Lancom L-54g als 802.1x Wlan Client an Uni-Netz

[cofie]

Gegeben ist ein 802.1x Wlan auf das ich per Laptop ohne Probleme zugreifen kann. Würde aber gern auch ein Hardware-Sip-Telefon und ein Tablett gleichzeitig mit Konnektivität versorgen. Habe also für €50,- einen gebrauchten Lancom L-54g wireless (HW-Rev. C) Access Point gekauft, da dieser als WLAN-Client auch 802.1x können soll. Den L54g fix auf die für Hardwareversion "C" letztmögliche Firmware gebracht: "LC-L54-8.62.0103-RU7.upx". Wenn ich es funktionierend hinbekomme, dass am einzigen Ethernetanschluss des L-54g ich dann direkt per DHCP (DHCP des Uni-Netzes) ein Netzwerkgerät anschliessen kann, würd' ich mir kleines persönliches NAT-Netz mit 'nem vorhandenen Router einrichten.

Soweit so gut, doch die Probleme sind:
A) Habe bereits einiges (meines Erachtens sinvolles, siehe B, 1-4) konfiguriert. Der L-54g ist in einem lokalen Netz per fest gesetzter IP (192.168.178.209) auch ansprechbar. Wenn ich dann dorthin geht, wo das eigentliche Uni-Netz zu empfangen ist, gibt der L-54g unter der bewussten IP .209er und direkter 1:1-Ethernetverbindung (auch mitHub/Node-Schalter getestet) aber keinen Netzwerk-Muks mehr von sich. Rechner und LEDs zeigen allerdings Link an und Rechner-IP und Maske sind auch richtig gesetzt. Zurück im lokalen Einrichtungsnetz klappt der Zugriff gleichwohl. Was kann das sein, bin kurz davor, den L-54g erst mal wieder komplett zu resetten. Hat jemand dazu einen Rat?

B) Das eigentlich Entscheidende: Die Komplexität der 802.1X Wlan-Client Konfiguration am Lancom-Gerät hatte ich schwer unterschätzt! Die Konfigurationsberfläche ist mir völlig fremd. Ich benötige Hilfe, was ich in der "frisch nach Reset"-Situation unter Firmware "8.62.0103RU7 / 24.01.2013" alles einstellen muss, bitte.
Bisher hatte ich folgende Schritte unternommen:
1) Per Setup-Wizard "Grundeinstellungen": Admin-PW, IP 192.168.178.209 und Maske 255.255.255.0 gesetzt. Gateway und DNS 0.0.0.0 gelassen, DHCP-Betriebsart "aus".
2) Per Setup-Wizard "WLAN-Schnittstelle konfigurieren": WLAN-Betriebsart "Client", Client-Bridge-Betriebsart nicht aktiv (da auch der Gegenseite evtl. kein Lancom und ich ja sowieso einen zusätzlichen NAT-Router im Endzustand verwenden will), Netzwerk-Name (SSID) des Uni-Netzes gesetzt, WPA-2 (802.11i) und WPA2-Passwort beides als Dummy provisoerisch gesetzt.
3) Unter "LCOS-Menübaum->Setup->Schnittstellen->WLAN->Verschluesselung" (fand das extrem schwer zu finden) Verschlüsselung: ja, Vorgabeschlüssel(??) "1", Methode "802.11i-WPA-802.1x", Schlüssel: die Werte für user/passwort, WPA-Version: WPA2, WPA1-Sitzungsschlüssel TKIP/AES, WPA2-Sitzungsschlüssel AES, Rekeying 600 Sekunden, Client EAP-Methode TTLS/PAP, Autentifizierung Open-System.
4) Das Deutsche Telekom Root CA 2 Wurzelzertifikat als .crt-Datei über "Dateimanagement->Zertifikat oder Datei hochladen" als "EAP/TLS - Roor-CA-Zertifikat" geladen ... und mich gewundert, dass es unter "LCOS-Menübaum->Setup->Zertifikate->SCEP-Client" nicht angezeigt wird! Aber es als ssl_cert unter "LCOS-Menübaum->Status->Zertifikate->Geraetezertifikate" entdeckt.
5) An dem unter Punkt A geschilderten Problem gescheitert und erst mal übermüdet zum Schlafen gelegt.

Ich denke mir, ich mache da wohl einiges falsch, weil ich es nicht richtig durchblicke. Tante Google lehrt mich, dass an solch' Projekt schon einige gescheitert sind, oder? Doch so schwer kann es doch letztlich nicht sein, oder?

Mir eine Schritt-für-Schritt Anleitung zu wünschen, ist vermutlich illusorisch. Doch vielleicht durchblickt jemand die Aufgabenstellung (hat das Ganze bereits für sich umgesetzt?!) und kann mir etappenweise konkete Hilfestellung geben, bitte? Das wäre fein! Falls dieses Wissen nicht publik werden soll (DFN ITler?), gern auch per PM.

cofie grüßt

[Bernie137]

Hi,

Gegeben ist ein 802.1x Wlan auf das ich per Laptop ohne Probleme zugreifen kann.

Geht das nur, weil die MAC Adresse vom Notebook zugelassen ist oder kann man mit der gleichen Zugangskennung auch das Tablet betreiben?

Und nach der ganzen Konfiguration, was wird im LANmonitor angezeigt bzgl des UNI WLAN, gefunden, verbunden?

vg Bernie

[cofie]

MAC Adresse ... ?

Nein, die Authentifizierung läuft rein über die 802.1x passphrase zusammengesetzt aus "user:password".

Und nach der ganzen Konfiguration, was wird im LANmonitor angezeigt bzgl des UNI WLAN, gefunden, verbunden?

Wg. A) oben in meinem Post vermag ich das nicht zu sagen. Diesbezüglich stehe ich wie der Ochs vor'm Berg bzw. hier: ... vor'm Lancom L-54g mit dem komplexen LCOS . Soll "LANmonitor" etwas aus dem LCOS Webinterface sein oder ist das eine Lancom PC-Applikation, bitte?

VG,
cofie

[Bernie137]

LANmonitor ist eine PC Software für Windows und frei erhältlich http://www.lancom-systems.de/downloads/ ... nt-system/

vg Bernie

[cofie]

Merci. Kann ich für meinen L-54g HW-Rev. "C", also mit max. Firmwareversionsstand 8.62 (LC-L54-8.62.0103-RU7), den dort angebotenen LANmonitor 8.84 RU2 nehmen, oder muss/sollte ich nach einem "LANmonitor 8.62 RU7" ausschau halten, bitte?

cofie grüßt

[Bernie137]

LANmonitor und LANconfig ist abwärtskompatibel. Mit LANconfig tust Dich vielleicht auch etwas leichter beim konfigurieren.

vg Bernie

[cofie]

LANconfig

Kann es sein, dass darin aber der ganze Setup-Menübaum nicht abgebildet wird?

Dafür aber unter Konfig wiederum Dinge, die nicht im Webinterface nicht erscheinen?!

Erstaunlich, ...

[alf29]

Moin,

3) Unter "LCOS-Menübaum->Setup->Schnittstellen->WLAN->Verschluesselung" (fand das extrem schwer zu finden) Verschlüsselung: ja, Vorgabeschlüssel(??) "1",

Laß ihn auf 1, das spielt nur bei alter WEP-Verschlüsselung eine Rolle.

Methode "802.11i-WPA-802.1x", Schlüssel: die Werte für user/passwort, WPA-Version: WPA2, WPA1-Sitzungsschlüssel TKIP/AES, WPA2-Sitzungsschlüssel AES, Rekeying 600 Sekunden, Client EAP-Methode TTLS/PAP, Autentifizierung Open-System.

Rekeying würde ich auf Null lassen, ein regelmäßig vom Client neu angestoßener Key-Handshake macht erfahrungsgemäß mehr Ärger als Nutzen, insbesondere gegen die in Unis beliebten Cisco-APs, weil die der Meinung sind, daß sie als einzige das Recht haben, einen neuen WPA-Handshake anzustoßen.

4) Das Deutsche Telekom Root CA 2 Wurzelzertifikat als .crt-Datei über "Dateimanagement->Zertifikat oder Datei hochladen" als "EAP/TLS - Roor-CA-Zertifikat" geladen ... und mich gewundert, dass es unter "LCOS-Menübaum->Setup->Zertifikate->SCEP-Client" nicht angezeigt wird! Aber es als ssl_cert unter "LCOS-Menübaum->Status->Zertifikate->Geraetezertifikate" entdeckt.

Ein Zertifikat, daß als EAP/TLS-Root-CA-Zertifikat hochgeladen wird, sollte im Dateisystem auch als 'eaptls_rootcert' auftauchen - wie es da gelandet sein soll, weiß ich nicht. Der SCEP-Client zeigt nur Zertifikate an, die er selber geholt hat, nicht die, die man händisch reinlädt.

Da Du ja ohnehin schon auf der Kommandozeile bist , kannst Du es aber auch gleich per SCP hochladen:

Code: Alles auswählen

scp <datei.crt> root@<Geräte-IP>:eaptls_rootcert

Für einen ersten Versuch kann man das aber auch lassen, das LANCOM kann dann eben die Server-Identität nicht überprüfen und man hat keinen Schutz gegen Rogue APs.

Vielleicht sollte man erstmal "Bestandsaufnahme" machen, wie weit das Gerät überhaupt auf dem WLAN kommt. Wie verhält sich die WLAN Link-LED? Wenn sie schnell blinkt, dann hat das LANCOM den AP noch überhaupt nicht gefunden und sucht noch. Wenn sie aus ist, klemmt's irgendwo in der 802.1X-Verhandlung oder das WLAN ist gar nicht eingeschaltet. Nur wenn sie Dauer-An ist (mit kurzen Aus-Pausen bei neueren LCOS-Versionen) ist sie verbunden.

Hilfreich ist üblicherweise das Tracing-System im LCOS, mit einem 'Trace + WLAN-Status' auf der CLI kann man bei Verbindungsproblemen nachverfolgen, wo es hakt. Eine CLI bekommt man auch seriell über die Outband-Schnittstelle, was sehr hilfreich ist, wenn man sich das Gerät IP-mäßig 'zerkonfiguriert' hat. Ich vermute aber, das passende Kabel mit dem Mini-DIN-Stecker war bei dem Gebrauchtgerät nicht mehr dabei

Kann es sein, dass darin aber der ganze Setup-Menübaum nicht abgebildet wird?

Dafür aber unter Konfig wiederum Dinge, die nicht im Webinterface nicht erscheinen?!

LANconfig zeigt im Prinzip die gleichen Einstellungen wie die, die im Setup-Unterast des LCOS-Menübaums stehen, bis auf die wirklich esoterischen, die 99% der Anwender nicht brauchen, und in einer anderen Sortierung. Der LCOS-Menübaum ist die Sortierung, wie die Module in der Firmware selber strukturiert sind, die Sortierung im LANconfig die, die nahc Meinug von jemande anderen nutzerfreundlicher ist

Gruß Alfred

[cofie]

Moin, ...

Was Du zum Vorgabeschlüssel und zum Rekeying schreibst, leuchtet ein und würd' ich so machen.

Allerdings: Den in einem lokalen Netz per Webconfig konfigurierten und auf 192.168.178.209 gesetzten L-54g erreiche ich direkt per Netzwerkkabel mit Rechner verbunden nicht mehr per Webbrowser unter dieser IP-Adresse (Link an L-54g und Rechner leuteten aber). LANconfig zeigte ihn mal gar nicht an und wenn dann doch, dann konnte es die Konfiguration nicht lesen. Zu Beginn - im lokalen Netz - ging es aber problemlos - da sah ich auch, dass m.E. nicht 99% sondern nur ca. 40-50% der Einstellmöglichkeiten beim Zugriff per LANconfig 8.84 RU2 auf mein FW LC-L54-8.62.0103-RU7 L-54g vorhanden sind. Weiterhin konnte ich zu dem Zeitpunkt mit der entsprechenden LANconfig-Menüoption das Zertifikat nicht laden*. Sollte mir beides jeweis zu denken geben?

*= über scp per Telnet von meinem Rechner auch nicht, aber da mag ich auch bereits zu müde gewesen sein und mit dem Pfad einen Fehler gemacht haben (obwohl ich den Pfad per drag-and-drop geschoben hatte)

Code: Alles auswählen

Overlay:~ cf$ scp /Users/cf\ 1/Desktop/Lancom\ L-54g\ wireless\ als\ 802.11x\ WLAN\ Client/deutsche-telekom-root-ca-2.crt  root@192.168.178.209:eaptls_rootcert
Local password authentication for root
Password: 
scp: deutsche-telekom-root-ca-2.crt: No such file or directory

Nach "5 Sekunden bis rot"-Reset findet LANconfig das Gerät auch per Ethernet-Direktverbindung. Beim ersten Mal wurd' beim Zufriffsversuch die Konfiguration von gestern geladen, "erfolgreich" denn danach war wieder kein Zugriff mehr möglich.
Nach dem Löschen aller LANconfig bekannten Konfigurationen und erneutem Reset (danach IP 172.23.56.254) kann ich im LANconfig per auf Klick auf das Gerät gestartetem Setup-Assistent genau Name, Passwort, SNMP Community, DHCP-Betriebsart (aus), IP (192.168.178.209) und Zeitzone einstellen. Nach dem Hochladen der Konfiguration stützt der L-54g wohl ab, denn vor einem POR ist kein weiterer Zugriff mehr nötig. Danach findet LANconfig das Gerät unter der neuen IP-Adresse .209 (Gerätestatus OK=, das "Prüfe ..." beim Konfigurationsversuch endet jedoch mit "Die Systeminformation den Gerätes LANCOM L-54g Wireless konnte nicht ausgelesen werden".

Okay, neuer Versuch: Reset und dann Browserzugriff auf 172.23.56.254, klappt das? Ja! Lande im Webinterface beim Assistent "Grundeinstellungen", also: Name, Passwort, DHCP-Betriebsart (Aus), IP (192.168.178.209), Zeitzone. Danach kann ich weder unter alter noch neuer IP das Webinterface erreichen. LANconfig findet das L-54g unter der neuen IP (192.168.178.209), beim Zugriffsversuch wird aber aus Gerätestatus OK der Gerätestatus "Keine Antwort" und "Die Systeminformation den Gerätes LANCOM L-54g Wireless konnte nicht ausgelesen werden" wie oben.

Tja, was nun? Bin einigermaßen ratlos, denn ich will eine Lösung für mein Thema Zugriff auf das Uni-Netz, kann aber nicht weiter so viel Zeit mit dem Lancom-Gerät verbraten. Beim Spassgooglen von "Lancom viel zu kompliziert" komme ich witzigerweise als erstes(!) auf den Blog von Lancom-Chef Ralf Koenzen ("Ist Technikverweigerung die Lösung?") und nur einen Klick weiter ("LANCOM sagt Danke!") auf eine Loblied über Netzwerk-/Routertechnik made in Germany (Merkel-Besuch auf dem Lancom CeBit-Stand). Mit meinen Lancom Ersterfahrungen von gestern und heute bin ich am Zweifeln ...

Vgl.
http://lmgtfy.com/?q=lancom+viel+zu+kompliziert
http://www.lancom-systems.de/blog/ist-t ... e-loesung/
http://www.lancom-systems.de/blog/lancom-sagt-danke/


cofie grüßt
(leider zweifelnd und trotz des morgens ermattet)

[alf29]

Moin,

OK, kleiner Fehler, LCOS 8.62 verhält sich bezüglich SCP noch ein klein wenig anders als seine Nachfolger, dieser Version muß man noch explizit den Zielpfad mit angeben:

Code: Alles auswählen

scp <Quelldatei> root@<Geräte-IP>:/minifs/eaptls_rootcert

Neuere LCOS-Versionen ab 8.70 brauchen das nicht mehr. Scusi, 8.62 ist für den Entwickler, der aktuell an LCOS 9.10 arbeitet, schon ziemlich weit weg...

Mit LANconfig arbeite ich ehrlich gesagt überhaupt nicht (Windows-Verweigerer), und die Benutzung der WEBconfig habe ich ehrlich gesagt auch aufgegeben, nachdem sie von einigen Versionen - finde ich - ziemlich verschlimmbessert worden ist. Wenn ich mit Dir jetzt zusammen vor dem Gerät sitzen würde, dann hätten wir das vermutlich in einer halben Stunde auf der CLI zu Laufen gebracht. Nur Remote mit Nachrichten-Pingpong ist das ungleich schwieriger, vor allem, wenn man den anderen erstmal 'von Null auf' mit der 'Philosophie' der LANCOM-Konfiguration vertraut machen muß...

Beim Spassgooglen von "Lancom viel zu kompliziert" komme ich witzigerweise als erstes(!) auf den Blog von Lancom-Chef Ralf Koenzen ("Ist Technikverweigerung die Lösung?") und nur einen Klick weiter ("LANCOM sagt Danke!") auf eine Loblied über Netzwerk-/Routertechnik made in Germany (Merkel-Besuch auf dem Lancom CeBit-Stand). Mit meinen Lancom Ersterfahrungen von gestern und heute bin ich am Zweifeln ...

LANCOMs sind Geräte, die nicht primär für den Einsatz beim Heimanwender konzipiert worden sind und dementsprechend viele Einstellmöglichkeiten bieten. Für jeden Punkt in der LCOS-Konfiguration gibt es mindestens einen Kunden, der ihn haben wollte und als kleine Firma leben wir letzten Endes davon, daß wir auf Kundenwünsche eingehen, anstatt wie 'die großen' dem Kunden einfach vorzudiktieren, was er wie zu benutzen hat. Daß im Ergebnis dabei das herauskommt, was die c't mal als 'Feature-Monster' bezeichnet hat und was den "Ich will doch nur einfach..."-Einzelanwender zur Verzweiflung treiben kann, ist kaum zu verhindern.

Du hast Dir mit 802.1X sowie NAT auf dem WLAN auch noch eine Themenkombination 'ausgesucht', an der auch viele unserer Supporter scheitern. 802.1X ist etwas, wo ein halbes Dutzend Protokolle übereinander gestapelt werden, und wenn man nicht wenigstens eine grobe Ahnung davon hat, wie die einzelnen Protokolle zusammenarbeiten, wird es sehr sehr schwierig...

Gruß Alfred

[cofie]

Zuerst einmal Dank für Deine konkreten und aufmerksamen Posts! Dies wollt' ich vorhin schon geschrieben haben. Die Lancom Philosophie ist das eine, damit kann ich mich arrangieren. Die "irrationale" Ebene, dass das Gerät wie geschrieben nach Setzen der IP nicht mehr erreichbar ist, hat mich vorhin jedoch völlig entnervt.
Wäre eine Macke des Gerätes plausibel?

Nach "5 Sekunden bis rot"-Reset findet LANconfig das Gerät auch per Ethernet-Direktverbindung. Beim ersten Mal wurd' beim Zufriffsversuch die Konfiguration von gestern geladen, "erfolgreich" denn danach war wieder kein Zugriff mehr möglich.
Nach dem Löschen aller LANconfig bekannten Konfigurationen und erneutem Reset (danach IP 172.23.56.254) kann ich im LANconfig per auf Klick auf das Gerät gestartetem Setup-Assistent genau Name, Passwort, SNMP Community, DHCP-Betriebsart (aus), IP (192.168.178.209) und Zeitzone einstellen. Nach dem Hochladen der Konfiguration stützt der L-54g wohl ab, denn vor einem POR ist kein weiterer Zugriff mehr nötig. Danach findet LANconfig das Gerät unter der neuen IP-Adresse .209 (Gerätestatus OK=, das "Prüfe ..." beim Konfigurationsversuch endet jedoch mit "Die Systeminformation den Gerätes LANCOM L-54g Wireless konnte nicht ausgelesen werden".

... spricht ja irgendwie dafür, oder gäbe es für so etwas eine andere Erklärung? Für den Defektfall: Hab' das Gebrauchtgerät von einem Händler und kann es noch binnen 10 Tagen zurück geben.

Windows-Verweigerer bin ich auch, dachte nur, dass behalte ich besser für mich . Schicke 'noch ne PN.

cofie grüßt
(mit Dank und viel gelassener)