Cisco WLC, kein DHCP auf WLAN

Hello hello,

frohe Ostern erstmal.
Ich spiele hier gerade etwas mit einem Cisco WLC (Basis ist IOS-XE 3.6.4) herum, daran 2 LAP1142. Die APs sind am WLC gejoint, soweit ist auch alles in Ordnung. SSIDs werden von allen Geräten gesehen, damit gehe ich grundlegend erstmal davon aus, dass die Konfig in Ordnung ist. Jedoch gibt es ein nicht ganz unerhebliches Problem....DHCP Offers kommen am Client nicht an

Der Aufbau ist aktuell folgendermaßen:
pfsense-Firewalls für VLAN1 und 3, sowie VLAN2 (getrennte FWs)
per Trunk auf Gi1/0/48 am Switch
weiterer Trunk auf Ubiquiti Nanostation an Gi1/0/3 (abgesetzte Lokation)
ein LAP1142 an Gi1/0/1, Access Port VLAN1 (WLAN-Mgmt-Port ist auch VLAN1)

VLAN1 ist rein Management, kein Usertraffic drauf. An der Firewall für VLAN3 hab ich einen Packet Capture laufen lassen, DHCP Discover kommt rein, Offer geht raus, am Client kommt der Offer aber nicht an...dazu ist zu sagen, dass VLAN1 und 3 über die pfsense ein DHCP-Relay auf einen DHCP-Server vor der Firewall haben, was bei VLAN2 jedoch nicht der Fall ist, und auch dort kommt der Offer nicht am Client an...

Hier noch ein paar Auszüge der Port-Config:

!
interface GigabitEthernet1/0/1
 switchport trunk allowed vlan 1-3
 switchport mode access
 spanning-tree portfast
 spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/3
 switchport trunk allowed vlan 1-3
 switchport mode trunk
!
interface GigabitEthernet1/0/48
 switchport trunk allowed vlan 1-3
 switchport mode trunk
 power inline never

und die WLAN-Config

wlan wlan1 2 WLAN_1
 band-select
 client vlan VLAN0002
 ip dhcp opt82 format add-ssid
 ip dhcp required
 ip dhcp server 192.168.204.1
 ip flow monitor wireless-avc-basic input
 ip flow monitor wireless-avc-basic output
 load-balance
 no security wpa akm dot1x
 security wpa akm psk set-key ascii 0 yyyyyyyyyyyyxxxxxxxxxx
 session-timeout 1800
 no shutdown
wlan wlan2 3 WLAN_2
 band-select
 no broadcast-ssid
 client vlan VLAN0003
 ip flow monitor wireless-avc-basic input
 ip flow monitor wireless-avc-basic output
 load-balance
 no security wpa akm dot1x
 security wpa akm psk set-key ascii 0 xxxxxxxxxxxyyyyyyyyy
 session-timeout 1800
 no shutdown

Ich habe die 2 WLANs absichtlich unterschiedlich konfiguriert, um zu sehen ob der fest vorgegebene DHCP in WLAN2 einen Unterschied macht, tut es aber nicht.

Endaufbau soll dann sein, dass der WLC-Switch auf die andere Seite der Nanostation (transparant bridge mode) kommt, um ein Ubiquiti Unifi WLAN abzulösen. Gleiche VLANs, gleiche IP-Adressen, nur anderes System...
Mit dem internen DHCP des Ciscos läuft das auch alles, aber es muss auch extern funktionieren. Die Firewalls sind soweit korrekt konfiguriert, da das Unifi-WLAN ja noch einwandfrei läuft.

Wer hat die Lösung?

Ich liefere natürlich gerne weitere Teile der Config nach, sofern sie benötigt werden...

Grüßle

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 300180

Url: https://administrator.de/contentid/300180

Ausgedruckt am: 21.11.2024 um 17:11 Uhr

4 Kommentare

Neuester Kommentar

Nur zum Verständnis nochmal nachgefragt: Hast du einen zentralen DHCP Server und wenn ja wo routest du bzw. wo sind die DHCP Forwarder (Helper IPs) konfiguriert ?
Die gi 1/0/1 ist etwas komisch, denn hier kollidiert die Trunk Konfig mit der Access Konfig. Vermutlich hast du die trunk allow Zeile vergessen zu löschen, denn der Port ist ja de facto ein Access Port (untagged).

Der DHCP ist zentral und sitzt vor den Firewalls für die VLANs 1 und 3 (VLAN2 hat eigenen im pfsense), bei dem Konstrukt handelt es sich um ein von meinem Netz abgetrennten Bereich mit Haufenweise Regeln wer was wohin wieso darf. Geroutet wird in den pfsense, Helper/Forwarder sind auch in den pfsense, der Switch ist rein L2, ziemlich genau so konfiguriert, wie der aktuell vorhandene WS-C2960, außer dass die APs ja alles über Capwap-Tunnel zum Controller regeln, während Unifi alles über VLANs macht.
Da die Trunk-Config ignoriert wird sobald es ein Access Port ist, ist das nicht so wild. Der Port ist laut sh vlan im VLAN1. Das sind so gesehen Überbleibsel aus der alten Config vom 2960, der Port ist trotz der Zeile Access im VLAN1

1    default                          active    Gi1/0/1, Gi1/0/2, Gi1/1/1
                                                Gi1/1/2, Te1/1/3, Te1/1/4

So hats ja auch schon mit dem IOS-internen DHCP geklappt, nur mit dem Externen wills nicht...

Hi,

Ich würde erstmal versuchen fehlerquellen zu reduzieren. Also den, oder einen dhcp, vor deine Firewall(s) zu hängen. Und eventuell erstmal nur ein AP und ein Wlan betreiben (sicher ist sicher).

Mit access lists (hit log oder debug) auf dem switch könntest du schauen ob und wie der dhcp Ablauf stattfindet.

Wo genau ist der WLC in deinem Setup?

Hier etwas was dir vielleicht hilft dhcp mit cisco wlc besser zu verstehen:
http://mrncciew.com/2012/12/27/understanding-dhcp/

Gruß

Diese lustige Art von Cisco, DHCPs im WLAN etwas anders durchzureichen und alles mit Relay sowieso schonmal direkt am Controller zu droppen hat mir Google dann auch verraten. War etwas verwirrend. Naja, dhcp required rausgenommen,

wlan wlan2 3 wlan2
 band-select
 no broadcast-ssid
 client vlan VLAN0003
 ip dhcp opt82 format add-ssid
 ip dhcp server 192.168.203.1
 ip flow monitor wireless-avc-basic input
 ip flow monitor wireless-avc-basic output
 load-balance
 no security wpa akm dot1x
 security wpa akm psk set-key ascii 0 xxxxxxx
 session-timeout 1800
 no shutdown

So geht es dann, wobei er in dem VLAN z.B. nur auf den Relay zeigt, im VLAN2 zeigt er direkt auf den DHCP.

gelöst Frage Netzwerke LAN, WAN, Wireless

Mehr von shadynet

NAT auf mehrere externe IPs, Cisco IOSshadynet - 8 Kommentare

DNS-Registrierung bei VPN-Verbindung für private IP vom DSL-Router verhindernshadynet - 3 Kommentare

Sekundärer DNS wird bei Ausfall von primärem ignoriertshadynet - 4 Kommentare

WSUS-Konfiguration geht verlorenshadynet - 1 Kommentar

Heiß diskutiert