Große Probleme 1511 + L-54G

[tbc233]

Hallo,
Schön dieses Forum gefunden zu haben.

Ich bin schon seit Elsa Zeiten ein großer Fan der Lancom Geräte und habe durch meine Tätigkeit als Edv Dienstleister sicher schon um die 100 Geräte unter die Leute gebracht (von denen es auch nie wieder Klagen zu hören gab).

Jetzt bin ich aber an einem Punkt angelangt, wo mich sogar der Lancom Support (nach vielen Mails) aufgegeben hat

Angefangen hat alles damit, dass ich für einen Kunden einen Wireless-1511 angeschafft habe. An der WAN Seite hängt hier ein DSL Modem, die Verbindung ins Internet funktioniert per PPTP Einwahl (so funktioniert ADSL üblicherweise in .at - wird von den Lancom Geräten auch wunderbar unterstützt).
Es wurde auch das neueste LCos (4.02) installiert, Verschlüsselung geschieht per WPA. Ein Client (Desktop Rechner) verbindet sich mit einer Airlancer Karte, ein Notebook ist auch noch im Spiel. Alles OK.

Nur leider ist es mir nicht gelungen, auch das oberste Stockwerk des Kunden ordentlich "auszuleuchten". Daher hab ich mich entschlossen, noch einen L-54G anzuschaffen, den ich so auf halber Strecke aufstellen wollte, um das ganze zu verlängern. Ich bin zwar nicht unbedingt ein WLAN Experte, aber ich erinnerte mich an Aussagen im Rahmen einer Lancom Roadshow, dass dies kein Problem sei (auch der Support hat mir hier bei den unzähligen Mails bisher nicht wiedersprochen).

Also zu Konfiguration beide Geräte nebeneinandergestellt, Punkt-zu-Punkt eingestellt, Roaming erlaubt, gleiche SSID eingestellt, selbe WPA Parameter eingestellt, IP im selben Netzwerk gegeben. Dann noch die MAC Adresse des jeweiligen anderen APs in den Basisstationen (bei P2P) eingetragen.
Allerdings nicht der gewünschte Effekt.
Egal, auf welchem AP ich mich mit meinem WLAN Client anmelde - den jeweils anderen kann ich nicht pingen. Das heißt, wenn sich das Notebook am L-54G anmeldet, kommt es nicht ins Internet, weil der echte Gateway (der 1511er) nicht erreichbar ist. Sobald es in Reichweite des 1511er ist und sich dort einloggt, geht das Internet, dann kann aber wiederum der L-54G nicht gepingt werden.

Ein Blick in den Lanmonitor zeigt zwar eine Punkt-zu-Punkt Verbindung an ("Verbunden") , aber für mein Dafürhalten müsste ich doch beide APs pingen können.

Ich habe wie gesagt schon einigen Mailverkehr mit dem support hinter mir, auch die Konfigurationen habe ich schon mehrmals hin und her geschickt.
Ich habe auch schonmal resettet und neu konfiguriert, kein Erfolg.

Hat zufällig jemand von euch noch eine Idee, was hier schieflaufen könnte? Bin für jede Inspiration dankbar.

l.g.
michael

[alf29]

Moin,

so wie ich das verstehe, machst Du WPA auf der P2P-Strecke zwischen
den beiden Geräten, d.h. als Verschlüsselungsmethode ist WPA/802.11i-PSK
auf dem logischen Netz 1 eingestellt. Dabei muß in den P2P-Einstellungen eines
der Geräte als Master konfiguriert sein und das andere als Slave, zumindest
habe ich das nicht in der Aufzählung der Dinge gefunden, die Du eingestellt
hast. Bei WPA/11i läuft ein Handshake ab, der asymmetrisch ist, deshalb
muß man da solche Rollen einführen.

Gruß Alfred

[Jirka]

Hallo,

> Ein Blick in den Lanmonitor zeigt zwar eine Punkt-zu-Punkt Verbindung an ("Verbunden")

Das klingt allerdings schon komisch.

Hast du mal probiert, dich am 1511er mit dem PC in die Switch einzustöpseln und dann den L-54g zu erreichen?

Falls du das mit dem Master und Slave so eingestellt hast, wie Alfred es beschrieben hat und es immer noch nicht funktioniert, kannst du mir gerne mal die Konfiguration beider Geräte schicken - nach Möglichkeit ohne Passwörter für die WAN-Verbindungen. Ich habe hier nämlich besagte Geräte im Augenblick in meinem "Testlabor" stehen. Dann würde ich mal nachschauen ...

Viele Grüße,
Jirka

[tbc233]

Hallo,

> Ein Blick in den Lanmonitor zeigt zwar eine Punkt-zu-Punkt Verbindung an ("Verbunden")

Hast du mal probiert, dich am 1511er mit dem PC in die Switch einzustöpseln und dann den L-54g zu erreichen?

Falls du das mit dem Master und Slave so eingestellt hast, wie Alfred es beschrieben hat und es immer noch nicht funktioniert, kannst du mir gerne mal die Konfiguration beider Geräte schicken - nach Möglichkeit ohne Passwörter für die WAN-Verbindungen. Ich habe hier nämlich besagte Geräte im Augenblick in meinem "Testlabor" stehen. Dann würde ich mal nachschauen ...

Vielen Dank zuerst mal für eure Antworten!

mich per Kabel an den 1511er anzuhängen hab ich noch nicht probiert, aber umgekehrt (weil es ich im laufe der konfiguration so ergeben hat): ich war per Kabel mit dem L-54G verbunden und habe den 1511er *nicht* erreicht.

Das Angebot mit deiner Sichtung der Konfigurationsdateien würde ich gerne in Anspruch nehmen. Das wär echt nett. Krieg ich deine E-Mail Adresse aus deinem Profil... mal nachsehen.

[Jirka]

Hallo,

> Ein Blick in den Lanmonitor zeigt zwar eine Punkt-zu-Punkt Verbindung an ("Verbunden")

Also bei mir zeigt er nur ganz kurzzeitig an Verbunden, dann nicht verbunden, dann mal wieder ganz kurz Verbunden usw. (90% der Zeit nicht verbunden, 10% verbunden - aber das ist nur die Anzeige, eine Verbindung habe ich zu keiner Zeit gehabt)

So, die Einstellungen sind im Groben eigentlich recht ordentlich ...

Warum es nicht funktioniert, habe ich auch rausgefunden, warum das dann allerdings so ist, müßte uns unser WLAN-Verschlüsselungs-Profi Alfred erklären - das führt bei mir dann doch zu weit ...

Unter -> WLAN-Sicherheit -> 802.11i/WEP -> WPA- /Einzel-WEP-Einstellungen ist für das (einzig genutzte) WLAN-1 die Verschlüsselung aktiv mit der Methode 802.11i (WPA)-PSK mit einem Schlüssel und dem WPA Sitzungs-Schlüssel TKIP. Und genau da liegt das Problem - stellt man auf beiden Seiten AES ein funktioniert alles tadellos.

Gibt es denn einen Grund hier TKIP zu verwenden? Unterstützt/-en die WLAN-Karte(n) die sich am L-54g oder am 1511 anmelden sollen denn nur TKIP? Was für Karten hat der Kunde? Sollen "Besucher" sich auch verbinden können?

Mit den Ergebnissen der eben gestellten Fragen sollte man evt. überlegen ein zweites WLAN-Netz (WLAN-2) aufzumachen für die Clients und das WLAN-1 nur für die Kommunikation der APs untereinander zu nutzen.

Ansonsten noch ein paar Tipps:
- falls keine Clients mit 11 MBit/s nach 802.11b existieren kannst du auch auf Nur 802.11g (54 MBit) stellen (auf beiden Geräten)
- wenn alles funktioniert könntest du TX-Burst einschalten (auf beiden Geräten)
- der Schlüssel für 11i-Verschlüsselung könnte etwas länger sein (empfohlen ist wohl 22 Buchstaben oder höher)
- den obersten Eintrag in der Routing-Tabelle verstehe ich nicht, hat das einen tieferen Sinn? Kann aber auch sein, dass das mit dem PPTP zusammenhängt - da kenn ich mich nicht so gut aus. (1511)
- du hast in der PPP-Liste und der PPTP-Liste die Gegenstelle "INTERNET-PPTP" angegeben, die so gar nicht in der Namensliste steht, das steht nur "INTERNET" - könnte aber ebenfalls sein, dass das mit dem PPTP zusammenhängt, ich stelle das hier nur mal so in den Raum ... (1511)
- soweit ich es erkenne geht der Router mit DSL online (und nicht mit ISDN), die Zeit des 1511ers sollte daher regelmäßig mit einem Zeit-Server (NTP) synchronisiert werden (und nicht mit jedem ISDN-Verbindungsaufbau, weil es den ja gar nicht gibt) [dann natürlich auch NTP-Server einstellen]
- im L-54g muss der DHCP-Server auf Client-Modus, weiterleiten ist hier die falsche Einstellung, führt aber anscheinend trotzdem nicht zu einem Fehler (oder der L-54g bekommt eine feste IP)

So, dann probier das mal aus und viel Erfolg!

Viele Grüße,
Jirka

[tbc233]

zunächst mal ganz herzlichen Dank.

das ist ein ganz wertvoller Input.

Ich weiß nicht mehr genau, warum ich mich für TKIP entschieden habe, ich glaub es lag aber daran, dass das Notebook, dass der Kunde schon hatte, kein AES auf die Reihe gekriegt hat. Besucher müssen (zumindest vorerst) keine rein.

Was die ganze Internet-PPTP Sache angeht, so ist das OK so. Diese Einträge sind vom Setup-Assisten generiert und managen den Verbindungsaufbau über das ADSL Modem (das ist in Österreich ein bisserl komisch... lange Geschichte, ich bin heilfroh, dass LANCOM das unterstützt).

Ich bin jedenfalls vorraussichtlich Morgen beim Kunden und werde mir das entsprechend ansehen. Werde dann hier bescheid geben.

Vielen Dank nochmal.

[Jirka]

Hallo,

> Notebook, dass der Kunde schon hatte, kein AES auf die Reihe gekriegt hat

falls dem wirklich so sein sollte, solltest du - wie schon erwähnt - auf beiden Geräten das WLAN-Netzwerk 2 für die Clients aktivieren (mit möglichst anderer SSID). Dazu dann die dazu gewünschte Verschlüsselung unter WLAN-Sicherheit -> 802.11i/WEP einstellen.
WLAN-Netzwerk 1 muss für die Verbindung der APs untereinander genutzt werden.

Grüße,
Jirka

[alf29]

Moin,

TKIP auf P2P-Verbindungen ist in der releasten 4.0x leider
etwas derangiert - scusi, da ist mir eine Hälfte des
Michael-Schlüssels abhanden gekommen, und Michael-
Fehler nimmt TKIP immer besonders übel (vermuteter
Hack-Versuch -> Counter Measures -> WLAN für
eine Minute gesperrt...). Wer das dringend braucht,
kann beim Support nach einer aktuellen Firmware 4.04
fragen, wenn ich die Logs richtig lese, ist das da
gefixt.

Ich benutze TKIP auf P2P-Verbindungen eigentlich
recht selten, AES ist in jeder Hinsicht besser. Die
Verschlüsselung ist stärker, Man hat nicht das
Gewurste mit unterschiedlichen Schlüsseln in beide
Richtungen (-> die Hardware muß weniger Schlüssel
verwalten), und Countermeasures braucht man auch
nicht mehr...

Ich hatte auch mal Probleme mit einer Belkin-Karte
unter XP mit AES, die haben sich gelöst, nachdem
SP2 installiert war. Da kann man dann die
Pairwise Ciphers auf TKIP+AES stehen lassen,
die APs einigen sich dann auf AES auf der P2P-
Strecke und die Clients nehmen, was sie können.

Bei Clients, die partout kein AES vertragen, kann man
wie Jirka geschrieben hat einfach ein zweites
logisches Netz mit nur-TKIP hochziehen.

Gruß Alfred

[tbc233]

Leute,

Ihr seht mich erleichtert, überwältigt und gerührt. Ich war heute (einen Tag verspätet aufgrund Terminstreß) beim Kunden und es klappt nun alles. Ich habe tatsächlich nur auf beiden Geräten von TKIP auf TKIP/AES umgestellt und alles war erledigt. Auf den Clients musste ich wie prophezeit gar nichts umstellen. Genial.
Danach habe ich noch diverse Kleinigkeiten nachkonfiguriertt und alles war perfekt.

Ich kann mich nur nocheinmal bei euch bedanken. Ihr habt nicht nur dazu beigetragen, dass ich mein Gesicht vor diesem Kunden nicht komplett verloren habe sondern habt mich auch in meiner Passion für Lancom Produkte bestätigt.

An jene, die bei Lancom tätig sind: Danke! Macht weiter so. Ich verspreche euch, dass ich als EDV Dienstleister eure Geräte weiterhin unter die Leute bringen werde.

Achja: Eine Verständnisfrage noch (Unabhängig davon, ob es sinnvoll wäre): Mal angenommen, ich würde noch einen weiteren AP (zb. wieder einen L-54g) besorgen und würde auch diesen in den vorhanden AP-Verbund integrieren wollen: Muss dann in allen dreien die Mac Adresse der jeweils beiden anderen in dei P2P Konfiguration eingetragen werden? Ich meine, auch dann, wenn es aufgrund der Entfernung schon relativ unwahrscheinlich ist, dass AP1 und AP3 sich jemals wirklich "sehen" werden?

liebe grüße,
michael

[LoUiS]

Hallo Michael,

Achja: Eine Verständnisfrage noch (Unabhängig davon, ob es sinnvoll wäre): Mal angenommen, ich würde noch einen weiteren AP (zb. wieder einen L-54g) besorgen und würde auch diesen in den vorhanden AP-Verbund integrieren wollen: Muss dann in allen dreien die Mac Adresse der jeweils beiden anderen in dei P2P Konfiguration eingetragen werden? Ich meine, auch dann, wenn es aufgrund der Entfernung schon relativ unwahrscheinlich ist, dass AP1 und AP3 sich jemals wirklich "sehen" werden?

[AP1] <--->[AP2]<--->[AP3]

Auf AP1 muss die MAC von WLAN AP2 eingetragen werden, auf AP2 muss die WLAN MAC von AP1 und AP3 eingetragen werden und auf AP3 muss wieder die WLAN MAC von AP2 eingetragen sein. Also immer die WLAN MAC Adressen von den Gegenstellen die eine P2P Verbindung zueinander aufbauen.


Ciao
LoUiS

[alf29]

Hi,

freut mich, daß jetzt alles klappt!

P2P-Strecken sind Point-2-Point-Strecken, d.h. man trägt imme nur die
Adressen der 'next hops' ein - wenn man drei APs hat, konfiguriert man
in einen AP die MAC-Adressen der beiden 'Außenstellen' und stellt den
z.B. auf Master, die beiden anderen bekommen je nur seine Adresse und
man stellt sie dann als Slaves ein.

Gruß Alfred