1781VA - Aber sowas von ausgesperrt !

[gzata]

Hallo zusammen,

durch einen Tippfehler habe ich mich komplett vom Router ausgesperrt. Die Frage wäre, ob ich noch über den COM Port Zugriff habe oder der Router komplett auf Werkseinstellungen zurückzustellen ist ? Auf die AP´s (gesteuert über WLC) komme ich seltsamerweise noch.

Also 1781VA mit WLC.
Über Lanconfig habe ich folgende Einstellungen vorgenommen:
In IP/BOOTP die MacAdresse meines Notebooks und IP 192.168.1.80
In MANAGEMENT/…... /ZUGRIFFSSTATIONEN folgende IP: 192.168.1.89 (und dies war der verhängnisvolle Tippfehler, denn es musste ja
hinten die 80 sein).

Wie seht Ihr den Fall? Über COM Port konnte ich noch nicht ausprobieren, das serielle Kabel müsste ich erst besorgen - daher auch vorab die Fragestellung.
Ich würde mich über eine Antwort freuen.
Gruß
Jürgen

[alf29]

Moin,

wenn Deine APs und der 1781Va im gleichen LAN hängen, könntest Du versuchen, per LL2M an den 1781 heranzukommen - wenn Du keine Angst vor der CLI hast...

• Auf einem der APs auf die CLI einloggen (egal wie)

• Dort ein 'll2mdetect -t *1781*' eingeben

• Nach ein paar Sekunden sollte der 1781 gelistet werden

• Dann ein 'll2mexec root:<passwort>@<MAC-Adresse> eingeben. Für <passwort> das Root-Paßwort auf dem 1781 einsetzen, für <MAC-Adresse> die MAC-Adresse, die als Ausgabe vom ll2mdetect gemeldet wurde.

• Wenn alles geklappt hat, hast Du jetzt eine CLI auf dem 1781 und kannst die Konfig in Ordnung bringen.

Viele Grüße & viel Glück

Alfred

[C/5]

Hallo Jürgen,

versuch doch die IP-Reservierung des DHCP zu übergehen, in dem Du temporär Deinem fraglichen Notebook statisch die 192.168.1.89 manuell zuweist (geht auch mit der WLAN-Schnittstelle im Notebook). Wenn die Zugriffsbeschränkung am Ende nur auf die IP schaut, sollte das den Zugriff ermöglichen. Konfiguration korrigieren und anschließend die betreffende Netzwerkschnittstelle wieder auf DHCP umstellen. Eventuell am Ende mal kurz die LAN-Verbindung trennen und Stecker nach einigen Momenten wieder einstecken, damit DHCP dann greift. Ist zumindest einen Versuch wert.

Gruß
C/5

[gzata]

Hallo Ihr Beiden,
erstmal vielen Dank für die schnellen Antworten - ich bin wieder drin!

c/5: Deine Idee hatte ich auch schon ausprobiert, aber die Einstellungen schließen sich halt aus:
also auf der einen Seite die IP-Adresse über BOOTP auf 192.168.1.80 gebunden an die MacAdresse und auf der anderen Seite die Zugriffsstation auf IP 192.168.1.89. Die Mac-Adresse bleibt ja, so das in dieser Konstellation eine manuelle Vergabe der IP-Adresse nichts bringt.

Afred: über LL2M bin ich von einem AP auf den 1782VA Router gekommen und konnte auf der CLI mit del * unter /Setup/TCP-IP/Access-List den Inhalt der Tabelle der Zugriffs-Stationen löschen und hatte somit wieder Zugang zum Router.
Diese Konfigurationskonstellation habe ich bewusst gewählt, da ja mit kleinen Tools Passwörter schnell ausgelesen werden können und in dieser Form die IP Adresse über BOOTP MAC-gebunden ist. In der Tabelle Zugriffs-Stationen können ja keine MAC Adressen eingegeben werde.
Was mir jedoch unverständlich ist, dass ich dennoch Zugriff auf die AP´s hatte, obwohl sie ja über den WLC gesteuert werden -das dürfte ja eigentlich nicht sein - und somit ist die von mir gewählte Konstellation sehr wahrscheinlich obsolet.
Also ich betrachte dies als eine Sicherheitslücke - oder mache ich einen Denkfehler?

Also nochmals vielen Dank
Gruß
Jürgen

[alf29]

Moin,

Was mir jedoch unverständlich ist, dass ich dennoch Zugriff auf die AP´s hatte, obwohl sie ja über den WLC gesteuert werden -das dürfte ja eigentlich nicht sein - und somit ist die von mir gewählte Konstellation sehr wahrscheinlich obsolet.
Also ich betrachte dies als eine Sicherheitslücke - oder mache ich einen Denkfehler?

Im Prinzip ist das so, daß die gemanagten APs standalone laufen können und der WLC eben Teile der Konfig auf die APs ausrollt - das was der WLC nicht setzt/überschreibt, kann man weiterhin lokal auf den APs konfigurieren. Die Access-Liste gehört eben nicht zu den Dingen, die der WLC ausrollt, und im allgemeinen Fall ginge das auch gar nicht so einfach. APs und WLC können durchaus in unterschiedlichen IP-Subnetzen stehen, das CAPWAP geht auch über Router hinweg. Eine IP-Access-Liste, die im Netz des WLCs sinnvoll ist, muß das nicht unbedingt auf den APs sein.

Wenn Du die Access-Liste auch auf den APs setzen möchtest, gibt es immer die Möglichkeit, über den WLC ein Skript auszurollen.

Viele Grüße

Alfred

[gzata]

an die unterschiedlichen Subnetze hatte ich gar nicht gedacht, dann macht das alles Sinn.

Vielen Dank nochmals und
viele Grüße
Jürgen

[GrandDixence]

Für das nächste Mal:

Vor Konfigurationsänderungen sollte immer vorgängig ein Konfigurationsbackup (*.lcf) erstellt werden.

Nach dem Erstellen eines Konfigurationsbackup (*.lcf) sollte sofort das Zurückspielen des neu erstellten Backups getestet werden. Nur so können die (leider öfters üblichen) Syntax-Fehler erkannt und rasch möglichst behoben werden.

[gzata]

GrandDixence: Bitte richtig lesen.

Es handelt sich nicht um einen Syntax-Fehler. In diesem Fall hätte der Interpreter den Tippfehler nicht erkennen können und demzufolge die Ausführung auch nicht zurückgewiesen. Ich habe natürlich Konfigurationsbackups, die ich im Notfall, nach Herstellung der Werkseinstellungen, eingespielt hätte. Ich wollte aber einen anderen Weg gehen und mit dankenswerter Hilfe von Alfred hat das ja auch geklappt.

Dein Vorschlag (bitte nicht falsch verstehen) hätte in diesem Fall auch nichts gebracht, da es um eine Änderung der Login Einstellung auf die Administrationsebene Lanconfig/Webconfig ging. Um dieses zu testen, muss man sich zwangsläufig abmelden und wenn dann diese Art des Fehlers vorliegt, ist halt "Ebbe" mit wieder einloggen.

[backslash]

Hi gzata,

GrandDixence: Bitte richtig lesen.

bitte selber richtig lesen....

Bei GrandDixence ging es erstmal generell darum, daß man sich vor einer solchen möglicherweise ausperrenden Änderung die Konfig sicehrt und die gesicherte Konfigt auch direkt ausprobiert, damit man nicht erst im Notfall feststellt, daß in der gesicherten Konfig Syntax- oder andere Fehler enthalten sind, die ein Einspielen verhindern...

Denn wenn man so ein Backup hat, dann kann man im Falle eines Falles einfach das Gerät resetten und das Backup einspielen, statt sich die Mühe machen zu müssen, die Konfig zu rekonstruieren

Gruß
Backslash

[Jirka]

Hallo gzata,

c/5: Deine Idee hatte ich auch schon ausprobiert, aber die Einstellungen schließen sich halt aus:
also auf der einen Seite die IP-Adresse über BOOTP auf 192.168.1.80 gebunden an die MacAdresse und auf der anderen Seite die Zugriffsstation auf IP 192.168.1.89. Die Mac-Adresse bleibt ja, so das in dieser Konstellation eine manuelle Vergabe der IP-Adresse nichts bringt.

nein, diese Einstellungen schließen sich nicht aus, das wäre ebenfalls eine Alternative gewesen, c/5 hat Recht.

Hallo Backslash,

daß in der gesicherten Konfig Syntax- oder andere Fehler enthalten sind, die ein Einspielen verhindern...

wobei Syntaxfehler hier bei einer Konfig nicht so wirklich auftreten. Und wenn, z. B. als Teil der Cron- oder Aktionstabelle, dann werden die beim Einspielen der Konfig gar nicht erkannt. Insofern finde ich den Begriff Syntaxfehler hier etwas unpassend.

Viele Grüße,
Jirka

[gzata]

da habe ich ja was angerichtet, also.......

Hallo backslash,

Denn wenn man so ein Backup hat, dann kann man im Falle eines Falles einfach das Gerät resetten und das Backup einspielen, statt sich die Mühe machen zu müssen, die Konfig zu rekonstruieren

aber genau darauf bin ich doch eingegangen und schrieb:

Ich habe natürlich Konfigurationsbackups, die ich im Notfall, nach Herstellung der Werkseinstellungen, eingespielt hätte. Ich wollte aber einen anderen Weg gehen ......

Aber als generelle Anregung von GrandDixence ist das natürlich korrekt.
...... und bei dem Beitrag von GrandDixence ging es mir eher ein wenig um die verwendete Begrifflichkeit "Syntaxfehler".

Hallo Jirka

Hallo gzata,

c/5: Deine Idee hatte ich auch schon ausprobiert, aber die Einstellungen schließen sich halt aus:
also auf der einen Seite die IP-Adresse über BOOTP auf 192.168.1.80 gebunden an die MacAdresse und auf der anderen Seite die Zugriffsstation auf IP 192.168.1.89. Die Mac-Adresse bleibt ja, so das in dieser Konstellation eine manuelle Vergabe der IP-Adresse nichts bringt.

nein, diese Einstellungen schließen sich nicht aus, das wäre ebenfalls eine Alternative gewesen, c/5 hat Recht.

Das hatte ich ja versucht, aber bei mir ging es nicht (sehr wahrscheinlich, wie ich erst beim Zugriff über die CLI auf die Access-Liste feststellte, noch einen zweiten Tippfehler entdeckte - ich hatte 182.168.1.89 eingegeben. Insoweit wird c/5 auch richtig gelegen haben -

Meinen herzlichen Dank nochmal an Alle.

Viele Grüße
Jürgen