15
Aruba WLAN - hie und da kein DHCP
Servus;
Ich hab hier 47x Aruba AP-515.
Ich sags wie es ist, vorige Woche hat im Testlauf alles wunderbar funktioniert, nun habe ich Probleme mit DHCP.
Es gibt eine SSID "Radius" die per Radius authentifiziert.
Je nach Username kommt man in VLAN 5, 6 oder 7.
Es gibt eine SSID "Gast" die direkt ins VLAN 10 geht.
5 und 6 sind der der domäne1 (in dieser Domäne ist auch der Radius) und den DHCP macht die Fortigate
7 in der domäne2 und DHCP macht der DC
7 funktioniert einwandfrei
5 und 6 bekommen MANCHMAL bzw meistens keine DHCP Adresse.
Die Authentifizierung am Radius funktioniert, nur bekommt man meistens keine IP.
10 ist genau das gleiche wie bei 5 und 6.
Die 47 APs sind auf 9 Switche verteilt. Alle Ports sind gleich konfiguriert, hab ich mehrmals gecheckt.
Man könnte denken dass der DHCP an der Forti Schuld ist, dachte ich auch lange Zeit, jedoch stecke ich mich per Kabel ins VLAN 5 oder 6 bekomme ich immer SOFORT eine IP.
Wenn ein Client keine IP bekommt, und ich ihm eine statische gebe, komme ich trotzdem nirgends hin.
Sprich dann kann es doch nicht am DHCP liegen.
Vorige Woche hat alles funktioniert, und heute hab ich diese Probleme.
Es ist egal welches Gerät ich nehme. Wenn ich zB verbinde, und ich eine IP bekomme, kann es sein dass ich nach einem erneuten verbinden keine mehr bekomme.
Airwave ist theoretisch auch vorhanden, ist derzeit heruntergefahren.
Hat vielleicht irgendwer irgendeine Idee? Ich verzweifle, bin seit 0700 an dem Problem dran.
Ich hab hier 47x Aruba AP-515.
Ich sags wie es ist, vorige Woche hat im Testlauf alles wunderbar funktioniert, nun habe ich Probleme mit DHCP.
Es gibt eine SSID "Radius" die per Radius authentifiziert.
Je nach Username kommt man in VLAN 5, 6 oder 7.
Es gibt eine SSID "Gast" die direkt ins VLAN 10 geht.
5 und 6 sind der der domäne1 (in dieser Domäne ist auch der Radius) und den DHCP macht die Fortigate
7 in der domäne2 und DHCP macht der DC
7 funktioniert einwandfrei
5 und 6 bekommen MANCHMAL bzw meistens keine DHCP Adresse.
Die Authentifizierung am Radius funktioniert, nur bekommt man meistens keine IP.
10 ist genau das gleiche wie bei 5 und 6.
Die 47 APs sind auf 9 Switche verteilt. Alle Ports sind gleich konfiguriert, hab ich mehrmals gecheckt.
Man könnte denken dass der DHCP an der Forti Schuld ist, dachte ich auch lange Zeit, jedoch stecke ich mich per Kabel ins VLAN 5 oder 6 bekomme ich immer SOFORT eine IP.
Wenn ein Client keine IP bekommt, und ich ihm eine statische gebe, komme ich trotzdem nirgends hin.
Sprich dann kann es doch nicht am DHCP liegen.
Vorige Woche hat alles funktioniert, und heute hab ich diese Probleme.
Es ist egal welches Gerät ich nehme. Wenn ich zB verbinde, und ich eine IP bekomme, kann es sein dass ich nach einem erneuten verbinden keine mehr bekomme.
Airwave ist theoretisch auch vorhanden, ist derzeit heruntergefahren.
Hat vielleicht irgendwer irgendeine Idee? Ich verzweifle, bin seit 0700 an dem Problem dran.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2538400010
Url: https://administrator.de/contentid/2538400010
Printed on: April 25, 2024 at 09:04 o'clock
15 Comments
Latest comment
Moin,
was sagt Wireshark, wenn du dich per WLAN zu den SSIDs mit VLAN 5 und 6 verbindest?
VG
was sagt Wireshark, wenn du dich per WLAN zu den SSIDs mit VLAN 5 und 6 verbindest?
VG
Das wollt ich eigentlich noch erwähnen, ich bin leider punkto Wireshark immer noch nicht wirklich fit 
Zitat von @Freak-On-Silicon:
Das wollt ich eigentlich noch erwähnen, ich bin leider punkto Wireshark immer noch nicht wirklich fit
Das wollt ich eigentlich noch erwähnen, ich bin leider punkto Wireshark immer noch nicht wirklich fit
Eher schlecht, da erfährst du, was mit den DHCP-Paketen passiert. Wohl der perfekte Zeitpunkt, um dich damit zu beschäftigen, wenn du in den letzten 8,5h noch nicht weiter gekommen bist.
Wie sieht denn die ARP-Table der Fortigate aus, bzw. in welchem Abstand wird die gelöscht?
Lässt sich das Probleme auf verschiedene Endgeräte (Android/iOS/Windows) beschränken? Hab schon einige DHCP-Server gesehen, die wegen des MAC-Randomizing von Android und iOS "gekotzt" haben.
Ja, habs gerade gestartet und versuche mal herauszufinden was der da macht.
ARP Tabelle überprüf ich mal.
Nein, lässt sich nicht beschränken, egal ob Android/iOS/Windows. Überhaupt weil es ja manchmal geht, und dann wieder nicht.
EDIT: Was ich noch im Eingangspost ergänzt habe:
Wenn ein Client keine IP bekommt, und ich ihm eine statische gebe, komme ich trotzdem nirgends hin.
Sprich dann kann es doch nicht am DHCP liegen.
ARP Tabelle überprüf ich mal.
Nein, lässt sich nicht beschränken, egal ob Android/iOS/Windows. Überhaupt weil es ja manchmal geht, und dann wieder nicht.
EDIT: Was ich noch im Eingangspost ergänzt habe:
Wenn ein Client keine IP bekommt, und ich ihm eine statische gebe, komme ich trotzdem nirgends hin.
Sprich dann kann es doch nicht am DHCP liegen.
Zitat von @Freak-On-Silicon:
EDIT: Was ich noch im Eingangspost ergänzt habe:
Wenn ein Client keine IP bekommt, und ich ihm eine statische gebe, komme ich trotzdem nirgends hin.
Sprich dann kann es doch nicht am DHCP liegen.
Wenn ein Client keine IP bekommt, und ich ihm eine statische gebe, komme ich trotzdem nirgends hin.
Sprich dann kann es doch nicht am DHCP liegen.
Dann liegts nicht am DHCP, sondern an deiner Aruba-UserVLAN-Radius-Konfiguration. Was sagen denn die Aruba-Logs?
Das hab ich schon versucht auszulesen, das Problem ist, dass es da geschätzt 1000 verschiedene Logs gibt, ich versuche mal etwas sinnvolles zu finden.
ARP Table auf der Forti schaut unauffällig aus, der älteste Eintrag ist ungefähr 80min alt.
ARP Table auf der Forti schaut unauffällig aus, der älteste Eintrag ist ungefähr 80min alt.
Was mir gerade auffällt, es kann am Radius auch nicht liegen.
Denn das Gäste WLAN geht direkt ins VLAN 10 ohne Radius. DHCP ist auch die Forti
Denn das Gäste WLAN geht direkt ins VLAN 10 ohne Radius. DHCP ist auch die Forti
Denn das Gäste WLAN geht direkt ins VLAN 10 ohne Radius. DHCP ist auch die Forti
Dann check mal deine AP-Uplinks auf den Switchen, ob auch alles sauber durchgetagged ist.
Ja, sind sie, hab ich mehrmals kontrolliert.
Und wie gesagt, es hat auch schon funktioniert, mit über 100 Clients als Test.
Die Ports von den APs sind folgendermaßen konfiguriert.
3U 5,6,7,10T
Im VLAN 3 sind alle APs
Auch die Links zwischen den Switches passen.
Überhaupt würds ja dann nicht manchmal funktionieren.
Und auch wenn ein User per Radius ins VLAN 7 geschickt wird, funktionierts auch immer reibungslos.
EDIT:
Ich werde spät Abends mal alle Switche neustarten.
Konnte nämlich gerade feststellen dass es an manchen APs immer funktioniert und an manchen nicht. Bei den APs die funktionieren liegen auf den gleichen Switch. Sprich es ist ein Switch Problem. Toll.
Und wie gesagt, es hat auch schon funktioniert, mit über 100 Clients als Test.
Die Ports von den APs sind folgendermaßen konfiguriert.
3U 5,6,7,10T
Im VLAN 3 sind alle APs
Auch die Links zwischen den Switches passen.
Überhaupt würds ja dann nicht manchmal funktionieren.
Und auch wenn ein User per Radius ins VLAN 7 geschickt wird, funktionierts auch immer reibungslos.
EDIT:
Ich werde spät Abends mal alle Switche neustarten.
Konnte nämlich gerade feststellen dass es an manchen APs immer funktioniert und an manchen nicht. Bei den APs die funktionieren liegen auf den gleichen Switch. Sprich es ist ein Switch Problem. Toll.
5 und 6 bekommen MANCHMAL bzw meistens keine DHCP Adresse.
Die Authentifizierung am Radius funktioniert, nur bekommt man meistens keine IP.
Etwas wirr, denn beides ist doch genau dasselbe ?!Die Authentifizierung am Radius funktioniert, nur bekommt man meistens keine IP.
Die IP kommt ja immer vom DHCP Server !
Wenn die Clients keine IP bekommen oder eine Zerconf IP mit 169.254.x.y dann ist der DHCP Server im zugewiesenen VLAN via L2 nicht erreichbar.
Die 47 APs sind auf 9 Switche verteilt.
Spielt keine Rolle ! Wichtig ist nur das die MSSID VLAN IDs über die Backbone Links und die AP Anschlussports an den Switches tagged angelegt sind ! AP Management an den AP Anschlussports UNtagged (VLAN 3). Kurzer Konfig Auszug der Switches wäre hier hilfreich gewesen aber wenn man deinen Angaben oben traut ist das richtig.Warum spiegelst du auf einem Switch per Mirror oder RSPAN nicht einfach einmal einen der AP Anschlussports und siehst dir dort einmal den Traffic eines Clients im VLAN 5 oder 6 mit dem Wireshark an ?
Das ist in 5 Minuten erledigt und dann weisst wasserdicht du ob die DHCP Requestst vom AP Switch empfangen und geforwardet werden.
Idealerweise machst du das auch am Fortigate Port der die VLANs 5 und 6 bedient um dort zu verifizieren das die Client DHCP Requests dort an der FW auch sicher ankommen und vor allem beantwortet werden !
Ein Blick ins Fortigate DHCP Log tut ein übriges.
Mal im Ernst...auf diesen einfachen strategischen Schritt zur Fehlersuche kommt doch ein guter Netzwerk Admin wie du als Allererstes auch ohne Forenthread, oder ?!
Ich werde spät Abends mal alle Switche neustarten.
Eine planlose Verzweiflungstat die sicher wenig bringt. Gehe, wie oben schon gesagt, immer strategisch und zielgerichtet vor beim Troubleshooting !Grundlagen zu so einem Setup findest du, wie immer, im Praxisbeispiel des hiesigen VLAN Tutorials.
Zitat von @aqui:
5 und 6 bekommen MANCHMAL bzw meistens keine DHCP Adresse.
Die Authentifizierung am Radius funktioniert, nur bekommt man meistens keine IP.
Etwas wirr, denn beides ist doch genau dasselbe ?!Die Authentifizierung am Radius funktioniert, nur bekommt man meistens keine IP.
Was ist da wirr, verstehe nicht was du meinst?
Die IP kommt ja immer vom DHCP Server !
KlarWenn die Clients keine IP bekommen oder eine Zerconf IP mit 169.254.x.y dann ist der DHCP Server im zugewiesenen VLAN via L2 nicht erreichbar.
Auch klarDie 47 APs sind auf 9 Switche verteilt.
Spielt keine Rolle ! Wichtig ist nur das die MSSID VLAN IDs über die Backbone Links und die AP Anschlussports an den Switches tagged angelegt sind ! AP Management an den AP Anschlussports UNtagged (VLAN 3). Kurzer Konfig Auszug der Switches wäre hier hilfreich gewesen aber wenn man deinen Angaben oben traut ist das richtig.Warum spiegelst du auf einem Switch per Mirror oder RSPAN nicht einfach einmal einen der AP Anschlussports und siehst dir dort einmal den Traffic eines Clients im VLAN 5 oder 6 mit dem Wireshark an ?
Das ist in 5 Minuten erledigt und dann weisst wasserdicht du ob die DHCP Requestst vom AP Switch empfangen und geforwardet werden.
Idealerweise machst du das auch am Fortigate Port der die VLANs 5 und 6 bedient um dort zu verifizieren das die Client DHCP Requests dort an der FW auch sicher ankommen und vor allem beantwortet werden !
Wenn ich das könnte, hätte ich wahrscheinlich nicht hier fragen müssen.Das ist in 5 Minuten erledigt und dann weisst wasserdicht du ob die DHCP Requestst vom AP Switch empfangen und geforwardet werden.
Idealerweise machst du das auch am Fortigate Port der die VLANs 5 und 6 bedient um dort zu verifizieren das die Client DHCP Requests dort an der FW auch sicher ankommen und vor allem beantwortet werden !
Leider bin ich da sehr schwach drauf was das anbelangt.
Ein Blick ins Fortigate DHCP Log tut ein übriges.
Steht nix aufregendes drinMal im Ernst...auf diesen einfachen strategischen Schritt zur Fehlersuche kommt doch ein guter Netzwerk Admin wie du als Allererstes auch ohne Forenthread, oder ?!
Ich bin viel, nur ein guter Netzwerk Admin sicher nicht.Ich werde spät Abends mal alle Switche neustarten.
Eine planlose Verzweiflungstat die sicher wenig bringt. Gehe, wie oben schon gesagt, immer strategisch und zielgerichtet vor beim Troubleshooting !Also Kurzfassung:
Der Reboot der Switche hat geholfen, zumindest schaut es jetzt mal so danach aus.
Ich vermute (!) dass der Switch wo die Server dranhängen irgendein Problem mit den Backbone Tagged VLANs hatte.
Leider bin ich da sehr schwach drauf was das anbelangt. Ich bin viel, nur ein guter Netzwerk Admin sicher nicht.
Sorry, aber meinst du dann das du gerade in einem Administrator Forum dann richtig bist ? Was erwartest du hier für eine Hilfe wenn es bei dir schon an den einfachsten Troubleshooting Schritten hapert. Hier bist DU doch als Netzwerk Admin gefordert. Nur mit Handauflegen, wie du es vermutlich erwartest, löst man solche Probleme bekanntlich nicht, das weiss auch ein Laie.Aber nungut, in einem Netzwerk zu arbeiten wo Switches per Zufall ihre Konfig "vergessen" macht die Sache ja auch nicht einfacher. Das eine vergessen Konfig im Flash dann durch einen Reboot wiederhergestellt wird gehört aber eigentlich ins Reich der Märchen.
Aber wenn's dennoch geholfen hat umso besser !
Wenn es das denn jetzt war bitte deinen Therad dann auch als erledigt markieren !
How can I mark a post as solved?
Nun gut, Gott aqui, ich werde deinen weisen Worten folgen und das nächste Mal im Handwerker Forum nach Hilfe fragen.
Wie so oft ist Lesen nicht gerade deine Stärke. Die "vergessene" bzw "kaputte" Konfig war nicht auf dem Switch, den ich als Übeltäter vermute.
Mit der Schließung des Threads wollte ich noch kurz warten bis wirklich sicher ist dass es jetzt auch funktioniert.
Wie so oft ist Lesen nicht gerade deine Stärke. Die "vergessene" bzw "kaputte" Konfig war nicht auf dem Switch, den ich als Übeltäter vermute.
Mit der Schließung des Threads wollte ich noch kurz warten bis wirklich sicher ist dass es jetzt auch funktioniert.
Du hättest ja gar nicht fragen müssen wenn ein einfacher Reboot bei dir solche Probleme löst !
Übrigens findest du HIER alles Wissenswerte über Spiegelports an Switches und Wireshark !
https://www.heise.de/ratgeber/LAN-Monitoring-Spiegelports-von-Switches-n ...
Übrigens findest du HIER alles Wissenswerte über Spiegelports an Switches und Wireshark !
https://www.heise.de/ratgeber/LAN-Monitoring-Spiegelports-von-Switches-n ...
Die "vergessene" bzw "kaputte" Konfig war nicht auf dem Switch, den ich als Übeltäter vermute.
Dann ist die "Heilung" ja noch wundersamer... wollte ich noch kurz warten bis wirklich sicher ist dass es jetzt auch funktioniert.
Na dann... Bleibt es also noch ein bisschen spannend hier falls der Reboot wider Erwarten nicht helfen sollte. Wir sind gespannt...
Genau den Link hab ich schon ewig bei meinen "Lernlesezeichen". Wenn die Zeit nur da wäre...
