Beschreibung:
Dieses Dokument behandelt verschiedene Fehlerbilder, warum ein LANCOM Acces=
s Point kein WLAN-Profil von einem WLAN-Controller (WLC) erh=C3=A4lt. Voraussetzungen:
M=C3=B6gliche Fehler-Quellen:
1. Der Access Point kann den WLAN-Controller nicht erreichen und erh=C3=A4l=
t daher kein WLAN-Profil.
2. Der Access Point kann den WLAN-Controller erreichen, erh=C3=A4lt aber i=
mmer noch kein WLAN-Profil.
Der Access Point wird nicht im "Managed" Modus v=
erwendet:
Die Kommunikation zwischen einem Access Point und einem WLAN-Controller wir=
d immer vom Access Point initiiert (im LAN erfolgt die Suche per Broadcast)=
. Im Auslieferungszustand (Werkseinstellungen) ist ein Access Point so konf=
iguriert, dass dieser automatisch nach einem WLAN-Controller sucht.
Wenn der Access Point schon konfiguriert sein sollte, muss die Konfiguratio=
n so angepasst werden, dass die WLAN-Module verwaltet werden.
Access Point mit LCOS:
1. =C3=96ffnen Sie die Konfiguration des Access Points in LANconfig und wec=
hseln in das Men=C3=BC Wireless-LAN =E2=86=92 Allgemein =E2=86=92 P=
hysikalische WLAN-Einst. =E2=86=92 WLAN-Interface x. Dies muss f=
=C3=BCr jedes WLAN-Modul einzeln ausgef=C3=BChrt werden.
2. Stellen Sie sicher, dass als WLAN-Betriebsart die Optio=
n Managed ausgew=C3=A4hlt ist.
bv &nb=
sp;
Access Point mit LCOS LX:
1. LANconfig:
=C3=96ffnen Sie die Konfiguration des Access Points in LANconfig, wechseln =
in das Men=C3=BC Wireless-LAN =E2=86=92 WLC und stellen si=
cher, dass f=C3=BCr den Parameter Betrieb mit WLC aktiv di=
e Option Ja ausgew=C3=A4hlt ist.
2. WEBconfig:
2.1 =C3=96ffnen Sie die Konfiguration des Access Points in WEBconfig und we=
chseln in das Men=C3=BC Systemkonfiguration =E2=86=92 WLC-Konfigura=
tion.
2.2 Stellen Sie sicher, dass f=C3=BCr den Parameter Betrieb die Option Ja ausgew=C3=A4hlt ist.
Auf dem WLAN-Controller ist keine aktuelle Uhrzeit gese=
tzt:
Da das WLAN-Profil f=C3=BCr den Access Point =C3=BCber einen mit Zertifikat=
en gesicherten Tunnel =C3=BCbertragen wird, muss f=C3=BCr die Zertifikatsau=
shandlung auf dem WLAN-Controller die aktuelle Uhrzeit gesetzt sein. Dabei =
sollte die Uhrzeit immer per NTP von einem oder mehreren Zeit-Serve=
rn bezogen werden, damit sichergestellt ist, dass die korrekte Uhr=
zeit gesetzt ist.
Die aktuelle Uhrzeit des WLAN-Controllers l=C3=A4sst sich =C3=BCber die Sys=
tem-Informationen des LANmonitors oder =C3=BCber die Konsole herausfinden.&=
nbsp;Der Konsolen-Befehl zum Auslesen der Uhrzeit lautet: ls Status=
/time
In diesem Beispiel ist zwar eine Uhrzeit gesetzt, diese wird aber aus dem i=
nternen Speicher des Routers bezogen (RTC). Es erfolgt kei=
ne Synchronisation mit einem Zeit-Server, weshalb es zu Diskrepanzen zwisch=
en der Ger=C3=A4te-Zeit und der tats=C3=A4chlichen Zeit kommen kann.
In diesem Beispiel wird die Uhrzeit von einem NTP-Server (NTP) bezogen.
Zeitbezug per NTP einrichten:
1. =C3=96ffnen Sie die Konfiguration des WLAN-Controllers in LANconfig und =
wechseln in das Men=C3=BC Datum/Zeit =E2=86=92 Synchronisierung.
W=C3=A4hlen Sie die Option Regelm=C3=A4=C3=9Fig mit einem Zeit-Serv=
er (NTP) synchronisieren aus und wechseln in das Men=C3=BC Zeit-Server.
2. Erstellen Sie einen neuen Eintrag und w=C3=A4hlen einen NTP-Server aus d=
er Liste aus. Alternativ k=C3=B6nnen Sie auch den DNS-Namen oder die IP-Adr=
esse eines anderen NTP-Servers angeben (etwa ein NTP-Server im lokalen Netz=
werk).
Der Bezug des Zertifikats vom WLA=
N-Controller per HTTP ist nicht erlaubt:
Der Zertifikatsbezug erfolgt per HTTP. Dazu muss also der =
HTTP-Server des WLAN-Controllers aktiv und der Zugriff vom LAN per =
HTTP erlaubt sein. Weiterhin muss der Standard-Port 80 verwendet werden.
1. HTTP-Zugriff vom lokalen Netzwerk=
erlauben:
1.1 =C3=96ffnen Sie die Konfiguration des WLAN-Controllers in LANconfig und=
wechseln in das Men=C3=BC Management =E2=86=92 Admin =E2=86=92 Zug=
riffseinstellungen.
1.2 Wechseln Sie bei Konfigurations-Zugriffs-Wege in das M=
en=C3=BC Zugriffs-Rechte =E2=86=92 Von einer LAN-Schnittstelle.
1.3 Stellen Sie sicher, dass f=C3=BCr das Protokoll HTTP d=
ie Option erlaubt ausgew=C3=A4hlt ist.
2. Anpassen der Zugriffs-Stationen (=
optional):
Sollten Sie in den Zugriffs-Stationen ein oder mehrere Net=
zwerke bzw. IP-Adressen hinterlegt haben, ist es erforderlich, das Netzwerk=
in dem sich die Access Points befinden bzw. die IP-Adressen zus=C3=A4tzlic=
h zu hinterlegen (sofern nicht bereits freigegeben).
Wenn Sie keine Zugriffs-Stationen verwenden, k=C3=B6nnen S=
ie diesen Schritt =C3=BCberspringen.
2.1 Wechseln Sie in das Men=C3=BC Zugriffs-Stationen.
2.2 Klicken Sie auf Hinzuf=C3=BCgen, um einen neuen Eintra=
g zu erstellen (in diesem Beispiel ist bereits der Zugriff vom lokalen Netz=
werk 192.168.1.0/24 erlaubt).
2.3 Passen Sie die folgenden Parameter an:
- IP-Adresse: Tragen Sie die Netz-Adresse des Ne=
tzwerks oder die IP-Adresse ein, die Zugriff auf den WLAN-Controll=
er haben sollen (in diesem Beispiel wird der Zugriff auf ein separates Netz=
werk mit der Adresse 192.168.2.0/24 erlaubt).
- Netzmaske: Tragen Sie die Subnetzmaske des Netzwerks ein (in diesem Beispiel die 255.255.255.0)=
. Eine einzelne IP-Adresse wird durch die Subnetzm=
aske 255.255.255.255 gekennzeichnet.
3. Standard-Einstellung des HTTP-Ser=
vers f=C3=BCr den Zugriff von einer LAN-Schnittstelle =C3=BCberpr=C3=BCfen:=
3.1 Wechseln Sie bei Zugriff auf Web-Server-Dienste in das=
Men=C3=BC Zugriffs-Rechte =E2=86=92 Von einer LAN-Schnittstelle.
3.2 Stellen Sie sicher, dass bei HTTP-Port die Option Automatisch ausgew=C3=A4hlt ist. Dabei wird der HTTP-Server au=
tomatisch gestartet, wenn ein Dienst sich anmeldet.
4. Standard-Port f=C3=BCr HTTP verwe=
nden:
4.1 Wechseln Sie in das Men=C3=BC Management =E2=86=92 Admin =E2=86=
=92 Einstellungen.
4.2 Stellen Sie sicher, dass f=C3=BCr das Protokoll HTTP d=
er Port 80 hinterlegt ist.
Der =
DNS-Name "WLC-Address" kann vom Access Point in einem entfernten Netzwerk n=
icht aufgel=C3=B6st werden:
Findet ein Access Point keinen WLAN-Controller per Broadcast im lokalen Net=
zwerk, stellt dieser eine DNS-Anfrage mit dem Namen WLC-Address an den DNS-Server, um die IP-Adresse des WLAN-Controllers in Erfahrun=
g zu bringen. Daher muss bei Verwendung eines zu verwaltenden Access Points=
in einem entfernten Netzwerk (etwa per VPN angebunden) sichergestellt sein=
, dass der verwendete DNS-Server (h=C3=A4ufig der Gateway-Router) den Namen=
WLC-Address aufl=C3=B6sen kann.
Um dies zu =C3=BCberpr=C3=BCfen, ist es sinnvoll zuerst die generelle Errei=
chbarkeit des WLAN-Controllers durch einen Ping auf dessen IP-Adresse siche=
rzustellen. Anschlie=C3=9Fend muss mit einem Ping auf den DNS-Namen WLC-Address gepr=C3=BCft werden, ob dieser DNS-Name vom Access Po=
int aufgel=C3=B6st werden kann.
1. Generelle Pr=C3=BCfung der Erreichbarkeit des WLAN-Controllers durch Ab=
setzen eines Ping auf die IP-Adresse:
Verbinden Sie sich per Konsole mit einem betroffenen Access Point und setze=
n mit dem Befehl ping <IP-Adresse des WLAN-Controllers> einen Ping auf den WLAN-Controller ab, um zu pr=C3=BCfen, ob dieser gen=
erell erreichbar ist (in diesem Beispiel ping 192.168.45.254).
In diesem Beispiel kann der Access Point den WLAN-Controller per IP-Adress=
e ansprechen.
In diesem Beispiel kann der Access Point den WLAN-Controller nicht =C3=BCbe=
r die IP-Adresse erreichen. =E2=86=92 In diesem Fall muss auf den Routern z=
wischen Access Point und WLAN-Controller das Routing gepr=C3=BCft werden. W=
eiterhin muss die =C3=9Cbertragung von Ping-Paketen (ICMP)=
erlaubt sein.
2. Pr=C3=BCfung der Erreichbarkeit d=
es WLAN-Controller durch Absetzen eines Ping auf den DNS-Namen WLC-Address:=
Setzen Sie mit dem Ping-Befehl im Format ping wlc-address.<Lokal=
e DNS-Domain> einen Ping auf den WLAN-Controller ab, um zu pr=
=C3=BCfen, ob dieser =C3=BCber den DNS-Namen WLC-Address e=
rreichbar ist (in diesem Beispiel ping wlc-address.domain.intern).
In diesem Beispiel kann der Access Point de=
n WLAN-Controller per IP-Adresse ansprechen.
In diesem Beispiel schl=C3=A4gt die DNS-Aufl=C3=B6sung fehl, da der DNS-Nam=
e auf dem verwendeten DNS-Server nicht bekannt ist. =E2=86=92 In diesem Fall muss der DNS-Name WLC-Address auf dem l=
okalen DNS-Server bekanntgegeben werden.
Die Kommunikation zwisc=
hen Access Point und WLAN-Controller wird durch eine Firewall blockiert:Zur Kommunikation zwischen Access Points und=
dem WLAN-Controller wird CAPWAP (UDP-Port 1027) und f=C3=BCr den Zertifikatsbezug HTTP (TC=
P-Port 80) verwendet. Zu Diagnosezwecken sind zus=C3=A4tzlich die =
Protokolle ICMP (Ping), SSH (TCP-Port 22) und Telnet =C3=BCber SSL (TCP-Port 992) erforderlich. Wenn ein Access Point sich in einem entfernten Netzwerk befindet (etwa=
per VPN angebunden) und eine Firewall die Kommunikation regelt, kann es vo=
rkommen, dass die Kommunikation =C3=BCber CAPWAP und HTTP nicht erlaubt ist. In diesem Fall kann der Access =
Point nicht mit dem WLAN-Controller kommunizieren! Daher muss sichergestellt werden, dass CAPWA=
P und HTTP in der Firewall f=C3=BCr die Kommunika=
tion zwischen Access Point und WLAN-Controller erlaubt werden.
Einrichtung der notwendigen Firewall-Regeln auf einer LANCOM R&S=
=C2=AEUnified Firewall: In diesem =
Beispiel sollen Access Points in einem per VPN angebundenen Netzwerk (Au=C3=9Fenstelle) mit der Zentrale kommunizieren k=C3=B6nnen. D=
ie Konfiguration wird dabei anhand der Unified Firewall in der Au=
=C3=9Fenstelle beschrieben. Die Konfiguration der Zentrale=
gestaltet sich analog. Dort kann bei Bedarf statt des Netzwerk-Ob=
jekts ein Host-Objekt f=C3=BCr den WLAN-Controller verwendet werden. 1. =C3=96ffnen Sie die Konfiguration der Unified =
Firewall im Browser, wechseln in das Men=C3=BC Desktop =E2=86=92 Di=
enste =E2=86=92 Benutzerdef. Dienste und klicken auf das "Plus-Sym=
bol", um einen benutzerdefinierten Dienst zu erstellen.
2. Erstellen Sie zuerst einen benutzerdefinierten Dienst f=C3=BCr das Proto=
koll CAPWAP. Vergeben Sie dazu einen aussagekr=C3=
=A4ftigen Namen und klicken auf das "Plus-Zeichen", um in das Men=
=C3=BC Ports und Protokolle zu gelangen.
3. Passen Sie die folgenden Parameter an und klicken auf OK:
- Tragen Sie bei Port von und Bis jewei=
ls den Port 1027 ein.
- W=C3=A4hlen Sie das Protokoll UDP (User Datagram Protocol) aus.
4. Klicken Sie auf Erstellen.
5. Erstellen Sie anschlie=C3=9Fend einen weiteren benutzerdefinierten Diens=
t f=C3=BCr das Protokoll Telnet =C3=BCber SSL. Vergeben Si=
e dazu einen aussagekr=C3=A4ftigen Namen und klicken auf d=
as "Plus-Zeichen", um in das Men=C3=BC Ports und Protokolle zu gelangen.
6. Passen Sie die folgenden Paramete=
r an und klicken auf OK :
- Tragen Sie bei Port von und Bis jewei=
ls den Port 992 ein.
- W=C3=A4hlen Sie das Protokoll TCP (Transmission Control Protoco=
l) aus.
7. Klicken Sie auf Erstellen.
8. Klicken Sie auf dem Desktop auf das VPN-Netzwerk, w=C3=A4hlen das Verbin=
dungswerkzeug aus und klicken auf das Netzwerk-Objekt, in dem sich die Acce=
ss Points befinden.
6. W=C3=A4hlen Sie auf der rechten Seite =C3=BCber die "Plus-Zeichen" folge=
nde Protokolle und Dienste aus:
- F=C3=BCr den Betrieb erforderlich:
- CAPWAP (siehe Schritt 2 - 4)
- HTTP
- F=C3=BCr die Fehler-Analyse erforderlich:
- Telnet-SSL (siehe Schritt 5 - 7)
- Ping
- SSH
&nb=
sp;
7. Klicken Sie auf Erstellen, um die Firewall-Regel anzule=
gen.
8. Klicken Sie auf Aktivieren, damit die vorgenommenen =C3=
=84nderungen umgesetzt werden.
9. Wiederholen Sie die Schritte gegebenenfalls f=C3=BCr die Unified Firewal=
l in der Zentrale.
Die =C3=9Cber=
tragung des Zertifikats ist aufgrund unterschiedlicher Paketgr=C3=B6=C3=9Fe=
n nicht m=C3=B6glich:
Das Zertifikat, welches der Access Point vom WLAN-Controll=
er bezieht, muss als Ganzes =C3=BCbertragen werden und darf nicht f=
ragmentiert werden. Dazu wird auf dem WLAN-Controller das =
don't fragment Bit gesetzt. Wird das Zertifikat bei der =C3=9Cbert=
ragung von einem anderen Router doch fragmentiert, ist das Zertifikat nicht=
mehr funktionsf=C3=A4hig und der Access Point kann nicht verwaltet werden.=
Ebenso kann der Access Points nicht verwaltet werden, wenn das Zertifikat =
nicht =C3=BCbertragen wird.
Werden Access Points in einem entfernten Netzwerk per VPN an den WLAN-Co=
ntroller angebunden, kann es aufgrund unterschiedlicher Maximum Seg=
ment Sizes (MSS) dazu kommen, dass das Zertifikat=
nicht oder nur fehlerhaft =C3=BCbertragen werden kann. In diesem Fall muss=
auf den VPN-Routern die Funktion MSS Clamping aktiviert w=
erden.
Weiterf=C3=BChrende Schritte: Erstellen von Traces
Sollte der Access Point nach Pr=C3=BCfung der oben beschriebenen Schritte u=
nd gegebenenfalls vorgenommenen =C3=84nderungen weiterhin keine WLAN-Konfig=
uration vom WLAN-Controller beziehen, m=C3=BCssen zur weiteren Analyse Trac=
es auf einem betroffenen Access Point sowie dem WLAN-Controller erstellt we=
rden.
Bei der Erstellung der Traces ist zu beachten, dass diese =
zeitgleich auf dem WLAN-Controller und einem betroffenen Access Poi=
nt im Fehlerfall erstellt werden m=C3=BCssen.
Trace auf dem WLAN-Controller:
Tragen Sie bei dem CAPWAP-CTRL Trace im Feld Filte=
r die IP-Adresse eines betroffenen Access Points =
ein (in diesem Beispiel 192.168.100.25), damit die Trace-Ausgaben auf diese=
n Access Point beschr=C3=A4nkt werden.
Trace auf einem Access Point mit LCO=
S:
Trace auf einem Access Point mit LCO=
S LX:
Verbinden Sie sich per Konsole (SSH) mit dem Access Point =
und geben die folgenden Befehle ein. Speichern Sie die Konsolen-Ausgaben an=
schlie=C3=9Fend als Text-Datei ab.
show diag wlan
show diag capwap trace # capwap
trace # scep
Senden der Informationen zur weitere=
n Analyse an den LANCOM Support:
Senden Sie bitte folgende Informationen zur weiteren Analyse an den LANCOM Support:
- Beschreibung des Szenarios sowie des beobachteten Verhaltens
- Netzplan (sofern sich der Access Point und der WLAN-Controller in unter=
schiedlichen Netzwerken befinden)
- Trace des WLAN-Controllers (*.lct Datei) samt Support-Konfiguration (*.=
spf Datei)
- Trace des Access Points:=20
- LCOS: Trace als *.lct Datei
- LCOS LX: Trace mitsamt der Konsolenausgaben als Text-D=
atei
|