Hab hier mal wieder ein Problem:
Habe mehrere L-54(a)g als WLAN-HotSpots. Alle holen sich per Radius an meinem L-1811 die Authentisierung der WLAN-Clients. Das funktioniert ohne Probleme. Alle Geräte mit LCOS 7.26.
Jetzt habe ich hier einen L-54dual, der bisher mit lokaler WLAN-Stationstabelle gearbeitet hat, weil Radius irgendwie nicht wollte. Das äußert sich derart, dass die Clients eben einfach nicht ins WLAN gelassen werden. Habe jetzt mal intensiver untersucht und kann aber keine Lösung des Problems finden:
1. Im L-54dual ist der Radius-Server (L-1811) korrekt eingetragen. Der L-1811 führt in seiner Radius-Server-Tabelle den L-54dual als Client auf. Das merkwürdige ist, dass hier ständig Zugriffs-Anfragen erfolgen. Der Wert "letzte Anfrage" ist immer sehr niedrig (d.h. es erfolgen ständig Anfragen vom L-54dual) und die Werte "Zugriffs-Anfragen" und "Zugriff akzeptiert" klettern in absolute Höhen (>9000). Die übrigen Werte bleiben alle auf 0.
2. Im L-54dual erscheint in der Tabelle Authetisierungs-Server die IP des L-1811 mit den gleichen Werten bei "Zugangs-Anfragen" sowie einigen "Zugangs-Wiederholungen". Die Round-Trip-Zeit ist 0. Interessant ist, dass einige Zeitüberschreitungen (= Zugangs-Wiederholungen) vermerkt sind und alle Zugangs-Anfragen als "Anhängige Anfragen" gelistet sind. Das bedeutet (nach meinem Verständnis), der L-54dual bekommt vom L-1811 keine Radius-Antworten!?
In der Stationstabelle stehen die "wartenden" WLAN-Clients mit ihrer MAC (aber ohne Stationsname) und unter "letztes Ereignis" nur MAC-Prüfung. Kein Hinweis auf Radius, wie sonst in den anderen L-54ag üblich.
3. Selbst wenn ich im L-54dual den Radius-Server-Eintrag wieder lösche, erfolgen weiterhin Radius-Anfragen an den L-1811! Hier hilft nur ein Kaltstart des L-54dual, um die Löschung des Radius-Servers zu aktivieren! Außerdem greift der L-54dual nach dem Löschen des Radius-Server-Eintrags nicht auf seine lokale Stationstabelle zu, in welcher ich die wartenden WLAN-Clients eingetragen habe. Hier hilft auch nur ein Kaltstart, um ihn wieder dazu zu bewegen, die WLAN-Clients einbuchen zu lassen. Vor dem Kaltstart erkennt er zwar die Clients (in Stationstabelle werden die Stationsnamen und korrekte Verschlüsselung angezeigt) aber ein Einbuchen scheitert, da die Clients keine IP per DHCP bekommen und ständig wieder "rausgeworfen" werden.
So, ich könnte bestimmt noch Stunden lang über dieses merkwürdige Verhalten schreiben... Habe auch schon Stunden alle mögliche Einstellungen probiert, zum Beispiel am Timeout und Wiederholungen unter Radius-Server - Optionen. Hier wurden nach meiner Beobachtung, die Default-Werte in LCOS 7.x geändert?
Ich hatte dieses Problem schon einmal bei meinem anderen L-54dual und hatte mich damals aber damit abgefunden, eben in diesem eine lokale Stationstabbe zu führen, da es nur 3 Stationen sind, die sich mit diesem verbinden sollen.
Vielleicht könnt ihr mir weiter helfen?
Danke. Ansonsten - guten Rutsch!
Stefan
Fehlerhafte Radius-Funktion im L-54dual?
Moderator: Lancom-Systems Moderatoren
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Fehlerhafte Radius-Funktion im L-54dual?
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
Moin,
Mache erstmal einen RADIUS-Trace sowohl auf den dual als auch dem 1811. Das sieht man
deutlich mehr...
Antworten nicht gefällt...
nicht klappt. Irgendwann gibt es einen Timeout und der Client wird rausgeworfen und das Spielchen
geht üblicherweise von vorne los...
RADIUS-Anfrage läuft bis zum Ende durch, auch wenn man zwischendurch RADIUS ausschaltet.
Wenn der MAC-Authentifizierungsmodus auf positiv steht und eine MAC-Adresse in der lokalen
Tabelle eingetragen ist, dann sollte überhaupt keine RADIUS-Anfrage erfolgen, weil die lokale
Tabelle immer zuerst durchsucht wird. Kontrolliere anhand des WLAN-Logs, ob die eingetragenen
MAC-Adressen wirklich stimmen, und ob die Adressen in der Tabelle eventuell nicht sortiert sind
(sollte nicht passieren, weil die Tabelle eigentlich zwangsweise nach jeder Änderung sortiert wird,
aber man weiß ja nie...).
Ich würde einfach mal stur die Konfig auf den L-54 un ddem Dual vergleichen. Der gleiche Client
funktioniert an einem L-54 ja, wenn ich das richtig verstanden habe? Also muß da logischerweise
irgendwo ein Unterschied sein.
Gruß Alfred
Mache erstmal einen RADIUS-Trace sowohl auf den dual als auch dem 1811. Das sieht man
deutlich mehr...
Dann sollte man in einem RADIUS-Trace auf dem Dual sehen können, was ihm an denDas bedeutet (nach meinem Verständnis), der L-54dual bekommt vom L-1811 keine Radius-Antworten!?
Antworten nicht gefällt...
Du meinst 'Status' und nicht 'Letztes Ereignis'? Das wäre völlig normal, wenn die MAC-PrüfungIn der Stationstabelle stehen die "wartenden" WLAN-Clients mit ihrer MAC (aber ohne Stationsname) und unter "letztes Ereignis" nur MAC-Prüfung. Kein Hinweis auf Radius, wie sonst in den anderen L-54ag üblich.
nicht klappt. Irgendwann gibt es einen Timeout und der Client wird rausgeworfen und das Spielchen
geht üblicherweise von vorne los...
Zumindest die diversen Anfrage-Versuche einer einzelnen Anfrage laufen erstmal weiter, eine einzelne3. Selbst wenn ich im L-54dual den Radius-Server-Eintrag wieder lösche, erfolgen weiterhin Radius-Anfragen an den L-1811!
RADIUS-Anfrage läuft bis zum Ende durch, auch wenn man zwischendurch RADIUS ausschaltet.
Wenn der MAC-Authentifizierungsmodus auf positiv steht und eine MAC-Adresse in der lokalen
Tabelle eingetragen ist, dann sollte überhaupt keine RADIUS-Anfrage erfolgen, weil die lokale
Tabelle immer zuerst durchsucht wird. Kontrolliere anhand des WLAN-Logs, ob die eingetragenen
MAC-Adressen wirklich stimmen, und ob die Adressen in der Tabelle eventuell nicht sortiert sind
(sollte nicht passieren, weil die Tabelle eigentlich zwangsweise nach jeder Änderung sortiert wird,
aber man weiß ja nie...).
Du meinst Timeout und Wiederholungen vom RADIUS-/Client/? Nein, wurden sie nicht...Hier wurden nach meiner Beobachtung, die Default-Werte in LCOS 7.x geändert?
Ich würde einfach mal stur die Konfig auf den L-54 un ddem Dual vergleichen. Der gleiche Client
funktioniert an einem L-54 ja, wenn ich das richtig verstanden habe? Also muß da logischerweise
irgendwo ein Unterschied sein.
Gruß Alfred
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo Alfred,
danke für die schnelel Antwort. Den Trace werde ich so machen, wenn es mal ruhiger ist...
Zum Test hatte ich die MAC eines Client aus der Stationstabelle umbenannt, so dass ich ihn zum Radius-Zugriff gezwungen habe. Das war schon so weit klar. Aber selbst nach dem erneuten Umbennen in der lokalen Stationstabelle blieb der dual bei seiner Radius-Prüfung... (s.o.)
Also die Konfigs zwischen dual und L-54 habe ich schon zig mal verglichen - werde es aber trotzdem noch einmal tun.
Vor weiterem Spekulieren liefere ich den Trace. Melde mich dann noch einmal.
Stefan
danke für die schnelel Antwort. Den Trace werde ich so machen, wenn es mal ruhiger ist...
Zum Test hatte ich die MAC eines Client aus der Stationstabelle umbenannt, so dass ich ihn zum Radius-Zugriff gezwungen habe. Das war schon so weit klar. Aber selbst nach dem erneuten Umbennen in der lokalen Stationstabelle blieb der dual bei seiner Radius-Prüfung... (s.o.)
Also die Konfigs zwischen dual und L-54 habe ich schon zig mal verglichen - werde es aber trotzdem noch einmal tun.
Vor weiterem Spekulieren liefere ich den Trace. Melde mich dann noch einmal.
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo Alfred,
1. hier die Trace-Ausgaben:
Der L-54dual meldet (meiner Meinung nach) eigentlich gar nichts.
Hier der Auszug aus dem Trace:
[RADIUS] 2007/12/31 11:14:04,560
Send RADIUS Authentication Request Id 234 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:14:09,560
Send RADIUS Authentication Request Id 232 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:15:10,100
Send RADIUS Authentication Request Id 234 to 10.2.111.1 Backup-Step 1 Retry 1
[RADIUS] 2007/12/31 11:15:15,100
Send RADIUS Authentication Request Id 232 to 10.2.111.1 Backup-Step 1 Retry 1
[RADIUS] 2007/12/31 11:15:24,340
Send RADIUS Authentication Request Id 245 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:16:01,740
Send RADIUS Authentication Request Id 90 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:16:06,730
Send RADIUS Authentication Request Id 128 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:16:11,730
Send RADIUS Authentication Request Id 131 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:16:15,640
Send RADIUS Authentication Request Id 234 to 10.2.111.1 Backup-Step 1 Retry 2
[RADIUS] 2007/12/31 11:16:16,730
Send RADIUS Authentication Request Id 83 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:16:20,640
Send RADIUS Authentication Request Id 232 to 10.2.111.1 Backup-Step 1 Retry 2
[RADIUS] 2007/12/31 11:16:21,730
Send RADIUS Authentication Request Id 28 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:16:29,880
Send RADIUS Authentication Request Id 245 to 10.2.111.1 Backup-Step 1 Retry 1
Und hier der Auszug aus dem Trace des L-1811, der als Radius-Server konfiguriert ist. Ich habe unzutreffende Stellen gelöscht bzw. persönliche Daten verändert (*):
[RADIUS] 2007/12/31 11:15:09,660
Received RADIUS request 234 from client 10.0.211.3:
-->known attributes of request:
User-Name : 004f62-07****
User-Password : ******
NAS-Identifier : HS_1_1_RF_****
-->realm of user is ''
-->authenticating locally
-->found user in database(s)
-->authenticating via PAP
-->response type is Accept, response attributes:
Reply-Message : AP K****
LCS-WPA-Passphrase : KJ7GEF93****
RxRateLimit : 768 Kbps
RxRateLimit : 6144 Kbps
-->sending response
[RADIUS] 2007/12/31 11:15:14,660
Received RADIUS request 232 from client 10.0.211.3:
... (gleiche Daten wie oben) ...
RADIUS] 2007/12/31 11:15:23,910
Received RADIUS request 245 from client 10.0.211.3:
...
[RADIUS] 2007/12/31 11:16:01,310
Received RADIUS request 90 from client 10.0.211.3:
...
usw.
Frage: Ist das eigentlich richtig, dass der Radius immer 2 x RxRateLimit meldet und nicht Rx und Tx?
So wie ich das verstehe, sendet der L-1811 die korrekten Radius-Daten, die den L-54dual aber wohl nicht erreichen. Übrigens: Hinter dem L-54dual befinden sich zwei weitere L-54g als Radius-Client, die vom gleichen Radius-Server die Zugangsdaten korrekt erhalten. Habe auch Firewall-Logs durchsucht, ob die Daten irgendwo hängen bleiben - ohne Erfolg.
2. Nach diesen ganzen Versuchen kann sich der betreffende Client nun gar nicht mehr in das WLAN einbuchen. Ich habe mal einen WLAN-Trace gemacht, der aber nach 8 Sekunden mit einem "out of memory, trace disabled" abgebrochen wird. Werde das TRace mal nach Auffälligkeiten durchsuchen und berichten...
In der Log-Tabelle des L-54dual erscheint:
31.12.2007 12:58:53 WLAN-2-3 Connected WLAN station 00:4f:62:07:**:** [] 004f6207****
1191 31.12.2007 12:58:53 WLAN-2-3 Key handshake with peer 00:4f:62:07:**:** successfully completed 004f6207****
1190 31.12.2007 12:58:49 WLAN-2-3 Associated WLAN station 00:4f:62:07:**:** [] 004f6207****
1189 31.12.2007 12:58:44 WLAN-2-3 Associated WLAN station 00:4f:62:07:**:** [] 004f6207****
1188 31.12.2007 12:58:44 WLAN-2-3 Authenticated WLAN station 00:4f:62:07:**:** [] 004f6207****
1187 31.12.2007 12:58:34 WLAN-2-3 Connected WLAN station 00:4f:62:07:**:** [] 004f6207****
1186 31.12.2007 12:58:34 WLAN-2-3 Key handshake with peer 00:4f:62:07:**:** successfully completed 004f6207****
1185 31.12.2007 12:58:30 WLAN-2-3 Associated WLAN station 00:4f:62:07:**:** [] 004f6207****
1184 31.12.2007 12:58:30 WLAN-2-3 Authenticated WLAN station 00:4f:62:07:**:** [] 004f6207****
1183 31.12.2007 12:58:26 WLAN-2-3 Timeout in key handshake with peer 00:4f:62:07:**:** 004f6207****
1182 31.12.2007 12:58:20 WLAN-2-3 Associated WLAN station 00:4f:62:07:**:** [] 004f6207****
1181 31.12.2007 12:58:15 WLAN-2-3 Authenticated WLAN station 00:4f:62:07:**:** [] 004f6207****
1180 31.12.2007 12:58:10 WLAN-2-3 Timeout in key handshake with peer 00:4f:62:07:**:** 004f6207****
1179 31.12.2007 12:58:05 WLAN-2-3 Associated WLAN station 00:4f:62:07:**:** [] 004f6207****
1178 31.12.2007 12:58:05 WLAN-2-3 Authenticated WLAN station 00:4f:62:07:**:** [] 004f6207****
1177 31.12.2007 12:57:47 WLAN-2-3 Determined IP address for station 00:4f:62:07:**:** []: 004f6207**** 192.168.100.252
1176 31.12.2007 12:57:47 WLAN-2-3 Connected WLAN station 00:4f:62:07:**:** [] 004f6207****
Die eine angezeigte IP ist übrigens nicht von meinem AP, der aber DHCP aktiviert hat. Das heißt, das dieser eine AP auch keine IP zugewiesen bekommt - aber das ist jetzt schon nicht mehr zu dem oben beschriebenen Problem...
Stefan
1. hier die Trace-Ausgaben:
Der L-54dual meldet (meiner Meinung nach) eigentlich gar nichts.
Hier der Auszug aus dem Trace:
[RADIUS] 2007/12/31 11:14:04,560
Send RADIUS Authentication Request Id 234 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:14:09,560
Send RADIUS Authentication Request Id 232 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:15:10,100
Send RADIUS Authentication Request Id 234 to 10.2.111.1 Backup-Step 1 Retry 1
[RADIUS] 2007/12/31 11:15:15,100
Send RADIUS Authentication Request Id 232 to 10.2.111.1 Backup-Step 1 Retry 1
[RADIUS] 2007/12/31 11:15:24,340
Send RADIUS Authentication Request Id 245 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:16:01,740
Send RADIUS Authentication Request Id 90 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:16:06,730
Send RADIUS Authentication Request Id 128 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:16:11,730
Send RADIUS Authentication Request Id 131 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:16:15,640
Send RADIUS Authentication Request Id 234 to 10.2.111.1 Backup-Step 1 Retry 2
[RADIUS] 2007/12/31 11:16:16,730
Send RADIUS Authentication Request Id 83 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:16:20,640
Send RADIUS Authentication Request Id 232 to 10.2.111.1 Backup-Step 1 Retry 2
[RADIUS] 2007/12/31 11:16:21,730
Send RADIUS Authentication Request Id 28 to 10.2.111.1 Backup-Step 1 Retry 0
[RADIUS] 2007/12/31 11:16:29,880
Send RADIUS Authentication Request Id 245 to 10.2.111.1 Backup-Step 1 Retry 1
Und hier der Auszug aus dem Trace des L-1811, der als Radius-Server konfiguriert ist. Ich habe unzutreffende Stellen gelöscht bzw. persönliche Daten verändert (*):
[RADIUS] 2007/12/31 11:15:09,660
Received RADIUS request 234 from client 10.0.211.3:
-->known attributes of request:
User-Name : 004f62-07****
User-Password : ******
NAS-Identifier : HS_1_1_RF_****
-->realm of user is ''
-->authenticating locally
-->found user in database(s)
-->authenticating via PAP
-->response type is Accept, response attributes:
Reply-Message : AP K****
LCS-WPA-Passphrase : KJ7GEF93****
RxRateLimit : 768 Kbps
RxRateLimit : 6144 Kbps
-->sending response
[RADIUS] 2007/12/31 11:15:14,660
Received RADIUS request 232 from client 10.0.211.3:
... (gleiche Daten wie oben) ...
RADIUS] 2007/12/31 11:15:23,910
Received RADIUS request 245 from client 10.0.211.3:
...
[RADIUS] 2007/12/31 11:16:01,310
Received RADIUS request 90 from client 10.0.211.3:
...
usw.
Frage: Ist das eigentlich richtig, dass der Radius immer 2 x RxRateLimit meldet und nicht Rx und Tx?
So wie ich das verstehe, sendet der L-1811 die korrekten Radius-Daten, die den L-54dual aber wohl nicht erreichen. Übrigens: Hinter dem L-54dual befinden sich zwei weitere L-54g als Radius-Client, die vom gleichen Radius-Server die Zugangsdaten korrekt erhalten. Habe auch Firewall-Logs durchsucht, ob die Daten irgendwo hängen bleiben - ohne Erfolg.
2. Nach diesen ganzen Versuchen kann sich der betreffende Client nun gar nicht mehr in das WLAN einbuchen. Ich habe mal einen WLAN-Trace gemacht, der aber nach 8 Sekunden mit einem "out of memory, trace disabled" abgebrochen wird. Werde das TRace mal nach Auffälligkeiten durchsuchen und berichten...
In der Log-Tabelle des L-54dual erscheint:
31.12.2007 12:58:53 WLAN-2-3 Connected WLAN station 00:4f:62:07:**:** [] 004f6207****
1191 31.12.2007 12:58:53 WLAN-2-3 Key handshake with peer 00:4f:62:07:**:** successfully completed 004f6207****
1190 31.12.2007 12:58:49 WLAN-2-3 Associated WLAN station 00:4f:62:07:**:** [] 004f6207****
1189 31.12.2007 12:58:44 WLAN-2-3 Associated WLAN station 00:4f:62:07:**:** [] 004f6207****
1188 31.12.2007 12:58:44 WLAN-2-3 Authenticated WLAN station 00:4f:62:07:**:** [] 004f6207****
1187 31.12.2007 12:58:34 WLAN-2-3 Connected WLAN station 00:4f:62:07:**:** [] 004f6207****
1186 31.12.2007 12:58:34 WLAN-2-3 Key handshake with peer 00:4f:62:07:**:** successfully completed 004f6207****
1185 31.12.2007 12:58:30 WLAN-2-3 Associated WLAN station 00:4f:62:07:**:** [] 004f6207****
1184 31.12.2007 12:58:30 WLAN-2-3 Authenticated WLAN station 00:4f:62:07:**:** [] 004f6207****
1183 31.12.2007 12:58:26 WLAN-2-3 Timeout in key handshake with peer 00:4f:62:07:**:** 004f6207****
1182 31.12.2007 12:58:20 WLAN-2-3 Associated WLAN station 00:4f:62:07:**:** [] 004f6207****
1181 31.12.2007 12:58:15 WLAN-2-3 Authenticated WLAN station 00:4f:62:07:**:** [] 004f6207****
1180 31.12.2007 12:58:10 WLAN-2-3 Timeout in key handshake with peer 00:4f:62:07:**:** 004f6207****
1179 31.12.2007 12:58:05 WLAN-2-3 Associated WLAN station 00:4f:62:07:**:** [] 004f6207****
1178 31.12.2007 12:58:05 WLAN-2-3 Authenticated WLAN station 00:4f:62:07:**:** [] 004f6207****
1177 31.12.2007 12:57:47 WLAN-2-3 Determined IP address for station 00:4f:62:07:**:** []: 004f6207**** 192.168.100.252
1176 31.12.2007 12:57:47 WLAN-2-3 Connected WLAN station 00:4f:62:07:**:** [] 004f6207****
Die eine angezeigte IP ist übrigens nicht von meinem AP, der aber DHCP aktiviert hat. Das heißt, das dieser eine AP auch keine IP zugewiesen bekommt - aber das ist jetzt schon nicht mehr zu dem oben beschriebenen Problem...
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo Alfred,
habe jetzt noch einmal die syslog-Meldungen zu der fraglichen Zeit analysiert. Der L-54dual (10.0.211.3) meldet:
31-12-2007 11:14:38 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Authenticated WLAN station 00:4f:62:07:**:** []<000>
31-12-2007 11:15:36 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Associated WLAN station 00:4f:62:07:**:** [start RADIUS]<000>
31-12-2007 11:15:41 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Associated WLAN station 00:4f:62:07:**:** [start RADIUS]<000>
31-12-2007 11:16:31 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Disassociated WLAN station 00:4f:62:07:**:** [] due to supervision: 4<000>
31-12-2007 11:16:56 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Authenticated WLAN station 00:4f:62:07:**:** []<000>
31-12-2007 11:16:56 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Associated WLAN station 00:4f:62:07:**:** [start RADIUS]<000>
31-12-2007 11:17:01 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Disassociated WLAN station 00:4f:62:07:**:** [] due to supervision: 4<000>
31-12-2007 11:17:01 Auth.Warning 10.0.211.3 CONN-LOGIN_WARNING: [WLAN-2-3] Rejected Association from WLAN station 00:4f:62:07:**:** []: (Station requesting (re)association is not authenticated with responding station)<000>
Was bedeutet insbesondere die letzte Meldung sowie "due to supervision: 4"?
Stefan
habe jetzt noch einmal die syslog-Meldungen zu der fraglichen Zeit analysiert. Der L-54dual (10.0.211.3) meldet:
31-12-2007 11:14:38 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Authenticated WLAN station 00:4f:62:07:**:** []<000>
31-12-2007 11:15:36 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Associated WLAN station 00:4f:62:07:**:** [start RADIUS]<000>
31-12-2007 11:15:41 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Associated WLAN station 00:4f:62:07:**:** [start RADIUS]<000>
31-12-2007 11:16:31 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Disassociated WLAN station 00:4f:62:07:**:** [] due to supervision: 4<000>
31-12-2007 11:16:56 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Authenticated WLAN station 00:4f:62:07:**:** []<000>
31-12-2007 11:16:56 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Associated WLAN station 00:4f:62:07:**:** [start RADIUS]<000>
31-12-2007 11:17:01 Auth.Notice 10.0.211.3 CONN-LOGIN_INFO: [WLAN-2-3] Disassociated WLAN station 00:4f:62:07:**:** [] due to supervision: 4<000>
31-12-2007 11:17:01 Auth.Warning 10.0.211.3 CONN-LOGIN_WARNING: [WLAN-2-3] Rejected Association from WLAN station 00:4f:62:07:**:** []: (Station requesting (re)association is not authenticated with responding station)<000>
Was bedeutet insbesondere die letzte Meldung sowie "due to supervision: 4"?
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
Moin,
die RADIUS-Antworten vom 1811 scheinen in der Tat nicht mehr beim dual anzukommen. Warum das
so ist, kann ich von hier aus nicht beurteilen, Du könntest das ganze aber eventuell mit einem
'trace + eth @ radius' auf dem dual noch etwas weiter einengen, ob das Antwortpaket überhaupt
nicht beim dual ankommt oder irgendwo im Gerät verloren geht. Wenn es erst gar nicht beim Dual
ankommt, mußt Du in Deiner Infrastruktur auf die Suche gehen...
Pakete an den Client werden von ihm nicht mehr bestätigt). Die Zahl ist noch von einer
Debugging-Session stehen gebliebenund braucht Dich nicht weiter zu interessieren.
Gruß Alfred
die RADIUS-Antworten vom 1811 scheinen in der Tat nicht mehr beim dual anzukommen. Warum das
so ist, kann ich von hier aus nicht beurteilen, Du könntest das ganze aber eventuell mit einem
'trace + eth @ radius' auf dem dual noch etwas weiter einengen, ob das Antwortpaket überhaupt
nicht beim dual ankommt oder irgendwo im Gerät verloren geht. Wenn es erst gar nicht beim Dual
ankommt, mußt Du in Deiner Infrastruktur auf die Suche gehen...
Nein, das dürfte ein Fall von Copy'n'waste in der Firmware sein...Frage: Ist das eigentlich richtig, dass der Radius immer 2 x RxRateLimit meldet und nicht Rx und Tx?
Was meinst Du mit 'hinter'? Über eine WLAN-Strecke oder an dem zweiten Ethernet-Port?Übrigens: Hinter dem L-54dual befinden sich zwei weitere L-54g als Radius-Client, die vom gleichen Radius-Server die Zugangsdaten korrekt erhalten.
Wenn ich das richtig erinnere, greift die Firewall im LCOS für interne Dienste ohnehin nicht...Habe auch Firewall-Logs durchsucht, ob die Daten irgendwo hängen bleiben - ohne Erfolg.
Du hast die Stationsüberwachung an und der AP konnte den Client nicht mehr erreichen (d.h.Was bedeutet insbesondere die letzte Meldung sowie "due to supervision: 4"?
Pakete an den Client werden von ihm nicht mehr bestätigt). Die Zahl ist noch von einer
Debugging-Session stehen gebliebenund braucht Dich nicht weiter zu interessieren.
Gruß Alfred
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo Alfred,
danke für schnelle Antwort.
Nur kurz zum "hinter":
Der dual ist weiterhin mit einem AP per P2P verbunden als auch am LAN mit einem weiteren AP. Bei beiden L-54g-AP's funktioniert Radius über den dual zum 1811er. Der dual ist mit dem 1811er (Radius-Server) über zwei P2MP verbunden.
Den Radius- mit Eth-Trace mache ich im neuen Jahr! Ach ja, heute ist ja Silvester! Hätte ich fast verpasst.
Na dann, allen einen guten Rutsch und vielen Dank für die Hilfe!!!
Stefan
danke für schnelle Antwort.
Nur kurz zum "hinter":
Der dual ist weiterhin mit einem AP per P2P verbunden als auch am LAN mit einem weiteren AP. Bei beiden L-54g-AP's funktioniert Radius über den dual zum 1811er. Der dual ist mit dem 1811er (Radius-Server) über zwei P2MP verbunden.
Den Radius- mit Eth-Trace mache ich im neuen Jahr! Ach ja, heute ist ja Silvester! Hätte ich fast verpasst.
Na dann, allen einen guten Rutsch und vielen Dank für die Hilfe!!!
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Allen Lancom-Forumisten ein gutes und gesundes neues Jahr!!!
Wollte vorhin den trace + eth @ radius starten, aber der bricht beim Radius-Server schon nach 5 Paketen mit "out of memory, trace disabled" ab. Und da waren noch keinerlei Radius-Pakete dabei. Beim Radius-Client bleibt gleiches trace leer - kein Eintrag!
Wie kann ich den Speicher-Fehler verhindern? Liegt das an meinem PC oder Lancom?
Stefan
Wollte vorhin den trace + eth @ radius starten, aber der bricht beim Radius-Server schon nach 5 Paketen mit "out of memory, trace disabled" ab. Und da waren noch keinerlei Radius-Pakete dabei. Beim Radius-Client bleibt gleiches trace leer - kein Eintrag!
Wie kann ich den Speicher-Fehler verhindern? Liegt das an meinem PC oder Lancom?
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Habe hier noch einmal das Problem als schönes Bild dargestellt. Man verzeihe mir bitte, dass mein Dual nur 2 Antennen hat...
Radius-Client 10.0.211.3: Radius geht nicht
Radius-Client 10.11.111.2: Radius geht
AP 10.0.211.2 ist nicht als Radius-Client konfiguriert, da es damals auch schon nicht klappte, Ist aber in diesem Fall nicht von Bedeutung.
Radius-Server ist der AP 10.2.111.1
Routen sind alle okay, Firewall ohne nennenswerten Einträgen und IPCop-Firewall meldet auch keine Blockierungen (Pakete gehen da ja eigentlich auch nicht durch).
Radius-Client 10.0.211.3: Radius geht nicht
Radius-Client 10.11.111.2: Radius geht
AP 10.0.211.2 ist nicht als Radius-Client konfiguriert, da es damals auch schon nicht klappte, Ist aber in diesem Fall nicht von Bedeutung.
Radius-Server ist der AP 10.2.111.1
Routen sind alle okay, Firewall ohne nennenswerten Einträgen und IPCop-Firewall meldet auch keine Blockierungen (Pakete gehen da ja eigentlich auch nicht durch).
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
Moin,
filtert die nicht gewollten Pakete erst dann aus, wenn es schon zu spät ist...da laut Deiner
Zeichnung dual und 1811 über WLAN verbunden sind, wäre ein Ethernet-Trace aber ohnehin das
falsche Mittel gewesen. Ein WLAN-Data-Trace wäre hier das richtige, wenn Du gleichzeitig
Benutzertraffic auf der Strecke hat, läufts Du aber in die gleichen Probleme rein...
Ist das dual eigentlich als WLAN-Client angebunden oder ist das eine P2P-Strecke?
Gruß Alfred
Neine, das liegt daran, daß zuviel sonstiger Traffic über die Strecke geht und der TraceWollte vorhin den trace + eth @ radius starten, aber der bricht beim Radius-Server schon nach 5 Paketen mit "out of memory, trace disabled" ab. Und da waren noch keinerlei Radius-Pakete dabei. Beim Radius-Client bleibt gleiches trace leer - kein Eintrag!
Wie kann ich den Speicher-Fehler verhindern? Liegt das an meinem PC oder Lancom?
filtert die nicht gewollten Pakete erst dann aus, wenn es schon zu spät ist...da laut Deiner
Zeichnung dual und 1811 über WLAN verbunden sind, wäre ein Ethernet-Trace aber ohnehin das
falsche Mittel gewesen. Ein WLAN-Data-Trace wäre hier das richtige, wenn Du gleichzeitig
Benutzertraffic auf der Strecke hat, läufts Du aber in die gleichen Probleme rein...
Ist das dual eigentlich als WLAN-Client angebunden oder ist das eine P2P-Strecke?
Gruß Alfred
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Okay, werde also den WLAN-Trace mal starten, wenn hier nichts weiter los ist.
Alle meine Lancom-AP's sind als P2P-Basisstationen konfiguriert. Alle im isolierten Modus mit je mindestens zwei Netzen für IP-Routing. Hinter dem Radius-Server geht es dann noch mit mehreren L-54(a)g AP's, die auch alle Radius-Clients sind weiter. Und am 10.0.211.3 hängt am LAN-1 auch noch ein ogen nicht dargestellter L-54g als Radius-Client. Die funktionieren auch alle ohne Probleme. Alle gleich konfiguriert - logisch.
Stefan
Alle meine Lancom-AP's sind als P2P-Basisstationen konfiguriert. Alle im isolierten Modus mit je mindestens zwei Netzen für IP-Routing. Hinter dem Radius-Server geht es dann noch mit mehreren L-54(a)g AP's, die auch alle Radius-Clients sind weiter. Und am 10.0.211.3 hängt am LAN-1 auch noch ein ogen nicht dargestellter L-54g als Radius-Client. Die funktionieren auch alle ohne Probleme. Alle gleich konfiguriert - logisch.
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN