AP Verbindung mit WLC über VPN

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
te-it
Beiträge: 10
Registriert: 17 Jan 2018, 06:53

AP Verbindung mit WLC über VPN

Beitrag von te-it »

Moin Moin :),

ich habe da mal ein Problem und vielleicht hat ja jemand einen guten Tipp für mich.

Ich Habe einen 1783VA mit WLC Basic Option [Firmware 10.30.0167 RU1] der in seinem Netzwerk zwei AP's verwaltet. Jetzt soll er einen entfernten AP ebenfalls mit Profilen versorgen. Der Externe Standort ist über VPN angebunden, dort ist ein IAP-822 [Firmware 10.30.0167 RU1].

Das Problem ist, das er keine Profile bekommt. Der AP kann "WLC-Address" auflösen bzw. hat auch die IP vom WLC extra in seiner Konfiguration. Er hat die aktuelle Zeit und der WLC selber ist über Port 80 erreichbar.

Test weise habe ich ihn schon ins Lokale Netzwerk des WLC gesteckt, wo er dann auch erkannt wurde und ein Zertifikat, sowie ein Profil bekommen hat. Wieder am externen Standort positioniert wird er im Lanmonitor unter Fehlende APs gelistet.

Hätte jemand evtl. noch einen Tipp was ich übersehen haben könnte? Das wäre wirklich Super. Ein CAPWAP-CTRL Trace vom WLC hängt unten mit dran.

Code: Alles auswählen

[CAPWAP-CTRL] 2019/07/17 19:21:45,140  Devicetime: 2019/07/17 19:21:45,914
CAPWAP Message received
Job-PID: 57191 
State..: DTLS-Setup 
UdpConn: L:172.16.0.1:1027  R:10.3.2.250:5441 (WAN, LAGERHALLE)
Message content:
 Message type: Discovery Request
 Sequence Num: 8
 Flags       : 0
   Discovery Type:            'DNS'
   WTP Board Data:
     Vendor ID:               2356
     WTP Model Number:        LANCOM IAP-822
     WTP Serial Number:       4005329418100016
     Board ID:                nwapp2
     Board Revision:          H
   WTP Descriptor:
     Max Radios:              2
     Radios in use:           2
     Encrypt Capability:      0x0
     Vendor ID:               2356
     Hardware Version:        
     Vendor ID:               2356
     Software Version:        10.30.0167 / 10.07.2019
     Vendor ID:               2356
     Boot Version:            4.46
   WTP Frame Tunnel Mode:      LocalBridging,
   WTP MAC Type:              'Local MAC'
   Vendor Specific Payload: 'LAN MAC' (1)
     MAC-Addr:       00:a0:57:49:05:b7
   Vendor Specific Payload: 'Trigger to use Router once again' (72)
     Use Router Trigger

[CAPWAP-CTRL] 2019/07/17 19:21:45,140  Devicetime: 2019/07/17 19:21:45,914
CAPWAP Message to transmit:
Job-PID: 57191
UdpConn: L:172.16.0.1:1027  R:10.3.2.250:5441 (WAN, LAGERHALLE)
Message content:
 Message type: Discovery Response
 Sequence Num: 8
 Flags       : 0
   Result Code:               Success
   AC Name Index:             'CentralGateway' (Idx:1)
   Vendor Specific Payload: 'WLC Preference' (48)
     Preference: 0
   Vendor Specific Payload: 'CPU Load' (49)
     CPU load 5s:     4.02%
     CPU load 60s:    3.54%
     CPU load 300s:   1.84%
   AC Timestamp:              2019/7/17 17:21:42
   AC Descriptor:
     Stations:       0
     Limit:          65535
     Active WTPs:    2
     Max WTPs:       6
     Security:       X.509 Certificate Based,
     R-MAC Field:    yes
     Reserved1:      0x0
     DTLS Policy:    Clear Text Data Channel,
     Vendor ID:               2356
     Hardware Version:        
     Vendor ID:               2356
     Software Version:        10.30.0167 / 09.07.2019
   Vendor Specific Payload: 'Control Encrypt Type' (2)
     Ctrl-Encrypt:   DTLS
   CAPWAP Control IPv4 Addr:
     IP-Addr:           172.16.0.1
     WTP Count:         2
   Vendor Specific Payload: 'LAN MAC' (1)
     MAC-Addr:       00:a0:57:2e:42:58


[CAPWAP-CTRL] 2019/07/17 19:21:50,725  Devicetime: 2019/07/17 19:21:51,915
CAPWAP Message received
Job-PID: 57191 
State..: DTLS-Setup 
UdpConn: L:172.16.0.1:1027  R:10.3.2.250:5441 (WAN, LAGERHALLE)
Message content:
 Message type: Discovery Request
 Sequence Num: 8
 Flags       : 0
   Discovery Type:            'DNS'
   WTP Board Data:
     Vendor ID:               2356
     WTP Model Number:        LANCOM IAP-822
     WTP Serial Number:       4005329418100016
     Board ID:                nwapp2
     Board Revision:          H
   WTP Descriptor:
     Max Radios:              2
     Radios in use:           2
     Encrypt Capability:      0x0
     Vendor ID:               2356
     Hardware Version:        
     Vendor ID:               2356
     Software Version:        10.30.0167 / 10.07.2019
     Vendor ID:               2356
     Boot Version:            4.46
   WTP Frame Tunnel Mode:      LocalBridging,
   WTP MAC Type:              'Local MAC'
   Vendor Specific Payload: 'LAN MAC' (1)
     MAC-Addr:       00:a0:57:49:05:b7
   Vendor Specific Payload: 'Trigger to use Router once again' (72)
     Use Router Trigger

[CAPWAP-CTRL] 2019/07/17 19:21:50,725  Devicetime: 2019/07/17 19:21:51,915
CAPWAP Message to transmit:
Job-PID: 57191
UdpConn: L:172.16.0.1:1027  R:10.3.2.250:5441 (WAN, LAGERHALLE)
Message content:
 Message type: Discovery Response
 Sequence Num: 8
 Flags       : 0
   Result Code:               Success
   AC Name Index:             'CentralGateway' (Idx:1)
   Vendor Specific Payload: 'WLC Preference' (48)
     Preference: 0
   Vendor Specific Payload: 'CPU Load' (49)
     CPU load 5s:     4.02%
     CPU load 60s:    3.54%
     CPU load 300s:   1.84%
   AC Timestamp:              2019/7/17 17:21:42
   AC Descriptor:
     Stations:       0
     Limit:          65535
     Active WTPs:    2
     Max WTPs:       6
     Security:       X.509 Certificate Based,
     R-MAC Field:    yes
     Reserved1:      0x0
     DTLS Policy:    Clear Text Data Channel,
     Vendor ID:               2356
     Hardware Version:        
     Vendor ID:               2356
     Software Version:        10.30.0167 / 09.07.2019
   Vendor Specific Payload: 'Control Encrypt Type' (2)
     Ctrl-Encrypt:   DTLS
   CAPWAP Control IPv4 Addr:
     IP-Addr:           172.16.0.1
     WTP Count:         2
   Vendor Specific Payload: 'LAN MAC' (1)
     MAC-Addr:       00:a0:57:2e:42:58


[CAPWAP-CTRL] 2019/07/17 19:21:57,232  Devicetime: 2019/07/17 19:21:58,422
CAPWAP Message received
Job-PID: 57192 
State..: Idle 
UdpConn: L:172.16.0.1:1027  R:10.3.2.250:5443 (WAN, LAGERHALLE)
Message content:
 Message type: Discovery Request
 Sequence Num: 9
 Flags       : 0
   Discovery Type:            'DNS'
   WTP Board Data:
     Vendor ID:               2356
     WTP Model Number:        LANCOM IAP-822
     WTP Serial Number:       4005329418100016
     Board ID:                nwapp2
     Board Revision:          H
   WTP Descriptor:
     Max Radios:              2
     Radios in use:           2
     Encrypt Capability:      0x0
     Vendor ID:               2356
     Hardware Version:        
     Vendor ID:               2356
     Software Version:        10.30.0167 / 10.07.2019
     Vendor ID:               2356
     Boot Version:            4.46
   WTP Frame Tunnel Mode:      LocalBridging,
   WTP MAC Type:              'Local MAC'
   Vendor Specific Payload: 'LAN MAC' (1)
     MAC-Addr:       00:a0:57:49:05:b7

[CAPWAP-CTRL] 2019/07/17 19:21:57,232  Devicetime: 2019/07/17 19:21:58,422
CAPWAP Message to transmit:
Job-PID: 57192
UdpConn: L:172.16.0.1:1027  R:10.3.2.250:5443 (WAN, LAGERHALLE)
Message content:
 Message type: Discovery Response
 Sequence Num: 9
 Flags       : 0
   Result Code:               Success
   AC Name Index:             'CentralGateway' (Idx:1)
   Vendor Specific Payload: 'WLC Preference' (48)
     Preference: 0
   Vendor Specific Payload: 'CPU Load' (49)
     CPU load 5s:     4.02%
     CPU load 60s:    3.42%
     CPU load 300s:   1.90%
   AC Timestamp:              2019/7/17 17:21:58
   AC Descriptor:
     Stations:       0
     Limit:          65535
     Active WTPs:    2
     Max WTPs:       6
     Security:       X.509 Certificate Based,
     R-MAC Field:    yes
     Reserved1:      0x0
     DTLS Policy:    Clear Text Data Channel,
     Vendor ID:               2356
     Hardware Version:        
     Vendor ID:               2356
     Software Version:        10.30.0167 / 09.07.2019
   Vendor Specific Payload: 'Control Encrypt Type' (2)
     Ctrl-Encrypt:   DTLS
   CAPWAP Control IPv4 Addr:
     IP-Addr:           172.16.0.1
     WTP Count:         2
   Vendor Specific Payload: 'LAN MAC' (1)
     MAC-Addr:       00:a0:57:2e:42:58

[CAPWAP-CTRL] 2019/07/17 19:22:00,603  Devicetime: 2019/07/17 19:22:01,422
CAPWAP Message received
Job-PID: 57192 
State..: DTLS-Setup 
UdpConn: L:172.16.0.1:1027  R:10.3.2.250:5443 (WAN, LAGERHALLE)
Message content:
 Message type: Discovery Request
 Sequence Num: 9
 Flags       : 0
   Discovery Type:            'DNS'
   WTP Board Data:
     Vendor ID:               2356
     WTP Model Number:        LANCOM IAP-822
     WTP Serial Number:       4005329418100016
     Board ID:                nwapp2
     Board Revision:          H
   WTP Descriptor:
     Max Radios:              2
     Radios in use:           2
     Encrypt Capability:      0x0
     Vendor ID:               2356
     Hardware Version:        
     Vendor ID:               2356
     Software Version:        10.30.0167 / 10.07.2019
     Vendor ID:               2356
     Boot Version:            4.46
   WTP Frame Tunnel Mode:      LocalBridging,
   WTP MAC Type:              'Local MAC'
   Vendor Specific Payload: 'LAN MAC' (1)
     MAC-Addr:       00:a0:57:49:05:b7
   Vendor Specific Payload: 'Trigger to use Router once again' (72)
     Use Router Trigger

[CAPWAP-CTRL] 2019/07/17 19:22:00,608  Devicetime: 2019/07/17 19:22:01,422
CAPWAP Message to transmit:
Job-PID: 57192
UdpConn: L:172.16.0.1:1027  R:10.3.2.250:5443 (WAN, LAGERHALLE)
Message content:
 Message type: Discovery Response
 Sequence Num: 9
 Flags       : 0
   Result Code:               Success
   AC Name Index:             'CentralGateway' (Idx:1)
   Vendor Specific Payload: 'WLC Preference' (48)
     Preference: 0
   Vendor Specific Payload: 'CPU Load' (49)
     CPU load 5s:     4.02%
     CPU load 60s:    3.42%
     CPU load 300s:   1.90%
   AC Timestamp:              2019/7/17 17:21:58
   AC Descriptor:
     Stations:       0
     Limit:          65535
     Active WTPs:    2
     Max WTPs:       6
     Security:       X.509 Certificate Based,
     R-MAC Field:    yes
     Reserved1:      0x0
     DTLS Policy:    Clear Text Data Channel,
     Vendor ID:               2356
     Hardware Version:        
     Vendor ID:               2356
     Software Version:        10.30.0167 / 09.07.2019
   Vendor Specific Payload: 'Control Encrypt Type' (2)
     Ctrl-Encrypt:   DTLS
   CAPWAP Control IPv4 Addr:
     IP-Addr:           172.16.0.1
     WTP Count:         2
   Vendor Specific Payload: 'LAN MAC' (1)
     MAC-Addr:       00:a0:57:2e:42:58

[CAPWAP-CTRL] 2019/07/17 19:22:00,680  Devicetime: 2019/07/17 19:22:01,521
No PMTU discovery message was received during 60 seconds. Destroying connection.
Job-PID: 57182 
State..: DTLS-Setup 
UdpConn: L:172.16.0.1:1027  R:10.3.2.250:5431 (WAN, LAGERHALLE)


[CAPWAP-CTRL] 2019/07/17 19:22:05,178  Devicetime: 2019/07/17 19:22:06,331
No PMTU discovery message was received during 60 seconds. Destroying connection.
Job-PID: 57183 
State..: DTLS-Setup 
UdpConn: L:172.16.0.1:1027  R:10.3.2.250:5433 (WAN, LAGERHALLE)
Nach oben
DGrand
Beiträge: 65
Registriert: 04 Nov 2015, 19:19

Re: AP Verbindung mit WLC über VPN

Beitrag von DGrand »

Hi!

Hab eine ähnliche Konfiguration am Laufen. Zentrale mit WLC und AP und Außenstelle mit AP der seine Konfiguration über den WLC in der Zentrale bezieht.

Ich weiß, das ich auch startschwierigkeiten hatte bis dann endlich das Zert. am entfernten AP angekommen ist. Jedoch ist es zu lange her um auf Anhieb zu sagen woran es lag.

Folgende punkte solltest Du prüfen:

WLC
- Konfig-WLC-Allgemein: "Aufnahme auch über eine WAN-Verbindung" steht bei mir auf VPN
- Konfig - WLC-Allgemein: WLC-Tunnel ist nicht aktiv , WLC Datentunnel ist nicht aktiv
- Konfig - WLC- AP-Konfiguration: Dein entfernten AP eintragen , Status Aktiv und Update sollten auf Ja eingestellt sein
- Konfig IPv4 - DNS - Weiterleitungen: Dort habe ich das entfernte Netz mit Domäne ?*, Tag 0 und Gegenstelle die IP des enternten Routers (VPN Endpunkt im Idealfall)
- Konfig - Zertifikate - CA

Teste zudem mal unter
- Konfig - Management - Allgemein - Ports und Zugriffseinstellungen die versch. Protokolle und Ports für WAN (nur über VPN) und freizugeben

Teste dies einmal, dann kann ich Dir noch weitere Einstellungen von den VPN Lancom Routern bzw. dem entfernten AP schicken...
Router/ Modem: 1781VA-4G + ALL-IP + VPN25 & 1783VAW I Wlan: L-1302acn & L-1310acn & WLC-4006+ I Switch: GS-2326 & GS-2310P
Nach oben
te-it
Beiträge: 10
Registriert: 17 Jan 2018, 06:53

Re: AP Verbindung mit WLC über VPN

Beitrag von te-it »

Moin DGrand,

bis auf die DNS Weiterleitung war alles schon so eingestellt. Leider immer noch keine Verbindung zum WLC.

Grüße
Nach oben
DGrand
Beiträge: 65
Registriert: 04 Nov 2015, 19:19

Re: AP Verbindung mit WLC über VPN

Beitrag von DGrand »

So dann, im entfernten Router (Lancom) welcher der Endpunkt Deiner VPN Verbindung ist hab ich in meinem Szenario folgende Settings welche uU für den WLC interessant sind.

Config- ipV4 - DNS - StationsNamen : 1. Eintrag mit WLC-Address Tag 0 ipV4 [ip von Deinem WLC] II 2. Eintrag WLC-Address.intern Tag 0 [ip von Deinem WLC]

wichtig auch, das beide Router eine korekte Zeit haben, sprich kontrolliere Deine NTP bezüge der Router

Neustart des WLC, des Routers und des enternten APs bewirken macnhmal auch wunder... dann wieder ein paar minuten Zeit geben für die VPN Aushandlung und den Handshake zwischen AP und WLC
Router/ Modem: 1781VA-4G + ALL-IP + VPN25 & 1783VAW I Wlan: L-1302acn & L-1310acn & WLC-4006+ I Switch: GS-2326 & GS-2310P
Nach oben
DGrand
Beiträge: 65
Registriert: 04 Nov 2015, 19:19

Re: AP Verbindung mit WLC über VPN

Beitrag von DGrand »

Stellst Du den enternten AP komplett nackt ins Netz sprich out of the box / geressetet oder hast Du schon einstellungen am AP durchgeführt?

Mein entfertner AP hat in der DNS StatiosnTabelle (wie der Router) den WLC als Stations-Namen hinterlegt
Router/ Modem: 1781VA-4G + ALL-IP + VPN25 & 1783VAW I Wlan: L-1302acn & L-1310acn & WLC-4006+ I Switch: GS-2326 & GS-2310P
Nach oben
te-it
Beiträge: 10
Registriert: 17 Jan 2018, 06:53

Re: AP Verbindung mit WLC über VPN

Beitrag von te-it »

Moin,

vielen Dank für deine Zeit. Die Verbindung haut eigentlich soweit schon hin, also auch die DNS Auflösung. Der WLC spricht mit dem AP und sucht auch nach hinterlegten Scripten, aber danach ist irgendwie Schluss.

Gibt es evtl. noch mögliche Traces die Aufschluss darüber geben könnten wann und wo es hakt?
Nach oben
te-it
Beiträge: 10
Registriert: 17 Jan 2018, 06:53

Re: AP Verbindung mit WLC über VPN

Beitrag von te-it »

Moin,

danke noch einmal für die Hilfe. Ich konnte das Problem durch einen Zufall herausfinden und beheben.

Kurzfassung:

Der WLC Router hat historisch bedingt durch eine Umstellung noch ein IPv4 Netzwerk welches eigentlich nicht genutzt wird, jedoch heißt dieses eben 'INTRANET'. Auf der ToDo Liste steht es zwar, dieses zu entfernen, aber naja, die Zeit....

Im Lanmonitor habe ich zufällig gesehen das im Externen Router die IP des Routers aus diesem Netzwerk mit Port 1027 (WLC) in richtung der IP des APs durch das IDS geblock wurde. Ich habe mich gewundert und wusste nicht warum, die hinterlegte WLC IP ist zwar auch eine des Routers aber in einem anderen IPv4 Netzwerk.

Durch hinzufügen einer Route im externen Router auf das alte noch Namentliche 'INTRANET' Netzwerk über die VPN Verbindung, hat das Problem sofort gelöst und der AP konnte ein Profil vom WLC beziehen.


Evtl. kann ja jmd. anderes diese Frage beantworten, warum über Extern die APs unbedingt mit der IP des WLC aus dem 'INTRANET' Netzwerk sprechen müssen? Lokal am Standort des WLC sind die APs ja auch in einem anderen Netzwerk als das 'INTRANET'.

Grüße
Nach oben
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“