APs im Remote Netzwerk (Verständnis Frage)
Moderator: Lancom-Systems Moderatoren
APs im Remote Netzwerk (Verständnis Frage)
Ausnahmsweise geht mal alles, ich will aber verstehen, warum das so ist
Ich habe ein Firmennetz mit einem WLC-4100 in der Zentrale. Netzwerk ist hier als Beispiel 192.168.2.x /24
Angebunden sind mehrere Filialen über dedizierte VPN Standleitungen mittels Router vom Standleitungsanbieter. Das Internet Gateway ist in der Zentrale.
In einer Filiale habe ich als Beispiel das Netz 192.168.5.x
In diesem Netz gibt es eigene Domain und DNS Server.
Ich kann alle Geräte von überall im Firmennetz anpingen. Soweit, so gut.
Wenn ich jetzt im Remote Netz eine Access Point anbringe und über den WLC-4100 in der Zentrale verwalten lassen will, muss ich auf dem AP einiges manuell einstellen, was ich im Netz der Zentrale nicht machen muss, da sonst der AP einfach nicht eingebunden wird. Es hat etwas gedauert, das raus zu bekommen. Im Detail muss ich in der Filiale wie folgt vorgehen:
AP im DHCP Bereich der Filiale suchen oder mit LANConfig nachsehen
Einloggen auf dem AP, Konfig abbrechen
unter Konfiguration -> Schnittstellen die MAC suchen
auf dem WLC1000 in der Zentrale den AP mit der MAC anlegen
Der AP taucht im Monitor nun als fehlend auf
auf dem AP in Konfiguration -> Wireless-LAN -> WLC -> WLAN-Controller gehen WLC mit der IP 192.168.2.xxx hinzufügen
Auf dem Accesspoint Konfiguration -> TCP/IP -> IP-Netzwerke gehen
Den Eintrag INTRANET auf die vorgesehene IP des AP ändern
auf dem AP mit neuer IP anmelden
auf dem AP in Konfiguration -> IP-Router -> Routing -> Routing-Tabelle gehen, Route zu 192.168.2.0 / 24 mit GW 192.168.5.yyy hinzufügen
Ohne, das ich manuell die Route auf dem AP eintrage gehts einfach nicht. Warum ist das so? Das Routing aus den Filialen in die Zentrale funktioniert eigentlich einwandfrei und auch der Default Name des Controllers WLC-Address wird per DNS in der Filiale aufgelöst. Trotzdem muss ich den WLC explizit über IP eintragen.
Ich habe ein Firmennetz mit einem WLC-4100 in der Zentrale. Netzwerk ist hier als Beispiel 192.168.2.x /24
Angebunden sind mehrere Filialen über dedizierte VPN Standleitungen mittels Router vom Standleitungsanbieter. Das Internet Gateway ist in der Zentrale.
In einer Filiale habe ich als Beispiel das Netz 192.168.5.x
In diesem Netz gibt es eigene Domain und DNS Server.
Ich kann alle Geräte von überall im Firmennetz anpingen. Soweit, so gut.
Wenn ich jetzt im Remote Netz eine Access Point anbringe und über den WLC-4100 in der Zentrale verwalten lassen will, muss ich auf dem AP einiges manuell einstellen, was ich im Netz der Zentrale nicht machen muss, da sonst der AP einfach nicht eingebunden wird. Es hat etwas gedauert, das raus zu bekommen. Im Detail muss ich in der Filiale wie folgt vorgehen:
AP im DHCP Bereich der Filiale suchen oder mit LANConfig nachsehen
Einloggen auf dem AP, Konfig abbrechen
unter Konfiguration -> Schnittstellen die MAC suchen
auf dem WLC1000 in der Zentrale den AP mit der MAC anlegen
Der AP taucht im Monitor nun als fehlend auf
auf dem AP in Konfiguration -> Wireless-LAN -> WLC -> WLAN-Controller gehen WLC mit der IP 192.168.2.xxx hinzufügen
Auf dem Accesspoint Konfiguration -> TCP/IP -> IP-Netzwerke gehen
Den Eintrag INTRANET auf die vorgesehene IP des AP ändern
auf dem AP mit neuer IP anmelden
auf dem AP in Konfiguration -> IP-Router -> Routing -> Routing-Tabelle gehen, Route zu 192.168.2.0 / 24 mit GW 192.168.5.yyy hinzufügen
Ohne, das ich manuell die Route auf dem AP eintrage gehts einfach nicht. Warum ist das so? Das Routing aus den Filialen in die Zentrale funktioniert eigentlich einwandfrei und auch der Default Name des Controllers WLC-Address wird per DNS in der Filiale aufgelöst. Trotzdem muss ich den WLC explizit über IP eintragen.
Hi AndreasL,
also normalerweise braucht man auf den APs im Außenstandort gar nichts zu konfigurieren. Die APs fragen im resetteten Zustand nach dem DNS Namen "WLC-Address". Wenn der Gateway im Außenstandort den Namen dem WLC in der Zentrale zuordnet (Stations-Tabelle), sollte das auch so funktionieren.
also normalerweise braucht man auf den APs im Außenstandort gar nichts zu konfigurieren. Die APs fragen im resetteten Zustand nach dem DNS Namen "WLC-Address". Wenn der Gateway im Außenstandort den Namen dem WLC in der Zentrale zuordnet (Stations-Tabelle), sollte das auch so funktionieren.
Gruß
Pothos
Pothos
Jetzt bin ich da auf was gestoßen, was ich nicht verstehe. Ich logge mich in der Filiale per Telnet auf einen l-54g ein und versuche von der Konsole meine Adresse WLC-Address anzupingen (hätt ich viel früher mal versuchen sollen).
Kriege ich nicht aufgelöst! Ich kann aber wunderbar www.google.de de etc auflösen. Alles was im Lokalem Netz liegt lässt sich nicht auflösen.
Vom Router in der Filiale sowie von jedem PC geht die DNS Auflösung einwandfrei. Das verwirrt mich jetzt doch ein bisschen.
Wenn die nächsten APs ausgerollt werden trage ich mal im AP in der DNS Config die Auflösung manuell ein. Mal sehen, ob das dann reicht und ich mir den Routing Kram sparen kann. Alles etwas seltsam ...
Kriege ich nicht aufgelöst! Ich kann aber wunderbar www.google.de de etc auflösen. Alles was im Lokalem Netz liegt lässt sich nicht auflösen.
Vom Router in der Filiale sowie von jedem PC geht die DNS Auflösung einwandfrei. Das verwirrt mich jetzt doch ein bisschen.
Wenn die nächsten APs ausgerollt werden trage ich mal im AP in der DNS Config die Auflösung manuell ein. Mal sehen, ob das dann reicht und ich mir den Routing Kram sparen kann. Alles etwas seltsam ...
Hi,
das waere aber kontraproduktiv, dann musst Du ja den AP konfigurieren.
Es sollte ja eigentlich reichen auf dem DNS-Server in diesem Netz den Namen "WLC-Address" mit der IP des WLC einzutragen. Der AP bekommt ja den DNS per DHCP mitgeteilt. Sollte die Aufloesung dann nciht klappen, muss man auf dem DNS Server schauen ob die Anfragen ankommen und richtig beantwortet werden. Ein "trace # dns" auf dem AP wird auch schon Infos liefern ob und wohind die Anfragen geschickt werden.
Ciao
LoUiS
das waere aber kontraproduktiv, dann musst Du ja den AP konfigurieren.
Es sollte ja eigentlich reichen auf dem DNS-Server in diesem Netz den Namen "WLC-Address" mit der IP des WLC einzutragen. Der AP bekommt ja den DNS per DHCP mitgeteilt. Sollte die Aufloesung dann nciht klappen, muss man auf dem DNS Server schauen ob die Anfragen ankommen und richtig beantwortet werden. Ein "trace # dns" auf dem AP wird auch schon Infos liefern ob und wohind die Anfragen geschickt werden.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Danke, der Befehl bringt licht in die Sache, wenn ich jetzt auch noch mehr an mir selber zweifel Der DHCP läuft auf dem Router. Von dort bekommt der AP auch die IP. Der Trace zeigt mir aber, das der AP meinen Windows DC in dem Netz befragt, auf dem auch ein DNS läuft. Der kann die Anfrage WLC-Address ohne Angabe der vollqualifizierten Domain nicht auflösen.
Stellt sich mir die Frage: Warum fragt der AP meinen DNS auf dem Windows Server und nicht den DNS auf dem Router? Alle anderen Geräte, die vom Router eine Adresse bekommen bekommen auch die IP des Routers als DNS und von denen geht das Problemlos. Das verwirrt mich jetzt.
Frage am Rande, da ich kein DNS Experte bin: wie konfiguriert man auf einem WindowsServer 2003 DNS einen Host der auch ohne Angabe der Domain korrekt aufgelöst wird? Ein ping vom AP auf WLC-Adddress.fqdn funktioniert.
Stellt sich mir die Frage: Warum fragt der AP meinen DNS auf dem Windows Server und nicht den DNS auf dem Router? Alle anderen Geräte, die vom Router eine Adresse bekommen bekommen auch die IP des Routers als DNS und von denen geht das Problemlos. Das verwirrt mich jetzt.
Frage am Rande, da ich kein DNS Experte bin: wie konfiguriert man auf einem WindowsServer 2003 DNS einen Host der auch ohne Angabe der Domain korrekt aufgelöst wird? Ein ping vom AP auf WLC-Adddress.fqdn funktioniert.
Hi AndreasL
also wenn dein AP den Windows DC befragt, dann hast du ihm irgendwie die Adresse des Windows DC mitgeteilt - entweder hat er sie über DHCP bekommen oder du hast sie manuell im AP eingetragen (TCP/IP -> Alldressen -> Erster/Zweiter DNS)
Von alleine kennt der AP deinen Windows DC nicht
Gruß
Backslash
also wenn dein AP den Windows DC befragt, dann hast du ihm irgendwie die Adresse des Windows DC mitgeteilt - entweder hat er sie über DHCP bekommen oder du hast sie manuell im AP eingetragen (TCP/IP -> Alldressen -> Erster/Zweiter DNS)
Von alleine kennt der AP deinen Windows DC nicht
Gruß
Backslash
Ach da steckt das ... habe ich beim Suchen übersehen. Tatsächlich steht da mein DC DNS als erster drin ... höchst seltsam, denn jetzt muss ich raus bekommen, woher das kommt. Der DHCP auf dem Funkwerk Router gibt jedenfalls als DNS sich selber zurück und nicht den DC. Auf dem DC läuft DHCP. Selber eingetragen habe ich es nicht. Das wird spannend Danke für die Hinweise bis hierher - ich habe was gelernt.
Jetzt geh ich weiter stöbern.
Jetzt geh ich weiter stöbern.
Ich bin nun alles, was mir Remote zugänglich ist, durchgegangen und finde nichts. Da muss vor Ort irgendeine Sauerei laufen, die ich mir mal näher ansehen muss. Ich habe aber eine Lösung gefunden - ich weiß jetzt wie man einen Host ohne Domain in den MS DNS Server einträgt. Damit habe ich das Problem erst mal umgangen und ich kann weiter stöbern ob da im Netz vermutlich ein weiterer DHCP Server existiert, den ich nicht auf der Liste habe.
Wie man einen Host im DNS konfiguriert: http://hope-this-helps.de/serendipity/a ... ation.html
/Update: Hilfe, ich bin Blond Mit anderen Worten: Das mit den DNS Einträgen hat alles seine Richtigkeit. Irgendwann verliert man halt mal den Überblick. Die Werte stehen sind im Controller im IP-Parameter Profile der Filialen Die Ganze Aktion hatte aber den Vorteil, das ich wieder was über den DNS Server gelernt habe und eine Konfig Lücke schließen konnte. Mal sehen was beim ausrollen der nächsten APs passiert.
Wie man einen Host im DNS konfiguriert: http://hope-this-helps.de/serendipity/a ... ation.html
/Update: Hilfe, ich bin Blond Mit anderen Worten: Das mit den DNS Einträgen hat alles seine Richtigkeit. Irgendwann verliert man halt mal den Überblick. Die Werte stehen sind im Controller im IP-Parameter Profile der Filialen Die Ganze Aktion hatte aber den Vorteil, das ich wieder was über den DNS Server gelernt habe und eine Konfig Lücke schließen konnte. Mal sehen was beim ausrollen der nächsten APs passiert.
Re: APs im Remote Netzwerk (Verständnis Frage)
Die die Antworten in den letzten Tagen in diesem Thread und der Geschichte über das automatische Firmwareupdate der WLC habe ich eine Menge gelernt. Danke erst mal für eure Geduld und Hinweise. Ich habe einige Ursachen gefunden.
Speziell zu meiner Frage hier im ersten Posting des Threads bin ich über die Traces weiter gekommen. Was passiert bei mir:
Ich nehme einen AP im Remote Netz und mache per Telnet ein full reset mit do /other/reset zum testen.
Im Remote Netz bekommt der AP vom DHCP auf dem Router eine IP, ein Gateway und den DNS vom Router. Hier lag das erste Problem. Wie ich im Trace sehen konnte fragt der AP nicht WLC-Address sondern nach WLC-Address.domain.local weil im DNS des Routers eine Domain eingetragen ist. Also den fehlenden statischen DNS Eintrag im Router nachgeholt und die erste Hürde ist übersprungen.
Damit nach erfolgreicher Konfiguration durch den WLC die DNS Auflösung auch klappt sind entsprechende Einträge auf dem DNS Server des Windows Domain Controllers gemacht, so wie im Thread beschrieben.
Jetzt löst er schon mal den WLC richtig auf, im LANmonitor sehe ich den AP auf dem WLC ankommen er bekommt seine neue IP zugewiesen aber dann gehts nicht weiter. Im Trace des AP sehe ich das keine Daten vom WLC kommen und die Requests mit einem Timeout enden.
Gelöst bekomme ich das nur mit einem manuellen Eingriff: ich muss mich auf den AP mit seiner neuen IP einloggen und dann unter Konfiguration/IP-Router/Routing-Tabelle den Eintrag für 192.168.0.0 bearbeiten und den Schaltzustand auf 'aus' stellen. Dann ist das Routing frei, die Zertifikate kommen rein, Passwort wird gesynct, der AP wird eingeklinkt und alles ist in Ordnung.
Jetzt die alles entschiedene Frage: warum muss ich die Route gezielt freigeben und kann man das automatisieren? Scriptaction, die ich zum setzen der Zeitserver verwende, scheinen zu dem Zeitpunkt ja noch nicht ausgeführt zu werden so das ich die Route nicht per Script deaktivieren kann, oder? Warum ist das nur in einem Remote Netz so und nicht auch in der Zentrale? Das ist offenbar noch der einzige Punkt, den ich gelöst bekommen muss damit APs im Remote Netz wirklich vollautomatisch einklinkbar sind.
Speziell zu meiner Frage hier im ersten Posting des Threads bin ich über die Traces weiter gekommen. Was passiert bei mir:
Ich nehme einen AP im Remote Netz und mache per Telnet ein full reset mit do /other/reset zum testen.
Im Remote Netz bekommt der AP vom DHCP auf dem Router eine IP, ein Gateway und den DNS vom Router. Hier lag das erste Problem. Wie ich im Trace sehen konnte fragt der AP nicht WLC-Address sondern nach WLC-Address.domain.local weil im DNS des Routers eine Domain eingetragen ist. Also den fehlenden statischen DNS Eintrag im Router nachgeholt und die erste Hürde ist übersprungen.
Damit nach erfolgreicher Konfiguration durch den WLC die DNS Auflösung auch klappt sind entsprechende Einträge auf dem DNS Server des Windows Domain Controllers gemacht, so wie im Thread beschrieben.
Jetzt löst er schon mal den WLC richtig auf, im LANmonitor sehe ich den AP auf dem WLC ankommen er bekommt seine neue IP zugewiesen aber dann gehts nicht weiter. Im Trace des AP sehe ich das keine Daten vom WLC kommen und die Requests mit einem Timeout enden.
Code: Alles auswählen
[CAPWAP-CTRL] 2013/05/07 21:32:35,320
CAPWAP Retransmit timeout
Job-Name: w1
State..: Discovery
UdpConn: L:192.168.8.250:6100 R:192.168.2.49:1027 (RtgTag:0)
[CAPWAP-CTRL] 2013/05/07 21:32:35,320
CAPWAP Message to transmit:
UdpConn: L:192.168.8.250:6100 R:192.168.2.49:1027 (RtgTag:0)
Message content:
Message type: Discovery Request
Sequence Num: 3
Flags : 0
Discovery Type: 'Static Configuration'
WTP Board Data:
Vendor ID: 2356
WTP Model Number: LANCOM L-54g Wireless
WTP Serial Number: 2xxxxxxxxxxxxx
Board ID: l54
Board Revision: F
WTP Descriptor:
Max Radios: 1
Radios in use: 0
Encrypt Capability: 0x0
Vendor ID: 2356
Hardware Version:
Vendor ID: 2356
Software Version: 8.80.0157 / 16.04.2013
Vendor ID: 2356
Boot Version: 2.24
WTP Frame Tunnel Mode: LocalBridging,
WTP MAC Type: 'Local MAC'
Vendor Specific Payload: 'LAN MAC' (1)
MAC-Addr: 00:a0:57:xx:xx:xx
Jetzt die alles entschiedene Frage: warum muss ich die Route gezielt freigeben und kann man das automatisieren? Scriptaction, die ich zum setzen der Zeitserver verwende, scheinen zu dem Zeitpunkt ja noch nicht ausgeführt zu werden so das ich die Route nicht per Script deaktivieren kann, oder? Warum ist das nur in einem Remote Netz so und nicht auch in der Zentrale? Das ist offenbar noch der einzige Punkt, den ich gelöst bekommen muss damit APs im Remote Netz wirklich vollautomatisch einklinkbar sind.
Re: APs im Remote Netzwerk (Verständnis Frage)
Moin,
das ist einer der Aenderungen in LCOS 8.80, dass ein per DHCP erhaltenes Default-Gateway im Routing die gleiche Prioritaet hat wie eine manuell konfigurierte Default-Route. Die im LCOS defaultmaessig enthaltenen Sperrouten fuer lokale Netze haben damit hoehere Prioritaet und verhindern, dass ein WLC in so einem Netz erreicht werden kann. Das gleiche Problem hatten schon andere Kunden mit vom WLC uebermittelten RADIUS-Servern, dafuer wird es eine Loesung in einer der naechsten LCOS-Versionen geben, dass fuer diese RADIUS-Server eine explizite Host-Route auf das Gateway gesetzt wird. Beim WLC selber ist m.W. nichts in der Richtung geplant, das ist auch etwas kniffliger, weil zu dem Zeitpunkt noch gar keine CAPWAP-Verbindung besteht. Momentan ist da leider haendisches Nacharbeiten angesagt.
Gruss Alfred
das ist einer der Aenderungen in LCOS 8.80, dass ein per DHCP erhaltenes Default-Gateway im Routing die gleiche Prioritaet hat wie eine manuell konfigurierte Default-Route. Die im LCOS defaultmaessig enthaltenen Sperrouten fuer lokale Netze haben damit hoehere Prioritaet und verhindern, dass ein WLC in so einem Netz erreicht werden kann. Das gleiche Problem hatten schon andere Kunden mit vom WLC uebermittelten RADIUS-Servern, dafuer wird es eine Loesung in einer der naechsten LCOS-Versionen geben, dass fuer diese RADIUS-Server eine explizite Host-Route auf das Gateway gesetzt wird. Beim WLC selber ist m.W. nichts in der Richtung geplant, das ist auch etwas kniffliger, weil zu dem Zeitpunkt noch gar keine CAPWAP-Verbindung besteht. Momentan ist da leider haendisches Nacharbeiten angesagt.
Gruss Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
- Beiträge: 2924
- Registriert: 12 Jan 2010, 14:10
Re: APs im Remote Netzwerk (Verständnis Frage)
Es gibt ja eine RFC für DHCP, die statische Routen beinhaltet. Kann ein Lancom AP damit umgehen ?
Re: APs im Remote Netzwerk (Verständnis Frage)
Moin,
Gruß Alfred
Aus dem Kopf würde ich sagen nein...Es gibt ja eine RFC für DHCP, die statische Routen beinhaltet. Kann ein Lancom AP damit umgehen ?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: APs im Remote Netzwerk (Verständnis Frage)
Mal ganz blöd gefragt: kann man in zukünftigen FW Versionen die Block-Routen nicht einfach auf Default = Aus implementieren? Nicht entfernen sondern Schaltzustand inaktiv. Damit wäre das Problem umgangen. Wer die Routen dann braucht kann sie bei Erstkontakt per Script setzen. Oder denke ich da zu simpel?
Gruß Andreas
Gruß Andreas
Re: APs im Remote Netzwerk (Verständnis Frage)
Moin,
das wird mit hoher Sicherheit nicht passieren. Wir hatten in der Vergangenheit öfters Kunden, die diese Routern gelöscht und sich auf ihrem Dial-In-Zugang dann vier- bis fünfstellige Monatsrechnungen eingehandelt haben. Solange diese Routen drin und defaultmäßig aktiv sind, kann man dem mit dem Anwalt drohenden Kunden sagen, er hat's selber verbrochen...
Gruß Alfred
das wird mit hoher Sicherheit nicht passieren. Wir hatten in der Vergangenheit öfters Kunden, die diese Routern gelöscht und sich auf ihrem Dial-In-Zugang dann vier- bis fünfstellige Monatsrechnungen eingehandelt haben. Solange diese Routen drin und defaultmäßig aktiv sind, kann man dem mit dem Anwalt drohenden Kunden sagen, er hat's selber verbrochen...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015