L-321agn, Konfigurationsstörung

[Keyboy]

Moin liebe Lancomler,

Habe aktuell einen L-321agn als HotSpot mit Publicspot laufen. Aktuellste LCOS Version läuft auch, dementsprechend ist die Konverter-Firmware installiert.

Gestern abend wurde gemeldet dass jeder ohne Authentifizierung ins Netz kommt, bin davon ausgegangen dass sich der RADIUS Server mal wieder selbst gelöscht hat.

Bin gerade mal hingefahren und habe nachgeguckt, der AP hat die Konverterfirmware als Hauptfirmware aktiviert. Ich kann weder auf die normale Firmware wechseln, noch eine andere Firmware hochladen. [Ich bin auch der Meinung dass ich bereits eine aktuellere Konverterfirmware hochgeladen hatte als mir angezeigt wird]

Ist das ein Garantiefall für LANCOM oder ist dies normal? Wenn dem so wäre, werde ich mich wohl von LANCOM trennen müssen da es nicht mehr alleine im Produktiveinsatz laufen kann wenn plötzlich jeder ins Netz kommt.

Vielen Dank im Voraus für eure Hilfe

Gruß
Keyboy

[Jirka]

Hallo Keyboy,

Bin gerade mal hingefahren und habe nachgeguckt, der AP hat die Konverterfirmware als Hauptfirmware aktiviert.

tja, das sind die Tücken einer Minimalfirmware...
Da sollte man erstens Maßnahmen ergreifen, dass man über so einen Rückfall in die Minimalfirmware informiert wird (z. B. per E-Mail), dass es zweitens gar nicht erst soweit kommt (Bootlog an LANCOM-Support schicken, damit der Grund für den Absturz beseitigt wird) und dass man drittens die Minimalfirmware evt. ganz runternimmt, denn wenn die nicht da ist, kann sie auch nicht gestartet werden. Das könnte allerdings gefährlich werden, wenn es wirklich mal ein Problem gibt, dann sollte man als Grundvoraussetzung ein serielles Kabel sein Eigen nennen. Auch gestaltet sich ein Firmware-Update dann schwieriger: Erst Minimalfirmware rein, dann neue Firmware rein und dann die Minimalfirmware wieder runter...

Ich kann weder auf die normale Firmware wechseln, noch eine andere Firmware hochladen.

Das wiederum ist allerdings etwas komisch... Was kommen denn so für Fehlermeldungen? Wie sieht es unter Firmware/Table-Firmsafe aus? Das ist vermutlich ein Bug in LANconfig, dass Du die Firmware nicht wechseln kannst. Gehe einfach mit Telnet oder SSH oder WEBconfig auf die Konsole/das Webinterface und mache folgendes (hier für die Konsole beschrieben, WEBconfig analog):
cd /firm/tab
ls
set 1 active (Bitte die 1 durch 2 ersetzen, wenn in der oben mit ls ausgegebenen Tabelle die zu aktivierende Firmware in Position 2 liegt.)
do /o/c

[Ich bin auch der Meinung dass ich bereits eine aktuellere Konverterfirmware hochgeladen hatte als mir angezeigt wird]

Nun ja, da irrst Du Dich vermutlich... Von alleine tauscht der AP die Firmware jedenfalls nicht. Und auch nicht die Versionsnummer/Bezeichnung.

Ist das ein Garantiefall für LANCOM

Danach sieht es noch nicht aus...

werde ich mich wohl von LANCOM trennen müssen da es nicht mehr alleine im Produktiveinsatz laufen kann wenn plötzlich jeder ins Netz kommt.

Einfach ordentlich konfigurieren/einrichten, dann passt's schon

Viele Grüße,
Jirka

[Keyboy]

Ich kann weder auf die normale Firmware wechseln, noch eine andere Firmware hochladen.

Das wiederum ist allerdings etwas komisch... Was kommen denn so für Fehlermeldungen? Wie sieht es unter Firmware/Table-Firmsafe aus? Das ist vermutlich ein Bug in LANconfig, dass Du die Firmware nicht wechseln kannst. Gehe einfach mit Telnet oder SSH oder WEBconfig auf die Konsole/das Webinterface und mache folgendes (hier für die Konsole beschrieben, WEBconfig analog):
cd /firm/tab
ls
set 1 active (Bitte die 1 durch 2 ersetzen, wenn in der oben mit ls ausgegebenen Tabelle die zu aktivierende Firmware in Position 2 liegt.)
do /o/c

Fehlermeldung beim wechseln: "Das Firmware-Image kann nicht aktiviert werden."
Fehlermeldung beim upload (sinngemäß): "Prüfsumme stimmt nicht, Datei fehlerhaft" (Hab die Daten mit 3 verschiedenen Rechnern runtergeladen, immer das selbe.

Per LAN komm ich garnicht mehr drauf, nurnoch per WLAN.

Das mit dem WebConfig werde ich ausprobieren, aber wo finde ich die Option? Mein Webconfig besteht aus 2 Punkten: "System information" und "Upload Firmware/File"

Danke schonmal für die Hilfe

Gruß
Keyboy

[garfield0815]

Hast du irgend einen Virenscanner auf deinem Rechner
Deaktivire den Virenscanner und firewall und versuch die Firmware nochmahl drauf zu laden

[alf29]

Moin,

Minimalfirmwaren haben nun einmal prinzipbedingt einen reduzierten Funktionsumfang, sonst wären sie keine solchen...802.1X-Support ist in einer Mini-Firmware in der Tat nicht enthalten, es wäre mir aber neu, daß so eine SSID bei einer Mini-Firmware zu einer offenen mutiert...

Die WEBconfig einer Mini-Firmware ist entsprechend auch reduziert. Generell ist die Mini-Firmware zu wenig mehr gedacht, als daß man darüber wieder eine vollständige Firmware hochladen kann.

Eine kaputte Firmware, in dem Sinne daß im Flash ein Bit gekippt ist und die Prüfsumme nicht mehr stimmt, ist zwar extrem selten, aber nicht unmöglich. Dann ist neu hochladen angesagt, im schlimmsten Fall über die Outband. Wenn das nicht klappt, dann ist das Flash im Gerät defekt.

Gruß Alfred

[Keyboy]

Moin,

es wäre mir aber neu, daß so eine SSID bei einer Mini-Firmware zu einer offenen mutiert...

"mutiert" ist sie ja nicht, offen ist sie immer. Normalerweise steht halt der RADIUS Server dahinter.

Ich werde sobald ich wieder vor Ort bin die Lösungsvorschläge ausprobieren.

Danke erneut!

Gruß
Keyboy

[Keyboy]

Moin,

danke für den Tipp per SSH. Normale Firmware läuft wieder.

Gibt es eine Empfehlung was ich tun kann um die Störung in Zukunft zu verhindern?

OT: Hab noch ein weiteres Problem: Welche Einstellungen sind alles notwendig um Accountinginformationen zu bekommen? Habe unter Kosten alles aktiviert, Snapshot wöchentlich und trotzdem bekomme ich im LanMonitor unter Accounting-Infos keine Daten angezeigt.

Gibts noch eine weitere Einstellung die ich brauche?

Vielen Dank an alle die mir helfen konnten.

Gruß
Keyboy

[alf29]

Moin,

"mutiert" ist sie ja nicht, offen ist sie immer. Normalerweise steht halt der RADIUS Server dahinter.

'steht dahinter' in dem Sinne, daß der Access Point ihn bei 802.1X fragt, ob ein Client rein darf. Und in einer Minimalfirmware fehlt dieser ganze Code, um dem RADIUS-Server zu fragen. Nach meinem bisherigen Verständnis sollt ein Client dann in diesem Zustand hängen bleiben und nicht reingelassen werden, ich werde nächste Woche mal sehen, ich das nachvollziehen kann.

OT: Hab noch ein weiteres Problem: Welche Einstellungen sind alles notwendig um Accountinginformationen zu bekommen? Habe unter Kosten alles aktiviert, Snapshot wöchentlich und trotzdem bekomme ich im LanMonitor unter Accounting-Infos keine Daten angezeigt.

Was dort als Accounting bezeichnet wird, ist nur das Accounting für WAN-Verbindungen, nicht für WLAN-Clients, deren Traffic einfach ins LAN gebridget wird. RADIUS-Accounting wird (ab LCOS 8.84) in den Netzwerkeinstellungen eingeschaltet, indem man in dem Feld dafür den Namen eines RADIUS-Servers einträgt, den man in der entsprechenden Tabelle definiert hat. Auf der CLI ist diese Tabelle unter Setup/WLAN/RADIUS-Accounting, wo sie im LANconfig gelandet ist weiß ich aktuell leider nicht.

Gruß Alfred

[Jirka]

Hallo Keyboy,

Gibt es eine Empfehlung was ich tun kann um die Störung in Zukunft zu verhindern?

na das habe ich doch oben schon geschrieben... E-Mail bei Neustart mit bootlog. Bootlog auswerten. Evt. Minimalfirmware löschen. Konfiguration verbessern.

OT: Hab noch ein weiteres Problem: Welche Einstellungen sind alles notwendig um Accountinginformationen zu bekommen? Habe unter Kosten alles aktiviert, Snapshot wöchentlich und trotzdem bekomme ich im LANmonitor unter Accounting-Infos keine Daten angezeigt.

Wie Alfred schon geschrieben hat, sind das genau die Einstellungen um das Accounting beim Routing zu erfassen. D. h. genau so stellst Du es, wenn vorhanden, im davor stehenden LANCOM-Router ein.


Hallo Alfred,

'steht dahinter' in dem Sinne, daß der Access Point ihn bei 802.1X fragt, ob ein Client rein darf. Und in einer Minimalfirmware fehlt dieser ganze Code, um dem RADIUS-Server zu fragen. Nach meinem bisherigen Verständnis sollt ein Client dann in diesem Zustand hängen bleiben und nicht reingelassen werden, ich werde nächste Woche mal sehen, ich das nachvollziehen kann.

also ich habe das anders verstanden... Er hat einen AP, wo er eine SSID unverschlüsselt, also offen betreibt und als Authentifizierung zur Nutzung dieses offenen Zugangs den Public Spot einsetzt, der einen dahinter stehenden RADIUS befragt (und nicht den RADIUS im LANCOM selber). Also nichts mit 802.1x und so.

Auf der CLI ist diese Tabelle unter Setup/WLAN/RADIUS-Accounting, wo sie im LANconfig gelandet ist weiß ich aktuell leider nicht.

@Keyboy: In LANconfig ist dieses RADIUS-Accounting unter Konfiguration -> Wireless-LAN -> Stationen -> RADIUS-Accounting-Server... zu finden.

Viele Grüße,
Jirka

[alf29]

Moin,

also ich habe das anders verstanden... Er hat einen AP, wo er eine SSID unverschlüsselt, also offen betreibt und als Authentifizierung zur Nutzung dieses offenen Zugangs den Public Spot einsetzt, der einen dahinter stehenden RADIUS befragt (und nicht den RADIUS im LANCOM selber). Also nichts mit 802.1x und so.

Doch doch, er hat schon eine SSID mit 802.1X, d.h. nach der Assoziation müßte der AP eine 802.1X-Verhandlung zwischen Client und RADIUS-Server starten. Soweit kommt es aber erst gar nicht, denn schon die SSID selber wird von einer Minimal-Firmware mangels Support für 802.1X so verkehrt aufgesetzt, daß sie für Clients wie eine SSID mit statischem WEP aussieht, aber ohne Schlüssel...wir arbeiten dran...

Gruß Alfred

[Keyboy]

Moin,

@alf29: Ich bin mir nicht sicher, aber ich glaube dass ich kein 802.1X nutze. Ich habe es zumindest nie aktiviert/konfiguriert und es ist auch z.Zt. nicht konfiguriert. Ich nutze den internen RADIUS Server vom LANCOM.

Gruß
Keyboy

[alf29]

Moin,

hmpf, so hatte ich das hier verstanden und deswegen habe ich hier schon einiges angetreten. Das Problem ist immer, die Leute reden von RADIUS und sagen nie dazu, wozu sie denn RADIUS eigentlich nutzen, so daß man eigentlich immer zurückfragen muß Für 802.1X? Zur Filterung von MAC-Adressen im WLAN? Im Public Spot Modul?

Wenn es um Public Spot geht: dieses Modul fehlt komplett im Minimalfirmwaren, und es ist für eine Minimalfirmware auch prinzipdbedingt nicht möglich festzustellen, daß eine volle Firmware auf dem einen oder anderen Port Public Spot aktivieren würde, weil sie die entsprechenden Teil der Konfig gar nicht ausliest...

Gruß Alfred

[Keyboy]

Hallo Alfred,

tut mir leid dass du dir jetzt unnötig Arbeit gemacht hast, aber natürlich hast du Recht. Ich werde in Zukunft sauberer formulieren.

Sorry!

Gruß
Keyboy

[alf29]

Moin,

wir werden hier morgen weiter diskutieren, wie man das lösen könnte. Einfach wird das aber wie gesagt nicht.


Gruß Alfred