Public Spot Anmeldeseite nicht erreichbar

[ralph1]

Frage vom Endkunden:

Public Spot auf einem WLC 4006 eingerichtet. Es scheint alles ordnungsgemäß zu laufen.
Clients können sich einloggen. Dann sollte im Browser die Login - Seite erscheinen. Dies passiert leider nicht. Weder auf einem Iphone noch auf einem WIN - Rechner.
Zugriff über http und https sind auf dem WLC freigegeben.
Kann mir jemand sagen, wo ich suchen muss?

Viele Grüße
Ralph

[alf29]

Moin,

Das ist eine ziemlich breitbandige Frage - wenn noch nicht mal die Login-Seite
vom Public Spot kommt, paßt die Aussage 'Es scheint alles ordnungsgemäß zu laufen'
nicht so recht dazu...was heißt zum Beispiel, daß die Anmeldeseite nicht kommt? Kommt
gar nichts (Fehlermeldung vom Browser)? Eine Fehlermeldung vom WLC, daß er das
Seiten-Template nicht laden konnte? Oder können die Clients einfach ohne Anmeldung
surfen?

Also fangen wir mal ganz vorne an...bekommen die Public-Spot-Clients überhaupt eine
IP-Adresse und haben den WLC als Gateway? Ob HTTP-Zugriffe (über deren Abfangen
die Login-Seite eingeblendet wird) auf dem WLC ankommen, kann man auf dem WLC
mit einem Lanauth-Trace nachverfolgen. Dann sehen wir weiter...

Gruß Alfred

[ralph1]

Moin Alfred,
die Clients bekommen eine Ip zugewiesen und WLC als Gateway ist auch OK. Es kommen keine Fehlermeldungen und surfen geht nicht.
Ein Ping auf den Gateway geht aber nicht!

Genügen diese Tracedaten?

[Sysinfo] 2010/03/11 08:31:32,295
Result of command: "sysinfo"

DEVICE: LANCOM WLC-4006
HW-RELEASE: G
SERIAL-NUMBER: 152791800013
MAC-ADDRESS: 00a0571361f1
IP-ADDRESS: 192.168.178.3
IP-NETMASK: 255.255.255.0
INTRANET-ADDRESS: 0.0.0.0
INTRANETMASK: 0.0.0.0
VERSION: 7.80.0081Rel / 06.01.2010
NAME: WLC4006
CONFIG-STATUS: 1056;0
FIRMWARE-STATUS: 0;0.6;0.4;7.80Rel.06012010.6;7.80RC3.17122009.5
HW-MASK: 00000000000000000000000000000010
FEATUREWORD: 00100000001000001000000100011000
REGISTERED-WORD: 00100000001000001000000100011000
FEATURE-LIST: 03/F
FEATURE-LIST: 04/F
FEATURE-LIST: 08/F
FEATURE-LIST: 0f/F
FEATURE-LIST: 15/F
FEATURE-LIST: 1d/F
TIME: 08304011032010
HTTP-PORT: 80
HTTPS-PORT: 443
TELNET-PORT: 23
TELNET-SSL-PORT: 992
SSH-PORT: 22
[LANAUTH] 2010/03/11 08:32:01,529 Devicetime: 2010/03/11 08:31:09,670
requested status for 04:1e:64:60:26:18
-> not found or not auth
[LANAUTH] 2010/03/11 08:32:01,529 Devicetime: 2010/03/11 08:31:09,670
Authen page request: URL='status/'
-->Status page
[LANAUTH] 2010/03/11 08:32:11,326 Devicetime: 2010/03/11 08:31:19,480
requested status for 04:1e:64:60:26:18
-> not found or not auth
[LANAUTH] 2010/03/11 08:32:11,326 Devicetime: 2010/03/11 08:31:19,480
Authen page request: URL='status/'
-->Status page
[TraceStopped] 2010/03/11 08:32:21,795
Used config:
# Trace config
trace + LANAUTH

Danke für die Unterstützung
Ralph

[alf29]

Moin,

daß ein Ping aufs Gateway nicht geht, ist nicht verwunderlich,
ICMP gehört nicht zu den Protokollen, die nicht angemeldeten
Clients gestattet sind. Ich sehe aber keinen einzigen
Zugriff auf die Login-Seite.

requested status for 04:1e:64:60:26:18

Das ist aber eine merkwürdige MAC-Adresse. Beim
IEEE ist 04:1e:64 jedenfalls nicht auf irgendeinen
Hersteller registriert?

Schauen wir erstmal, ob DNS funktioniert. Das muß auch
für nicht angemeldete Clients gehen. kann man z.B.
www.google.de auf dem Client per nslookup auflösen?

Wenn ja, dann bitte auf dem WLC den LanAuth-Trace
anmachen und dann auf dem Client www.google.de im
Browser öffnen. Korrekterweise sollt eim Trace dann
etwas in der Form "Authen page request: URL='...'
-->Welcome page" kommen.

Gruß Alfred

[ralph1]

Hallo Alfred,
die MAC Adresse ist von einem Iphone.
Das Häkchen bei ->TCP/IP -> DNS -> DNS Server aktiviert ist gesetzt.
Die Auflösung mit nslookup funktioniert aber nicht.
Hier der Trace:
[TraceStarted] 2010/03/11 11:08:20,741
Used config:
# Trace config
trace + LANAUTH
[Sysinfo] 2010/03/11 11:08:21,382
Result of command: "sysinfo"

DEVICE: LANCOM WLC-4006
HW-RELEASE: G
SERIAL-NUMBER: 152791800013
MAC-ADDRESS: 00a0571361f1
IP-ADDRESS: 192.168.178.3
IP-NETMASK: 255.255.255.0
INTRANET-ADDRESS: 0.0.0.0
INTRANETMASK: 0.0.0.0
VERSION: 7.80.0081Rel / 06.01.2010
NAME: WLC4006
CONFIG-STATUS: 1056;0
FIRMWARE-STATUS: 0;0.6;0.6;7.80Rel.06012010.6;7.80RC3.17122009.5
HW-MASK: 00000000000000000000000000000010
FEATUREWORD: 00100000001000001000000100011000
REGISTERED-WORD: 00100000001000001000000100011000
FEATURE-LIST: 03/F
FEATURE-LIST: 04/F
FEATURE-LIST: 08/F
FEATURE-LIST: 0f/F
FEATURE-LIST: 15/F
FEATURE-LIST: 1d/F
TIME: 11071811032010
HTTP-PORT: 80
HTTPS-PORT: 443
TELNET-PORT: 23
TELNET-SSL-PORT: 992
SSH-PORT: 22

Wo ist denn mein Denkfehler? Ich bin sicher, dass es nuir ne Kleinigkeit ist!?!

Gruss
ralph

[alf29]

Moin,

die MAC Adresse ist von einem Iphone.

Ah, OK, jetzt hab ich's auch gefunden. Die IEEE-
Datenbank will die OUI mit Bindestrichen haben...

Das Häkchen bei ->TCP/IP -> DNS -> DNS Server aktiviert ist gesetzt.
Die Auflösung mit nslookup funktioniert aber nicht.

Daß der DNS-Server im WLC selber auch an ist, ist schon in
Ordnung, es geht aber darum, daß die Clients (in diesem
Fall das iPhone) den WLC auch als DNS mitgeteilt
bekommen. DHCP-Server sollte der WLC schon sein?

Gruß Alfred

[ralph1]

WLC ist für das Netz "Public" DHCP Server!

Gruss
Ralph

[alf29]

Moin,

ja, wenn Du's nicht anders gesetzt hast, dann sollte er
sich dem IPhone damit auch als DND-Server mitgeteilt
haben und bei dem 'nslookup' sollte im DNS-Trace auf
dem WLC etwas auftauchen. Wenn nicht, dann benutzt
das IPhone entweder einen anderen DNS-Server (was
vermutlich nicht tut) oder irgendwo spuckt uns noch die
Firewall in die Suppe. Das wäre dann aber eher ein
Thema für backslash...

Gruß Alfred

[ralph1]

Hallo Alfred,
an der Firewall habe ich nicht geschraubt. Da´ist alles noch auf Werkseinstellung.
Er findet im Netz "Public" einfach keinen DNS. Im Netz "Intern" funktioniert alles einwandfrei.
Intern ist 192.168.178.x und VLAN 1
Public ist 192.168.1.x und VLan 100 (wie in der WLC Anleitung)

Gateway ist 192.168.178.1 und der DNS (Win 2003 Server) 192.168.178.10

Viele Grüße
Ralph

[alf29]

Moin,

hast Du dem Win2003-Server denn eine passende
Route gegeben, damit er weiß, daß er Pakete fürs
192.168.1.x-Netz an die Adresse des WLC im
192.168.178.x-Netz schicken muß? Sonst kommen
zwar die DNS-Anfragen vom IPhone über den WLC
beim DNS-Server an, aber der versucht, die Antworten
irgendwo ins Internet zu schicken...

Gruß Alfred

[ralph1]

Bin immer noch am kämpfen!
Ein Trace der Firewall meines 1721:
[Sysinfo] 2010/03/15 19:34:50,840
Result of command: "sysinfo"

DEVICE: LANCOM 1721 VPN (Annex B)
HW-RELEASE: F
SERIAL-NUMBER: 104981800143
MAC-ADDRESS: 00a057139877
IP-ADDRESS: 192.168.178.1
IP-NETMASK: 255.255.255.0
INTRANET-ADDRESS: 0.0.0.0
INTRANETMASK: 0.0.0.0
VERSION: 7.80.0081Rel / 06.01.2010 / 6.26b/E74.02.54
NAME: 1721VPN
CONFIG-STATUS: 1056;0
FIRMWARE-STATUS: 0;0.4;0.3;7.80Rel.06012010.4;7.80RC3.17122009.3
LANCAPI-PORT: 75
HW-MASK: 00000000000000000000000001100011
FEATUREWORD: 00000000001000000000000100011101
REGISTERED-WORD: 00000000000000000000000100010101
FEATURE-LIST: 00/F
FEATURE-LIST: 02/F
FEATURE-LIST: 03/F
FEATURE-LIST: 04/F
FEATURE-LIST: 08/F
FEATURE-LIST: 15/F
TIME: 19344915032010
HTTP-PORT: 80
HTTPS-PORT: 443
TELNET-PORT: 23
TELNET-SSL-PORT: 992
SSH-PORT: 22
Compatible-IDs: 14:30:31;10:26:31
[Firewall] 2010/03/15 19:35:01,485 Devicetime: 2010/03/15 19:34:59,680
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 224.0.0.2, SrcIP: 192.168.178.188, Len: 32, DSCP/TOS: 0x00
Prot.: IGMP (2), DstPort: ---, SrcPort: ---
[Firewall] 2010/03/15 19:35:06,172 Devicetime: 2010/03/15 19:35:04,360
Packet matched rule intruder detection
DstIP: 255.255.255.255, SrcIP: 192.168.1.1, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 68, SrcPort: 67

Filter info: packet received from invalid interface LAN-1
send SNMP trap
packet dropped
[Firewall] 2010/03/15 19:35:06,793 Devicetime: 2010/03/15 19:35:04,980
Packet matched rule intruder detection
DstIP: 224.0.0.2, SrcIP: 192.168.1.139, Len: 32, DSCP/TOS: 0x00
Prot.: IGMP (2), DstPort: ---, SrcPort: ---

Filter info: packet received from invalid interface LAN-1
send SNMP trap
packet dropped
[Firewall] 2010/03/15 19:35:07,514 Devicetime: 2010/03/15 19:35:05,700
Packet matched rule intruder detection
DstIP: 255.255.255.255, SrcIP: 192.168.1.1, Len: 367, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 68, SrcPort: 67

Filter info: packet received from invalid interface LAN-1
send SNMP trap
packet dropped
[Firewall] 2010/03/15 19:35:23,217 Devicetime: 2010/03/15 19:35:21,350
Packet matched rule intruder detection
DstIP: 192.168.1.255, SrcIP: 192.168.1.1, Len: 76, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 123, SrcPort: 123

Filter info: packet received from invalid interface LAN-1
send SNMP trap
packet dropped

Könnte es sein, dass der 1721 mir reinfunkt?
Bin weiterhin für jeden Tipp dankbar!

Viele Grüße
Ralph

[alf29]

Moin,

äh, wo hängt der denn in Deinem Aufbau drin, von dem war bisher nicht die Rede? Irgendwo
zwischen dem WLC und dem DNS-Server?

Gruß Alfred

[ralph1]

Nabend Alf,
der 1721 ist der Gateway.
Aufbau:
AP´s über gemanagten Netgear Switch zum WLC.
Win 2003 Server, WLC und 1721 an einem ungemanagten Switch.
Deshalb habe ich ihm bis jetzt keine Beachtung geschenkt.

Viele Grüße
Ralph

[alf29]

Moin,

AP´s über gemanagten Netgear Switch zum WLC.
Win 2003 Server, WLC und 1721 an einem ungemanagten Switch.

Ok, dann *SOLLTEN* die DNS-Anfragen und -Antworten von den Clients im
Gastnetz über den WLC an den 2K3-Server ja gar nicht durch das 1721 laufen.
Hast du das mit der Rückroute kontrolliert?

Gruß Alfred

[ralph1]

Hast du das mit der Rückroute kontrolliert?

Gruß Alfred

Moin Alfred,
nachher kommt jemand, der sich mit dem 2003er Server auskennt.
Ich muss zu meiner Schande gestehen, dass ich keine Ahnung habe, wie ich das konfigurieren muss (Endkunde - DAU)
Sobald es News gibt, melde ich mich.

Gruss
Ralph

PS. Gestern trat in unregelmäßigen Wiederholungen das Phänomen auf, dass nach langem Warten die Anmeldeseite kam. Versuchte Anmeldungen wurden aber komischerweise mit einer Fehlermeldung quittiert. Im Radius war der Nutzername usw. aber gespeichert.