Cisco WLC, kein DHCP auf WLAN

Mitglied: shadynet

shadynet (Level 2) - Jetzt verbinden

26.03.2016 um 10:49 Uhr, 2491 Aufrufe, 4 Kommentare

Hello hello,

frohe Ostern erstmal.
Ich spiele hier gerade etwas mit einem Cisco WLC (Basis ist IOS-XE 3.6.4) herum, daran 2 LAP1142. Die APs sind am WLC gejoint, soweit ist auch alles in Ordnung. SSIDs werden von allen Geräten gesehen, damit gehe ich grundlegend erstmal davon aus, dass die Konfig in Ordnung ist. Jedoch gibt es ein nicht ganz unerhebliches Problem....DHCP Offers kommen am Client nicht an :( face-sad

Der Aufbau ist aktuell folgendermaßen:
pfsense-Firewalls für VLAN1 und 3, sowie VLAN2 (getrennte FWs)
per Trunk auf Gi1/0/48 am Switch
weiterer Trunk auf Ubiquiti Nanostation an Gi1/0/3 (abgesetzte Lokation)
ein LAP1142 an Gi1/0/1, Access Port VLAN1 (WLAN-Mgmt-Port ist auch VLAN1)

VLAN1 ist rein Management, kein Usertraffic drauf. An der Firewall für VLAN3 hab ich einen Packet Capture laufen lassen, DHCP Discover kommt rein, Offer geht raus, am Client kommt der Offer aber nicht an...dazu ist zu sagen, dass VLAN1 und 3 über die pfsense ein DHCP-Relay auf einen DHCP-Server vor der Firewall haben, was bei VLAN2 jedoch nicht der Fall ist, und auch dort kommt der Offer nicht am Client an...

Hier noch ein paar Auszüge der Port-Config:

und die WLAN-Config

Ich habe die 2 WLANs absichtlich unterschiedlich konfiguriert, um zu sehen ob der fest vorgegebene DHCP in WLAN2 einen Unterschied macht, tut es aber nicht.

Endaufbau soll dann sein, dass der WLC-Switch auf die andere Seite der Nanostation (transparant bridge mode) kommt, um ein Ubiquiti Unifi WLAN abzulösen. Gleiche VLANs, gleiche IP-Adressen, nur anderes System...
Mit dem internen DHCP des Ciscos läuft das auch alles, aber es muss auch extern funktionieren. Die Firewalls sind soweit korrekt konfiguriert, da das Unifi-WLAN ja noch einwandfrei läuft.

Wer hat die Lösung? :) face-smile Ich liefere natürlich gerne weitere Teile der Config nach, sofern sie benötigt werden...

Grüßle
Mitglied: aqui
26.03.2016 um 11:29 Uhr
Nur zum Verständnis nochmal nachgefragt: Hast du einen zentralen DHCP Server und wenn ja wo routest du bzw. wo sind die DHCP Forwarder (Helper IPs) konfiguriert ?
Die gi 1/0/1 ist etwas komisch, denn hier kollidiert die Trunk Konfig mit der Access Konfig. Vermutlich hast du die trunk allow Zeile vergessen zu löschen, denn der Port ist ja de facto ein Access Port (untagged).
Bitte warten ..
Mitglied: shadynet
26.03.2016, aktualisiert um 13:57 Uhr
Der DHCP ist zentral und sitzt vor den Firewalls für die VLANs 1 und 3 (VLAN2 hat eigenen im pfsense), bei dem Konstrukt handelt es sich um ein von meinem Netz abgetrennten Bereich mit Haufenweise Regeln wer was wohin wieso darf. Geroutet wird in den pfsense, Helper/Forwarder sind auch in den pfsense, der Switch ist rein L2, ziemlich genau so konfiguriert, wie der aktuell vorhandene WS-C2960, außer dass die APs ja alles über Capwap-Tunnel zum Controller regeln, während Unifi alles über VLANs macht.
Da die Trunk-Config ignoriert wird sobald es ein Access Port ist, ist das nicht so wild. Der Port ist laut sh vlan im VLAN1. Das sind so gesehen Überbleibsel aus der alten Config vom 2960, der Port ist trotz der Zeile Access im VLAN1 :) face-smile

So hats ja auch schon mit dem IOS-internen DHCP geklappt, nur mit dem Externen wills nicht...
Bitte warten ..
Mitglied: TheMasterofdisaster
LÖSUNG 28.03.2016 um 10:28 Uhr
Hi,

Ich würde erstmal versuchen fehlerquellen zu reduzieren. Also den, oder einen dhcp, vor deine Firewall(s) zu hängen. Und eventuell erstmal nur ein AP und ein Wlan betreiben (sicher ist sicher).

Mit access lists (hit log oder debug) auf dem switch könntest du schauen ob und wie der dhcp Ablauf stattfindet.

Wo genau ist der WLC in deinem Setup?

Hier etwas was dir vielleicht hilft dhcp mit cisco wlc besser zu verstehen:
http://mrncciew.com/2012/12/27/understanding-dhcp/

Gruß
Bitte warten ..
Mitglied: shadynet
28.03.2016 um 12:37 Uhr
Diese lustige Art von Cisco, DHCPs im WLAN etwas anders durchzureichen und alles mit Relay sowieso schonmal direkt am Controller zu droppen hat mir Google dann auch verraten. War etwas verwirrend. Naja, dhcp required rausgenommen,

So geht es dann, wobei er in dem VLAN z.B. nur auf den Relay zeigt, im VLAN2 zeigt er direkt auf den DHCP.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic51 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware19 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 19 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

Exchange Server
Transparente Mail-Archivierung Exch. 2016 m. direktem Outlook-Zugriff
departure69Vor 1 TagFrageExchange Server17 Kommentare

Hallo. - Windows 2016 AD-Domäne, 2 DCs unter W2K16 Std. (1 x physisch, 1 x virtuell unter Hyper-V), Funktionsebene 2016 - Exchange 2016 unter ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...

Ubuntu
Installiert auf Rechner
khaldrogoVor 10 StundenFrageUbuntu9 Kommentare

Hallo Leute, Wir haben einen neuen Server bekommen, auf dem wir per Remotedesktopverbindung verbunden sind und arbeiten. Auf dem Server sind leider nicht alle ...