APs im Remote Netzwerk (Verständnis Frage)

[AndreasL]

Ausnahmsweise geht mal alles, ich will aber verstehen, warum das so ist

Ich habe ein Firmennetz mit einem WLC-4100 in der Zentrale. Netzwerk ist hier als Beispiel 192.168.2.x /24
Angebunden sind mehrere Filialen über dedizierte VPN Standleitungen mittels Router vom Standleitungsanbieter. Das Internet Gateway ist in der Zentrale.
In einer Filiale habe ich als Beispiel das Netz 192.168.5.x
In diesem Netz gibt es eigene Domain und DNS Server.
Ich kann alle Geräte von überall im Firmennetz anpingen. Soweit, so gut.

Wenn ich jetzt im Remote Netz eine Access Point anbringe und über den WLC-4100 in der Zentrale verwalten lassen will, muss ich auf dem AP einiges manuell einstellen, was ich im Netz der Zentrale nicht machen muss, da sonst der AP einfach nicht eingebunden wird. Es hat etwas gedauert, das raus zu bekommen. Im Detail muss ich in der Filiale wie folgt vorgehen:

AP im DHCP Bereich der Filiale suchen oder mit LANConfig nachsehen
Einloggen auf dem AP, Konfig abbrechen
unter Konfiguration -> Schnittstellen die MAC suchen
auf dem WLC1000 in der Zentrale den AP mit der MAC anlegen
Der AP taucht im Monitor nun als fehlend auf
auf dem AP in Konfiguration -> Wireless-LAN -> WLC -> WLAN-Controller gehen WLC mit der IP 192.168.2.xxx hinzufügen

Auf dem Accesspoint Konfiguration -> TCP/IP -> IP-Netzwerke gehen
Den Eintrag INTRANET auf die vorgesehene IP des AP ändern

auf dem AP mit neuer IP anmelden
auf dem AP in Konfiguration -> IP-Router -> Routing -> Routing-Tabelle gehen, Route zu 192.168.2.0 / 24 mit GW 192.168.5.yyy hinzufügen

Ohne, das ich manuell die Route auf dem AP eintrage gehts einfach nicht. Warum ist das so? Das Routing aus den Filialen in die Zentrale funktioniert eigentlich einwandfrei und auch der Default Name des Controllers WLC-Address wird per DNS in der Filiale aufgelöst. Trotzdem muss ich den WLC explizit über IP eintragen.

[Pothos]

Hi AndreasL,

also normalerweise braucht man auf den APs im Außenstandort gar nichts zu konfigurieren. Die APs fragen im resetteten Zustand nach dem DNS Namen "WLC-Address". Wenn der Gateway im Außenstandort den Namen dem WLC in der Zentrale zuordnet (Stations-Tabelle), sollte das auch so funktionieren.

[AndreasL]

dachte ich auch immer ... Ich bin noch nicht dahinter gekommen, wo das Problem liegt. Ich stöber mal weiter und guck nach, ob mir irgendwie ein Licht aufgeht. Mit meiner händischen Config arbeiten die APs einwandfrei und das ist erst mal das Wichtigste.

[AndreasL]

Jetzt bin ich da auf was gestoßen, was ich nicht verstehe. Ich logge mich in der Filiale per Telnet auf einen l-54g ein und versuche von der Konsole meine Adresse WLC-Address anzupingen (hätt ich viel früher mal versuchen sollen).

Kriege ich nicht aufgelöst! Ich kann aber wunderbar www.google.de de etc auflösen. Alles was im Lokalem Netz liegt lässt sich nicht auflösen.

Vom Router in der Filiale sowie von jedem PC geht die DNS Auflösung einwandfrei. Das verwirrt mich jetzt doch ein bisschen.

Wenn die nächsten APs ausgerollt werden trage ich mal im AP in der DNS Config die Auflösung manuell ein. Mal sehen, ob das dann reicht und ich mir den Routing Kram sparen kann. Alles etwas seltsam ...

[LoUiS]

Hi,

das waere aber kontraproduktiv, dann musst Du ja den AP konfigurieren.
Es sollte ja eigentlich reichen auf dem DNS-Server in diesem Netz den Namen "WLC-Address" mit der IP des WLC einzutragen. Der AP bekommt ja den DNS per DHCP mitgeteilt. Sollte die Aufloesung dann nciht klappen, muss man auf dem DNS Server schauen ob die Anfragen ankommen und richtig beantwortet werden. Ein "trace # dns" auf dem AP wird auch schon Infos liefern ob und wohind die Anfragen geschickt werden.


Ciao
LoUiS

[AndreasL]

Danke, der Befehl bringt licht in die Sache, wenn ich jetzt auch noch mehr an mir selber zweifel Der DHCP läuft auf dem Router. Von dort bekommt der AP auch die IP. Der Trace zeigt mir aber, das der AP meinen Windows DC in dem Netz befragt, auf dem auch ein DNS läuft. Der kann die Anfrage WLC-Address ohne Angabe der vollqualifizierten Domain nicht auflösen.

Stellt sich mir die Frage: Warum fragt der AP meinen DNS auf dem Windows Server und nicht den DNS auf dem Router? Alle anderen Geräte, die vom Router eine Adresse bekommen bekommen auch die IP des Routers als DNS und von denen geht das Problemlos. Das verwirrt mich jetzt.

Frage am Rande, da ich kein DNS Experte bin: wie konfiguriert man auf einem WindowsServer 2003 DNS einen Host der auch ohne Angabe der Domain korrekt aufgelöst wird? Ein ping vom AP auf WLC-Adddress.fqdn funktioniert.

[backslash]

Hi AndreasL

also wenn dein AP den Windows DC befragt, dann hast du ihm irgendwie die Adresse des Windows DC mitgeteilt - entweder hat er sie über DHCP bekommen oder du hast sie manuell im AP eingetragen (TCP/IP -> Alldressen -> Erster/Zweiter DNS)

Von alleine kennt der AP deinen Windows DC nicht

Gruß
Backslash

[AndreasL]

Ach da steckt das ... habe ich beim Suchen übersehen. Tatsächlich steht da mein DC DNS als erster drin ... höchst seltsam, denn jetzt muss ich raus bekommen, woher das kommt. Der DHCP auf dem Funkwerk Router gibt jedenfalls als DNS sich selber zurück und nicht den DC. Auf dem DC läuft DHCP. Selber eingetragen habe ich es nicht. Das wird spannend Danke für die Hinweise bis hierher - ich habe was gelernt.

Jetzt geh ich weiter stöbern.

[AndreasL]

Ich bin nun alles, was mir Remote zugänglich ist, durchgegangen und finde nichts. Da muss vor Ort irgendeine Sauerei laufen, die ich mir mal näher ansehen muss. Ich habe aber eine Lösung gefunden - ich weiß jetzt wie man einen Host ohne Domain in den MS DNS Server einträgt. Damit habe ich das Problem erst mal umgangen und ich kann weiter stöbern ob da im Netz vermutlich ein weiterer DHCP Server existiert, den ich nicht auf der Liste habe.

Wie man einen Host im DNS konfiguriert: http://hope-this-helps.de/serendipity/a ... ation.html

/Update: Hilfe, ich bin Blond Mit anderen Worten: Das mit den DNS Einträgen hat alles seine Richtigkeit. Irgendwann verliert man halt mal den Überblick. Die Werte stehen sind im Controller im IP-Parameter Profile der Filialen Die Ganze Aktion hatte aber den Vorteil, das ich wieder was über den DNS Server gelernt habe und eine Konfig Lücke schließen konnte. Mal sehen was beim ausrollen der nächsten APs passiert.

[AndreasL]

Die die Antworten in den letzten Tagen in diesem Thread und der Geschichte über das automatische Firmwareupdate der WLC habe ich eine Menge gelernt. Danke erst mal für eure Geduld und Hinweise. Ich habe einige Ursachen gefunden.

Speziell zu meiner Frage hier im ersten Posting des Threads bin ich über die Traces weiter gekommen. Was passiert bei mir:

Ich nehme einen AP im Remote Netz und mache per Telnet ein full reset mit do /other/reset zum testen.
Im Remote Netz bekommt der AP vom DHCP auf dem Router eine IP, ein Gateway und den DNS vom Router. Hier lag das erste Problem. Wie ich im Trace sehen konnte fragt der AP nicht WLC-Address sondern nach WLC-Address.domain.local weil im DNS des Routers eine Domain eingetragen ist. Also den fehlenden statischen DNS Eintrag im Router nachgeholt und die erste Hürde ist übersprungen.

Damit nach erfolgreicher Konfiguration durch den WLC die DNS Auflösung auch klappt sind entsprechende Einträge auf dem DNS Server des Windows Domain Controllers gemacht, so wie im Thread beschrieben.

Jetzt löst er schon mal den WLC richtig auf, im LANmonitor sehe ich den AP auf dem WLC ankommen er bekommt seine neue IP zugewiesen aber dann gehts nicht weiter. Im Trace des AP sehe ich das keine Daten vom WLC kommen und die Requests mit einem Timeout enden.

Code: Alles auswählen

[CAPWAP-CTRL] 2013/05/07 21:32:35,320
CAPWAP Retransmit timeout
Job-Name: w1
State..: Discovery
UdpConn: L:192.168.8.250:6100  R:192.168.2.49:1027 (RtgTag:0)

[CAPWAP-CTRL] 2013/05/07 21:32:35,320
CAPWAP Message to transmit:
UdpConn: L:192.168.8.250:6100  R:192.168.2.49:1027 (RtgTag:0)
Message content:
 Message type: Discovery Request
 Sequence Num: 3
 Flags       : 0
   Discovery Type:            'Static Configuration'
   WTP Board Data:
     Vendor ID:               2356
     WTP Model Number:        LANCOM L-54g Wireless
     WTP Serial Number:       2xxxxxxxxxxxxx
     Board ID:                l54
     Board Revision:          F
   WTP Descriptor:
     Max Radios:              1
     Radios in use:           0
     Encrypt Capability:      0x0
     Vendor ID:               2356
     Hardware Version:
     Vendor ID:               2356
     Software Version:        8.80.0157 / 16.04.2013
     Vendor ID:               2356
     Boot Version:            2.24
   WTP Frame Tunnel Mode:      LocalBridging,
   WTP MAC Type:              'Local MAC'
   Vendor Specific Payload: 'LAN MAC' (1)
     MAC-Addr:       00:a0:57:xx:xx:xx 

Gelöst bekomme ich das nur mit einem manuellen Eingriff: ich muss mich auf den AP mit seiner neuen IP einloggen und dann unter Konfiguration/IP-Router/Routing-Tabelle den Eintrag für 192.168.0.0 bearbeiten und den Schaltzustand auf 'aus' stellen. Dann ist das Routing frei, die Zertifikate kommen rein, Passwort wird gesynct, der AP wird eingeklinkt und alles ist in Ordnung.

Jetzt die alles entschiedene Frage: warum muss ich die Route gezielt freigeben und kann man das automatisieren? Scriptaction, die ich zum setzen der Zeitserver verwende, scheinen zu dem Zeitpunkt ja noch nicht ausgeführt zu werden so das ich die Route nicht per Script deaktivieren kann, oder? Warum ist das nur in einem Remote Netz so und nicht auch in der Zentrale? Das ist offenbar noch der einzige Punkt, den ich gelöst bekommen muss damit APs im Remote Netz wirklich vollautomatisch einklinkbar sind.

[alf29]

Moin,

das ist einer der Aenderungen in LCOS 8.80, dass ein per DHCP erhaltenes Default-Gateway im Routing die gleiche Prioritaet hat wie eine manuell konfigurierte Default-Route. Die im LCOS defaultmaessig enthaltenen Sperrouten fuer lokale Netze haben damit hoehere Prioritaet und verhindern, dass ein WLC in so einem Netz erreicht werden kann. Das gleiche Problem hatten schon andere Kunden mit vom WLC uebermittelten RADIUS-Servern, dafuer wird es eine Loesung in einer der naechsten LCOS-Versionen geben, dass fuer diese RADIUS-Server eine explizite Host-Route auf das Gateway gesetzt wird. Beim WLC selber ist m.W. nichts in der Richtung geplant, das ist auch etwas kniffliger, weil zu dem Zeitpunkt noch gar keine CAPWAP-Verbindung besteht. Momentan ist da leider haendisches Nacharbeiten angesagt.

Gruss Alfred

[Dr.Einstein]

Es gibt ja eine RFC für DHCP, die statische Routen beinhaltet. Kann ein Lancom AP damit umgehen ?

[alf29]

Moin,

Es gibt ja eine RFC für DHCP, die statische Routen beinhaltet. Kann ein Lancom AP damit umgehen ?

Aus dem Kopf würde ich sagen nein...

Gruß Alfred

[AndreasL]

Mal ganz blöd gefragt: kann man in zukünftigen FW Versionen die Block-Routen nicht einfach auf Default = Aus implementieren? Nicht entfernen sondern Schaltzustand inaktiv. Damit wäre das Problem umgangen. Wer die Routen dann braucht kann sie bei Erstkontakt per Script setzen. Oder denke ich da zu simpel?

Gruß Andreas

[alf29]

Moin,

das wird mit hoher Sicherheit nicht passieren. Wir hatten in der Vergangenheit öfters Kunden, die diese Routern gelöscht und sich auf ihrem Dial-In-Zugang dann vier- bis fünfstellige Monatsrechnungen eingehandelt haben. Solange diese Routen drin und defaultmäßig aktiv sind, kann man dem mit dem Anwalt drohenden Kunden sagen, er hat's selber verbrochen...

Gruß Alfred