L-322agn R2 als WLAN Client (802.1X) und NAT

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
mul
Beiträge: 7
Registriert: 12 Mär 2011, 18:10

L-322agn R2 als WLAN Client (802.1X) und NAT

Beitrag von mul »

Hallo Forum,

ich versuche verzweifelt, einen L-322agn R2 (LCOS 10.20 RU4) als Client in ein bestehendes WLAN (nennen wir es mal "Funkloch") zu hängen und anschließend alle verkabelten Geräte an ETH1 per NAT in dieses WLAN sprechen zu lassen. Im WLAN werden private IPs per DHCP vergeben, und der LANCOM ist als DHCP-Server fürs lokale Intranet konfiguriert (ebenfalls privates Netz, natürlich abweichend).

Ich bin folgendermaßen vorgegangen und bisher grandios gescheitert:
  • AP auf WLAN-1 als Client ins fremde WLAN eingeklinkt (Auth mit 802.1X, PEAP/MSCHAPv2), WLAN-2 deaktiviert
  • DSLoL auf WLAN-1 aktiviert, denn ich möchte ja routen
  • Gegenstelle mit DHCPoE eingerichtet
  • Default Route mit Maskierung angelegt auf "FUNKLOCH", Nullrouten für private Netze sind deaktiviert
  • zur Sicherheit Firewall deaktiviert (das klingt jetzt irgendwie lustig)
Im Packet Capture sehe ich, dass die EAP-Authentifizierung sauber durchläuft (EAP "Success"). Im Trace sagt der LANCOM aber, dass die DSL-Gegenstelle nicht antwortet ("No response" bzw. "no channel available to connect to FUNKLOCH") und hängt dann entsprechend immer wieder im Status "Protocol". Auf den Router der Gegenstelle habe ich leider keinen Zugriff und kann dort nichts loggen. Mit einem testweise aus dem Ruhestand zurückgeholten 3850 komme ich leider nur genauso weit wie mit dem 322agn. Das WLAN an sich funktioniert aber, bei einem Test per Notebook bekomme ich eine IP. Wenn ich das ganze zur Probe mal hinter ein gewöhnliches WLAN mit WPA2-PSK hänge, funktioniert mein Setup und ich kann NATten.

Jetzt frage ich mich natürlich: Will ich zu viel, oder bin ich zu blöd?

Vielen Dank für eure hilfreichen Kommentare
martin
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: L-322agn R2 als WLAN Client (802.1X) und NAT

Beitrag von alf29 »

Moin,
Ich bin folgendermaßen vorgegangen
Im Prinzip alles richtig...
Im Packet Capture sehe ich, dass die EAP-Authentifizierung sauber durchläuft (EAP "Success").
Bei WPA/802.1X kommt nach der erfolgreichen 1X-Authentifizierung noch der WPA-Key-Handshake - erst wenn das LANCOM im WLAN-Status-Trace "Connected" meldet, steht die WLAN-Verbindung. Dann geht die WLAN-Link-LED auch an. Bekommst Du das?

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
mul
Beiträge: 7
Registriert: 12 Mär 2011, 18:10

Re: L-322agn R2 als WLAN Client (802.1X) und NAT

Beitrag von mul »

Hi,

ja, der Status ist „Connected“ und die WLAN-LED leuchtet dauerhaft mit periodischer kurzer Unterbrechung (ich gehe davon aus, das mir damit die Anzahl der Verbindungen signalisiert werden soll). Ich sollte vielleicht noch erwähnen, dass ich eher in der bintec-Ecke zuhause bin.

Viele Grüße
martin
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: L-322agn R2 als WLAN Client (802.1X) und NAT

Beitrag von alf29 »

ja, der Status ist „Connected“ und die WLAN-LED leuchtet dauerhaft mit periodischer kurzer Unterbrechung (ich gehe davon aus, das mir damit die Anzahl der Verbindungen signalisiert werden soll).
Im Client-Modus ist die Anzahl der "Blinker" die Profilnummer. Man kann ja die Einstellungen für die SSIDs im Client-Modus für mehrere Profile benutzen, mit den sich das Gerät wahlweise verbindet. Wenn Du nur WLAN-1 konfiguriert hat, dann ist das das erste Profil.

Da das Gerät verbunden ist, müßtest Du als nächstes auf der "Datenebene" weitersuchen. Ich weiß nicht, wie firm Du auf der CLI bist - ich würde als nächstes unter Setup/WLAN die Trace-MAC auf die MAC-Adresse des APs einstellen, mit dem Du verbunden bist, die "Trace-Packets" auf "Data" und dann mt einem "trace + wlan-data schauen, was so rein- und rausgeht. Prinzipiell müßtest Du ja den vom LANCOM gesendeten DHCP/BOOTP-Request sehen. Wenn nicht, dann stimmt noch irgendetwas mit dem WAN-Setup auf dem LANCOM nicht. Wobei Du gesagt hattest, daß es mit exakt gleicher sontiger Konfig an einem Netz mit WPA-PSK funktioniert?

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
mul
Beiträge: 7
Registriert: 12 Mär 2011, 18:10

Re: L-322agn R2 als WLAN Client (802.1X) und NAT

Beitrag von mul »

Hi,

im Paketmitschnitt auf Interface WLAN-1 sehe ich nach der Schlüsselaushandlung das DHCP Discover vom LANCOM. Leider kommt kein Offer zurück. Ich hatte bisher immer auf dem RAW-Interface mitgeschnitten und mich auf EAP konzentriert (ich habe dort den Fehler vermutet), daher habe ich die DHCP-Pakete übersehen. Doof. In einem PSK-gesicherten Netz funktioniert es mit diesem Setup und ich bekomme per DHCP eine Adresse.

Da das Ganze funktioniert, wenn ich mich mit einem Rechner als Client verbinde, frage ich mich, was hier auf der Gegenseite schief läuft. Am LANCOM liegt es aber wohl nicht. Hast du noch eine Idee? Wie gesagt, ich kann drüben leider nicht reingucken.

Danke
martin
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: L-322agn R2 als WLAN Client (802.1X) und NAT

Beitrag von alf29 »

Moin,

hm, schwer zu sagen, wenn man nicht weiß, was der Gegenseite an dem Discover nicht gefällt. Gelegentlich gibt's ein Problem mit den MAC-Adressen in so einem Szenario. Wenn die Quell-MAC-Adresse des Discovers und die CHAdr in dem DHCP-Paket nicht übereinstimmen, kann es schon mal Probleme geben, weil der DHCP-Server den Offer an die CHAdr zurückschickt, und der AP auf der anderen Seite meint dann, so eine MAC-Adresse wäre gar nicht bei ihm angemeldet, also leitet er den Offer nicht aufs WLAN zurück. Was hattest Du für eine MAC-Adresse auf der DSL-Verbindung eingestellt?

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
mul
Beiträge: 7
Registriert: 12 Mär 2011, 18:10

Re: L-322agn R2 als WLAN Client (802.1X) und NAT

Beitrag von mul »

Hi Alfred,

Tatsache! Im Discover steht eine vom LANCOM gewürfelte, virtuelle MAC als chaddr. Da aber auch das Broadcast-Flag gesetzt ist, sollte das eigentlich nicht weiter stören. Aber genau hier liegt der Hund begraben, denn es kommt keine Antwort.

Ich habe jetzt für die Gegenstelle die MAC-Adresse auf die Adresse des WLAN-Moduls geändert und siehe da: Kaum macht man's richtig, schon funktioniert's!

Herzlichen Dank, das war der entscheidende Tipp!

Viele Grüße
martin
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: L-322agn R2 als WLAN Client (802.1X) und NAT

Beitrag von alf29 »

Moin,
Tatsache! Im Discover steht eine vom LANCOM gewürfelte, virtuelle MAC als chaddr. Da aber auch das Broadcast-Flag gesetzt ist, sollte das eigentlich nicht weiter stören. Aber genau hier liegt der Hund begraben, denn es kommt keine Antwort.
Das Broadcast-Flag weist AFAIK den DHCP-Server streng genommen nur dazu an, den Offer IP-mäßig als Broadcast zu schicken. Die Ziel-MAC-Adresse darf weiterhin eine Unicast-Adresse sein. Der DHCP-Server im LCOS schickt in so einem Fall den Offer auch "MAC-mäßig" als Broadcast, diverse andere DHCP-Server tun das aber nicht. Schön zu hören, daß es jetzt bei Dir funktioniert.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Antworten