AP's per IP nicht erreichbar

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
Jupp
Beiträge: 3
Registriert: 11 Feb 2022, 13:56

AP's per IP nicht erreichbar

Beitrag von Jupp »

Hallo,

ich konfiguriere gerade per Remote ein WiFi Netz unserer Niederlassung. Es besteht nur aus den OW602 AP's. Zur Verwaltung wird ein WLC1000 nutzt.

Ein wenig Overhead zu Beschreibung der Umgebung:
- Die Antennen und der WLC stehen in VLAN's.
- Jede SSID hat ein eigenes Tagged VLAN.
- Das Management-Netz ist in einem eigenen PVLAN <> "Default".
- Alle Netzwerke werden alle über eine Sophos XG geroutet und reglementiert. Dies Konzept ist bereits an dem deutschen Standort fertig umgesetzt.
- Physikalisch sind die AP's nur mit erheblichen Aufwand zugänglich und sie befinden sich nicht in Deutschland.

Nun zum Problem:
Ich sehe ich nur 2 von 23 der OW602 AP's im WLC und LANconfig. Die AP's waren schon mal am WLC beim Dienstleister, die sie konfiguriert hat.
Die fehlenden AP's finde ich im LLDP Discovery auf den Switches - mit Hostname und MAC-Adresse. Ich frage mich, wie ich die AP's anschubsen kann. Reboot hat nicht geholfen - dass lässt sich mit PoE OFF/ON auf dem Port machen. Die VLAN Konfiguration habe ich mit vergleichbaren Switches nachgestellt und sie funktioniert wie erwartet.

Meine Frage wäre nun, wie ich die OW602 noch managen kann, ohne über eine IP zu verfügen? Ein Reset auf Default-Werte würde genügen. Physikalisch sind die AP's nur schwer erreichbar.
Der WLC stellt einen kleinen dynamischen Pool zur Verfügung, der DHCP-Anfragen beantwortet - das habe ich bereits getestet.
Die AP's sollen statische Adressen haben. Die Zwei, die funktionieren, haben sie.

Mir gehen so langsam die Ideen aus was ich noch machen könnte, ohne dass der Aufwand größer würde. In den Flieger setzten geht gerade nicht und der Vor-Ort Support beschränkt sich auf technische Laien.
tstimper
Beiträge: 955
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: AP's per IP nicht erreichbar

Beitrag von tstimper »

Hallo Jupp,
Jupp hat geschrieben: 17 Mär 2022, 18:14 Ich sehe ich nur 2 von 23 der OW602 AP's im WLC und LANconfig. Die AP's waren schon mal am WLC beim Dienstleister, die sie konfiguriert hat.
Die fehlenden AP's finde ich im LLDP Discovery auf den Switches - mit Hostname und MAC-Adresse. Ich frage mich, wie ich die AP's anschubsen kann.
Da kannst Du im Betriebssystem Deiner Wahl einen statischen ARP Eintrag setzen.
Für Windows siehe https://serverfault.com/questions/10273 ... t-possible

Code: Alles auswählen

netsh interface ipv4 add neighbor "local area connection" 10.1.1.1 aa-bb-cc-dd-ee-ff
Das Einfachste wäre, der Management PC hat ein Bein in selben VLAN wie der AP.

Mit dem statischen ARP Eintrag erreichst Du, das der Management PC einfach hart für die Mac Adresse des APS einen IP gesetzt bekommt.
Unter dieser IP kannst Du den AP erreichen. Routing usw. geht nicht, da es ja sozusagen ein Fake ist. Deshalb müssen beide Netzwerkkarten
(AP und Management PC) im selben Netzwerk oder VLAN sein.

Wenn Du Glück hast, kommst Du so auf den AP und kannst nachsehen, was los ist.
Jupp hat geschrieben: 17 Mär 2022, 18:14 Der WLC stellt einen kleinen dynamischen Pool zur Verfügung, der DHCP-Anfragen beantwortet - das habe ich bereits getestet.
Die AP's sollen statische Adressen haben. Die Zwei, die funktionieren, haben sie.
Wenn die APs reseted wurden, machen sie einen DHCP Request und suchen nach dem DNS Eintrag wlc-address.
Wichtig ist, das erstens der DHCP Request den WLC erreicht (ggf DHCP Helper auf den beteiligten Switches anpassen) und zweitens der DNS Server, den der DHCP Server übergibt, einen Eintrag wlc-address hat, der auf die IP des WLC zeigt.

Damit sollten sich die APs am WLC melden können.
Wenn nicht, dann ....

Wenn Du die APs per static ARP erreichst und auch DHCP und DNS richtig konfiguriert sind,
und Du das irgendwie testen konntest, kannst die APs an der CLI über do /other/reset-config resetten

Der WLC muss dann neue APs annehmen und Ihnen ggf. ein Default Profil zuweisen.
Jupp hat geschrieben: 17 Mär 2022, 18:14 - Alle Netzwerke werden alle über eine Sophos XG geroutet und reglementiert.
Siehst Du denn da im Firewall log was? z.b. Requests auf http (TCP 80) und wlc (UDP 1027), der ggf geblockt wird?

Ach so, ganz wichtig, wenn es denn dann läuft. Du brauchst für LX APs die aktuellste WLC Firmware, die kann Dir der Support geben.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
KD.Gundermann
Beiträge: 22
Registriert: 29 Mai 2012, 14:36

Re: AP's per IP nicht erreichbar

Beitrag von KD.Gundermann »

Habe hier das gleiche Problem mit LN-1700B :
Die AccessPoints sind mit einer statischen IP/VLAN konfiguriert sollen aber jetzt in ein anderes VLAN geschubst werden.
Also in Konfiguration -> IPv4 -> Allgemein -> IP-Netzwerke :
- INTRANET 192.168.10.60 VLAN-ID 10
geändert nach
- INTRANET 192.168.12.60 VLAN-ID 12

VLAN Tag am Cisco Switch geändert von 10 -> 12

und .... AccessPoint nicht mehr erreichbar

Ich habe eine SPAN Session (Port Mirror) auf dem Switch geöffnet und sehe:
- regelmäßig ein LLDP Multicast wo der AP verkündetet er wäre unter der Management Address 192.168.12.60 zu erreichen
- keine DHCP,DNS, o.ä. Pakete
- keine Reaktion auf ICMP Ping (nach setzen des statischen ARP Eintrags)
- Switch Port von Trunk -> Access geändert : Kein Erfolg

Wie kommt man an so einen AccessPoint wieder ran??
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: AP's per IP nicht erreichbar

Beitrag von GrandDixence »

In Wireshark das per Portmirroring am Switch-Port aufgezeichnete LLDP-Paket genauer betrachten und das gesetzte VLAN-Tag notieren. Dann das LANCOM-Produkt mit IP-Paketen auf der Administratorschnittstelle (SSH, HTTPS => Webconfig/Webinterface) ansprechen, deren Zieladresse und VLAN-Tag dem LLDP-Paket entsprechen. Wiederum mit Portmirroring und Wireshark die (fehlgeschlagenen) Verbindungsversuche kontrollieren (IP-Adresse + VLAN korrekt?). Siehe dazu die unter:
fragen-zur-lancom-systems-routern-und-g ... ml#p110962
verlinkten Beiträge.
KD.Gundermann
Beiträge: 22
Registriert: 29 Mai 2012, 14:36

Re: AP's per IP nicht erreichbar

Beitrag von KD.Gundermann »

Vielen Dank für die schnelle Antwort!
Nur leider sehe ich in den LLDP Paketen keinen Hinweis auf ein VLAN.
SYN Pakete zum Verbindungsaufbau werden nicht beantwortet, genausowenig ICMP Pakete
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: AP's per IP nicht erreichbar

Beitrag von GrandDixence »

[quote
KD.Gundermann hat geschrieben: 13 Feb 2023, 21:33 Nur leider sehe ich in den LLDP Paketen keinen Hinweis auf ein VLAN.
]Dann erwartet das LANCOM-Produkt die TCP SYN-Pakete ohne VLAN-Tag auf die Ziel-IP-Adresse 192.168.12.60 .
KD.Gundermann
Beiträge: 22
Registriert: 29 Mai 2012, 14:36

Re: AP's per IP nicht erreichbar

Beitrag von KD.Gundermann »

- Switch Port auf Trunk (tagged) gesetzt -> keine Reaktion
- Switch Port auf Access (untagged) gesetzt -> keine Reaktion

das einzige was der Access Point macht: alle 30 Sekunden ein LLDP Paket senden
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: AP's per IP nicht erreichbar

Beitrag von Jirka »

KD.Gundermann hat geschrieben: 13 Feb 2023, 13:50 und .... AccessPoint nicht mehr erreichbar
Ist das VLAN-Modul aktiv?
Dann müssen die Änderungen der VLAN-ID auch dort einfließen.
KD.Gundermann hat geschrieben: 13 Feb 2023, 13:50 Wie kommt man an so einen AccessPoint wieder ran??
LANCOM Layer 2 Management Protokoll (LL2M)
KD.Gundermann
Beiträge: 22
Registriert: 29 Mai 2012, 14:36

Re: AP's per IP nicht erreichbar

Beitrag von KD.Gundermann »

Danke Jirka,

der Tip mit LL2M hat geholfen !!

Jetzt muss ich nur noch finden wie ich den AP in einen vernünftigen Zustand zurückbringe.
Da er ja vom WLC gemananged wird scheinen Änderungen an /Setup/TCP-IP/Network-list
nicht zu interessieren.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: AP's per IP nicht erreichbar

Beitrag von Jirka »

KD.Gundermann hat geschrieben: 15 Feb 2023, 19:23 Da er ja vom WLC gemananged wird scheinen Änderungen an /Setup/TCP-IP/Network-list
nicht zu interessieren.
Vom WLC stand bisher nirgends was. Natürlich muss man dann beachten, was im WLC konfiguriert ist und viele (direkte) Einstellungen am AP sind völlig egal. Man müsste jetzt erst mal schauen, wie der AP seine IP-Adresse bekommt, also was in der AP-Tabelle eingestellt ist. Des Weiteren müssten die Änderungen im WLC vorgenommen werden.
KD.Gundermann
Beiträge: 22
Registriert: 29 Mai 2012, 14:36

Re: AP's per IP nicht erreichbar

Beitrag von KD.Gundermann »

Hallo Jirka,
Jirka hat geschrieben: 16 Feb 2023, 01:50 Vom WLC stand bisher nirgends was.
Sorry, da der OP schon vom WLC gesprochen hatte, habe ich es nicht noch einmal erwähnt.
Jirka hat geschrieben: 16 Feb 2023, 01:50 Natürlich muss man dann beachten, was im WLC konfiguriert ist und viele (direkte) Einstellungen am AP sind völlig egal. Man müsste jetzt erst mal schauen, wie der AP seine IP-Adresse bekommt, also was in der AP-Tabelle eingestellt ist. Des Weiteren müssten die Änderungen im WLC vorgenommen werden.
Gibt es denn eine Beschreibung wie genau der AP im Zusammenspiel mit dem WLC an seine IP-Adresse kommt?
- Welche Daten im AP werden z.B. überschrieben/ignoriert (Also z.B. die unter IPv4 -> Allgemein -> IP-Netzwerke?)
- Welche Daten sollte man trotzdem noch im AP eintragen ( z.B. Datum/Zeit -> Synchronisierung / Zeit-Server ?)
- ich habe im WLC den APs alle eine feste IP vergeben und ein festes IP-Parameter-Profil mit Netmask/Gateway/DNS-Server
von den 6 APs die im neuen VLAN sind fragt EINER JEDE Minute den DHCP Server nach seiner Adresse
(Lease time auf DHCP Server ist 7200 sec) (die anderen APs einmal die Stunde)
Wieso überhaupt DHCP Abfragen, wenn doch eine feste IP konfiguriert ist?
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: AP's per IP nicht erreichbar

Beitrag von PappaBaer »

Moin,

der AP kann sein IP-Profil vom WLC ja erst ziehen, wenn er diesen überhaupt erreicht. Dafür sendet er als Broadcast Discovery Request Messages. Wenn der AP aber jetzt in einem anderen VLAN steht wie der WLC, funktioniert das über diesen Weg nicht. Alternativ versucht der AP den DNS-Namen WLC-Address aufzulösen und darüber die IP eines WLC zu bekommen.

Versuche mal, in dem Subnetz, in dem die APs nun sind, einen DHCP-Server aufzusetzen, der einen DNS-Server verteilt, der den Namen WLC-Address auf die IP des WLC auflösen kann. Dann sollten die APs den WLC erreichen und dort ihr IP-Profil ziehen können.

Grüße,
Torsten
Antworten