WLC-Tunnel und eingehender UDP Traffic

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

WLC-Tunnel und eingehender UDP Traffic

Beitrag von lonesome_walker »

Hallo zusammen,

ich hoffe, ihr könnt mir bei einer (für mich) seltsamen Beobachtung einen Tipp geben. Schonmal vielen Dank vorab!

Wir betreiben bei einem Kunden grob folgendes Konstrukt:
Zentrale: WLC-4100 (LCOS 10.34.0304) mit ca. 120 APs und mehreren SSIDs
Mehrere Außenstellen (angebunden an Zentrale via IPSec Site-to-Site): Diverse APs mit LCOS 10.34 und 10.32

Wir haben u.a. 2 SSIDs die per WLC-Tunnel am WLC ausgegeben werden. Am WLC gibt es je SSID ein IPv4-Netzwerk mit IP-Adresse für das Routing ins Internet. Die IP-Adresse ist direkt am WLC-Tunnel gebunden. Bridge-Gruppen sind keine im Einsatz. Der WLC hat über ETH-2 einen WAN-Anschluss via IPoE.

Heute ist mir aufgefallen, dass seltsam viel Traffic am LAN-Interface des WLC anliegt. Schaue ich mir den Traffic am WAN-Port an, ist dieser sehr viel geringer. Irgendwie scheint der WLC also Traffic zu erzeugen, der nicht aus dem WAN kommt. Zur Einordnung: Am WAN-Port lagen ca. 3 MBit/s an, am LAN-Port ca. 100 MBit/s, 95% davon war gesendeter Traffic (aus Sicht des WLC).

Ein CAPWAP-Data Trace auf dem WLC und einer Handvoll APs hat ergeben, dass scheinbar eingehender UDP Traffic via CAPWAP nicht nur an dem APs aufkommt, wo der WLAN Client angemeldet ist, sondern auch an allen anderen APs, die die gleiche SSID ausstrahlen.

Beispiel:
Am Standort A führt ein iOS Gerät über WLAN Call (UDP 4500) einen Anruf.
Am Standort B sehe ich im CAPWAP-Data Trace eines APs den eingehenden Datenverkehr (Src Address: Öffentliche IP, Dest Address: IP des iOS Gerätes vom Standort A).
Auffallend ist, dass ich lediglich "eingehenden" UDP Traffic sehe und keinerlei TCP Traffic.
Gleiches passiert z.B. auch mit DNS-Anfragen. Ich sehe die DNS-Antworten eines Clients an allen anderen APs im CAPWAP-Data Trace.

An den SSID-Einstellungen im WLC ist eingestellt, dass Stationen der gleichen SSID nicht untereinander kommunizieren dürfen und Broad- und Multicasts unterdrückt werden (außer DHCP).

Ich habe mir bereits die Release Notes der neueren LCOS Versionen durchgelesen, konnte dort aber keine Hinweise finden, dass ein ähnliches Problem bereits gefixt wurde.

Nun meine Frage: Ist das "By Design", oder handelt es sich um einen Bug?

Viele Grüße,
Norman.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von tstimper »

Code: Alles auswählen

Auffallend ist, dass ich lediglich "eingehenden" UDP Traffic sehe und keinerlei TCP Traffic.
Der AP Verbindet sich mittels CAPWAP UDP Zielport 1027 an den WLC.
Jeder weitere Traffic geht dann verschlüsselt durch den WLC-Tunnel, also siehst Du auch nur UDP > 1027 Traffic

Merkwürdig ist das grobe Missverhältnis zwischen LAN und WAN Traffic ...

Der Traffic zwischen einen am AP angemeldeten Client und dem WLC geht meines Wissens nach (und es macht anders gar keinen Sinn)
durch den WLC-Tunnel, den dieser AP zum WLC aufbaut.

Es sieht eher so aus, als würde irgendwer (Client, APs, WLC) die SSIDs mit Broadcasts fluten ...

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von lonesome_walker »

Moin TS,

danke für deine Infos.

Mit UDP Traffic meinte ich nicht den "äußeren" CAPWAP-Data Traffic zwischen AP und WLC, sondern den Traffic innerhalb des CAPWAP-Tunnels. Mit dem CAPWAP-Data Trace kann man sich den Traffic innerhalb des CAPWAP-Tunnels anzeigen lassen und dort sieht man an allen APs, die diese SSID via WLC-Tunnel auskoppeln, die eingehenden UDP Pakete...

Man sieht Antwort-Pakete auf DNS-Anfragen (UDP 53), NTP-Anfragen (UDP 123), UDP 4500 eingehend bei einem aktiven WLAN Call eines Clients, UDP 3480 eingehend bei aktiven Facetime Calls, etc. ...

Die Destination IP in dem Paket ist eine Client-IP innerhalb des IP-Subnets und keine Broadcast-Adresse. Auch die Ziel-MAC ist gerichtet an den spezifischen WLAN Client. Trotzdem sehe ich die eingehenden UDP Pakete (alles Antworten auf ausgehende Anfragen) auf allen APs.

MfG,
Norman.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von tstimper »

Hi Norman
Mit dem CAPWAP-Data Trace kann man sich den Traffic innerhalb des CAPWAP-Tunnels anzeigen lassen
Stimmt, den gibt es ja auch :-)
Trotzdem sehe ich die eingehenden UDP Pakete (alles Antworten auf ausgehende Anfragen) auf allen APs.
Das kann so nicht gewollt sein ...

Da das ja CAPWAP Traffic ist, der zwischen dem konkreten AP und dem WLC läuft,
kann ja niemand ausser der WLC Daten zum AP schicken. Auch nicht z.b. ein fehlerhaft konfigurierter Switch oder was auch immer.

Alos muss der WLC das machen und der macht das offensichtlich falsch, warum auch immer ...

Hast Du mal die Release Notes des LCOS > 10.34.0304 nach WLC Bugs durchgesehen, ob da mal was dazu steht und ggf gefixt wurde?

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von lonesome_walker »

Hi Ts,

okay - mich beruhigt erstmal, dass es auch andere verwundert ;-)

Ich habe die Release Notes gelesen und leider nichts treffendes gefunden. Ich werde pro forma in den nächsten Tagen einfach mal ein aktuelleres LCOS aufspielen.

Für weiteren Input bin ich allerdings auch empfänglich. ;-)

MfG,
Norman.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von tstimper »

Hi Norman,
Ich werde pro forma in den nächsten Tagen einfach mal ein aktuelleres LCOS aufspielen
Ich fände es besser, erst die Ursache zu finden.Ein LCOS Update ändert eben auch manchmal viel und manchmal kann man nicht ohne weiteres zurück.
Falls du updaten willst, mach Config Backups auch als Script, das hilft ggf später beim Backrev auf eine ältere Version.
Im Script kannst Du ggf. falsch konvertierte Einträge anpassen.
Für weiteren Input bin ich allerdings auch empfänglich.
Hast Du Lancom gefragt? Sagen die was dazu?

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von lonesome_walker »

Eine offizielle Support-Anfrage bei Lancom steht noch aus, weil ich erstmal abklären will, ob ich ein Verständnisproblem bei den CAPWAP Grundlagen habe. Kann ja sein, dass dieses Verhalten in bestimmten Konstellationen "normal" ist und WLC-Tunnel wegen solcher Effekte nicht genutzt werden sollten, wenn man 120 APs über mehrere Standorte verteilt hat.

Bei "echtem" Broadcast-Traffic wäre mir das auch alles einleuchtend und wir haben deshalb Broad- und Multicasts (außer DHCP) an dieser SSID unterdrückt und die Kommunikation der Clients untereinander ebenfalls per Einstellung an der SSID deaktiviert.

Naja, mal schauen. Vielleicht hat ja noch jemand einen guten Tipp parat.
Ansonsten werde ich mal den offiziellen Weg über den Lancom Support suchen.

Danke dir für deine Antworten!
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von tstimper »

Ansonsten werde ich mal den offiziellen Weg über den Lancom Support suchen.
Ok, schreib dann mal, was die Ursache war, wenn Ihr es rausgefunden habt.
Wir haben auch grad erhebliche Probleme mit dem WLC und den LX APs
(siehe Thread alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... 19025.html)

Das hat mit Sicherheit nichts mit Deinem Problem zu tun, aber genau weis man das ja auch nicht .....
Wir haben bei uns keinerlei Probleme mit dem LCOS APs am WLC-1000.


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von tstimper »

Hi Norman,

hast Du das Problem lösen können?

Wir sehen das jetzt auch, das der WLC z.B. DNS Replies auf
Anfragen eines Clients an alle APs schickt und nicht nur an den AP, mit dem der Client verbunden ist.

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von lonesome_walker »

Hi TS,

bedingt durch den Projektwahnsinn zum Ende des Jahres sind wir erst letzte Woche dazu gekommen, den Support-Call bei Lancom zu öffnen. Bisher gibt es kein Ergebnis.

Sobald es News gibt, würde ich schreiben.

Grüße,
Norman.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von tstimper »

Hi Norman,

bedingt durch den Projektwahnsinn zum Ende des Jahres
Geht uns auch so...
Sobald es News gibt, würde ich schreiben.
Wenn Du willst, melde Dich bitte mal per pm.
Wir haben das hoch eskaliert und ein bekannter zweiter Fall würde die Priorität noch steigern.

Wir haben erhebliche Probleme mit den LX-APs (gehabt).
ich hatte die ganze Zeit aber auch das Gefühl, das mit dem WLC verhalten was nicht stimmt.
Das habe ich heute im Trace verifizieren können.

Dei Fall zeigt, das es eben auch ein LCOS Problem ist...

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von tstimper »

lonesome_walker hat geschrieben: 14 Okt 2021, 16:21 Nun meine Frage: Ist das "By Design", oder handelt es sich um einen Bug?
Wir haben gestern nochmal weiter analysiert, das ist ein sowas von heftiger BUG in der WLC Implementation.
Aufgrund der Menge der Daten im CAPWAP DATA Trace ist und erstmal nur aufgefallen, das Clients, die in einer Public Spot SSID angemeldet sind,
ALLE APs mit DNS replies flooden lassen können.

Ausschitte aus CAPWAP DATA trace, IPs und Mac-Adressen verändert

Code: Alles auswählen

UdpConn: L:10.10.10.10:1027  R:10.55.1.91:57284 (LAN-1, INTRANET)
Dest                : 32:33:92:55:55:6d (locally-adm.)
Source              : 00:a0:57:11:22:33 (LANCOM 11:22:33)
Src Address         : 10.80.80.10
Dest Address        : 10.90.90.228
Src Port            : DNS
Dest Port           : 59834

UdpConn: L:10.10.10.10:1027  R:10.55.1.95:43102 (LAN-1, INTRANET)
Dest                : 32:33:92:55:55:6d (locally-adm.)
Source              : 00:a0:57:11:22:33 (LANCOM 11:22:33)
Src Address         : 10.80.80.10
Dest Address        : 10.90.90.228
Src Port            : DNS
Dest Port           : 59834

UdpConn: L:10.10.10.10:1027  R:10.55.1.99:54733 (LAN-1, INTRANET)
Dest                : 32:33:92:55:55:6d (locally-adm.)
Source              : 00:a0:57:11:22:33 (LANCOM 11:22:33)
Src Address         : 10.80.80.10
Dest Address        : 10.90.90.228
Src Port            : DNS
Dest Port           : 59834
Wir sehen also genau:

Client 10.90.90.228 mit Mac Adresse 32:33:92:55:55:6d hat offensichtlich eine DNS Anfrage mit dem QuellPort 59834 gestellt.

Der WLC mit IP 10.10.10.10 und MAC Adresse 00:a0:57:11:22:33 schick dann Replies an ALLE APs an den Destiniation Port 59834.
Und zwar EINZELN an jeden AP in einer separaten Session, aber mit demselbem Destination Port.

Senden darf er diesen Reply AUSSCHLIESSLICH an den AP, mit dem der betreffenden Client verbinden ist!!!!

Falls von LANCOM jemand mit liest, gebt das mal bitte weiter, das Verhalten tötet die WLANs.

Wir wissen noch nicht genau, ob das nur Public Spot SSIDs betrifft, es sieh aber fast so aus..


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von lonesome_walker »

Moin TS,

ich schreibe dir gleich eine PN mit unserer Ticket#. Vielleicht hilft das was, die Dinge noch mehr zu beschleunigen. Wobei ich befürchte, dass ein Fix in der LCOS 10.50.x rauskommt und unser WLC-4100 davon nichts mehr mitbekommt. Aber mal sehen ..!

Den Traffic bezüglich der DNS-Anfragen konnten wir bei uns mindern, indem wir den WLC in den betroffenen SSIDs via DHCP als DNS-Server für die Clients verteilen. Der WLC hat dann eine Weiterleitung zu entsprechenden externen DNS-Servern.

Das Problem könnte also irgendwo im Zusammenhang mit irgendwelchen Routing/NAT-Tabellen bestehen. Wenn der WLC die DNS-Anfragen der Clients "direkt" beantwortet, sieht der Traffic normal aus.

Unser WLC hat zwar auch eine PublicSpot-Option aktiviert, aufgefallen ist das Verhalten jedoch in 2 SSIDs ohne aktiviertem PublicSpot.

Grüße,
Norman.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von tstimper »

Hi Norman,

vielen Dank für die Ticket#

Der WLC ist bei uns auch DNS Server für alle SSIDs.
Bei Public Spot geht das soweit ich weis garnicht anders.
Das Problem könnte also irgendwo im Zusammenhang mit irgendwelchen Routing/NAT-Tabellen bestehen. Wenn der WLC die DNS-Anfragen der Clients "direkt" beantwortet, sieht der Traffic normal aus.
Das ist natürlich interessant...
Direkt beantwortet heist, es ein Eintrag, der in seiner eigenen Host Tabelle steht?
Ist es dann ggf das DNS Caching des LCOS was uns da stört?

Wir nutzen Routing Tags in der Routing Tabelle zum Internet Router, also in der Form
IP-Adresse: 255.255.255.255
Mask: Netzmaske : 0.0.0.0
Routing Tag: 1234
Router 10.10.10.1@0

Das Routing Tag 1234 ist dann das Schnittstellen Tag im IP Bereich der WLAN SSID
Das Routing erfolt dann vom WLC abgehend mit dem Schnittstellen Tag 0

Vom Lancom Support so empfohlen und schin mit mehrenen Supportern als ok verifiziert...

Ich habe diesen Mechanissmus allerdings im Verdacht...

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von lonesome_walker »

Hi TS,

hmm!

Bei uns beschränkt sich das Problem nicht nur auf DNS-Traffic, sondern tritt auch bei diversem anderen UDP-Traffic auf. Da bei uns in den betreffenden SSIDs zu 99% Apple iOS-Geräte sind (kein PublicSpot, sondern Authentifizierung via 802.1x gegen einen Windows NPS), ist das auch so Traffic wie "WLAN Call" (UDP 4500) und Facetime. Das rappelt dann ordentlich in der Leitung, wenn 100 KBit/s VoIP-Traffic vom "WLAN Call" auf diverse APs in mehreren Außenstellen via VPN übertragen wird. Von Facetime Video-Calls mal ganz zu schweigen.

Leider können wir den Traffic als Workaround auch nicht blocken, da z.B. gerade "WLAN Call" ein Feature ist, welches beim Kunden in Industriehallen eingesetzt wird, um über das Handy weiter erreichbar zu sein.

Sind wir mal gespannt, wie es da jetzt weiter geht. Mich "beruhigt" es erstmal in der Form, dass ich scheinbar keinen groben Schnitzer in der Config. habe, sondern das Verhalten auch bei anderen Installationen auffällig ist.

Grüße,
Norman.
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“