maximalz
Goto Top

Keine IP über DHCP via Cisco 3702 und VLAN

Guten Morgen,

ich habe nach den Anleitungen hier erfolgreich einen Mikrotik RB5009 mit VLANs eingerichtet, alle Kupfer-Clients laufen sauber.
Weiterhin habe ich einen Cisco 3702i nach der Anleitung hier in den Autonomen Modus versetzt und entsprechend angebunden, er bekommt eine IP im Management VLAN 1 (192.168.1.x).
Nach Anleitung erstmal 2 VLANs (VLAN 10 = Gastnetz, VLAN 20 = privat) auf dem Cisco eingerichtet, SSID vergeben, Radio (erstmal nur 2.4GHz) eingeschaltet. Damit kann sich ein Wireless Device erstmal in das Netz mit der SSID (Test mit VLAN 10/Gast) verbinden.

Nun das Problem: Beim Beziehen der IP-Adresse bleibt das Gerät hängen, ich sehe im Mikrotik, dass der DHCP-Server aif dem VLAN-Interface für VLAN 10 eine IP-Adresse anbietet (Status offered). Dabei bleibt es dann aber leider und irgendwann verschwindet die angebotene Lease eben wieder.

Da der zum VLAN passende DHCP angesprochen wird, nehme ich an, dass der Cisco auch das passende Tagging vorgenommen hat.

Mein Cisco ist derzeit folgendermaßen konfiguriert

!
! Last configuration change at 06:19:33 UTC Sun Oct 15 2023
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 <stripped>
!
no aaa new-model
no ip source-route
no ip cef
!
!
!
!
dot11 pause-time 100
dot11 syslog
dot11 vlan-name network.gast vlan 10
dot11 vlan-name network.privat vlan 20
!
dot11 ssid network.gast
   vlan 10
   authentication open 
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 <stripped>
!
!
!
no ipv6 cef
!
!
username Cisco password 7 <stripped>
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 !
 encryption vlan 10 mode ciphers aes-ccm 
 !
 ssid network.gast
 !
 antenna gain 0
 stbc
 mbssid
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.10
 encapsulation dot1Q 10
 bridge-group 10
 bridge-group 10 subscriber-loop-control
 bridge-group 10 spanning-disabled
 bridge-group 10 block-unknown-source
 no bridge-group 10 source-learning
 no bridge-group 10 unicast-flooding
!
interface Dot11Radio0.20
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 subscriber-loop-control
 bridge-group 20 spanning-disabled
 bridge-group 20 block-unknown-source
 no bridge-group 20 source-learning
 no bridge-group 20 unicast-flooding
!
interface Dot11Radio1
 no ip address
 shutdown
 !
 encryption vlan 10 mode ciphers aes-ccm 
 !
 ssid network.gast
 !
 antenna gain 0
 peakdetect
 no dfs band block
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.10
 encapsulation dot1Q 10
 bridge-group 10
 bridge-group 10 subscriber-loop-control
 bridge-group 10 spanning-disabled
 bridge-group 10 block-unknown-source
 no bridge-group 10 source-learning
 no bridge-group 10 unicast-flooding
!
interface Dot11Radio1.20
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 subscriber-loop-control
 bridge-group 20 spanning-disabled
 bridge-group 20 block-unknown-source
 no bridge-group 20 source-learning
 no bridge-group 20 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.10
 encapsulation dot1Q 10
 bridge-group 10
 bridge-group 10 spanning-disabled
 no bridge-group 10 source-learning
!
interface GigabitEthernet0.20
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface BVI1
 mac-address d8b1.9015.4590
 ip address dhcp client-id GigabitEthernet0
 ipv6 address dhcp
 ipv6 address autoconfig
 ipv6 enable
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 login local
 transport input all
!
end

Hat jemand eine Idee, was mir hier noch fehlen könnte?

Einen schönen Sonntag.

Content-ID: 6598223996

Url: https://administrator.de/contentid/6598223996

Ausgedruckt am: 13.11.2024 um 06:11 Uhr

maximalz
Lösung maximalz 15.10.2023 um 11:17:26 Uhr
Goto Top
Ok, für alle, die auch vor dem Problem stehen: Der Port am Mikrotik, der den Cisco AP versorgt, war nicht Bestandteil der passenden VLANs in der Bridge -> VLANs -> VLAN xy.
aqui
aqui 15.10.2023 aktualisiert um 12:23:27 Uhr
Goto Top
Ein Blick in das Mikrotik VLAN Tutorial ist dann oft die einfache Lösung! 😉

Vielleicht noch ein paar Tips zu deiner o.a. Cisco AP Konfig:
  • Dein 5 GHz WLAN Radio ist aktuell ausgeschaltet! Du verzichtest also auf das störungsärmere und performantere 5GHz WLAN Band. (no shut auf dem Radio1 Interface!)
  • Dazu fehlt in der SSID Definition band-select was ein Band Steering bewirkt so das der AP Clients mit Dual Radio Interface immer bevorzugt in das performantere 5 GHz Band lotst.
  • channel width 80-above fehlt im 5 GHz Radio und damit die Bandbreiten Erweiterung bei 802.11ac! Damit bleibt ein Großteil der 5GHz WLAN Performance ungenutzt.
  • Ebenso fehlt dot11 dot11r pre-authentication over-air und auch dot11 dot11r reassociation-time value 300 auf beiden Radio Interfaces! Dadurch bleibt schnelles Fast Roaming nach 802.11r ungenutzt.
  • Auch der sog. "World Mode" world-mode dot11d country-code DE both ist nicht aktiviert. Das kann dazu führen das internationale WLAN Clients nur einen eingeschränkten Funkkanalbereich nutzen.
  • Aus Sicherheitsgründen solle man nur noch das aaa new model aktivieren!
  • Niemals mehr enable und User Passwörter mit einfachen Krypro Verfahren nutzen sondern immer scrypt verwenden. Einfache Verfahren sind per Mausklick knackbar.
  • Es fehlt die korrekte Zeiteinstellung mit clock timezone CET 1 0 und Sommerzeit Umschaltung clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 was zu Problemen mit Zertifikaten und falschen Logging Einträgen führen kann. Ebenso fehlt die Konfiguration eines NTP Zeitservers z.B. sntp server de.pool.ntp.org
  • Ob man Konfig Daten wie Passwörter usw. ungeschützt über das unverschlüsselte Web GUI schickt muss jeder selber entscheiden. Sicherheit geht anders. Wer sicher arbeiten will nutzt KEIN unverschlüsseltes HTTP und Telnet (vty 0 4) mehr und deaktiviert das entsprechend im Setup!

Diese Änderungen solltest du besser noch umsetzen in deiner AP Konfig wenn du den AP richtig ausnutzen willst! 😉
Beispielkonfigurationen zu den Cisco APs findest du, wie immer, HIER!
maximalz
maximalz 16.10.2023 um 21:07:10 Uhr
Goto Top
Vielen Dank, ich habe die Settings angepasst.