Hallo Kollegen,
nach Aktivierung der public-Spot-Option auf dem WLC4006 wollten wir diese auch gleich ausprobieren und haben sie im Lanconfig konfiguriert (Variante: Anmelden mit Namen und Passwort), Nach dem Schreiben der Konfiguration war der WLC4006 nicht mehr erreichbar (Status kann nicht ausgelesen werden), Reset half nichts, so dass wir schließlich durch DauerReset (> 5s) die Konfiguration komplett zurücksetzen mussten (leider hatten wir die alte nicht gespeichert... arrrgh). Nach mühsamer Rekonstruktion der alten Profile und Einstellungen (und anschließender Sicherung der Konfiguration) ein erneuter Versuch der Einrichtung eines publicSpot, leider mit dem selben Ergebnis: Nichterreichbarkeit des WLC, sowohl über Lanconfig als auch über die Webconsole.
LCOS Stand: 7.80
Verwendete APs: 54G (ebenfalls auf Stand 7.80)
Leider hab ich die LANCOM-Anschaffung im wesentlichen wg. der public-Spot Geschichte empfohlen. Tja, war bis jetzt ein Griff ins Klo. Aber vielleicht mach ich ja auch was falsch ???
Hat jemand eine Idee oder evtl. das gleiche Problem?
Grüße, G.
WLC4006 nicht mehr erreichbar publicspot Einrichtung
Moderator: Lancom-Systems Moderatoren
Moin,
Du hast leider nicht geschrieben, auf welchen Schnittstellen bzw. VLANs Du die Option
eingeschaltet hast. Wenn man sie erstmal blind auf allen Schnittstellen einschaltet und auch
nicht auf bestimmte VLANs einschränkt, dann sperrt man sich natürlich aus dem Gerät aus,
denn dann will das Gerät von jedem Benutzerl eine Anmeldung über den Browser sehen,
was natürlich schwierig ist, wenn man noch keine Benutzerkonten dafür eingerichtet hat...
So wie man auf einem Standalone-AP üblicherweise Public Spot in der Port-Tabelle nur auf
der gewünschen WLAN-SSID aktiviert, so aktiviert man sie im WLC üblicherweise nur
auf einem bestimmten VLAN, und zwar auf dem VLAN, das man auch der 'Gast-SSID'
zugewiesen hat.
Für alles weitere müßte man aber schon genauer wissen, was Du vorhast...
Gruß Alfred
Du hast leider nicht geschrieben, auf welchen Schnittstellen bzw. VLANs Du die Option
eingeschaltet hast. Wenn man sie erstmal blind auf allen Schnittstellen einschaltet und auch
nicht auf bestimmte VLANs einschränkt, dann sperrt man sich natürlich aus dem Gerät aus,
denn dann will das Gerät von jedem Benutzerl eine Anmeldung über den Browser sehen,
was natürlich schwierig ist, wenn man noch keine Benutzerkonten dafür eingerichtet hat...
So wie man auf einem Standalone-AP üblicherweise Public Spot in der Port-Tabelle nur auf
der gewünschen WLAN-SSID aktiviert, so aktiviert man sie im WLC üblicherweise nur
auf einem bestimmten VLAN, und zwar auf dem VLAN, das man auch der 'Gast-SSID'
zugewiesen hat.
Für alles weitere müßte man aber schon genauer wissen, was Du vorhast...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo Alfred,
erstmal danke für die schnelle Reaktion.
Wir haben nur die Eth1 des WLC-4006 mit unserem LAN verbunden und die hab ich auch bei der PublicSpot Konfig angegeben. Da auf unseren Switches keine VLANs aktiviert sind, hab ich diese "Modul" auch auf dem WLC im Schnittstellendialog nicht aktiviert.
Wir wollen eigentlich nur den Seminarteilnehmern für eine genau definierten Zeitraum den Zugang ins LAN ermöglichen, dabei sollen Sie ihre IP-Konfiguration von unserem DHCP-Server beziehen, so wie die fest installierten Maschinen auch (und die über bereits vorhandene SSIDs mit WPA verbundenen WLAN-Clients des Lehrpersonals ebenfalls). PublicSpot user accounts wollten wir keine anlegen, sondern das WLC-eigene Ticketsystem benutzen.
Gruß,
Gerard
erstmal danke für die schnelle Reaktion.
Wir haben nur die Eth1 des WLC-4006 mit unserem LAN verbunden und die hab ich auch bei der PublicSpot Konfig angegeben. Da auf unseren Switches keine VLANs aktiviert sind, hab ich diese "Modul" auch auf dem WLC im Schnittstellendialog nicht aktiviert.
Wir wollen eigentlich nur den Seminarteilnehmern für eine genau definierten Zeitraum den Zugang ins LAN ermöglichen, dabei sollen Sie ihre IP-Konfiguration von unserem DHCP-Server beziehen, so wie die fest installierten Maschinen auch (und die über bereits vorhandene SSIDs mit WPA verbundenen WLAN-Clients des Lehrpersonals ebenfalls). PublicSpot user accounts wollten wir keine anlegen, sondern das WLC-eigene Ticketsystem benutzen.
Gruß,
Gerard
Moin,
verstehe ich das also richtig, daß Ihr gar keine WLAN-APs an den WLC anschließen
wollt und ihn nur als Public-Spot-Gateway nutzen wollt? Das wäre eine ziemlich
ungewöhnliche Konfiguration...
Kurz zur Erklärung: Die Public-Spot Option richtet auf den vorgegebenen Ports bzw.
VLANs eine Art 'Schranke' ein und läßt nur Pakete von den MAC-Adressen durch,
die sich an ihrer Web-basierten Login-Seite engemeldet haben.
Wenn man sie vollständig an einem LAN-Port aktiviert, dann müssen sich alle
dort erstmal anmelden, und das schließt den Rechner ein, von dem aus Du gerade
das LANCOM konfigurierst - und da noch keine Benutzeraccounts angelegt sind, wird
das schwierig...
Die übliche Vorgehensweise
mit einem WLC ist, daß man eine zweite (Gast-)SSID einrichtet, diese von den
angeschlossenen (gemanagten) APs in ein anderes VLAN stecken läßt, und die
Public-Spot-Option dann nur auf diesem 'Gast-VLAN' aktiviert. Des weiteren richtet man
auf dem WLC ein weiteres IP-Netz auf diesem VLAN inklusive einer DHCP-Server-Instanz
ein, damit der WLC in diesem Gast-Netz als DNS und Gateway fungiert - per IP-Router
kann man das dann an das eigentliche Gateway im 'Intranet' weiterleiten bzw. mit
der Firewall gezielt einschränken.
Clients auf der Gast-SSID nach Anmeldung direkten Zugang zum Intranet zu gewähren,
würde bedeutet, daß die 'Public-Spot-Schranke' auf den einzelnen APs und nicht auf
dem WLC laufen müßte - das ist in einem WLC-Szenario aber im Moment nicht vorgesehen.
Gruß Alfred
verstehe ich das also richtig, daß Ihr gar keine WLAN-APs an den WLC anschließen
wollt und ihn nur als Public-Spot-Gateway nutzen wollt? Das wäre eine ziemlich
ungewöhnliche Konfiguration...
Kurz zur Erklärung: Die Public-Spot Option richtet auf den vorgegebenen Ports bzw.
VLANs eine Art 'Schranke' ein und läßt nur Pakete von den MAC-Adressen durch,
die sich an ihrer Web-basierten Login-Seite engemeldet haben.
Wenn man sie vollständig an einem LAN-Port aktiviert, dann müssen sich alle
dort erstmal anmelden, und das schließt den Rechner ein, von dem aus Du gerade
das LANCOM konfigurierst - und da noch keine Benutzeraccounts angelegt sind, wird
das schwierig...
Die übliche Vorgehensweise
mit einem WLC ist, daß man eine zweite (Gast-)SSID einrichtet, diese von den
angeschlossenen (gemanagten) APs in ein anderes VLAN stecken läßt, und die
Public-Spot-Option dann nur auf diesem 'Gast-VLAN' aktiviert. Des weiteren richtet man
auf dem WLC ein weiteres IP-Netz auf diesem VLAN inklusive einer DHCP-Server-Instanz
ein, damit der WLC in diesem Gast-Netz als DNS und Gateway fungiert - per IP-Router
kann man das dann an das eigentliche Gateway im 'Intranet' weiterleiten bzw. mit
der Firewall gezielt einschränken.
Clients auf der Gast-SSID nach Anmeldung direkten Zugang zum Intranet zu gewähren,
würde bedeutet, daß die 'Public-Spot-Schranke' auf den einzelnen APs und nicht auf
dem WLC laufen müßte - das ist in einem WLC-Szenario aber im Moment nicht vorgesehen.
Gruß Alfred
Hallo Alfred,
wir haben zusammen mit dem WLC 4006 auch 6 APs vom Typ L-54g gekauft, davon bereits 2 mit passphrase geschützen WPA2-Profilen versehen, die auch super funktionieren. Jetzt wollten wir noch einen Public-Spot-Zugang einrichten für Seminarteilnehmer, die mit eigenen Notzebooks anrücken.
Verstehe ich dich richtig, dass die Schnittstelle, die man dem Public-Spot Zugang zuordnet, automatisch in ein VLAN aufgenommen wird, obwohl man das VLAN-Modul global überhaupt nicht eingeschaltet hat?
Ist es weiterhin so, dass ein Public-Spot immer in ein eigenes IP-Netz (mit DHCP-auf dieser Schnittstelle für dieses Netz) ist, das Routing in das Intranet verlangt ? Noch ne Frage zu den VLANs. Is das so, dass alle Frames, die vom PublicSpot Netz kommen, ein VLAN-TAg nach 802.1Q erhalten (mit der betreffenden VLAN-ID) und ich daher auf den Switches ebenfalls VLANs einrichten muss (derzeit nicht der Fall), damit das funktioniert? Oder kommunizieren leddiglich der WLC (an der betreffenden Schnittstelle) und der Public-Spot AP über getaggte Frames und die Switche juckt das nicht weiter ?
Wen dem so wäre, müsste ich ja den WLC über eine andere Schnittstelle (als die für PublicSpot zugeordnete) problemlos aus dem Intranet managen können?
Bin bisschen frustriert, dass das LCOS Handbuch sich mehr als schlechtes Lehrbuch geriert, denn als brauchbares Konfigurationshandbuch und man daher Experten wie dich nerven muss oder auf viel Trial & Error angewiesen ist.
Gruß,
Gerard
wir haben zusammen mit dem WLC 4006 auch 6 APs vom Typ L-54g gekauft, davon bereits 2 mit passphrase geschützen WPA2-Profilen versehen, die auch super funktionieren. Jetzt wollten wir noch einen Public-Spot-Zugang einrichten für Seminarteilnehmer, die mit eigenen Notzebooks anrücken.
Verstehe ich dich richtig, dass die Schnittstelle, die man dem Public-Spot Zugang zuordnet, automatisch in ein VLAN aufgenommen wird, obwohl man das VLAN-Modul global überhaupt nicht eingeschaltet hat?
Ist es weiterhin so, dass ein Public-Spot immer in ein eigenes IP-Netz (mit DHCP-auf dieser Schnittstelle für dieses Netz) ist, das Routing in das Intranet verlangt ? Noch ne Frage zu den VLANs. Is das so, dass alle Frames, die vom PublicSpot Netz kommen, ein VLAN-TAg nach 802.1Q erhalten (mit der betreffenden VLAN-ID) und ich daher auf den Switches ebenfalls VLANs einrichten muss (derzeit nicht der Fall), damit das funktioniert? Oder kommunizieren leddiglich der WLC (an der betreffenden Schnittstelle) und der Public-Spot AP über getaggte Frames und die Switche juckt das nicht weiter ?
Wen dem so wäre, müsste ich ja den WLC über eine andere Schnittstelle (als die für PublicSpot zugeordnete) problemlos aus dem Intranet managen können?
Bin bisschen frustriert, dass das LCOS Handbuch sich mehr als schlechtes Lehrbuch geriert, denn als brauchbares Konfigurationshandbuch und man daher Experten wie dich nerven muss oder auf viel Trial & Error angewiesen ist.
Gruß,
Gerard
Moin,
ungetaggt und funktionieren weiter wie bisher, nur die neue Gast-SSID läuft mit den angegebenen
VLAN getaggt.
Traffic aller SSIDs jedoch erstmal auf ihr Ethernet aus. Wenn man die Datenpakete der Gast-SSID
durch einen 'WLC-Tunnel' zum WLC schleusen könnte, dann dann wäre vieles einfacher, aber
Datentunnel kommen frühestens Ende des Jahres. Also muß man die Datenpakete der Gast-SSID
auf anderem Wege zum WLC bekommen, und das sind nun einmal VLANs...da der WLC selber
aber wiederum im Moment kein Bridge-Modul enthält, muß man 'hinter' dem PublicSpot-Gateway
den Traffic aus der Gast-SSID routen, was ein eigenes IP-Subnetz dafür bedingt. Das
empfinden die meisten WLC-Kunden aber als kein Problem, weil sie ohnehin die Gäste nicht
komplett in ihr Intranet hineinlassen wollen - der Gast-Zugang soll möglichst zum Internet-Gateway
und auch nur dahin gehen...
üblicherweise 'VLAN-agnostisch', d.h. sie scheren sich nicht um VLAN-Tags und reichen getaggte
wie ungetaggte Pakete einfach anhand der MAC-Adressen weiter. Manche 'intelligenten'
Switches kann man auch in so einen Modus schalten (Port- statt Tag-basiertes VLAN). Bei
vielen Switches kann man den 1q-Support aber nicht auscchalten und dann muß man dieses
VLAN anlegen und alle Ports als (getaggte) Mitglieder dieses VLANs konfigurieren.
VLAN (eben das VLAN der Gast-SSID) ein. Dann braucht man keine getrennte Schnittstelle
fürs Management.
Zertifikate...). Ich kann Dir auch nicht zu 100% versprechen, daß wir das über Postings und diesen
Kanal eingerichtet bekommen, es muß einiges zusammenspielen und leicht klemmt es
irgendwo wegen eines dämlichen Mißverständnisses. Dann ist doch ein Anruf beim Support
angesagt....
Handbücher sind auch immer so eine Sache, weil es verschiedene Sichtweisen gibt, wen so ein
Handbuch ansprechen soll. Was sicher fürs LCOS noch fehlt, ist ein echtes Referenzhandbuch
mit wirklich allen Punkten und ein Dokument, das so ein bißchen erklärt, wie die einzelnen
Module in einem LANCOM miteinander verschaltet sind.
Gruß Alfred
Nein, automatisch nicht, an dem SSID-Profil muß man schon eine VLAN-Id (ungleich eins) setzen und das Management-VLAN auf 1 setzen. Dann bleiben die bisherigen SSIDs (mit VLAN 1)Verstehe ich dich richtig, dass die Schnittstelle, die man dem Public-Spot Zugang zuordnet, automatisch in ein VLAN aufgenommen wird, obwohl man das VLAN-Modul global überhaupt nicht eingeschaltet hat?
ungetaggt und funktionieren weiter wie bisher, nur die neue Gast-SSID läuft mit den angegebenen
VLAN getaggt.
Zwirbeln wir's mal von vorne auf: Das Public-Spot-Gateway sitzt im WLC, die APs bridgen denIst es weiterhin so, dass ein Public-Spot immer in ein eigenes IP-Netz (mit DHCP-auf dieser Schnittstelle für dieses Netz) ist, das Routing in das Intranet verlangt ?
Traffic aller SSIDs jedoch erstmal auf ihr Ethernet aus. Wenn man die Datenpakete der Gast-SSID
durch einen 'WLC-Tunnel' zum WLC schleusen könnte, dann dann wäre vieles einfacher, aber
Datentunnel kommen frühestens Ende des Jahres. Also muß man die Datenpakete der Gast-SSID
auf anderem Wege zum WLC bekommen, und das sind nun einmal VLANs...da der WLC selber
aber wiederum im Moment kein Bridge-Modul enthält, muß man 'hinter' dem PublicSpot-Gateway
den Traffic aus der Gast-SSID routen, was ein eigenes IP-Subnetz dafür bedingt. Das
empfinden die meisten WLC-Kunden aber als kein Problem, weil sie ohnehin die Gäste nicht
komplett in ihr Intranet hineinlassen wollen - der Gast-Zugang soll möglichst zum Internet-Gateway
und auch nur dahin gehen...
Das hängt etwas von Deinen Switches ab. Einfache, ungemanagte Switches sindNoch ne Frage zu den VLANs. Is das so, dass alle Frames, die vom PublicSpot Netz kommen, ein VLAN-TAg nach 802.1Q erhalten (mit der betreffenden VLAN-ID) und ich daher auf den Switches ebenfalls VLANs einrichten muss (derzeit nicht der Fall), damit das funktioniert? Oder kommunizieren leddiglich der WLC (an der betreffenden Schnittstelle) und der Public-Spot AP über getaggte Frames und die Switche juckt das nicht weiter ?
üblicherweise 'VLAN-agnostisch', d.h. sie scheren sich nicht um VLAN-Tags und reichen getaggte
wie ungetaggte Pakete einfach anhand der MAC-Adressen weiter. Manche 'intelligenten'
Switches kann man auch in so einen Modus schalten (Port- statt Tag-basiertes VLAN). Bei
vielen Switches kann man den 1q-Support aber nicht auscchalten und dann muß man dieses
VLAN anlegen und alle Ports als (getaggte) Mitglieder dieses VLANs konfigurieren.
Üblicherweise schaltet man im Public-Spot-Modul am WLC die Gateway-Funktion nur für einWen dem so wäre, müsste ich ja den WLC über eine andere Schnittstelle (als die für PublicSpot zugeordnete) problemlos aus dem Intranet managen können?
VLAN (eben das VLAN der Gast-SSID) ein. Dann braucht man keine getrennte Schnittstelle
fürs Management.
Tja, VLANs gehören leider zu den Dingen, die sich nicht intuitiv erschließen (ähnlich wieBin bisschen frustriert, dass das LCOS Handbuch sich mehr als schlechtes Lehrbuch geriert, denn als brauchbares Konfigurationshandbuch und man daher Experten wie dich nerven muss oder auf viel Trial & Error angewiesen ist.
Zertifikate...). Ich kann Dir auch nicht zu 100% versprechen, daß wir das über Postings und diesen
Kanal eingerichtet bekommen, es muß einiges zusammenspielen und leicht klemmt es
irgendwo wegen eines dämlichen Mißverständnisses. Dann ist doch ein Anruf beim Support
angesagt....
Handbücher sind auch immer so eine Sache, weil es verschiedene Sichtweisen gibt, wen so ein
Handbuch ansprechen soll. Was sicher fürs LCOS noch fehlt, ist ein echtes Referenzhandbuch
mit wirklich allen Punkten und ein Dokument, das so ein bißchen erklärt, wie die einzelnen
Module in einem LANCOM miteinander verschaltet sind.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo Alfred,
vielen Dank für die Weitergabe des know-hows. Ich denke wir bekommen es hin. Unserer Nortel Switches sind evtl. VLAN agnostisch in dem von dir beschriebenen Sinne, wie ein erster scheuer Blick ins Handbuch ergibt. Hoffe nur, dass der Public-Spot-AP nicht muckt, wenn er zwar getaggte Frames abschickt, aber ungetaggte zurück bekommt, da er an einem untagged-port des Switches hängt. Sollte das alles nichts fruchten, müssen wir halt VLANs auf den Switches einrichten <SEUFZ>.. und bei Standortwechsel des APs umpatchen <nochmal-seufz>. Hoffe auch, dass NAT/PAT auf dem wlc funktioniert. So könnte man sich die Einrichtung einer Rückroute auf unserem Intranet-Gateway sparen.
Nochmal Danke und Gruß,
Gerard
vielen Dank für die Weitergabe des know-hows. Ich denke wir bekommen es hin. Unserer Nortel Switches sind evtl. VLAN agnostisch in dem von dir beschriebenen Sinne, wie ein erster scheuer Blick ins Handbuch ergibt. Hoffe nur, dass der Public-Spot-AP nicht muckt, wenn er zwar getaggte Frames abschickt, aber ungetaggte zurück bekommt, da er an einem untagged-port des Switches hängt. Sollte das alles nichts fruchten, müssen wir halt VLANs auf den Switches einrichten <SEUFZ>.. und bei Standortwechsel des APs umpatchen <nochmal-seufz>. Hoffe auch, dass NAT/PAT auf dem wlc funktioniert. So könnte man sich die Einrichtung einer Rückroute auf unserem Intranet-Gateway sparen.
Nochmal Danke und Gruß,
Gerard
Moin,
an Clients an der internen und der Gast-SSID auseinander-
halten soll...auf einem Netzwerkstrang kann immer nur
maximal ein VLAN ungetaggt sein.
hang mit WAN-Verbindungen. Und die hängen bevorzugt
an einem eigenen Ethernet-Port, womit dann der WLC mit
zweien von denen im Netz hinge. Das wird vermutlich
gehen, ist aber u.U. etwas knifflig einzurichten und dann
eher ein Fall für backslash
Gruß Alfred
Dann bekommst Du aber ein Problem, wie der AP PaketeHoffe nur, dass der Public-Spot-AP nicht muckt, wenn er zwar getaggte Frames abschickt, aber ungetaggte zurück bekommt, da er an einem untagged-port des Switches hängt.
an Clients an der internen und der Gast-SSID auseinander-
halten soll...auf einem Netzwerkstrang kann immer nur
maximal ein VLAN ungetaggt sein.
NAT/Masquerading geht beim LCOS nur im Zusammen-Hoffe auch, dass NAT/PAT auf dem wlc funktioniert. So könnte man sich die Einrichtung einer Rückroute auf unserem Intranet-Gateway sparen.
hang mit WAN-Verbindungen. Und die hängen bevorzugt
an einem eigenen Ethernet-Port, womit dann der WLC mit
zweien von denen im Netz hinge. Das wird vermutlich
gehen, ist aber u.U. etwas knifflig einzurichten und dann
eher ein Fall für backslash
Gruß Alfred