WLC Public SPOT pro SSID und nicht pro Interface

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

eagle1900
Beiträge: 121
Registriert: 25 Jun 2006, 14:07

WLC Public SPOT pro SSID und nicht pro Interface

Beitrag von eagle1900 »

Hallo Forum,

ich habe folgendes Problem, vielleicht sehe ich ja gerade vor lauter Bäumen den Wald nicht mehr.

Ich habe 3 AP`s, die an einem WLC 4006 hängen, auf jedem der AP`s sind z.b. 3 interne Netzte mit eigenen SSID, Verschlüsselung usw. eingerichtet, nun will ich noch eine 4.tes WLAN haben, das die Public-Spot-Sachen macht, allerdings ohne neue APs zu kaufen.

Ich habe im WLC nur die Möglichkeit gefunden, Public-Spot pro Interface an oder auszuschalten, es soll aber pro SSID an oder ausgeschaltet werden.

Kann mir jemand einem Tipp geben, ich stehe gerade auf dem Schlauch, oder ist es technisch wirklich nicht möglich.

Des weiteren haben ich noch das Problem, wenn ich per Lanconfig 7.52.0007 einen weiteren Admin anlege, kann ich Public-Spot nicht auswählen (soll aber laut Anleitung gehen) geht bei mir aber nur über http

Danke für die Hilfe,

Grüße und einen schönen Tag noh
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

Public Spot mit dem WLC ist im Augenblick ja so vorgesehen, daß das Public-Spot-Gateway
(also wo die Benutzer sich anmelden müssen) im WLC läuft und nicht in den einzelnen
APs - wie Du richtig beobachtet hast, kann man vom WLC aus die PBSpot-Funktionalität gar
nicht pro SSID schalten. Wird wohl irgendwann in Zukunft kommen, aber noch nicht jetzt...

Das Zauberwort, das im Moment hinzubekommen, lautet VLAN (ja, ich weiß, aua, aber es
geht im Moment nicht anders...):

(1) Man legt auf dem WLC eine neue SSID an, und der ordnet man eine VLAN-Id != 1 zu. VLAN
1 bleibt quasi das VLAN für internen Traffic und die 'internen' SSIDs.

(2) auf dem WLC legt man ein neues IP-Netz an, das an dieses VLAN gebunden ist. Sinnvollerweise
richtet man für dieses Netz auch auf dem WLC einen DHCP-Server ein.

(3) Unter Setup->Public-Spot gibt es eine VLAN-Tabelle. Darin trägt man die Id dieses Gast-VLANs
ein. Ich bin nicht sicher, ob es diese Tabelle es noch ins LANconfig geschafft hat, im Zweifelsfall
muß man das eben mit der WEBconfig-Expertenkonfig oder Kommandozeile machen.

(4) Dann aktiviert man Public Spot für das LAN-Interface des WLC (üblicherweise LAN-1, eben das
Interface, über das der WLC auch mit den APs kommuniziert).

Was hat men jetzt erreicht? Public Spot ist zwar auf dem LAN-Interface des WLC aktiviert, aber
eben nur für das neu definierte (Gast-)VLAN und in eben jenes werden die Pakete von Clients auf
der Gast-SSID gelenkt. Der WLC fungiert für diese Clients als DHCP-Server, Gateway und DNS.

Natürlich muß man auf dem Router, der ins Internet geht, eine passende Rückroute einrichten,
so daß er weiß, daß er Pakete fürs Gastnetz an den WLC forwarden muß. Und falls der WLC
noch keinen DNS-Server kennt, muß er jetzt natürlich einen bekommen, sonst weiß er ja nicht,
wohin mit den Anfragen der Clients. Da der WLC routet, hat man prinzipiell auch alle Möglichkeiten
der LCOS-Firewall, um den Traffic ins Gast-Netz zu beschränken oder zu loggen.

Als Adreßbereich nimmt man sinnigerweise einen anderen (privaten) Bereich als für das interne
Netz. Wenn man den WLC nicht mit dem Gast-Traffic belasten will, kann man natürlich genauso
irgendwo anders einen Router bzw. DHCP/DNS-Server mit einem 'Füßchen' in diesem Gast-Netz
definieren.

Alles was dem Default-VLAN (1) kommt, wird nicht von dem Public-Spot-Gateway auf dem
WLC gefiltert. Management des WLC funktioniert also weiter wie bisher.
Des weiteren haben ich noch das Problem, wenn ich per Lanconfig 7.52.0007 einen weiteren Admin anlege, kann ich Public-Spot nicht auswählen (soll aber laut Anleitung gehen) geht bei mir aber nur über http
Ich glaube, das ist wirklich nicht drin, weil die LANtools fertig waren, bevor Public Spot auf dem WLC
fertig definiert war....

Gruß Alfred
eagle1900
Beiträge: 121
Registriert: 25 Jun 2006, 14:07

Beitrag von eagle1900 »

Hallo Alfred,

schonmal danke für deine Infos,

(1) Man legt auf dem WLC eine neue SSID an, und der ordnet man eine VLAN-Id != 1 zu. VLAN
1 bleibt quasi das VLAN für internen Traffic und die 'internen' SSIDs.

Wieso muss die VLAN ID ungleich 1 sein, normaler Traffic läuft bei mir über VLAN 0.

(3) Unter Setup->Public-Spot gibt es eine VLAN-Tabelle. Darin trägt man die Id dieses Gast-VLANs
ein. Ich bin nicht sicher, ob es diese Tabelle es noch ins LANconfig geschafft hat, im Zweifelsfall
muß man das eben mit der WEBconfig-Expertenkonfig oder Kommandozeile machen.

Nein hat sie nicht, findet sich aber unter Public-Spot->Public-Spot->VLAN-Tabelle in der Weboberfläche,

allerdings kann ich da VLAN2 nicht auswählen (was ich für das public-Netz gewählt habe) bei VLAN0 oder VLAN1 ist das kein Problem



Zu den Lantools, 7.52 und der FW 7.52 und der Anleitung bin ich eh etwas verwirrt, die passen total nicht zusammen, die Anleitung zeigt Bilder von den Lantools, die diese garnicht können, die Lantools passen teilweise nicht zur Firmware, irgendwas ist da wohl durcheinander gekommen mit der Version, mal auf die 7.54 warten, vielleicht passt es da ja wieder zusammen ;-)


Grüße
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,
Wieso muss die VLAN ID ungleich 1 sein, normaler Traffic läuft bei mir über VLAN 0.
Zmindest auf den APs gibt es in dem Moment,in dem Du einer SSID ein VLAN zuordnest, kein VLAN 0
mehr, weil damit implizit das VLAN-Modul aktiviert wird und ein Paket intern damit immer einem VLAN
ungleich Null zugeordnet wird. Für den ungetaggten bzw. Management-Traffic ist es dabei gängig,
VLAN 1 zu nehmen, weil das ohnehin in den Tabellen schon als Default-VLAN angelegt ist.

Auf dem WLC dagegen kann das VLAN-Modul aus bleiben, die Management-IP des WLC bleibt dann
auf VLAN 0 (was genau genommen in diesem Fall für ungetaggte Pakete steht).
allerdings kann ich da VLAN2 nicht auswählen (was ich für das public-Netz gewählt habe) bei VLAN0 oder VLAN1 ist das kein Problem
Was meinst Du mit Auswählen? Diese Tabelle ist einfach eine Liste von Zahlen (also VLAN-IDs),
da fügt man einfach eine neue hinzu.
Zu den Lantools, 7.52 und der FW 7.52 und der Anleitung bin ich eh etwas verwirrt, die passen total nicht zusammen, die Anleitung zeigt Bilder von den Lantools, die diese garnicht können, die Lantools passen teilweise nicht zur Firmware, irgendwas ist da wohl durcheinander gekommen mit der Version, mal auf die 7.54 warten, vielleicht passt es da ja wieder zusammen Wink
Leider waren die LANtools schon fertig, als einige Herrschaften sich im Management entschieden
hatten, doch noch eine Public-Spot-Lösung in den WLC einzubauen. Ist alles ein bisserl in letzter
Minute gelaufen. Ich persönlich bekomme davon nur am Rande mit, weil ich als Windows-
Verweigerer ohnehin nicht viel mit den LANtools am Hut habe...

Gruß Alfred
fujsie
Beiträge: 27
Registriert: 03 Jun 2006, 16:25

Beitrag von fujsie »

Wie muss ich die Eintellungen an den einzelnen Access-Points machen.
Geht es über dem Managed-Modus oder muss ich die Einstellung einzeln händisch machen ?

Wenn ich es richtig verstanden habe braucht das VLAN-Modul auf dem WLC nicht eingeschaltet zu werden.
Ist auf den einzelnen Accesspoints ein Einschalten von VLAN notwendig?

Danke für die Antworten. Gruß
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,
Wenn ich es richtig verstanden habe braucht das VLAN-Modul auf dem WLC nicht eingeschaltet zu werden.
Ist auf den einzelnen Accesspoints ein Einschalten von VLAN notwendig?
soweit ich weiß, schaltet der WLC automatisch auf dem APs VLAN ein, sobald
man den SSIDs VLAN-IDs zuweist.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Pali
Beiträge: 5
Registriert: 20 Apr 2009, 16:19

Beitrag von Pali »

Hallo Forum,

da ich ein ähnliches Problem/Szenario wie eagle1900 habe, würde ich gerne seinen Thread "missbrauchen" um euch ein paar Fragen zu stellen.

Ein LANCOM WLC4006 mit L-305 AP's. Es soll folgendes realisiert werden:
- 2 SSID's, eine für interne Mitarbeiter (verschlüsselt), eine für externe Besucher (Zugang über Public-Spot-Funktion)

Soweit alles konfiguriert, bzgl meines Anliegens dann die Anleitung von alf29 befolgt (Post Nr.2), sprich:

SSID's:
INTERN: Verschlüsselung an, VLAN-ID 0 (default, alf29 spricht von ID 1, sollte ich hier auf 1 umstellen?)
EXTERN: keine Verschlüsselung, VLAN-ID 5

IP-Networks:
INTERN: 192.168.0.x, VLAN-ID 0, passender DHCP Server eingerichtet
EXTERN: 192.168.1.x, VLAN-ID 5, passender DHCP Server eingerichtet

Public-Spot-Funktion für die entsprechenden Interfaces/Ports aktiviert, in die VLAN-Tabelle "5" eingetragen,

Am WLC ist ein DSL-Modem angesteckt (funktioniert bereits einwandfrei), dh der WLC soll als Gateway und auch als DNS-Server dienen (einmal 192.168.0.2 bzw 192.168.1.2)

Soweit so gut, an sich alles eingerichtet...

An sich sollte ja jetzt, wenn man ins WLAN "EXTERN" geht, der Client eine 192.168.1.x IP-Adresse bekommen und bei Webzugang die Public-Spot-Authentifizierung kommen. Ist aber beides nicht der Fall. Es gibt eine 192.168.0.x IP-Adresse und keine Authentifizierung bei Webzugang.

Versteh das an sich nicht wirklich. Scheint mir als würde er die VLAN-ID's ganz ignorieren? Muss man an den AP's (Managed-mode) per Hand etwas einstellen oder am WLC unter Interfaces/V-LAN das V-LAN-Module aktivieren bzw da iwelche Änderungen vornehmen? Was genau hat es mit der V-LAN-ID 0/1 an sich? Defaultmäßig ist ja die 0 eingestellt, ist dies die ID für den ungetaggten Betrieb?

Oder ist an dem Konzept grundsätzlich was falsch? :?

An dieser Stelle schon mal vielen Dank im Voraus an Euch. Tut mir leid wegen den vielen Fragen, bin auf dem Gebiet V-LAN ein ziemlicher Anfänger.

Gruß, Pali
Pali
Beiträge: 5
Registriert: 20 Apr 2009, 16:19

Beitrag von Pali »

keiner eine Idee?
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

kontrolliere doch einfach mal, was sich auf den APs VLAN-mäßig ergibt. Unter Status->VLAN
kann man nachschauen, wie die VLAN-Konfig zusammen mit den Vorgaben vom WLC effektiv
aussieht. VLAN muß aktiv sein, es müssen die beiden VLANs angelegt sein und LAN-1 muß
in der Port-Tabelle auf Mixed oder Always stehen. Sieht für mich irgendwie so aus, als ob die
Pakete aus dem Gast-WLAN nicht das passende Tag erhalten würden.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Pali
Beiträge: 5
Registriert: 20 Apr 2009, 16:19

Beitrag von Pali »

Hi Alfred!

Das Problem habe ich gelöst, habe vergessn beim physikalischen WLAN die Management-VLAN-ID auf !=0 zu stellen. Jetzt läuft alles.

Mal eine andere Frage:
Wie viele Public-Spot-User kann man maximal erstellen, sprich wie viele fasst maximal die User-Tabelle? Usernamen sollen das Format user%n haben. Wie viele User kann man da maximal einrichten?


/e: noch eine Frage:
Auszug aus dem Feature-Set: (Public-Spot-Option)
"Support of public certificates and certificate chains from trust centers for Public Spots. This allows popular browsers to access trustworthy login pages with secure access (HTTPS) without warnings"

Wie und wo kann ich diese Zertifikate eintragen? Ist es eine Browser- oder Controllerseitige Geschichte?


MfG
Pali
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,
Mal eine andere Frage:
Wie viele Public-Spot-User kann man maximal erstellen, sprich wie viele fasst maximal die User-Tabelle? Usernamen sollen das Format user%n haben. Wie viele User kann man da maximal einrichten?
Beim WLC4006 liegt das Limit bei 256 Einträgen.

Wie und wo kann ich diese Zertifikate eintragen? Ist es eine Browser- oder Controllerseitige Geschichte?
Du lädst auf den WLC in der WEBconfig oder per LANconfig das SSL-(Root-)Zertifikat und seinen
privaten Schlüssel oder alles auf einmal als PKCS-#12-Container hoch. Auf den WLC, weil dort
ja die Anmeldung erfolgt und die Clients dahin die HTTPS-Verbindung machen.

Ein 'offizielles' Zertifikat von einer CA, die alle Browser ohne Warnungen anerkennen, gibt's aber
nur bei den üblichen Verdächtigen (VeriSign, Thawte...) gegen klingende Münze. U.U mußt Du
noch den Hostnamen, auf den das Zertifikat ausgestellt ist, unter Setup->Public-Spot eintragen.

Gruß Alfred
Pali
Beiträge: 5
Registriert: 20 Apr 2009, 16:19

Beitrag von Pali »

Hi Alfred!

Das mit dem Zertifikat haben wir in der Firma erstmal gelassen, jedoch wurde nun entschieden, dass es doch eingeführt werden soll, damit die Anmeldung "schöner" ist. Da ich noch nie ein Zertifikat erstellt habe, hätte ich noch paar Fragen zum Verständnis.

Bzw erstmal als Workaroud:
Ist es möglich, die Public-Spot-Anmeldung über http statt https laufen zu lassen? Damit wäre man ja das Problem los.

Falls es nicht geht:
Soweit ich die Zertifikat-Geschichte verstanden hab muss ich mit OpenSSH oder SSH-Keygen einen Private-Key generieren, diesen auf dem WLC unter "Upload Certificate or File/SSL-Private Key" hochladen. Ebenso generiert wird ein Zertifikat-Request, mit dem ich dann zB zu GoDaddy gehe, mir ein Zertifikat erstellen lasse und dieses dann auf dem WLC unter "Upload Certificate or File/SSL-Certificate" hochlade.

Richtig soweit?
U.U mußt Du noch den Hostnamen, auf den das Zertifikat ausgestellt ist, unter Setup->Public-Spot eintragen.
Wo genau muss ich den eintragen? Wenn ich mich bei Public-Spot anmelde, steht zur Zeit die IP des WLC drin, dh https://192.168.1.2/auth/login (oder so ähnlich). Ich will ja statt der IP den Hostnamen da stehen haben, für den das Zertifikat erstellt worden ist, richtig? Wo trage ich diesen ein? Unter Setup->Public-Spot seh ich da keine Möglichkeit?

Was hat es mit der Public-Spot/Page Table an sich? Kann ich da selber geschnitzte Webseiten als Anmelde-/Willkommenseiten usw eintragen?

Und eine letzte Frage. Kann ich die im WLC implementieren Webseiten verändern? Z.B. wenn ich auf der Seite von der Public-Spot-Anmeldung noch einen Disclaimer hinzufügen möchte.
Pali
Beiträge: 5
Registriert: 20 Apr 2009, 16:19

Beitrag von Pali »

evtl jemand ne Antwort?
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

Schon, aber keine Zeit ;-) Ab und zu muß sich ein
Softwerker auch mit kaputten Autos herumschlagen...
Wo genau muss ich den eintragen? Wenn ich mich bei Public-Spot anmelde, steht zur Zeit die IP des WLC drin, dh https://192.168.1.2/auth/login (oder so ähnlich). Ich will ja statt der IP den Hostnamen da stehen haben, für den das Zertifikat erstellt worden ist, richtig? Wo trage ich diesen ein? Unter Setup->Public-Spot seh ich da keine Möglichkeit?
Setup->Public-Spot->Device-Hostname
Was hat es mit der Public-Spot/Page Table an sich? Kann ich da selber geschnitzte Webseiten als Anmelde-/Willkommenseiten usw eintragen?

Und eine letzte Frage. Kann ich die im WLC implementieren Webseiten verändern? Z.B. wenn ich auf der Seite von der Public-Spot-Anmeldung noch einen Disclaimer hinzufügen möchte.
Siehe das Kapitel 'Templates' in der Public-Spot-Doku.

Gruß Alfred
IT-Wolf
Beiträge: 11
Registriert: 08 Aug 2012, 14:38

Beitrag von IT-Wolf »

Habe es auch nach alf29 anleitung gemacht und klappt alles soweit.
Nur das Problem ist das nachdem weiterleiten kein Inet und Netzwerkzugriff verfügbar ist.

Rückroute im Router sieht so aus:
192.168.52.0 <-- WLC Guest Netz
255.255.255.0
Tag:0

Router: 192.168.1.253 <-- Freie IP im Hauptnetz

wo habe ich was falsch gemacht?
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“