4
Cisco WLC, kein DHCP auf WLAN
Hello hello,
frohe Ostern erstmal.
Ich spiele hier gerade etwas mit einem Cisco WLC (Basis ist IOS-XE 3.6.4) herum, daran 2 LAP1142. Die APs sind am WLC gejoint, soweit ist auch alles in Ordnung. SSIDs werden von allen Geräten gesehen, damit gehe ich grundlegend erstmal davon aus, dass die Konfig in Ordnung ist. Jedoch gibt es ein nicht ganz unerhebliches Problem....DHCP Offers kommen am Client nicht an
Der Aufbau ist aktuell folgendermaßen:
pfsense-Firewalls für VLAN1 und 3, sowie VLAN2 (getrennte FWs)
per Trunk auf Gi1/0/48 am Switch
weiterer Trunk auf Ubiquiti Nanostation an Gi1/0/3 (abgesetzte Lokation)
ein LAP1142 an Gi1/0/1, Access Port VLAN1 (WLAN-Mgmt-Port ist auch VLAN1)
VLAN1 ist rein Management, kein Usertraffic drauf. An der Firewall für VLAN3 hab ich einen Packet Capture laufen lassen, DHCP Discover kommt rein, Offer geht raus, am Client kommt der Offer aber nicht an...dazu ist zu sagen, dass VLAN1 und 3 über die pfsense ein DHCP-Relay auf einen DHCP-Server vor der Firewall haben, was bei VLAN2 jedoch nicht der Fall ist, und auch dort kommt der Offer nicht am Client an...
Hier noch ein paar Auszüge der Port-Config:
und die WLAN-Config
Ich habe die 2 WLANs absichtlich unterschiedlich konfiguriert, um zu sehen ob der fest vorgegebene DHCP in WLAN2 einen Unterschied macht, tut es aber nicht.
Endaufbau soll dann sein, dass der WLC-Switch auf die andere Seite der Nanostation (transparant bridge mode) kommt, um ein Ubiquiti Unifi WLAN abzulösen. Gleiche VLANs, gleiche IP-Adressen, nur anderes System...
Mit dem internen DHCP des Ciscos läuft das auch alles, aber es muss auch extern funktionieren. Die Firewalls sind soweit korrekt konfiguriert, da das Unifi-WLAN ja noch einwandfrei läuft.
Wer hat die Lösung?
Ich liefere natürlich gerne weitere Teile der Config nach, sofern sie benötigt werden...
Grüßle
frohe Ostern erstmal.
Ich spiele hier gerade etwas mit einem Cisco WLC (Basis ist IOS-XE 3.6.4) herum, daran 2 LAP1142. Die APs sind am WLC gejoint, soweit ist auch alles in Ordnung. SSIDs werden von allen Geräten gesehen, damit gehe ich grundlegend erstmal davon aus, dass die Konfig in Ordnung ist. Jedoch gibt es ein nicht ganz unerhebliches Problem....DHCP Offers kommen am Client nicht an
Der Aufbau ist aktuell folgendermaßen:
pfsense-Firewalls für VLAN1 und 3, sowie VLAN2 (getrennte FWs)
per Trunk auf Gi1/0/48 am Switch
weiterer Trunk auf Ubiquiti Nanostation an Gi1/0/3 (abgesetzte Lokation)
ein LAP1142 an Gi1/0/1, Access Port VLAN1 (WLAN-Mgmt-Port ist auch VLAN1)
VLAN1 ist rein Management, kein Usertraffic drauf. An der Firewall für VLAN3 hab ich einen Packet Capture laufen lassen, DHCP Discover kommt rein, Offer geht raus, am Client kommt der Offer aber nicht an...dazu ist zu sagen, dass VLAN1 und 3 über die pfsense ein DHCP-Relay auf einen DHCP-Server vor der Firewall haben, was bei VLAN2 jedoch nicht der Fall ist, und auch dort kommt der Offer nicht am Client an...
Hier noch ein paar Auszüge der Port-Config:
!
interface GigabitEthernet1/0/1
switchport trunk allowed vlan 1-3
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/3
switchport trunk allowed vlan 1-3
switchport mode trunk
!
interface GigabitEthernet1/0/48
switchport trunk allowed vlan 1-3
switchport mode trunk
power inline neverund die WLAN-Config
wlan wlan1 2 WLAN_1
band-select
client vlan VLAN0002
ip dhcp opt82 format add-ssid
ip dhcp required
ip dhcp server 192.168.204.1
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
load-balance
no security wpa akm dot1x
security wpa akm psk set-key ascii 0 yyyyyyyyyyyyxxxxxxxxxx
session-timeout 1800
no shutdown
wlan wlan2 3 WLAN_2
band-select
no broadcast-ssid
client vlan VLAN0003
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
load-balance
no security wpa akm dot1x
security wpa akm psk set-key ascii 0 xxxxxxxxxxxyyyyyyyyy
session-timeout 1800
no shutdownIch habe die 2 WLANs absichtlich unterschiedlich konfiguriert, um zu sehen ob der fest vorgegebene DHCP in WLAN2 einen Unterschied macht, tut es aber nicht.
Endaufbau soll dann sein, dass der WLC-Switch auf die andere Seite der Nanostation (transparant bridge mode) kommt, um ein Ubiquiti Unifi WLAN abzulösen. Gleiche VLANs, gleiche IP-Adressen, nur anderes System...
Mit dem internen DHCP des Ciscos läuft das auch alles, aber es muss auch extern funktionieren. Die Firewalls sind soweit korrekt konfiguriert, da das Unifi-WLAN ja noch einwandfrei läuft.
Wer hat die Lösung?
Ich liefere natürlich gerne weitere Teile der Config nach, sofern sie benötigt werden...Grüßle
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 300180
Url: https://administrator.de/contentid/300180
Printed on: April 19, 2024 at 08:04 o'clock
4 Comments
Latest comment
Nur zum Verständnis nochmal nachgefragt: Hast du einen zentralen DHCP Server und wenn ja wo routest du bzw. wo sind die DHCP Forwarder (Helper IPs) konfiguriert ?
Die gi 1/0/1 ist etwas komisch, denn hier kollidiert die Trunk Konfig mit der Access Konfig. Vermutlich hast du die trunk allow Zeile vergessen zu löschen, denn der Port ist ja de facto ein Access Port (untagged).
Die gi 1/0/1 ist etwas komisch, denn hier kollidiert die Trunk Konfig mit der Access Konfig. Vermutlich hast du die trunk allow Zeile vergessen zu löschen, denn der Port ist ja de facto ein Access Port (untagged).
Der DHCP ist zentral und sitzt vor den Firewalls für die VLANs 1 und 3 (VLAN2 hat eigenen im pfsense), bei dem Konstrukt handelt es sich um ein von meinem Netz abgetrennten Bereich mit Haufenweise Regeln wer was wohin wieso darf. Geroutet wird in den pfsense, Helper/Forwarder sind auch in den pfsense, der Switch ist rein L2, ziemlich genau so konfiguriert, wie der aktuell vorhandene WS-C2960, außer dass die APs ja alles über Capwap-Tunnel zum Controller regeln, während Unifi alles über VLANs macht.
Da die Trunk-Config ignoriert wird sobald es ein Access Port ist, ist das nicht so wild. Der Port ist laut sh vlan im VLAN1. Das sind so gesehen Überbleibsel aus der alten Config vom 2960, der Port ist trotz der Zeile Access im VLAN1
So hats ja auch schon mit dem IOS-internen DHCP geklappt, nur mit dem Externen wills nicht...
Da die Trunk-Config ignoriert wird sobald es ein Access Port ist, ist das nicht so wild. Der Port ist laut sh vlan im VLAN1. Das sind so gesehen Überbleibsel aus der alten Config vom 2960, der Port ist trotz der Zeile Access im VLAN1
1 default active Gi1/0/1, Gi1/0/2, Gi1/1/1
Gi1/1/2, Te1/1/3, Te1/1/4So hats ja auch schon mit dem IOS-internen DHCP geklappt, nur mit dem Externen wills nicht...
Hi,
Ich würde erstmal versuchen fehlerquellen zu reduzieren. Also den, oder einen dhcp, vor deine Firewall(s) zu hängen. Und eventuell erstmal nur ein AP und ein Wlan betreiben (sicher ist sicher).
Mit access lists (hit log oder debug) auf dem switch könntest du schauen ob und wie der dhcp Ablauf stattfindet.
Wo genau ist der WLC in deinem Setup?
Hier etwas was dir vielleicht hilft dhcp mit cisco wlc besser zu verstehen:
http://mrncciew.com/2012/12/27/understanding-dhcp/
Gruß
Ich würde erstmal versuchen fehlerquellen zu reduzieren. Also den, oder einen dhcp, vor deine Firewall(s) zu hängen. Und eventuell erstmal nur ein AP und ein Wlan betreiben (sicher ist sicher).
Mit access lists (hit log oder debug) auf dem switch könntest du schauen ob und wie der dhcp Ablauf stattfindet.
Wo genau ist der WLC in deinem Setup?
Hier etwas was dir vielleicht hilft dhcp mit cisco wlc besser zu verstehen:
http://mrncciew.com/2012/12/27/understanding-dhcp/
Gruß
Diese lustige Art von Cisco, DHCPs im WLAN etwas anders durchzureichen und alles mit Relay sowieso schonmal direkt am Controller zu droppen hat mir Google dann auch verraten. War etwas verwirrend. Naja, dhcp required rausgenommen,
So geht es dann, wobei er in dem VLAN z.B. nur auf den Relay zeigt, im VLAN2 zeigt er direkt auf den DHCP.
wlan wlan2 3 wlan2
band-select
no broadcast-ssid
client vlan VLAN0003
ip dhcp opt82 format add-ssid
ip dhcp server 192.168.203.1
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
load-balance
no security wpa akm dot1x
security wpa akm psk set-key ascii 0 xxxxxxx
session-timeout 1800
no shutdownSo geht es dann, wobei er in dem VLAN z.B. nur auf den Relay zeigt, im VLAN2 zeigt er direkt auf den DHCP.
