Cisco WLAN Access Point AIR-LAP1142N u. CAP2602I für den Heimgebrauch umrüsten

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

03.02.2021, aktualisiert 26.02.2021, 2454 Aufrufe, 9 Kommentare, 4 Danke


Vorbemerkungen:

Bei vielen kommerziellen Anwendern werden WLANs erneuert und Access Points auf neuere und aktuelle Standards umgerüstet. Gerade mit der Freigabe des dritten 6Ghz WLAN Bandes wird sich dieser Trend noch verstärken. Die Folge ist, das bei Wiederverkäufern und Verkaufsplattformen wie z.B. eBay und Co. solche professionellen Premium Access Points vermehrt zu sehr günstigen Preisen um die 10 Euro auftauchen.
Die o.a. AP Modelle sind für den damaligen Stand der Technik Premium APs, was man ihnen schon anhand der Verarbeitung mit einem massiven Metallgehäuse äußerlich ansieht. Mit Antennen auf Keramiksubstrat, die ohne große Leistungsverluste senden, ließe sich die Liste an Pluspunkten beliebig erweitern. Kein Vergleich zu Billiganbietern in meist dünnen und wackeligen Plastikgehäusen mit verlustreichen Antennen auf billigem Epoxyd.
Die Technik ist mit 802.11n (max. 600 Mbit/s bei WiFi 4) zwar nicht mehr die Allerneueste, aber für einen Dual Radio AP der gleichzeitig das 2,4 GHz und das 5 GHz WLAN Band mit MSSID/VLAN Funktion, schnellem 802.11r Roaming sowie MIMO 2x3 supportet macht der Cisco auch in heutigen WLAN Netzen eine gute Figur. WebGUI zur Konfig, Gastnetz Segmentierung und sogar ein Radius Server sind ebenfalls an Bord. Genug Features also, sie in Heimnetzen, kleinen WLAN Umgebungen mit wenig Budget und moderaten Anforderungen wie Z.B. Schulen und Hotels, Cafes usw. erfolgreich einzusetzen.

Warum umrüsten ?:

Die LAP1142N und CAP2602I Accesspoints sind primär für den Betrieb mit einem zentralen WLAN Controller (z.B. Cisco AIR-CT2504-5-K9) ausgelegt und kommen deshalb nur fast immer mit einem sehr abgespeckten Firmwareimage daher, dem sog. Lightweight Image. Man bezeichnet diesen Modus entsprechend dann auch als Lightweight Mode. Für die Nutzung in kleinen WLANs oder Heimnetzen ist dieser Mode nicht geeignet, da man die APs allein und ohne den externen Controller nicht konfigurieren und betreiben kann.
Cisco bietet für diese Access Points aber parallel immer auch ein Firmware Image mit dem ein sog. Standalone Betrieb möglich ist und was den Controller Zwang beseitigt.
Damit lassen sich die Accesspoints dann wie ein klassischer WLAN Access Point einfach über ein grafisches Webinterface ala FritzBox konfigurieren.
Dieses Tutorial beschreibt die schnelle und unkomplizierte Firmware Umrüstung dieser Access Points in den Standalone Betrieb. Los gehts...

So wird's gemacht:

Man benötigt einen Rechner mit TFTP Server, das Standalone Firmware Image und bei Bedarf einen preiswerten seriellen Terminal Adapter (9600 Baud N81) um am Konsolen Port des Access Points ggf. mitzuverfolgen was der AP so treibt. Diese seriellen Adapter oder Adapterkabel gibt es zuhauf bei den üblichen Versendern wie z.B. HIER.
Sie sind auch allgemein Standard für alle Netzwerkkomponenten verschiedener Hersteller die über eine serielle Schnittstelle gemanagt werden können. Eine Anschaffung lohnt also immer.
Als Terminal Programm nutzt man dann für Windows einen der Klassiker PuTTY oder TeraTerm. MacOS z.B. ZOC und für Linux minicom.
Die Schnittstellen Parameter lauten:
  • 9600 Baud
  • 8 Bits, keine Parity, 1 Stopbit
  • Keine Hardware oder Software Flow Control

Nach dem Booten in den Setup Modus erhält der AP automatisch eine Default IP Adresse von 10.0.0.1 /8 und sucht dann automatisch auf einem TFTP Server im Netz an das er angeschlossen ist nach einem Firmware Image mit dem Namen c1140-k9w7-tar.default (1142N) bzw. ap3g2-k9w7-tar.default (2602I).
Er lädt dieses Image dann automatisch, flasht es in seinen internen Speicher und rebootet danach automatisch in den Standalone Modus.
Im neu gebooteten Standalone Mode sucht der 1142er AP sich dann, wie bei allen APs üblich, per DHCP eine Management IP Adresse im angeschlossenen Netzwerk. Er kann dann über diese Management IP Adresse einfach via Browser WebGUI oder auch via Telnet oder SSH Zugang konfiguriert werden.
Als TFTP Server kommt hier der bekannte TFTP32_oder_TFTP64 zum Einsatz. Es gehen aber auch Alternativen wie z.B. Pumpkin oder für die Apple MacOS Fraktion TFTP_Server. Linux hat einen TFTP Server von sich aus an Bord.

Statische IP setzen:

Am Rechner mit dem TFTP Server setzt man eine statische IP Adresse die im gleichen Netzwerk liegen muss wie die Default IP des APs. Hier die 10.0.0.2 am Beispiel von Windows:
ci1 - Klicke auf das Bild, um es zu vergrößern

TFTP Server installieren und starten:

Wichtig ist das man das TFTP Server Dateiverzeichnis "Current Directory" auf das Verzeichnis setzt welches die Firmware Datei c1140-k9w7-tar.default enthält.
Wer im Internet nach dem original Firmware Namen z.B. "c1140-k9w7-tar.153-3.JD16.tar" oder auch "c1140-k9w7-tar.153- 3.JD17.tar" sucht bzw. ap3g2-k9w7-tar.153-3 für das 2602I Modell wird schnell fündig (z.B. hier) und muss diese Datei dann einfach auf den Default Namen:
  • c1140-k9w7-tar.default für den Cisco LAP1142N
  • ap3g2-k9w7-tar.default für den Cisco CAP2602I
umbenennen.
Wichtig ist darauf zu achten das der Dateiname k9w7 enthält, denn die "7" dort bezeichnet immer das Standalone Firmware Image.
tf1 - Klicke auf das Bild, um es zu vergrößern
Windows User sollten zudem zwingend sicherstellen das in der lokalen Windows Firewall der TFTP Zugang auf den Rechner freigeschaltet ist.
Fehlt diese Erlaubnis in der lokalen Windows Firewall, dann schlägt das Booten der Firmware fehl, weil der TFTP Server nicht gefunden wird (Timeout). Unter Windows ein typischer Fehler für ein Scheitern des Updates ! Die Threaddialog liefern weitere Infos dazu.
fw1 - Klicke auf das Bild, um es zu vergrößern

Cisco 1142N und 2602I AP Netzwerk Verbindung:

Primär arbeiten Premium Access Points immer mit aktivem PoE (Stromversorgung über das Netzwerkkabel) nach 802.3af oder 802.3at Standard, so auch der 1142N u. 2602I. Er besitzt aber ebenso einen separaten Netzteil Anschluss mit einem einfachen Standard Hohlstecker für den Betrieb ohne PoE. (+ auf dem Mittelpin).
Wer den AP ohne Netzteil erworben hat und auch kein PoE Switch sein eigen nennt, nimmt einen einfachen .af/.at konformen PoE_Injector oder ein simples Standard 48 Volt (Stecker) Netzteil wie z.B. HIER erhältlich. Jedes 48 Volt Netzteil mit Hohlstecker und + auf dem Mittelpin ist geeignet. Die Stromversorgung ist identisch wie sie auch im hiesigen Cisco_Telefon_Tutorial beschrieben ist.
1142n - Klicke auf das Bild, um es zu vergrößern
Vorgehensweise zum Booten in den Flash Mode:
Zum automatischen Booten des Firmware Images hält man am AP den Mode Knopf gedrückt BEVOR man das Netzteil oder den PoE Switch bzw. PoE Injector anschliesst ! Erst dann mit dem PoE Switch verbinden oder Netzteil stecken.
Den Mode Knopf hält man weiter solange gedrückt bis die Status LED an der Front des APs die Farbe von blau blinkend auf rot wechselt und lässt ihn dann los. Das dauert ca. 20 Sekunden.
Der AP kontaktiert dann automatisch den TFTP Server im angeschlossenen Netzwerk und installiert das Image. Der gesamte Flashing Prozess dauert ca. 3-4 Minuten und darf keinesfalls unterbrochen werden.
Man kann dies parallel am fortschreitenden Ladebalken des TFTP Servers genau beobachten oder am seriellen Terminal Port über die dortigen Status Meldungen sofern dieser serielle Port angeschlossen ist.
progress - Klicke auf das Bild, um es zu vergrößern
Bzw. serieller Konsol Port Output (hier etwas gekürzt wiedergegeben):
...
IOS Bootloader - Starting system.
Xmodem file system is available.

DDR values used from system serial eeprom.
Reading cookie from system serial eeprom...Done
Base Ethernet MAC address: f8:66:f2:44:5a:e4
Ethernet speed is 1000 Mb - FULL duplex
button is pressed, wait for button to be released...
button pressed for 27 seconds

process_config_recovery: set IP address and config to default 10.0.0.1
process_config_recovery: image recovery
image_recovery: Download default IOS tar image tftp:/ /255.255.255.255/c1140-k9w7-tar.default

examining image...
extracting info (283 bytes)
Image info: ...

Grundkonfiguration Access Point:

Das Setup des APs selber ist dann schnell gemacht:
  • Default Passwort: "Cisco" (C groß !)
  • SSID festlegen und eintragen und bei Bedarf auf VLAN ID mappen
  • WPA-2 Passwort festlegen
  • Wichtig: Den Universal Admin Mode deaktivieren
1142setup - Klicke auf das Bild, um es zu vergrößern
Informationen zur Cisco AP Konfiguration von MSSIDs, also mehreren WLAN Netzen die VLAN IDs zugewiesen werden, im VLAN_Tutorial.
Das Tutorial hat diverse Praxis Setups zu MSSID Designs.

Weiterführende Links:


Die Montageplatte findet man unter folgendem Suchbegriff Cisco 69-2160-03 Access Point Mounting Bracket. eBay und Co. führt sie aber auch teilweise mit dem 1142N zusammen auf. Man kann sich aber auch mit einem kleinen Blumendraht pfiffig selber helfen wenn man ihn ohne diese Platte aufhängen möchte.

Cisco Datenblatt zu den 1140er und 2602I APs:
https://www.cisco.com/c/dam/global/de_de/assets/portal-content/produkte- ...
https://www.cisco.com/c/de_de/support/wireless/aironet-2600i-access-poin ...

Configuration Guide für Autonomous APs:
https://www.cisco.com/c/en/us/td/docs/wireless/access_point/atnms-ap-8x/ ...

Internet Links zu dem Thema:
http://exchange2013pikasuoh.blogspot.com/2015/08/convert-cisco-air-lap1 ...

MSSID/VLAN Tutorial:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
Praxisbeispiel Gast WLAN mit Cisco AP:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...

2 IP Netzwerke per WLAN Verbindung koppeln:
https://administrator.de/tutorial/wlan-zwei-lan-ip-netzwerke-verbinden-1 ...

WLAN mit dynamischer VLAN Zuweisung:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...
Mitglied: StefanKittel
03.02.2021 um 16:31 Uhr
Hallo,

gibt es die Controller vieleicht auch günstig.
Dann wären die Dinger optimal einzusetzen.

Ich gehe davon aus, dass die nicht so schnell kaputt gehen.

Stefan
Bitte warten ..
Mitglied: aqui
03.02.2021, aktualisiert 12.02.2021
Ich gehe davon aus, dass die nicht so schnell kaputt gehen.
Bei dem mechanisch sehr stabilen Gehäuse und der damit verbundenen optimalen Kühlung tun sie das ganz sicher so schnell nicht... 😉
Bitte warten ..
Mitglied: the-buccaneer
09.02.2021 um 02:21 Uhr
Blöde (oder doch nicht ganz so?) Frage:

Verbessere ich den WLAN Range und Durchsatz signifikant gegenüber einer ollen FB 7270? Ich hab da relativ wenig Plan.
An der FB wäre nen Port noch frei und Madame und Infant klagen über "Verbindungsprobleme"
(Frage ist "Stabilität". Dass es theoretisch schneller ist kann man an den Daten ablesen...)

Ich konnte diese "Ausfälle" bisher nicht nachvollziehen, aber nen Zehner wärs ja wert. ;-) face-wink

Aber auch für Kunden interessant. Preissensitiv sind sie alle. Sogar die Millionäre.... ;-) face-wink

CU
Buc
Bitte warten ..
Mitglied: TomTomBon
09.02.2021 um 08:42 Uhr
Moin

Ich bin auch am Überlegen ;-) face-wink

DeFakto habe Ich nur Zickereien mit den WLAN Anschlüssen der Fritzen.
Wobei, Ich nicht, sondern Sohne 1, Frau, Sohn 2...

Ich hatte deswegen auch ausgelagert auf einen AP.
Und habe jetzt von 1&1 mit dem neuen Anschluss eine neue Fritze bekommen.
Und mit der 7520 ähnliche Probleme..

Deswegen bin Ich am überlegen da diese Cisco AP wirklich gut sind.
Ich hatte dieses, oder einen Vorgänger, vor 6-7 Jahren in der Firma aufgebaut.
Ausgesucht hatte unser Netzwerk Spezi ;-) face-wink
Und sie waren wirklich gut.

Stahl ohne Ende verbaut in dem Gebäude, frei stehend und Luftig sollte es Ender der 90er sein.
--> Stahl.

Die WLAN Vorgänger Versuche waren Mikrowellen Schleudern ;-) face-wink
Bitte warten ..
Mitglied: aqui
09.02.2021 um 09:28 Uhr
Mit den optimierten Antennen und MIMO 2x3 sind sie technisch in jedem Falle besser ausgerüstet als die beiden FritzBox Antennen. Ein Versuch für 10 Euro wäre es ja allemal wert. ;-) face-wink
Bitte warten ..
Mitglied: lcer00
26.02.2021 um 19:06 Uhr
Hallo

@aqui Danke für den Tip.

Kurzes Feedback:

Auf Windows 10 hat die Firewall etwas rumgezickt. Zum Schluss war das Erlauben Netzwerkverkehrs für das Programm tftpd64.exe die Lösung. Nur TFPT Portbasiert hat das nicht geklappt. Vielleicht habe ich ja auch was übersehen.

Dann hat noch der Switch zugeschlagen! Wegen des POE-Stromanschlusses habe ich das über einen SG350X POE-Switch mit einem separaten VLAN für Laptop und AP geschaltet. Nachdem die Firmware geladen war, scheint das aktive Smartport-Feature den Cisco-AP als solchen erkannt zu haben und hat den Port von Access auf Trunk gesetzt. Da ich nicht VLAN 1 sondern anders VLAN genutzt hatte, passte das nicht und die Verbindung zum Webinterface (bzw. überhaupt zum Geräte per Netzwerkkabel) war nicht herzustellen. Hat ne Weile gedauert, bis ich die Ursache gefunden hatte.

Grüße

lcer
Bitte warten ..
Mitglied: aqui
26.02.2021 um 19:17 Uhr
Gut zu wissen...!
Danke für das Feedback. 👍
Bitte warten ..
Mitglied: Imenov
02.03.2021 um 23:33 Uhr
Aber muss man dafür rechnen dass , Zertifikate bei 1140 meistens abgelaufen und deswegen AP nicht mehr supported by Cisco, und kommt weitere beschränkungen wie: altere Datum auf WLC oder Scwierigkeiten mit SSL Zertifikate (
Bitte warten ..
Mitglied: aqui
03.03.2021, aktualisiert um 09:39 Uhr
Nein, das ist nicht relevant denn die Zertifikate spielen keinerlei Rolle für den Standalone Betrieb. Einmal abgesehen davon das man sich self-signed Zertifikate jederzeit neu anlegen kann.
Wie bereits gesagt ist das für den Standalone Betrieb ohne WLC vollkommen irrelevant. Es geht hier im Tutorial nur um den Standalone Betrieb ohne Controller.
Bitte warten ..
Heiß diskutierte Inhalte
HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 16 StundenFrageHTML16 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

Exchange Server
0-day Exploit Chain für Exchange Server - Patches verfügbar
kgbornVor 1 TagInformationExchange Server6 Kommentare

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. ...

Windows 10
Windows 10 schickt lokale Anfragen an das Gateway - was tun?
gelöst runthegaunzVor 1 TagFrageWindows 1015 Kommentare

Hallo! Ich bin vor ein paar Tagen wieder von Linux auf Windows umgestiegen. Ich hab die Windows 10 Version 20H2 installiert, wurde von Windows ...

Switche und Hubs
23 Cisco Switch einrichten - Wie am einfachsten?
gelöst Freak-On-SiliconVor 1 TagFrageSwitche und Hubs18 Kommentare

Hallo; Ich habe hier 4stk Cisco SX350X-24 9Stk Cisco SG350X-48P 10Stk Cisco SG350X-48 Diese werden aufgeteilt auf 9 Racks, und ersetzen alte HP Switches. ...

Exchange Server
Aktuelle Exchange Sicherheitslücke
jojo0411Vor 1 TagAllgemeinExchange Server11 Kommentare

Hallo Leute, Momentan gibt es da wieder einmal ein schönes neues Thema. Sehe ich das richtig das ich mit Exchange 2016 und CU 19 ...

Hardware
Fritzbox 7590 ändert selbständig die FTP-Adresse nach ca. 24h
Wicky1Vor 1 TagFrageHardware15 Kommentare

Hallöchen, ich habe da ein sehr kurioses Problemchen mit meiner Fritzbox. Doch erst mal eine kurze Beschreibung des Aufbaus: - Fritzbox 7590 (1&1 Edition) ...

Netzwerke
Smarthome Heimnetzwerk absichern
hell.wienVor 1 TagFrageNetzwerke12 Kommentare

Hallo. Ich mach mir gerade gedanken wie ich meine neue Wohnung sicher mache Überischthalber zur Hardware: Vorhanden: Modem APU4D4 Cisco SG250X-24P Mikrotik cAP ac ...

Windows Server
Windows Firewall: Alle öffentliche IPs sperren bis auf eine
SabSchapVor 1 TagFrageWindows Server7 Kommentare

Hallo, wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen ...