    The TCP/IP NetBIOS Helper service was successfully sent a stop control.
     
    The reason specified was: 0x40030011 [Operating System: Network Connectivity (Planned)]
     
    Comment: None
    Event Xml:

      
        
        7042
        0
        4
        0
        0
        0x8080000000000000
        
        115239
        
        
        System
        *****-PC
        
      
      
        TCP/IP NetBIOS Helper
        stop
        0x40030011
        Operating System: Network Connectivity (Planned)
        None
      

     
    Log Name:      System
    Source:        Service Control Manager
    Date:          30-Apr-12 12:37:56
    Event ID:      7036
    Task Category: None
    Level:         Information
    Keywords:      Classic
    User:          N/A
    Computer:      *******
    Description:
    The Windows Error Reporting Service service entered the running state.
    Event Xml:

      
        
        7036
        0
        4
        0
        0
        0x8080000000000000
        
        115238
        
        
        System
        ******-PC
        
      
      
        Windows Error Reporting Service
        running
        5700650072005300760063002F0034000000
      



    It seems that the error "0x40030011 [Operating System: Network Connectivity (Planned)]" is related to this.Not sure if this is UTM issue to be honest at this point
  • 0
    The funny thing is, I had this AP 10 working fine with my iPhone in my main office the day before yesterday.

    Then, I took it to my home office and hooked it up to the RED I have there that's bridged to the internal LAN at the office.  It added itself correctly, and everything looked OK until I tried to connect with my iPhone.  Then, the iPhone kept connecting/disconnecting, generating a log like yours.

    So, I brought it back to the office today, and it's still doing the same thing it did at home yesterday.

    So, instead of a potential bug in V9, I wonder if the issue isn't something we've caused by "playing" with the APs too much???

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob it seems different issue as mine AP seems to be restarting every time

    2012:05:04-10:03:41 ap-10 hostapd: wlan1: STA 68:a8:6d:cd:2e:07 WPA: Added PMKSA cache entry (IEEE 802.1X)
    2012:05:04-10:05:49 **** awed[21663]: [AP10 A40000D709AC807] disconnected. Close socket and kill process.
    2012:05:04-10:05:52 **** awed[4135]: [MASTER] new connection from 192.168.2.1:39249
    2012:05:04-10:05:52 **** awed[5133]: [AP10 A40000D709AC807] (Re-)loaded identity and/or configuration
    2012:05:04-10:05:53 ap-10 sysinit: Channel 2 busy time 23/229ms, 10%

    Can I enable debug level on the AP 10 to see why this is happening?
  • 0 in reply to wingman
    Does this issue also happen with WPA-PSK networks? Or just with 802.1x authentication?
    Does your RADIUS server trigger rekeying events from time to time?

    Thanks,
    Helmut
  • 0 in reply to hschaa
    Seems like the client connection dies shortly after the group key handshake: 

    2012:04:30-12:35:35 ap-10 hostapd: wlan1: STA 00:1d:e0:72:09:a9 WPA: sending 1/2 msg of Group Key Handshake

    2012:04:30-12:35:35 ap-10 hostapd: wlan1: STA 00:1d:e0:72:09:a9 WPA: received EAPOL-Key frame (2/2 Group)

    2012:04:30-12:35:35 ap-10 hostapd: wlan1: STA 00:1d:e0:72:09:a9 WPA: group key handshake completed (RSN)


    Could you please check if the disconnect always happens after a group key handshake?

    Thanks,
    Helmut
  • 0
    Hi Helmut

    I have two SSID. One of them is using Radius for authentication whereas the other one is a hotspot connection. Relevant log indicates that the disconnect happens after the group key or pairwise key handshake

    I had 3 group handshake relevant logs and 1 pairwise key handshake
    Thanks
  • 0
    Wingman, I just used the Reflash Bricked APs tool*, and that solved my problem even though the pattern of lights wasn't as described.  Follow the How to Reflash Bricked APs guide, and see if affects your problem.

    Cheers - Bob
    * Thanks to Sophos Support Engineer Peter Kieser! [:)]
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to wingman
    Hi Helmut

    I have two SSID. One of them is using Radius for authentication whereas the other one is a hotspot connection. Relevant log indicates that the disconnect happens after the group key or pairwise key handshake

    I had 3 group handshake relevant logs and 1 pairwise key handshake
    Thanks


    Mind to attach these logs? Or send them to me in private (helmut.schaa@sophos.com).

    Thanks
Unfiltered HTML