Kein Ping vom WLC-4100 möglich

[AndreasL]

Ist gut. Dann warte ich noch ein Weilchen, weil dem kann ich jetzt nicht so ganz folgen. Grundsätzlich schon aber da habe ich doch ein Verständnissproblem und weiß auch nicht was ich da ändern könnte.

Von einem AP im 3.x Netz sieht die Sache so aus:

Code: Alles auswählen

> ls /sta/ip-r/act

IP-Address       IP-Netmask       Rtg-tag  Gateway          Peer              Distance  Masquerade  Type
------------------------------------------------------------------------------------------------------------
192.168.3.0      255.255.255.0    0        192.168.3.223    INTRANET          0         No          Intranet
192.168.2.4      255.255.255.255  0        192.168.3.46                       1         No          CAPWAP
192.168.2.47     255.255.255.255  0        192.168.3.46                       1         No          CAPWAP
172.16.0.0       255.240.0.0      0        0.0.0.0                            0         No          Static
10.0.0.0         255.0.0.0        0        0.0.0.0                            0         No          Static
224.0.0.0        224.0.0.0        0        0.0.0.0                            0         No          Static
255.255.255.255  0.0.0.0          0        192.168.3.46                       1         No          CAPWAP

Die 192.168.3.46 ist wieder mein Router, 2. LAN Interface. Ich kann vom Router den WLC Pingen und kann auch eine beliebige Adresse im Internet anpingen.

Gruß Andreas

[Bernie137]

Die 192.168.3.46 ist wieder mein Router, 2. LAN Interface

Und wo bitteschön ist jetzt dazu die Route 192.168.2.0 mask 255.255.255.0 -> 192.168.3.46???

Wofür ist das gut: 192.168.3.0 Mask 255.255.255.0 -> 192.168.3.223 ???

Langsam wird es durcheinander. Eine Skizze wäre angebracht.

Gruß Heiko

[AndreasL]

Die Route, die du vermisst, steckt natürlich im Funkwerk Router. Der Verbindet meine Netze 2.x und 3.x und das funktioniert soweit problemlos. Der Router hat für diesen Zweck auf dem Lan Interface 1 die IP 2.47 und auf dem Lan Interface 2 die IP 3.46.

Wofür ist das gut: 192.168.3.0 Mask 255.255.255.0 -> 192.168.3.223 ???

Die habe ich nicht von Hand angelegt. 3.223 ist der AP auf dem ich mich eingeloggt habe um die Routing Tabelle wie abgebildet aufzurufen, rein als Beispiel wie die Liste auf einem AP im 3.x Netz aussieht.

Das ist eigentlich doch ganz simpel aufgebaut (alles Netzmaske /24):

Code: Alles auswählen

                              Lan 2 192.168.3.46 <-----------> Access Points
                              |                   192.168.3.x
Internet <---> Funkwerk Router
                              |                   192.168.2.x
                              Lan 1 192.168.2.47 <-----------> WLC-4100

Gruß Andreas

[alf29]

Moin,

Wofür ist das gut: 192.168.3.0 Mask 255.255.255.0 -> 192.168.3.223 ???

Diese (Interface-)Routen erzeugt das LCOS automatisch aus den angelegten ARF-Netzen.

Gruß Alfred

[Bernie137]

Hi,

danke für die Skizze.
Ein AP im 3er Netz braucht aber für sich selbst eine Route um einerseits das 2er Netz, andererseits das Internet erreichen zu können (weil Du pingen willst):
192.168.2.0 mask 255.255.255.0 -> 192.168.3.46 Maskierung aus (fehlt, dafür anderer Quark)
255.255.255.255 mask 0.0.0.0 -> 192.168.3.46 Maskierung aus (ins Internet, vorhanden aber Maskierung ist eingeschaltet)

IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
------------------------------------------------------------------------------------------------------------
192.168.3.0 255.255.255.0 0 192.168.3.223 INTRANET 0 No Intranet
192.168.2.4 255.255.255.255 0 192.168.3.46 1 No CAPWAP
192.168.2.47 255.255.255.255 0 192.168.3.46 1 No CAPWAP
172.16.0.0 255.240.0.0 0 0.0.0.0 0 No Static
10.0.0.0 255.0.0.0 0 0.0.0.0 0 No Static
224.0.0.0 224.0.0.0 0 0.0.0.0 0 No Static
255.255.255.255 0.0.0.0 0 192.168.3.46 1 No CAPWAP

Die erste Route gehört da nicht rein und verursacht wohl das Ping-Problem. Um das 3er Netz zu erreichen soll er 192.168.3.223 im 3er Netz benutzen??? Die nächsten beiden Routen sind auch fraglich, von einem Einwahl Zugang RAS/VPN?



Auf dem WLC-4100 brauchst folgendes:
192.168.3.0 mask 255.255.255.0 -> 192.168.2.47 Maskierung aus (fehlt, dafür anderer Quark)
255.255.255.255 mask 0.0.0.0 -> 192.168.2.47 Maskierung aus (ins Internet, ist vorhanden)

Code:
> ls /sta/ip-r/act

IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
------------------------------------------------------------------------------------------------------------
192.168.2.0 255.255.255.0 0 192.168.2.49 INTRANET 0 No Intranet
192.168.3.0 255.255.255.0 0 192.168.3.49 INTRANET3 0 No Intranet
172.16.0.0 255.240.0.0 0 0.0.0.0 0 No Static
10.0.0.0 255.0.0.0 0 0.0.0.0 0 No Static
224.0.0.0 224.0.0.0 0 0.0.0.0 0 No Static
255.255.255.255 0.0.0.0 0 192.168.2.47 INTRANET 2 No Static

Die ersten beiden Routen gehören meiner Meinung nach nicht dort rein und verursachen das Ping-Problem. Um das 2er Netz zu erreichen, soll er 192.168.2.49 benutzen??? Um ins 3er Netz zu kommen soll 192.168.3.49 benutzen, was aber schon eine Adresse im 3er ist - geht nicht!

Alle Angaben ohne Gewähr.

Gruß Heiko

[alf29]

Moin,

Die ersten beiden Routen gehören meiner Meinung nach nicht dort rein und verursachen das Ping-Problem. Um das 2er Netz zu erreichen, soll er 192.168.2.49 benutzen??? Um ins 3er Netz zu kommen soll 192.168.3.49 benutzen, was aber schon eine Adresse im 3er ist - geht nicht!

Doch, das geht, das ist nämlich die Adresse, die das Gerät selber in diesem Subnetz hat. Die Aussage dieser Route ist also, wenn man in dieses Subnetz will, benutze das Interface, dem diese Adresse zugewiesen ist. Wenn Du z.B. auf einem Linux mit einem /sbin/route nachschaust, wirst Du dort ähnliche Interface-Routen finden, die der Kernel automatisch aus den per ifconfig zugewiesenen Adressen und Netzmasken erzeugt.

Gruß Alfred

[Bernie137]

Moin,

Diese (Interface-)Routen erzeugt das LCOS automatisch aus den angelegten ARF-Netzen.

Ja, der Einwurf kam, als ich den anderen Beitrag gerade verfasst habe. Ich bin da noch von irgendwelchen IPs in den Netzen ausgegangen.

Trotzdem fehlen die Routen in die jeweiligen anderen Netze und die Maskierung für die eine Internetroute würde ich ausschalten. Da der WLC auch noch eine 192.168.3.223 hat, wird er NIE versuchen seinen Traffic ins 192.168.3.x Netz über den Funkwerk Router zu schicken und nur der ist das Bindeglied.

Gruß Heiko

[AndreasL]

Trotzdem fehlen die Routen in die jeweiligen anderen Netze und die Maskierung für die eine Internetroute würde ich ausschalten. Da der WLC auch noch eine 192.168.3.223 hat, wird er NIE versuchen seinen Traffic ins 192.168.3.x Netz über den Funkwerk Router zu schicken und nur der ist das Bindeglied.

Hat er nicht. Die 3.223 ist die IP eines AP. Der WLC hat 2.49 und 3.49. Die 2. IP 3.49 werde ich am Wochenende mal Testweise lahmlegen.

[AndreasL]

IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
------------------------------------------------------------------------------------------------------------
192.168.3.0 255.255.255.0 0 192.168.3.223 INTRANET 0 No Intranet
192.168.2.4 255.255.255.255 0 192.168.3.46 1 No CAPWAP
192.168.2.47 255.255.255.255 0 192.168.3.46 1 No CAPWAP
172.16.0.0 255.240.0.0 0 0.0.0.0 0 No Static
10.0.0.0 255.0.0.0 0 0.0.0.0 0 No Static
224.0.0.0 224.0.0.0 0 0.0.0.0 0 No Static
255.255.255.255 0.0.0.0 0 192.168.3.46 1 No CAPWAP

Die ersten beiden Routen gehören meiner Meinung nach nicht dort rein und verursachen das Ping-Problem. Um das 2er Netz zu erreichen, soll er 192.168.2.49 benutzen??? Um ins 3er Netz zu kommen soll 192.168.3.49 benutzen, was aber schon eine Adresse im 3er ist - geht nicht!

nein, das sind die beiden DNS Server (2.4 mit Weiterleitung auf 2.47) die auf dem WLC eingetragen sind. Offenbar werden diese zum AP propagiert. Wie gesagt, diese Tabelle stammt von eionem AP, nicht vom WLC. Hier auf dem AP geht alles! Ich kann alles und jeden anpingen.

[Bernie137]

Moin,

nein, das sind die beiden DNS Server (2.4 mit Weiterleitung auf 2.47) die auf dem WLC eingetragen sind.

OK, häppchenweise Infos. Wären gut in der Skizze aufgehoben gewesen, ebenso die IPs des WLC. Aber zur Sache, es sind 2 explizite Routen für 2.4 und 2.47. Von diesem AP aus dürfte aber z.B. nicht eine 2.58 anpingbar sein. Die Route ins gesamte 2er fehlt und würde wiederum die beiden DNS Server mit enthalten.

Hier auf dem AP geht alles! Ich kann alles und jeden anpingen.

Wirklich alles? Siehe oben.

Hat er nicht. Die 3.223 ist die IP eines AP. Der WLC hat 2.49 und 3.49. Die 2. IP 3.49 werde ich am Wochenende mal Testweise lahmlegen.

OK. Darauf warten wir vorrangig. Die Route auf dem WLC an 3.223 gehört m.E. raus.

Gruß Heiko

[AndreasL]

Bernie, danke für deinen Einsatz, aber du liest zu oberflächlich

OK, häppchenweise Infos. Wären gut in der Skizze aufgehoben gewesen, ebenso die IPs des WLC. Aber zur Sache, es sind 2 explizite Routen für 2.4 und 2.47. Von diesem AP aus dürfte aber z.B. nicht eine 2.58 anpingbar sein. Die Route ins gesamte 2er fehlt und würde wiederum die beiden DNS Server mit enthalten.

Steht eigentlich alles in der Einleitung im ersten Posting. Diese beiden Routen 2.4 und 2.47 sind NUR auf den Access Points und dort offenbar 'on-the-fly' via capwap vom WLC zum AP übertragen. Das kommt aus dem IP-Parameter-Profile das für diese APs hinterlegt ist. Die APs sind statisch, kein DHCP. Das Profil dazu sieht so aus:

Code: Alles auswählen

Vererbung
Vererbt
Domänen-Name      Domänen-Name
Netzmaske         Netzmaske         255.255.255.0
Standard-Gateway  Standard-Gateway  192.168.3.46 (Anmerkung: Router 2.Lan für 3.x)
Erster DNS        Erster DNS        192.168.2.4
Zweiter DNS       Zweiter DNS       192.168.2.47

In der Routing Tabelle sind sie nicht von Hand angelegt. Die Tabelle auf dem AP hat Werkszustand, nur die erste Blockroute ist disabled. Zur Verdeutlichung hier nochmals wie es auf einem AP aussieht:
Konfiguration -> IP-Router -> Routing -> Routing-Tabelle

Code: Alles auswählen

IP-Adresse	Netzmaske	Tag	Schaltzustand	   Router	Distanz	Mask.	Kommentar
192.168.0.0  255.255.0.0	0	Aus	               0.0.0.0	0	Aus	block private networks: 192.168.x.y
172.16.0.0   255.240.0.0	0	An, sticky für RIP	0.0.0.0	0	Aus	block private networks: 172.16-31.x.y
10.0.0.0	  255.0.0.0	  0	An, sticky für RIP	0.0.0.0	0	Aus	block private network: 10.x.y.z
224.0.0.0    224.0.0.0	  0	An, sticky für RIP	0.0.0.0	0	Aus	block multicasts: 224-255.x.y.z

Selber AP von der Shell mit ls /sta/ip-r/act

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Gateway          Peer              Distance  Masquerade  Type
------------------------------------------------------------------------------------------------------------
192.168.3.0      255.255.255.0    0        192.168.3.223    INTRANET          0         No          Intranet
192.168.2.4      255.255.255.255  0        192.168.3.46                       1         No          CAPWAP
192.168.2.47     255.255.255.255  0        192.168.3.46                       1         No          CAPWAP
172.16.0.0       255.240.0.0      0        0.0.0.0                            0         No          Static
10.0.0.0         255.0.0.0        0        0.0.0.0                            0         No          Static
224.0.0.0        224.0.0.0        0        0.0.0.0                            0         No          Static
255.255.255.255  0.0.0.0          0        192.168.3.46                       1         No          CAPWAP

Und ja, Es geht vom AP alles anzupingen:

Code: Alles auswählen

> ping www.google.de
    56 Byte Packet from 173.194.113.191 seq.no=0 time=22.549 ms
    56 Byte Packet from 173.194.113.191 seq.no=1 time=22.389 ms
 ---173.194.113.191 ping statistic---
 56 Bytes Data, 2 Packets transmitted, 2 Packets received, 0% loss

Code: Alles auswählen

> ping WLC-address
    56 Byte Packet from 192.168.2.49 seq.no=0 time=0.999 ms
    56 Byte Packet from 192.168.2.49 seq.no=1 time=1.293 ms
 ---192.168.2.49 ping statistic---
 56 Bytes Data, 2 Packets transmitted, 2 Packets received, 0% loss

OK. Darauf warten wir vorrangig. Die Route auf dem WLC an 3.223 gehört m.E. raus.

Auf dem WLC ist keine Route zum 3.223 eingetragen, die Routing Tabelle habe ich auf Seite 1 geposted:

Code: Alles auswählen

IP-Adresse   Netzmaske   Tag   Schaltzustand        Router   Distanz   Mask.   Kommentar
172.16.0.0   255.240.0.0   0   An, sticky für RIP   0.0.0.0   0   Aus   block private networks: 172.16-31.x.y
10.0.0.0     255.0.0.0     0   An, sticky für RIP   0.0.0.0   0   Aus   block private network: 10.x.y.z
224.0.0.0    224.0.0.0     0   An, sticky für RIP   0.0.0.0   0   Aus   block multicasts: 224-255.x.y.z
255.255.255.255   0.0.0.0  0   An, sticky für RIP   192.168.2.47   0   Aus

Das ist die Tabelle von Konfiguration -> IP-Router -> Routing -> Routing-Tabelle auf dem WLC.

[Bernie137]

Bernie, danke für deinen Einsatz, aber du liest zu oberflächlich

Oh sorry, das kann sein Bin diese Woche von der Rolle wegen Hochzeit.

Trotzdem fällt mir noch etwas auf. Vom AP ins Internet geht es mit der Route:
255.255.255.255 0.0.0.0 0 192.168.3.46 1 No CAPWAP (Distance 1)

Auf dem WLC sieht sie so aus:
255.255.255.255 0.0.0.0 0 An, sticky für RIP 192.168.2.47 0 Aus (Distance 0).
Kann man die Tabellen vergleichen? Ist das vielleicht der Unterschied?

Gruß Heiko

[diemoories]

Hallo Andreas!
Ich habe mir Deine Infrastruktur mal aufgezeichnet und würde an Deiner Stelle einen ICMP-Trace auf dem WLC machen, um zu weiteren Erkenntnissen zu gelangen, was da eigentlich los ist:
tr # icmp
Vielleicht steht dort ja erstaunliches drin. Du hattest ja ganz am Anfang mal geschrieben, dass nicht einmal 127.0.0.1 anpingbar ist.

Viele Grüße
Ralf

[AndreasL]

Hallo,

den trace # icmp habe ich schon ausprobiert. Wenn ich den WLC von extern anpinge kriege ich brav antworten an meiner Workstation (ich bin dabei sogar in einem Remote Netz via VPN über den Funkwerk Router verbunden). Und auf dem WLC erhalte ich folgende Ausgabe:

Code: Alles auswählen

> tr # icmp
ICMP                 ON

root@WLAN-Control:/
>
[ICMP] 2013/06/14 15:21:50,399
ICMP Rx (LAN-1, INTRANET): Src-IP: 192.168.99.50: Echo request, ID: 512, Seq: 512

[ICMP] 2013/06/14 15:21:50,399
ICMP Tx (LAN-1, INTRANET): Dest-IP: 192.168.99.50: Echo reply, ID: 512, Seq: 512

Also alles in Butter und mein Routing ist auch in Ordnung. Es spielt keine Rolle ob ich 2.49 oder 3.49 anpinge, ich bekomme eine Antwort vom WLC.

Aber richtig, wenn auf dem WLC in der Shell einen ping 127.0.0.1 mache passiert auch im Trace einfach gar nichts. Auch beim anpingen anderer Adressen passiert nichts. Das mit der Adresse aus dem 3.x Netz nehm ich am Wochenende in Angriff. Die fliegt raus. Trotzdem würde mich brennend interessieren, ob hier jemand einen WLC mit meiner Firmwareversion hat und ob dort der Ping geht. Da selbst ein ping auf den localhost nicht geht denke ich da eher an ein ganz anderes Problem.

[Dr.Einstein]

Hatte heute wieder Einen eingerichtet inkl 3 VLAN Netze und vorgeschalteten Router. Ping etc. war von überall überall hin möglich (außer wo Netztrennungen hinterlegt sind).

Gruß Dr.Einstein