Weblog

Mist Access Points und NTP

15.04.2026 3 Min. Lesezeit

Es war einer dieser Tage, an denen man eigentlich nur ein paar Access Points einbinden wollte. Nichts Großes. Nichts Dramatisches. Ein bisschen Provisioning, ein bisschen Kaffee, ein bisschen „Mist macht das schon“. Doch dann standen sie da: die BT11‑Access‑Points, frisch aus dem Karton, aber innerlich so alt wie ein vergessener VHS‑Rekorder auf dem Dachboden.

New‑old‑stock. Unbenutzt, aber eben auch unberührt von Zeit, Raum und jeglicher Form von NTP.

Die Geräte starteten sauber, LEDs blinkten hoffnungsvoll, Ethernet‑Link stand — und dann: nichts. Keine Verbindung zur Mist‑Cloud. Kein Claiming. Kein Firmware‑Pull. Nur stille Verzweiflung und ein AP, der aussah, als würde er sich fragen, warum die Welt plötzlich so anders ist als 2017.

Absoluter Plus-Punkt an dieser Stelle: die LED zeigt mit Farb- und Blick-Codes recht gut an, an was sich der AP stört. In meinem Falle “Cloud cert time check failed“, damit war die Richtung des Troubleshootings klar: Zeit.

Als Techniker weißt du: Wenn ein Gerät nicht mit der Cloud spricht, ist das entweder ein Netzwerkproblem oder ein Zeitproblem. Und wenn es Mist‑APs sind, ist es erstaunlich oft Letzteres.

Die BT11 hatten nämlich ein Problem, das man nur bekommt, wenn man jahrelang im Schrank liegt: ihre interne Uhr war komplett daneben. Nicht ein bisschen daneben. Sondern so weit weg, dass selbst ein schlecht eingestellter Wecker sich fremdschämen würde.

Und hier kommt der Twist: Mist‑APs bevorzugen die NTP‑Server, die sie per DHCP‑Option 42 genannt bekommen. Das klingt erstmal vernünftig — bis man merkt, dass ein AP mit völlig verstellt­er Uhr gar nicht in der Lage ist, einen regulären NTP‑Sync durchzuführen. Der NTP‑Sync scheitert, die Uhr bleibt falsch, und damit sind die TLS‑Zertifikate der Mist‑Cloud für den AP entweder „noch nicht gültig“ oder „nicht mehr gültig“. Aus Sicht des APs ist die Cloud also ein Zeitreisender mit zweifelhaften Absichten.

TLS sagt: „Nein.“ Der AP sagt: „Okay, dann eben nicht.“ Und du sagst: „Warum zum Teufel verbindet sich das Ding nicht?“

Die Lösung kam schließlich vom Mist‑Support — und sie war so kontraintuitiv, dass man sie fast lieben muss: Schalte die NTP‑Optionen im DHCP ab. Ja, richtig gelesen. Nicht konfigurieren. Nicht anpassen. Einfach weg damit.

Ohne DHCP‑NTP fällt der AP auf seine hart kodierten, internen NTP‑Server zurück. Und diese akzeptieren auch extrem verstimmte Uhren, ziehen sie gnadenlos gerade und bringen den AP endlich in einen Zustand, in dem TLS‑Zertifikate wieder Sinn ergeben. Ein Neustart später verbindet sich der BT11 plötzlich völlig selbstverständlich mit der Mist‑Cloud, zieht Firmware, aktualisiert Zertifikate und tut so, als wäre nie etwas gewesen.

Und du stehst daneben, schaust ihn an und denkst: „Du kleiner Zeitreisender. Hättest du das nicht gleich sagen können?“

Themen Technikzeug
Schlagworte NTP Juniper Mist new-old-stock
π