WLC LCOS DHCP Hostname BUG

[tstimper]

Hallo Forum,

für den Fall, das Ihr auch drüber stolpert:

Problem:
Im WLC Setup werden für die APs im WLC Hostnamen vergeben.
Zur leichteren Unterscheidung haben wir im LAB und teilweise auch im Produktiv-System
die APs im WLC mit angehängter Teil MAC-Adresse benannt:

LX-6400-LAB-A1:B2:C3
LN-1700-LAB-A1:B2:C3
LN-860-LAB-A1:B2:C3

Als Hostnamen im DNS sind diese Namen nicht nutzbar, der Doppelpunkt (und ggf andere Sonderzeichen ) ist verboten.
Wir nutzen einen Linux DNS Server auf OES2018SP3 / SLES 12SP5

Folgender Effekt tritt jetzt auf:

Fall 1: LX AP mit Firmware LX Firmware v5.34.1107-2022-04-05
- Ein LX AP hat den Hostnamen LX-6400-LAB-A1:B2:C3
- Dieser LX AP mach einen DHCP Request und übermittelt den Hostnamen ohne den Doppelpunkt.
- Der DHCP Server meldet an den DNS Server den Namen LX-6400-LAB-A1B2C3
- Der DNS Server löst diesen Namen problemlos auf

Fall 2 : LCOS AP mit Firmware v10.42.0889-ru7 oder v10.50.0819-ru7
- Ein LCOS AP hat den Hostnamen LN-1700-LAB-A1:B2:C3
- Dieser LCOS AP macht einen DHCP Request und übermittelt den Hostnamen mit dem Doppelpunkt
- Der DHCP Server meldet an den DNS Server den Namen LN-1700-LAB-A1:B2:C3
- Der DNS Server erstellt einen Eintrag in der Form LN-1700-LAB-A1%B2%C3
- Der DNS Server lädt dannach die DNS Zone nicht mehr, da fehlerhafte Zeiten im Hostnamen enthalten ist.
- Wenn der DNS Server weiter läuft, erhält er nach dem Auftauchen der korrupten Namen keine Updates mehr.
- Wenn der DNS Server neu gestartet wird, lädt er das gecachte alte Zonenfile.
- Wenn der DNS Server neu installiert wird und das Zonenfile transferieren will, schlägt das für die Zone mit den fehlerhaften Einträgen fehl.

Workarround:
- vermeiden vom im DNS unzulässigen Zeichen im Hostnamen von LCOS APs
- LX APs haben das Problem nicht. die übermitteln den Hostname beim DHCP Request ohne die nicht zulässigen Zeichen.

Auswirkungen:
Fehlerhafte Hostnamen im LCOS können ein ganzes DNS System lahmlegen.

Abhilfe:
- Im Hostname von LCOS (und LX) Geräten dürfen keine im DNS verbotenen Zeichen erlaubt sein.
- Wenn diese Zeichen dennoch erlaubt sind, dann dürfen diese bei DHCP Requests nicht als Bestandteil des Hostnamens an den DHCP Server übermittelt werden.

Der LX AP verhält sich hier DNS konform, er lässt die verbotenen Zeichen weg, der LCOS AP nicht.
Wir haben ewig gebraucht und zu verstehen, was hier eigentlich los ist.

Im LX Lab gab es das Problem nicht, es tauchte erst auf, nachdem wir nochmal LCOS APs zum Vergleich getestet haben.
Immer wenn wir die DNS Zone von den Test AP DNS Einträgen bereinigt hatten, ging DNS wieder. Warum war mir bis gestern nicht klar.
Also das Verhalten der LCOS APS sollte hier dem Verhalten der LX APs angepasst werden.
Alternativ sollten im Hostnamen der Geräte nur DNS konforme Zeichen erlaubt werden.

Vieleicht hilft das jemandem ...
Ich denke, Lancom sollte das im LCOS fixen, im LX läuft es ja.
Wir haben das als BUG reportet.

Wir haben immer wissentlich auf die fehlerhaften Einträge geschaut und uns nicht gewundert
Das WLC / AP /WLAN Verhalten war davon nicht betroffen, nur under interner DNS Server war gestört...


Viele Grüße

ts

[backslash]

Hi tstimper,

also, wenn man den Gerätenamen per DNS auflösen will, dann sollte man eigentlich selbst darauf kommen, daß nur Buchstaben, Zahlen und das Minus erlaubt sind. Alles andere ist im DNS verboten.
Wenn das Gerät - so wie es offenbar das Linux macht - nun einfach irgendwelche Zeichen durch ein Minus ersetzt, ist das zwar ein Workarround - aber auch da mußt du wissen, daß du das Gerät nicht unter dem Namen ansprechen kannst, den du eigentlich vorgegeben hast. Also mußt du auch bei den LX-APs einen korrekten DNS-Konformen Namen vergeben.

Daher ist das nun wirklich kein LCOS-, sondern eher ein Layer-8 Bug

Gruß
Backslash

[tstimper]

Hi Backslash,

Daher ist das nun wirklich kein LCOS-, sondern eher ein Layer-8 Bug

Gruß
Backslash

Ja wir hätten es wissen können ....

Da der LX-AP sich "DNS-Freundlich" verhält, also im DNS verbotene Zeichen und dann wiederum nur bei übermittelten Hostnamen entfernt
ist uns dann lange nicht aufgefallen, das LCOS APs das eben nicht machen.
Die schicken bei DHCP Request auch DNS verbotene Zeichen im Hostnahmen mit.

RFC2131 (Dynamic Host Configuration Protocol) sagt dazu nicht explizit, wie der beim DHCP Request ggf mit gesendete hostname zu formatieren ist.
https://datatracker.ietf.org/doc/html/rfc2131

Code: Alles auswählen

 Alternately, the key might be the
   pair (IP-subnet-number, hostname), allowing the server to assign
   parameters intelligently to a DHCP client that has been moved to a
   different subnet or has changed hardware addresses (perhaps because
   the network interface failed and was replaced).

Allerdings ist bei hostname schon davon auszugehen, das der beim DHCPRequest DNS konform sein sollte oder auch muß.
Ob das eine RFC vorschreibt, habe ich so nicht gefunden.

Beim LX AP ist uns das nicht aufgefallen und dann hat uns das Verhalten des LCOS gewundert.

Zumindest ist im Lancom LCOS-LX (Basis OpenWrt / Linux) das Verhalten soweit angepasst, das im DNS verbotene Zeichen dann auch nicht vom AP als Hostname gesendet werden, auch wenn sie im Device selbst als Hostname erlaubt sind.

Wäre hier gleiches Verhalten wünschenswert?

Ist nun LCOS oder LX RFC konform oder ist das wirklich nicht definiert?

Und ist das abweichende Verhalten vom LX (weil neuer) gewollt oder einfach Zufall, weil das ggf bei OpenWrt / Linux meist auch so gemacht wird?

Wie dem auch sei, drei Dinge haben wir mal wieder bestätigt bekommen:

- Nimm immer nur DNS konforme Namen
- Schreibe es auch in die Doku, warum wir das machen
- Merke es Dir

Viele Grüße

ts

[tstimper]

Update:

Lancom hat einen Featue Request angelegt, der das Verhalten von LCOS berachtet und Abhilfe schaffen kann.
Bis dahin müssen Doppelpunkte (und ggf andere DNS schädliche Zeichen) im Hostnamen bei LCOS Geräten "manuell" vermieden werden.
Wann und ob das in einer Firmware geändert wird, kann noch nicht gesagt werden.

Bei LX APS sollte man diese Zeichen natürlich dennoch auch vermeiden.
Viele Grüße

ts