Keine IP über DHCP via Cisco 3702 und VLAN
Guten Morgen,
ich habe nach den Anleitungen hier erfolgreich einen Mikrotik RB5009 mit VLANs eingerichtet, alle Kupfer-Clients laufen sauber.
Weiterhin habe ich einen Cisco 3702i nach der Anleitung hier in den Autonomen Modus versetzt und entsprechend angebunden, er bekommt eine IP im Management VLAN 1 (192.168.1.x).
Nach Anleitung erstmal 2 VLANs (VLAN 10 = Gastnetz, VLAN 20 = privat) auf dem Cisco eingerichtet, SSID vergeben, Radio (erstmal nur 2.4GHz) eingeschaltet. Damit kann sich ein Wireless Device erstmal in das Netz mit der SSID (Test mit VLAN 10/Gast) verbinden.
Nun das Problem: Beim Beziehen der IP-Adresse bleibt das Gerät hängen, ich sehe im Mikrotik, dass der DHCP-Server aif dem VLAN-Interface für VLAN 10 eine IP-Adresse anbietet (Status offered). Dabei bleibt es dann aber leider und irgendwann verschwindet die angebotene Lease eben wieder.
Da der zum VLAN passende DHCP angesprochen wird, nehme ich an, dass der Cisco auch das passende Tagging vorgenommen hat.
Mein Cisco ist derzeit folgendermaßen konfiguriert
Hat jemand eine Idee, was mir hier noch fehlen könnte?
Einen schönen Sonntag.
ich habe nach den Anleitungen hier erfolgreich einen Mikrotik RB5009 mit VLANs eingerichtet, alle Kupfer-Clients laufen sauber.
Weiterhin habe ich einen Cisco 3702i nach der Anleitung hier in den Autonomen Modus versetzt und entsprechend angebunden, er bekommt eine IP im Management VLAN 1 (192.168.1.x).
Nach Anleitung erstmal 2 VLANs (VLAN 10 = Gastnetz, VLAN 20 = privat) auf dem Cisco eingerichtet, SSID vergeben, Radio (erstmal nur 2.4GHz) eingeschaltet. Damit kann sich ein Wireless Device erstmal in das Netz mit der SSID (Test mit VLAN 10/Gast) verbinden.
Nun das Problem: Beim Beziehen der IP-Adresse bleibt das Gerät hängen, ich sehe im Mikrotik, dass der DHCP-Server aif dem VLAN-Interface für VLAN 10 eine IP-Adresse anbietet (Status offered). Dabei bleibt es dann aber leider und irgendwann verschwindet die angebotene Lease eben wieder.
Da der zum VLAN passende DHCP angesprochen wird, nehme ich an, dass der Cisco auch das passende Tagging vorgenommen hat.
Mein Cisco ist derzeit folgendermaßen konfiguriert
!
! Last configuration change at 06:19:33 UTC Sun Oct 15 2023
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 <stripped>
!
no aaa new-model
no ip source-route
no ip cef
!
!
!
!
dot11 pause-time 100
dot11 syslog
dot11 vlan-name network.gast vlan 10
dot11 vlan-name network.privat vlan 20
!
dot11 ssid network.gast
vlan 10
authentication open
authentication key-management wpa version 2
mbssid guest-mode
wpa-psk ascii 7 <stripped>
!
!
!
no ipv6 cef
!
!
username Cisco password 7 <stripped>
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
!
encryption vlan 10 mode ciphers aes-ccm
!
ssid network.gast
!
antenna gain 0
stbc
mbssid
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.10
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 spanning-disabled
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
!
interface Dot11Radio0.20
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 spanning-disabled
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
!
interface Dot11Radio1
no ip address
shutdown
!
encryption vlan 10 mode ciphers aes-ccm
!
ssid network.gast
!
antenna gain 0
peakdetect
no dfs band block
mbssid
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.10
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 spanning-disabled
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
!
interface Dot11Radio1.20
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 spanning-disabled
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
!
interface GigabitEthernet0
no ip address
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface GigabitEthernet0.10
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 spanning-disabled
no bridge-group 10 source-learning
!
interface GigabitEthernet0.20
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 spanning-disabled
no bridge-group 20 source-learning
!
interface BVI1
mac-address d8b1.9015.4590
ip address dhcp client-id GigabitEthernet0
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
end
Hat jemand eine Idee, was mir hier noch fehlen könnte?
Einen schönen Sonntag.
Please also mark the comments that contributed to the solution of the article
Content-ID: 6598223996
Url: https://administrator.de/contentid/6598223996
Printed on: October 15, 2024 at 16:10 o'clock
3 Comments
Latest comment
Ein Blick in das Mikrotik VLAN Tutorial ist dann oft die einfache Lösung! 😉
Vielleicht noch ein paar Tips zu deiner o.a. Cisco AP Konfig:
Diese Änderungen solltest du besser noch umsetzen in deiner AP Konfig wenn du den AP richtig ausnutzen willst! 😉
Beispielkonfigurationen zu den Cisco APs findest du, wie immer, HIER!
Vielleicht noch ein paar Tips zu deiner o.a. Cisco AP Konfig:
- Dein 5 GHz WLAN Radio ist aktuell ausgeschaltet! Du verzichtest also auf das störungsärmere und performantere 5GHz WLAN Band. (no shut auf dem Radio1 Interface!)
- Dazu fehlt in der SSID Definition band-select was ein Band Steering bewirkt so das der AP Clients mit Dual Radio Interface immer bevorzugt in das performantere 5 GHz Band lotst.
- channel width 80-above fehlt im 5 GHz Radio und damit die Bandbreiten Erweiterung bei 802.11ac! Damit bleibt ein Großteil der 5GHz WLAN Performance ungenutzt.
- Ebenso fehlt dot11 dot11r pre-authentication over-air und auch dot11 dot11r reassociation-time value 300 auf beiden Radio Interfaces! Dadurch bleibt schnelles Fast Roaming nach 802.11r ungenutzt.
- Auch der sog. "World Mode" world-mode dot11d country-code DE both ist nicht aktiviert. Das kann dazu führen das internationale WLAN Clients nur einen eingeschränkten Funkkanalbereich nutzen.
- Aus Sicherheitsgründen solle man nur noch das aaa new model aktivieren!
- Niemals mehr enable und User Passwörter mit einfachen Krypro Verfahren nutzen sondern immer scrypt verwenden. Einfache Verfahren sind per Mausklick knackbar.
- Es fehlt die korrekte Zeiteinstellung mit clock timezone CET 1 0 und Sommerzeit Umschaltung clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 was zu Problemen mit Zertifikaten und falschen Logging Einträgen führen kann. Ebenso fehlt die Konfiguration eines NTP Zeitservers z.B. sntp server de.pool.ntp.org
- Ob man Konfig Daten wie Passwörter usw. ungeschützt über das unverschlüsselte Web GUI schickt muss jeder selber entscheiden. Sicherheit geht anders. Wer sicher arbeiten will nutzt KEIN unverschlüsseltes HTTP und Telnet (vty 0 4) mehr und deaktiviert das entsprechend im Setup!
Diese Änderungen solltest du besser noch umsetzen in deiner AP Konfig wenn du den AP richtig ausnutzen willst! 😉
Beispielkonfigurationen zu den Cisco APs findest du, wie immer, HIER!