Kein Ping vom WLC-4100 möglich

[AndreasL]

Irgendwie habe ich wieder nen Brett vor dem Kopf. Ich log mich mit Telnet auf den WLC (Firmware 8.80.0157 / 16.04.2013) ein und kann kein Ziel anpingen. Weder extern noch intern. Es passiert immer das:

Code: Alles auswählen

> ping www.google.de

[DNS] 2013/06/06 22:11:39,996
DNS Rx (intern): Src-IP 192.168.2.49
Query Request: STD A for www.google.de
DnsGetDest: Match found: forwarding www.google.de to 192.168.2.47
Not found in local DNS database => forward to next server


[DNS] 2013/06/06 22:11:39,996 [info] :
create new source map entry for 192.168.2.49
using DNS server 192.168.2.47

[IP-Router] 2013/06/06 22:11:39,996
IP-Router Rx (intern, RtgTag: 0):
DstIP: 192.168.2.47, SrcIP: 192.168.2.49, Len: 59, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 42036
Route: LAN Tx (INTRANET):

[DNS] 2013/06/06 22:11:40,011
DNS Rx (LAN-1, INTRANET): Src-IP 192.168.2.47
Query Response:
STD A www.google.de ip resolved to 173.194.113.191 (TTL = 261)
STD A www.google.de ip resolved to 173.194.113.183 (TTL = 261)
STD A www.google.de ip resolved to 173.194.113.184 (TTL = 261) 

DNS Auflösung geht. Ich habe auch schon in den V4 Routen geguckt und die Blockroute für 192.168.0.0 ist raus. Ich habe auch testweise die Firewall mal abgeschaltet aber das ändert auch nichts.
Das Problem liegt offenbar an der Stelle: Route: LAN Tx (INTRANET): ... hier sollte eigentlich stehen wo es hin geht. Wenn ich das mit der Ausgabe eines AP vergleiche steht dort wie es weiter geht.

Die Routing Tabelle sieht derzeit so aus:

Code: Alles auswählen

		IP-Adresse	Netzmaske	Tag	Schaltzustand	Router	Distanz	Mask.	Kommentar
Löschen	Kopieren	172.16.0.0	255.240.0.0	0	An, sticky für RIP	0.0.0.0	0	Aus	block private networks: 172.16-31.x.y
Löschen	Kopieren	10.0.0.0	255.0.0.0	0	An, sticky für RIP	0.0.0.0	0	Aus	block private network: 10.x.y.z
Löschen	Kopieren	224.0.0.0	224.0.0.0	0	An, sticky für RIP	0.0.0.0	0	Aus	block multicasts: 224-255.x.y.z
Löschen	Kopieren	255.255.255.255	0.0.0.0	0	An, sticky für RIP	192.168.2.47	0	Aus	

Die 192.168.2.47 ist ein externer Router an dem das Internet ankommt. Mit Telnet auf einen der verwalteten APs eingeloggt und von dort geht der Ping einwandfrei. Irgendeine Idee, wo ich noch suchen kann?

Hintergrund: heute wurde an einer Stelle an der Verkabelung gebaut und ein AP war plötzlich weg. Ich konnte den dann zwar anpingen und bin mit Web drauf gekommen aber der WLC hat ihn beständig als Missing gemeldet. Erst als ich den AP neu gestartet habe war er wieder drin. Deswegen bin ich nun verunsichert, ob dieses Ping Problem vom WLC zum AP damit zu haben könnte.

Gruß Andreas

[diemoories]

Hallo Andreas,
das einzige was mir auffällt, ist dass die Standard-Route (letzter Eintrag) nicht maskiert ist...

Viele Grüße
Ralf

[AndreasL]

das ist die Default Route, die der Wizard angelegt hat. Das sollte doch eigentlich stimmen. Ich habe auch schon explizite Routen zum 2.x Netz angelegt und die Default Route gelöscht. Trotzdem konnte ich noch nicht mal Geräte im eigenen Lan anpingen. Geroutet werden muss aber, denn sonst könnte der WLC meine DNS Server 2.4 und 2.47 nicht erreichen - das klappt ja irgendwie. Ich bin momentan etwas ratlos.

[AndreasL]

mein Problem besteht nach wie vor und wer eine Idee hat, der ich nachgehen kann sie gerne posten, egal wie abwegig.
Leider kann ich den WLC derzeit schlecht neu starten um zu testen ob es danach wieder geht. Irgendwann in diesem Jahr ging es jedenfalls schon mal nur weiß ich nicht mehr zu welchen Firmwarestand das war.

Gruß Andreas

[Bernie137]

Dann beschreib mal bitte, wie die Zusammenhänge sind in Deinem Netz.
Ich hab es jetzt 3x durchgelesen und werde immer noch nicht schlau. Gibt es nur ein 192.168.2.x Netz oder sind noch weitere Netze im Spiel, die hinter dem WLC sind? 192.168.2.47 ist der einzigste Router in dem Netz? Welche IP hat der WLC?
Ist 192.168.2.47 auch ein LANCOM, kann/wird der auch selbst verwaltet? ICMP Pakete geblockt - Firewall?
Hat der WLC die Firewall ein und was ist da so konfiguriert?

Gruß Heiko

[AndreasL]

Oh, ich dachte, ich hätte mich so ausgedrückt das man es versteht. Aber gerne nochmal die Details:

WLC: 192.168.2.49 und 192.168.3.49
Router (Funkwerk r3002): 192.168.2.47
Die AP's zum testen liegen im Netz 192.168.3.x, weitere Netze über den Router sind im Spiel für die Filialen, was hier erstmal nicht relevant ist.

Firewall am Router blockt keinen Traffic im Lan. Alle Pakete gehen durch. Am Router wurde auch nie was geändert.
Ich kann von jedem AP im Lan jede Adresse 192.168.2.x und 192.168.3.x anpingen und bekomme saubere Anworten. Die ICMP Antworten werden also nicht geblocked.
Ich kann von jedem AP den WLC anpingen, sowohl unter 2.49 als auch 3.49
Ich kann vom Router den WLC auf 2.49 und 3.49 anpingen

Die Firewall des WLC ist derzeit an, hatte die aber auch schon mal deaktiviert. Manuell eingetragen wurde da nichts. Die Einträge sind default. Inhalt:

Aktionen Tabelle
Löschen Kopieren ACCEPT %A
Löschen Kopieren REJECT %R
Löschen Kopieren DROP %D
Löschen Kopieren CONNECT-FILTER @C%R
Löschen Kopieren INTERNET-FILTER @I%R
Löschen Kopieren CONTENT-FILTER-BASIC %XcCF-BASIC-PROFILE
Löschen Kopieren CONTENT-FILTER-WORK %XcCF-WORK-PROFILE
Löschen Kopieren CONTENT-FILTER-PARENTAL-CONTROL %XcCF-PARENTAL-CONTROL-PROFILE

Objekte-Tabelle
Löschen Kopieren ANY
Löschen Kopieren ANYHOST %a0.0.0.0 %m0.0.0.0
Löschen Kopieren LOCALNET %L
Löschen Kopieren ICMP %P1
Löschen Kopieren TCP %P6
Löschen Kopieren UDP %P17
Löschen Kopieren ESP %P50
Löschen Kopieren AH %P51
Löschen Kopieren IPCOMP %P108
Löschen Kopieren FTP TCP %S21
Löschen Kopieren MAIL TCP %S25,110,143
Löschen Kopieren SECURE-MAIL TCP %S993,995
Löschen Kopieren HTTP TCP %S80
Löschen Kopieren HTTPS TCP %S443
Löschen Kopieren WEB HTTP HTTPS
Löschen Kopieren NEWS TCP %S119
Löschen Kopieren TFTP UDP %S69
Löschen Kopieren IPSEC UDP %S500, 4500
Löschen Kopieren SSH TCP %S22
Löschen Kopieren TELNET TCP %S23
Löschen Kopieren DNS TCP UDP %S53
Löschen Kopieren NETBIOS TCP UDP %S137-139
Löschen Kopieren PPTP TCP %S1723
Löschen Kopieren ELSTER TCP %S8000
Löschen Kopieren RDP TCP %S3389
Löschen Kopieren SNMP UDP %S161-162
Löschen Kopieren NTP UDP %S123
Löschen Kopieren PC-ANYWHERE TCP UDP %S5631-5632
Löschen Kopieren HBCI-ONLINE-BANKING TCP %S3000
Löschen Kopieren KAAZAA-MORPHEUS TCP %S1214
Löschen Kopieren SAP-GUI TCP %S515,3200,3600
Löschen Kopieren ECHO TCP UDP %S7
Löschen Kopieren SYSLOG UDP %S514

Regel-Tabelle

Code: Alles auswählen

Name	Protokolle	Quelle	Ziel	Aktionen	Aktiv	Erzeugt VPN-Regel	Verkettet	Zustand nachhaltende Regel	Prio	Tag	Kommentar
WINS	UDP TCP	anyhost netbios	anyhost	internet-filter	An	Aus	Aus	An	0	0	block NetBIOS/WINS name resolution via DNS
CONTENT-FILTER	TCP	LOCALNET	WEB	CONTENT-FILTER-BASIC	Aus	Aus	Aus	An	9999	0	pass web traffic to Content-Filter

Die Ereignisse der Firewallanzeige über den LANmonitor sind leer.

Logge ich mich mit Telnet auf die Shell des WLC ein funktioniert kein einziger Ping, egal welches Ziel. weder 2.47 (der Router) noch irgendein anderes Ziel. Selbst ein Ping 127.0.0.1 oder Ping 192.168.2.49 geht nicht (eigene Adresse). Ich denke, das Problem sollte sich auf dem WLC befinden.

Ist diese Ausführung jetzt verständlicher?

Gruß Andreas

[Bernie137]

Ja, jetzt ist es mir zumindest verständlicher. Der WLC selbst ist der Router zwischen beiden Netzen, 192.168.2.x und 192.168.3.x?
Firewall -> Allgemein -> "Ping blockieren" steht auf aus? Ist VLAN im Spiel?

Geht es bei einem Firewall Eintrag?
Name Prot. Quelle Ziel Aktion verknuepft Prio Aktiv VPN-Regel Stateful Rtg-Tag Kommentar
PING_ALLOW ICMP ANYHOST PING_ALLOW0 ACCEPT nein 0 ja nein ja 0

PING_ALLOW0= 127.0.0.1 & 192.168.2.49 & 192.168.3.49

Gruß Heiko

[AndreasL]

Ja, jetzt ist es mir zumindest verständlicher. Der WLC selbst ist der Router zwischen beiden Netzen, 192.168.2.x und 192.168.3.x?

Nein, das macht der Router. Der verbindet die 2 Netze über 2 Ethernetports. Das der WLC noch eine 2.IP aus dem 3.x Netz hat ist eine Altlast aus Anfangszeiten wo ich Probleme hatte den WLC zu erreichen. Vermutlich ist die inzwischen nicht mehr nötig.

Übrigens habe ich noch einen 2. WLC-4025 mit gleichen Firmwarestand bei dem dasProblem auch auftritt. Der hat nur 1 Netz

Firewall -> Allgemein -> "Ping blockieren" steht auf aus?

ja, ist aus

Ist VLAN im Spiel?

Nein

Geht es bei einem Firewall Eintrag?

Das werde ich heute Nacht ggf testen, allerdings muss ich mich hinten anstellen, da ist heute DB Wartung angesagt und ich muss die VPN Leitung möglichst freihalten. Sonst teste ich das am Wochenende. Ich werde berichten

Danke für deinen Feedback

[Bernie137]

Das der WLC noch eine 2.IP aus dem 3.x Netz hat ist eine Altlast aus Anfangszeiten wo ich Probleme hatte den WLC zu erreichen. Vermutlich ist die inzwischen nicht mehr nötig.

Dann wäre das die Gelegenheit, es mit zu beseitigen.

Gruß Heiko

[Bernie137]

Das der WLC noch eine 2.IP aus dem 3.x Netz hat ist eine Altlast aus Anfangszeiten wo ich Probleme hatte den WLC zu erreichen.

Das bedeutet, er hat noch zwei konfigurierte Intranets mit Zuordnung zu bestimmten Schnittstellen/Ethernetports? Damit ist er doch selbst auch noch ein Router für die beiden Netze. Mit wie vielen LAN Kabeln ist er in welche Netze verbunden, Schleife?

Gruß Heiko

[diemoories]

Sieh Dir doch mal über telnet mit "ls /sta/ip-r/act" die aktuelle Routing Tabelle an.
Du hast mehr als ein LAN defniert und somit hat der Router mehr als eine Adresse.
Du solltest wissen, dass der Router bei Sachen wie PING die oberste Intranet-Adresse als Absenderadresse verwendet, und nicht automatisch die eigene Adresse aus dem Netz, welches Du anpingst. Da könnten nämlich Deine "Altlasten" zum Problem werden! Mit einer anderen Absenderadresse fehlen bei den angepingten Hosts dann die Rückrouten...

Viele Grüße
Ralf

[AndreasL]

Guten Morgen,

Code: Alles auswählen

> ls /sta/ip-r/act

IP-Address       IP-Netmask       Rtg-tag  Gateway          Peer              Distance  Masquerade  Type
------------------------------------------------------------------------------------------------------------
192.168.2.0      255.255.255.0    0        192.168.2.49     INTRANET          0         No          Intranet
192.168.3.0      255.255.255.0    0        192.168.3.49     INTRANET3         0         No          Intranet
172.16.0.0       255.240.0.0      0        0.0.0.0                            0         No          Static
10.0.0.0         255.0.0.0        0        0.0.0.0                            0         No          Static
224.0.0.0        224.0.0.0        0        0.0.0.0                            0         No          Static
255.255.255.255  0.0.0.0          0        192.168.2.47     INTRANET          2         No          Static

Ich müsste doch zumindest bei einem Ping 192.168.2.49 eine Antwort bekommen, oder?

Letzte Nacht habe ich das alles auch noch auf einem 2. WLC (WLC-4025+) ausprobiert, der den gleichen Firmwarestand hat. Dort habe ich auch die Sache mit der Firewall getestet. ICMP explizit zugelassen und Firewall ganz aus. Auch auf dem kein Ping. Dabei ist dort das Netz ein klein wenig anders. Der WLC dort ist Router und stellt auch die Internetverbindung her, kein externer Router.

Blöde Frage: könnt ihr denn auf euren WLC's mit der Firmware 8.80.0157 / 16.04.2013 einen Ping von der Shell absetzen?

Gruß Andreas

[Bernie137]

Da muss ich mich Ralf anschließen, dass ist es was auch meinte mit meinem Posting.

Wie ist der WLC von diesem Threat denn verkabelt?

Ich müsste doch zumindest bei einem Ping 192.168.2.49 eine Antwort bekommen, oder?

nein nicht unbedingt. Da ist noch etwas nicht richtig aufgrund der "Altlast". Was wissen wir jetzt, ob da LAN Kabel vertauscht sind und irgendwas komisch hin- und her routet??? Das Altnetz rausmachen und mit nur einem Kabel ins 192.168.2x Netz hängen.

Letzte Nacht habe ich das alles auch noch auf einem 2. WLC (WLC-4025+) ausprobiert, der den gleichen Firmwarestand hat. Dort habe ich auch die Sache mit der Firewall getestet. ICMP explizit zugelassen und Firewall ganz aus. Auch auf dem kein Ping. Dabei ist dort das Netz ein klein wenig anders. Der WLC dort ist Router und stellt auch die Internetverbindung her, kein externer Router.

Kann ein ganz anderer Sachverhalt sein, denn man eigens beleuchten sollte.

Blöde Frage: könnt ihr denn auf euren WLC's mit der Firmware 8.80.0157 / 16.04.2013 einen Ping von der Shell absetzen?

Hab LCOS 8.62.

Gruß Heiko

[AndreasL]

Der WLC-4100 ist mit nur einem Kabel am LAN angeschlossen. Das mit der 2. IP kann ich frühestens ab Samstag Nacht testen da ich mir im Fall eines Falles keine weiteren Probleme einfangen will. Ich werde es aber ausprobieren.

Bis dahin meldet sich ja vielleicht noch jemand, der es bei sich mit dem aktuellen LCOS ausprobiert hat. Ich meine, das es bei mir mit 8.62 funktioniert hatte, aber 100% sicher bin ich natürlich nicht.

Vielen Dank soweit für eure Anregungen.

Gruß Andreas

[diemoories]

Hallo Andreas,
ich habs ein bischen eilig, daher etwas ungefiltert nur als Lösungs HINWEIS, bitte kritsch lesen.

Du hast das 192.168.2.x/24 Netz auf Deinem WLC sowohl als LAN als auch als Standard-Gateway defniniert. M.E. gibt das die "gewünschten" Probleme hinsichtlich Ping ins Internet (DNS) über.
Z.B. werden DNS-Anfragen vom WLC über das Standard-Gateway gesendet, die Antworten kommen jedoch über die LAN-Schnittstelle wieder herein und werden ignoriert, da das WLC DNS-Modul sie nicht von dort erwartet. Das gleiche gilt sinngemäß für Ping, nur andersherum.

Im Bezug auf die AP's, die sich im 192.168.3.x/24 Netz befinden, dürfte das Problem mit der Absender IP des WLC (192.168.2.49 lt.Routing-Tab), da sie keine Rückroute für das "2er"-Netz haben.

Insofern ist eigentlich alles erklärbar und es wäre zu überlegen, wie die Konfiguration zu berichtigen wäre...
Aber wie gesagt, ohne Gewähr!

Viele Grüße
Ralf