Cisco WLAN Access Point AIR-LAP1142N u. CAP2602I für den Heimgebrauch umrüsten

Mitglied: aqui

back-to-topVorbemerkungen


Bei vielen kommerziellen Anwendern werden WLANs erneuert und Access Points auf neuere und aktuelle Standards umgerüstet. Gerade mit der Freigabe des dritten 6Ghz WLAN Bandes wird sich dieser Trend noch verstärken. Die Folge ist, das bei Wiederverkäufern und Verkaufsplattformen wie z.B. eBay und Co. solche professionellen Premium Access Points vermehrt zu sehr günstigen Preisen um die 10 Euro auftauchen.
Die o.a. AP Modelle sind für den damaligen Stand der Technik Premium APs, was man ihnen schon anhand der Verarbeitung mit einem massiven Metallgehäuse äußerlich ansieht. Mit Antennen auf Keramiksubstrat, die ohne große Leistungsverluste senden, ließe sich die Liste an Pluspunkten beliebig erweitern. Kein Vergleich zu Billiganbietern in meist dünnen und wackeligen Plastikgehäusen mit verlustreichen Antennen auf billigem Epoxyd.
Die Technik ist mit 802.11n (max. 600 Mbit/s bei WiFi 4) zwar nicht mehr die Allerneueste, aber für einen Dual Radio AP der gleichzeitig das 2,4 GHz und das 5 GHz WLAN Band mit MSSID/VLAN Funktion, schnellem 802.11r Roaming, Band Steering sowie MIMO 2x3 supportet macht der Cisco auch in heutigen WLAN Netzen eine gute Figur. WebGUI zur Konfig, Gastnetz Segmentierung und sogar ein Radius Server sind ebenfalls an Bord. Genug Features also, sie in Heimnetzen, kleinen WLAN Umgebungen mit wenig Budget und moderaten Anforderungen wie Z.B. Schulen und Hotels, Cafes usw. erfolgreich einzusetzen.
Wer kann, sollte bevorzugt zum 2602 Modell (oder höher) greifen wegen der besseren Performance.
Die folgende Anleitung gilt generell auch für die Cisco AP Modelle 1700/2700/2600/3600/3700, denn alle nutzen das gleiche Firmware Image mit dem Dateinamen "ap3g2-xxx".

back-to-topWarum umrüsten ?


Die LAP1142N und CAP2602I Accesspoints sind primär für den Betrieb mit einem zentralen WLAN Controller (z.B. Cisco AIR-CT2504-5-K9) ausgelegt und kommen deshalb mit einem sehr abgespeckten Firmwareimage daher, dem sog. Lightweight Image. Man bezeichnet diesen Modus entsprechend dann auch als Lightweight Mode.
Für die Nutzung in kleinen WLANs oder Heimnetzen ist dieser Mode nicht geeignet, da man die APs allein und ohne den externen Controller nicht konfigurieren und betreiben kann.
Cisco bietet für diese Access Points aber parallel immer auch ein Firmware Image mit dem ein sog. Standalone Betrieb möglich ist und was so den Controller Zwang beseitigt.
Damit lassen sich die Accesspoints dann wie ein klassischer WLAN Access Point einfach über ein grafisches Webinterface ala FritzBox konfigurieren. Gleichzeitig bietet er auch das gewohnte CLI Konfig Interface.
Dieses Tutorial beschreibt die schnelle und unkomplizierte Firmware Umrüstung dieser Access Points in den Standalone Betrieb. Los gehts...

back-to-topSo wird's gemacht


Man benötigt einen Rechner mit TFTP Server, das Standalone Firmware Image und bei Bedarf einen preiswerten seriellen Terminal Adapter (9600 Baud N81) um am Konsolen Port des Access Points ggf. mitzuverfolgen was der AP so treibt. Diese seriellen Adapter oder Adapterkabel gibt es zuhauf bei den üblichen Versendern wie z.B. HIER.
Sie sind auch allgemein Standard für alle Netzwerkkomponenten verschiedener Hersteller die über eine serielle Schnittstelle gemanagt werden können. Eine Anschaffung lohnt also immer.
Als Terminal Programm nutzt man dann für Windows einen der Klassiker PuTTY oder TeraTerm. MacOS z.B. ZOC und für Linux minicom.
Die Schnittstellen Parameter lauten:
  • 9600 Baud
  • 8 Bits, keine Parity, 1 Stopbit
  • Keine Hardware oder Software Flow Control

Nach dem Booten in den Setup Modus erhält der AP automatisch eine Default IP Adresse von 10.0.0.1 /8 und sucht dann automatisch auf einem TFTP Server im Netz an das er angeschlossen ist nach einem Firmware Image mit dem Namen c1140-k9w7-tar.default (1142N) bzw. ap3g2-k9w7-tar.default (2602I).
Er lädt dieses Image dann automatisch, flasht es in seinen internen Speicher und rebootet danach automatisch in den Standalone Modus.
Im neu gebooteten Standalone Mode sucht der 1142er AP sich dann, wie bei allen APs üblich, per DHCP eine Management IP Adresse im angeschlossenen Netzwerk. Er kann dann über diese Management IP Adresse einfach via Browser WebGUI oder auch via Telnet oder SSH Zugang konfiguriert werden.
Bitte beachten !:
Der SSH und Web Zugang funktionieren nach dem Reboot noch nicht, da die Konfig leer ist !! Es klappt nur mit Telnet z.B. mit PuTTY oder natürlich über die serielle Konsole sofern angeschlossen.
Damit loggt man sich per Telnet im Cisco ein, geht mit conf t in den Konfig Mode und gibt dort ein ip http server. Danach ist das Web GUI erreichbar. (Siehe auch den Hinweis von @Drohnald in den Thread Kommentaren !)

Als TFTP Server kommt hier der bekannte TFTP32_oder_TFTP64 zum Einsatz. Es gehen aber auch Alternativen wie z.B. Pumpkin oder für die Apple MacOS Fraktion TFTP_Server. Linux hat einen TFTP Server von sich aus an Bord.

back-to-topStatische IP setzen


Am Rechner mit dem TFTP Server setzt man eine statische IP Adresse die im gleichen Netzwerk liegen muss wie die Default IP des APs. Hier die 10.0.0.2 am Beispiel von Windows:
ci1

back-to-topTFTP Server installieren und starten


Wichtig ist das man das TFTP Server Dateiverzeichnis "Current Directory" auf das Verzeichnis setzt welches die Firmware Datei c1140-k9w7-tar.default enthält.
Wer im Internet nach dem original Firmware Namen z.B. "c1140-k9w7-tar.153-3.JD16.tar" oder auch "c1140-k9w7-tar.153- 3.JD17.tar" sucht bzw. ap3g2-k9w7-tar.153-3 für das 2602I Modell wird schnell fündig (z.B. hier) und muss diese Datei dann einfach auf den Default Namen:
  • c1140-k9w7-tar.default für den Cisco LAP1142N
  • ap3g2-k9w7-tar.default für den Cisco CAP2602I
umbenennen.
Ein Check ob der Firmware Dateiname eine "7" enthält ..k9w7 zeigt immer das man das Standalone Image hat. Das Controller Image hätte hier eine "8".
tf1
Windows User sollten zudem zwingend sicherstellen das in der lokalen Windows Firewall der TFTP Zugang auf den Rechner freigeschaltet ist.
Fehlt diese Erlaubnis in der lokalen Windows Firewall, dann schlägt das Booten der Firmware fehl, weil der TFTP Server nicht gefunden wird (Timeout). Unter Windows ein typischer Fehler für ein Scheitern des Updates ! Die Threaddialoge unten liefern weitere Infos dazu.
fw1
(Einige wenige 2602 Images (und nur 2602) haben im GUI einen "404 Error" wenn man die Konfig sichern will. Das ist aber rein nur im GUI und NICHT im CLI ! Über das CLI lassen sich die APs fehlerlos konfigurieren. (.JAB Suffixe im Firmware Namen sind ohne GUI Fehler.))

back-to-topCisco 1142N und 2602I AP Netzwerk Verbindung


Primär arbeiten Premium Access Points immer mit aktivem PoE (Stromversorgung über das Netzwerkkabel) nach 802.3af oder 802.3at Standard, so auch der 1142N u. 2602I. Er besitzt aber ebenso einen separaten Netzteil Anschluss mit einem einfachen Standard Hohlstecker für den Betrieb ohne PoE. (+ auf dem Mittelpin).
Wer den AP ohne Netzteil erworben hat und auch kein PoE Switch sein eigen nennt, nimmt einen einfachen .af/.at konformen PoE_Injector oder ein simples Standard 48 Volt (Stecker) Netzteil wie z.B. HIER erhältlich. Jedes 48 Volt Netzteil mit Hohlstecker und + auf dem Mittelpin ist geeignet.
Achtung, der Hohlstecker muss die Abmessungen Ø 5,5 mm / 2,5 mm haben (Lochgröße 2,5mm) ansonsten passt der Stecker nicht.
Die Stromversorgung ist identisch wie sie auch im hiesigen Cisco_Telefon_Tutorial beschrieben ist.
1142n
Vorgehensweise zum Booten in den Flash Mode:
Zum automatischen Booten des Firmware Images hält man am AP den Mode Knopf gedrückt BEVOR man das Netzteil oder den PoE Switch bzw. PoE Injector anschliesst ! Erst dann mit dem PoE Switch verbinden oder Netzteil stecken.
Den Mode Knopf hält man weiter solange gedrückt bis die Status LED an der Front des APs die Farbe von blau blinkend auf rot wechselt und lässt ihn dann los. Das dauert ca. 20 Sekunden.
Der AP kontaktiert dann automatisch den TFTP Server im angeschlossenen Netzwerk und installiert das Image. Der gesamte Flashing Prozess dauert ca. 3-4 Minuten und darf keinesfalls unterbrochen werden.
Man kann dies parallel am fortschreitenden Ladebalken des TFTP Servers genau beobachten oder am seriellen Terminal Port über die dortigen Status Meldungen sofern dieser serielle Port angeschlossen ist.
progress
Bzw. serieller Konsol Port Output (hier etwas gekürzt wiedergegeben):
...
IOS Bootloader - Starting system.
Xmodem file system is available.

DDR values used from system serial eeprom.
Reading cookie from system serial eeprom...Done
Base Ethernet MAC address: f8:66:f2:44:5a:e4
Ethernet speed is 1000 Mb - FULL duplex
button is pressed, wait for button to be released...
button pressed for 27 seconds

process_config_recovery: set IP address and config to default 10.0.0.1
process_config_recovery: image recovery
image_recovery: Download default IOS tar image tftp:/ /255.255.255.255/c1140-k9w7-tar.default

examining image...
extracting info (283 bytes)
Image info: ...


Es ist möglich das in einigen Fällen der Ladebalken am TFTP keinen Fortschritt mehr anzeigt oder die serielle Konsole nach dem Bootprozess folgendes ausgibt:
Not enough free space to download image first w/o extracting
deleting existing version(s)...
Deleting current version: flash:/ap3g2-k9w8-mx.153-x.JXy...done.

Das bedeutet lediglich das mit dem aktuell geflashten Image der Platz im Flash Speicher zum Extrahieren der neuen Firmware zu klein ist und das das System dann automatisch das bestehende Altimage gelöscht hat.
Eine Wiederholung des Boot Prozesses installiert dann im 2ten Anlauf fehlerfrei das gewünschte Image.

back-to-topGrundkonfiguration Access Point


Das Setup des APs selber ist dann schnell gemacht:
  • User "Cisco", Default Passwort: "Cisco" (C groß !)
  • SSID festlegen und eintragen und bei Bedarf auf VLAN ID mappen
  • WPA-2 Passwort festlegen
  • Wichtig: Den Universal Admin Mode deaktivieren
1142setup
Informationen zur Cisco AP Konfiguration von MSSIDs, also mehreren WLAN Netzen die VLAN IDs zugewiesen werden, im VLAN_Tutorial.
Das Tutorial hat diverse Praxis Setups zu MSSID Designs.

back-to-topBeispiel Konfigurationen für MSSID (VLAN) und dynamische VLANs (Radius)

https://administrator.de/contentid/647100#comment-1520714


back-to-topWeiterführende Links


Die Wand- oder Decken Montageplatte findet man unter folgendem Suchbegriff Cisco 69-2160-03 Access Point Mounting Bracket. eBay und Co. führt sie aber auch teilweise mit dem 1142N zusammen auf. Man kann sich aber auch mit einem kleinen Blumendraht pfiffig selber helfen wenn man ihn ohne diese Platte aufhängen möchte.

Cisco Datenblatt zu den 1140er und 2602I APs:
https://www.cisco.com/c/dam/global/de_de/assets/portal-content/produkte- ...
https://www.cisco.com/c/de_de/support/wireless/aironet-2600i-access-poin ...

Cisco Configuration Guide für Autonomous APs:
https://www.cisco.com/c/en/us/td/docs/wireless/access_point/atnms-ap-8x/ ...

Internet Links zu dem Thema:
http://exchange2013pikasuoh.blogspot.com/2015/08/convert-cisco-air-lap1 ...

Anfängerhürden bei einem MBSSID Setup (mehrere WLANs über einen AP) vermeiden:
https://administrator.de/content/detail.php?id=663236&token=607

MSSID/VLAN Tutorial:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
Praxisbeispiel Gast WLAN mit Cisco AP:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...

2 IP Netzwerke per WLAN Verbindung koppeln:
https://administrator.de/tutorial/wlan-zwei-lan-ip-netzwerke-verbinden-1 ...

WLAN mit dynamischer VLAN Zuweisung:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...

Content-Key: 647100

Url: https://administrator.de/contentid/647100

Ausgedruckt am: 29.11.2021 um 14:11 Uhr

Mitglied: StefanKittel
StefanKittel 03.02.2021 um 16:31:10 Uhr
Goto Top
Hallo,

gibt es die Controller vieleicht auch günstig.
Dann wären die Dinger optimal einzusetzen.

Ich gehe davon aus, dass die nicht so schnell kaputt gehen.

Stefan
Mitglied: aqui
aqui 03.02.2021, aktualisiert am 12.02.2021 um 09:29:48 Uhr
Goto Top
Ich gehe davon aus, dass die nicht so schnell kaputt gehen.
Bei dem mechanisch sehr stabilen Gehäuse und der damit verbundenen optimalen Kühlung tun sie das ganz sicher so schnell nicht... 😉
Mitglied: the-buccaneer
the-buccaneer 09.02.2021 um 02:21:08 Uhr
Goto Top
Blöde (oder doch nicht ganz so?) Frage:

Verbessere ich den WLAN Range und Durchsatz signifikant gegenüber einer ollen FB 7270? Ich hab da relativ wenig Plan.
An der FB wäre nen Port noch frei und Madame und Infant klagen über "Verbindungsprobleme"
(Frage ist "Stabilität". Dass es theoretisch schneller ist kann man an den Daten ablesen...)

Ich konnte diese "Ausfälle" bisher nicht nachvollziehen, aber nen Zehner wärs ja wert. ;-) face-wink

Aber auch für Kunden interessant. Preissensitiv sind sie alle. Sogar die Millionäre.... ;-) face-wink

CU
Buc
Mitglied: TomTomBon
TomTomBon 09.02.2021 um 08:42:55 Uhr
Goto Top
Moin

Ich bin auch am Überlegen ;-) face-wink

DeFakto habe Ich nur Zickereien mit den WLAN Anschlüssen der Fritzen.
Wobei, Ich nicht, sondern Sohne 1, Frau, Sohn 2...

Ich hatte deswegen auch ausgelagert auf einen AP.
Und habe jetzt von 1&1 mit dem neuen Anschluss eine neue Fritze bekommen.
Und mit der 7520 ähnliche Probleme..

Deswegen bin Ich am überlegen da diese Cisco AP wirklich gut sind.
Ich hatte dieses, oder einen Vorgänger, vor 6-7 Jahren in der Firma aufgebaut.
Ausgesucht hatte unser Netzwerk Spezi ;-) face-wink
Und sie waren wirklich gut.

Stahl ohne Ende verbaut in dem Gebäude, frei stehend und Luftig sollte es Ender der 90er sein.
--> Stahl.

Die WLAN Vorgänger Versuche waren Mikrowellen Schleudern ;-) face-wink
Mitglied: aqui
aqui 09.02.2021, aktualisiert am 31.10.2021 um 12:38:15 Uhr
Goto Top
Mit den optimierten Antennen und MIMO 2x3 sind sie technisch in jedem Falle besser ausgerüstet als die beiden FritzBox Antennen. Ein Versuch für 10 Euro wäre es ja allemal wert. ;-) face-wink
Generell ist die WLAN Reichweite damit deutlich besser als die der FB mit ihren einfachen Platinenantennen.
Mitglied: lcer00
lcer00 26.02.2021 um 19:06:02 Uhr
Goto Top
Hallo

@aqui Danke für den Tip.

Kurzes Feedback:

Auf Windows 10 hat die Firewall etwas rumgezickt. Zum Schluss war das Erlauben Netzwerkverkehrs für das Programm tftpd64.exe die Lösung. Nur TFPT Portbasiert hat das nicht geklappt. Vielleicht habe ich ja auch was übersehen.

Dann hat noch der Switch zugeschlagen! Wegen des POE-Stromanschlusses habe ich das über einen SG350X POE-Switch mit einem separaten VLAN für Laptop und AP geschaltet. Nachdem die Firmware geladen war, scheint das aktive Smartport-Feature den Cisco-AP als solchen erkannt zu haben und hat den Port von Access auf Trunk gesetzt. Da ich nicht VLAN 1 sondern anders VLAN genutzt hatte, passte das nicht und die Verbindung zum Webinterface (bzw. überhaupt zum Geräte per Netzwerkkabel) war nicht herzustellen. Hat ne Weile gedauert, bis ich die Ursache gefunden hatte.

Grüße

lcer
Mitglied: aqui
aqui 26.02.2021, aktualisiert am 27.03.2021 um 15:37:01 Uhr
Goto Top
Gut zu wissen...! Das liegt vermutlich daran das bei beiden CDP als Infrastruktur Protokoll im Default aktiv ist und die sich das gegenseitig mitteilen. Auf dem Cisco AP kann man mit no cdp enable dafür sorgen das das nicht passiert.
Mit lldp run sollte man dann immer ein Standard konformes Infrastruktur Protokoll aktivieren.
Gleiches gilt für die Cisco SG Switches wenn die mehrheitlich nicht in einer Cisco Umgebung laufen. CDP=Ausschalten und LLDP=anschalten.
Danke für das Feedback. 👍
Mitglied: Imenov
Imenov 02.03.2021 um 23:33:14 Uhr
Goto Top
Aber muss man dafür rechnen dass , Zertifikate bei 1140 meistens abgelaufen und deswegen AP nicht mehr supported by Cisco, und kommt weitere beschränkungen wie: altere Datum auf WLC oder Scwierigkeiten mit SSL Zertifikate (
Mitglied: aqui
aqui 03.03.2021, aktualisiert am 08.03.2021 um 12:31:03 Uhr
Goto Top
Nein, das ist nicht relevant denn die Zertifikate spielen keinerlei Rolle für den Standalone Betrieb. Einmal abgesehen davon das man sich self-signed Zertifikate jederzeit neu anlegen kann.
Wie bereits gesagt ist das für den Standalone Betrieb ohne WLC vollkommen irrelevant. Es geht hier im Tutorial nur um den Standalone Betrieb ohne Controller.
Mitglied: jonasgrafe
jonasgrafe 07.03.2021 um 16:06:00 Uhr
Goto Top
Welches Image habt ihr für den CAP2602I-E-K9 verwendet und wo habt ihr das gefunden?
Habe viele verschiedene gefunden, aber keins will bis jetzt so richtig (habe noch kein Consolenkabel)
ap3g2-k9w7-tar.153-3.JPJ4
ap3g2-k9w7-tar.153-3.JPJ3
ap3g2-k9w7-tar.153-3.JI5
ap3g2-k9w7-tar.153-3.JAB
Mitglied: aqui
aqui 07.03.2021 aktualisiert um 19:10:37 Uhr
Goto Top
Nimm die vom angegebenen Link oben die funktionieren (getestet) fehlerfrei.
Mitglied: jonasgrafe
jonasgrafe 07.03.2021, aktualisiert am 08.03.2021 um 13:12:55 Uhr
Goto Top
Ok, bis heute Nacht war nur ein Fehler auf der Seite und keine Datei vorhanden. Nun habe ich sie geladen und spiele sie nachher rüber.

Vielen Dank
Mitglied: aqui
aqui 08.03.2021, aktualisiert am 31.10.2021 um 12:53:34 Uhr
Goto Top
Einige wenige 2602 Images (und nur 2602) wie auch das derzeit Aktuellste für den 2600er haben im GUI einen "404 Error" wenn man die Konfig sichern will. Das ist aber rein nur im GUI. (.JAB Suffixe im Namen sind ohne GUI Fehler.)
Der AP ist trotz GUI Fehler aber voll funktionsfähig und kann ganz normal und problemlos über das CLI konfiguriert werden.

back-to-topMBSSID Konfiguration mit VLAN Support

Eine einfache Konfig ohne MSSIDs (VLAN) sieht dann z.B. so aus:
!
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime show-timezone year
service password-encryption
!
hostname cisco-ap
!
enable algorithm-type scrypt secret <password>
!
aaa new-model
!
aaa authentication login default local
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip domain name ciscowlan.home.arpa
!
dot11 ssid Bitschleuder
band-select
authentication open
authentication key-management wpa version 2
guest-mode
wpa-psk ascii test1234567
!
username admin privilege 15 algorithm-type scrypt secret <password>
!
lldp run
!
!
interface Dot11Radio0
description 2.4 GHz Radio
no ip address
!
encryption mode ciphers aes-ccm
!
ssid Bitschleuder
!
speed only-ofdm
antenna gain 0
station-role root
dot11 dot11r pre-authentication over-air
dot11 dot11r reassociation-time value 300
world-mode dot11d country-code DE both
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
description 5 GHz Radio
no ip address
!
encryption mode ciphers aes-ccm
!
ssid Bitschleuder
!
speed throughput
antenna gain 0
peakdetect
no dfs band block
channel width 40-above
channel dfs
station-role root
dot11 dot11r pre-authentication over-air
dot11 dot11r reassociation-time value 300
world-mode dot11d country-code DE both
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
description Lokales LAN
no ip address
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
description LAN-WLAN Bridge
mac-address xyz
ip address dhcp client-id GigabitEthernet0
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
!
ip forward-protocol nd
ip http server
no ip http secure-server
!
no cdp run
bridge 1 route ip
!
sntp server ntps1-1.cs.tu-berlin.de
!
line con 0
line vty 0 4
login local
transport input telnet ssh
!
end


back-to-topMSSID VLAN Support mit dynamischen VLANs via Radius Server Authentisierung

(Beispiel mit VLAN 1 und VLAN 10. Weitere VLANs ggf. hinzufügen !)
!
service timestamps debug datetime localtime
service timestamps log datetime localtime show-timezone year
!
hostname cisco-ap
!
aaa new-model
!
aaa group server radius RADIUS
server name freeradius
!
aaa authentication login default local
aaa authentication login EAP group RADIUS
aaa authorization network default group RADIUS
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
dot11 mbssid
dot11 vlan-name VLAN10 vlan 10
!
dot11 ssid DynVLAN-Test
band-select
vlan 1
authentication open eap EAP
authentication network-eap EAP
authentication key-management wpa version 2
mbssid guest-mode
!
lldp run
!
interface Dot11Radio0
description 2.4 GHz Radio
no ip address
!
encryption vlan 1 mode ciphers aes-ccm
!
encryption vlan 10 mode ciphers aes-ccm
!
ssid DynVLAN-Test
!
station-role root
dot11 dot11r pre-authentication over-air
dot11 dot11r reassociation-time value 30
world-mode dot11d country-code DE both
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.10
description 2.4 GHz Radio (VLAN10)
encapsulation dot1Q 10
no cdp enable
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 spanning-disabled
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
!
!
interface GigabitEthernet0
description Lokales LAN
no ip address
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface GigabitEthernet0.10
description Lokales LAN (VLAN10 Tag)
encapsulation dot1Q 10
no cdp enable
bridge-group 10
bridge-group 10 spanning-disabled
no bridge-group 10 source-learning
!
interface BVI1
ip address dhcp client-id GigabitEthernet0
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
!
no cdp run
!
!
radius server freeradius
address ipv4 10.1.1.147 auth-port 1812 acct-port 1813
key testing123
!
!
sntp server ntps1-1.cs.tu-berlin.de
end

(Die Konfig oben ist eine für maximale WLAN Geschwindigkeit und schnelles Roaming. Wer den AP mit maximaler Reichweite betreiben setzt den Speed Mode in beiden Radios mit speed range !)

Diese Konfig kann via PuTTY Telnet und SSH oder über die serielle Konsole ganz einfach per Cut and Paste auf den AP gebracht werden und funktioniert sofort !
Mitglied: SvenPausN
SvenPausN 15.03.2021 um 12:16:09 Uhr
Goto Top
@ aqui

eine Verständnissfrage hab ich.

Ich hab deine Anweisungen bzgl standalone mit leichten Problemen durchgeführt.
Image geflasht und neu gestartet.

Den AP wollte ich danach übers WI konfigurieren.
Ich bekomm keinen Zugriff auf den AP

Über die Komandozeile bei Win10 finde ich den AP.

Ans Netz gehangen, LED grün, nochmal das Netzwerk gescannt, über die MAC identifiziert mit seiner neuen Netz-IP.

Muss ich zwingend um den AP zu konfigurieren über die serielle Konsolenschnittstelle gehen?
Oder gibts ne andre Möglichkeit das WI zu aktivieren?


Grüße
Sven
Mitglied: aqui
aqui 15.03.2021, aktualisiert am 28.03.2021 um 13:16:53 Uhr
Goto Top
Hi Sven,
Ich bekomm keinen Zugriff auf den AP
Nach den Flashen des neuen Standalone Images und dem anschliessenden Reboot des APs ist das Interface per Default immer im DHCP Client Mode. Sprich es bezieht also immer automatisch eine IP Adresse von einem lokalen DHCP Server der im Netz sein sollte. Ist kein DHCP Server da bekommt der AP dann keine IP und der Zugang ist dann natürlich nur über das serielle Terminal möglich. Klar, denn ohne IP Adresse kein WebGUI, Telnet oder SSH Zugang mit PuTTY.

Du musst also, wie du es ja auch richtig gemacht hast, immer im DHCP Server nachsehen welche IP Adresse dieser an den AP vergeben hat. Das ist dann auch die Ziel IP die man im Browser eingeben muss.
Wenn du ein Terminal dran hast kannst du die aktuelle IP des APs immer mit dem Kommando show ip int brief sehen.
Muss ich zwingend um den AP zu konfigurieren über die serielle Konsolenschnittstelle gehen?
Nein, natürlich nicht. Wenn du die AP IP Adresse kennst gehts per Default auch immer mit dem Browser oder per Telnet oder SSH Zugang mit PuTTY. Das Default Password ist "Cisco" (mit großem "C" !).
Mitglied: SvenPausN
SvenPausN 15.03.2021 um 15:19:02 Uhr
Goto Top
Dann hab ich was mit dem Flashen falsch gemacht.
Über die IP im Browser komm ich nich auf den AP.

Ich flash dann morgen früh nochmals und schau mal ob das gleiche Fehlerbild vorhanden ist.

Das Image für den Standalone hab ich mir unter deinem Link gezogen. Sollte so ja passen.

Grüße
Sven
Mitglied: aqui
aqui 15.03.2021 aktualisiert um 15:35:43 Uhr
Goto Top
Über die IP im Browser komm ich nich auf den AP.
Ist der AP denn überhaupt generell über diese IP pingbar ?
Hast du http:// genommen ?? Das WebGUI kann im Default nur HTTP und nicht HTTPS !
Mitglied: SvenPausN
SvenPausN 15.03.2021 um 18:50:26 Uhr
Goto Top
So,
AP hab ich soweit fix.
Inkl. 2.4 und 5.0 GHz SSID funktioniert fast alles.
Das fast ist für die Funktionalität aber ausschlaggebend.

Ich logge mich mit meinen Endgeräten in die WLAN´s des AP ein und bekomme keinen Internetzugriff mehr.
Ich geh stark davon aus, dass es nur ein verdammtes kleines Häkchen ist welches ich setzen muss.
Die Frage ist nur wo und welches.
Mitglied: aqui
aqui 15.03.2021 aktualisiert um 19:32:33 Uhr
Goto Top
Da die APs ja wie alle APs rein nur als simple Bridges arbeiten kann es also nur am LAN selber liegen an dem diese APs klemmen. Aus diesem LAN kommen ja per DHCP die IP Adresse, Gateway und DNS für die WLAN Clients die der AP nur 1 zu 1 auf die Funkschnittstelle durchreicht.
Vermutlich rennt also da im LAN schon was schief und nicht auf den APs.

Ein simples ipconfig (Windows) oder ein Screenshot der Client IP Settings hätten uns alle hier gleich weitergebracht anstatt erst nachzufragen. :-( face-sad
Dann die üblichen Ping Checks:
  • Ping auf die Router IP
  • Ping auf einen nackte IP im Internet wie z.B. 8.8.8.8 (um DNS Fehlern aus dem Wege zu gehen)
  • Ping auf eine Hostadresse wie www.heise.de um auch den DNS zu checken.
Zu all dem leider keinerlei Info von dir.... :-( face-sad
Auch hättest du mal mit dem Klassiker PuTTY eine simple Telnet oder SSH Session auf die IP des APs aufgemacht und über sein CLI mit show run einmal die Konfig abgezogen.
Auch damit hätten wir alle eine Möglichkeit gehabt dir zielführend zu helfen bzw. du hättest es mit der o.a. Konfig auch selber vergleichen können. Ohne all diese Infos können auch wir leider nur in die Kristallkugel sehen und rumraten...
Mitglied: SvenPausN
SvenPausN 15.03.2021 um 20:14:35 Uhr
Goto Top
Gemach gemach, morgen gibts mehr Infos.
Hab ja nur kurz drüber geschaut und wollt n Status durchgeben;)

Ich nehm mir morgen die Zeit und durchstöber mal alles...
Nachdem ich mal vom Router an bis zum AP alles kontrolliert hab.
Wenn’s irgendwo geblockt wird sollt ich’s finden👍🏼
Wenn nicht kommt meine Frage hier definitiv wieder😂
Euch n schönen Abend 🍷
Grüße
Sven
Mitglied: aqui
aqui 15.03.2021, aktualisiert am 16.03.2021 um 10:19:36 Uhr
Goto Top
Gemach gemach, morgen gibts mehr Infos.
Aaaahhhsooo ! Dann harren wir mal der Dinge....😉
Ggf. neuen Thread aufmachen um das Tutorial hier nicht unnötig aufzublähen...
https://administrator.de/content/detail.php?id=663236&token=495
Mitglied: lcer00
lcer00 15.03.2021 aktualisiert um 21:06:23 Uhr
Goto Top
Hallo,

ein Hinweis dazu doch noch:

Wenn man den AP über die GUI auf eine statische IP einstellt, wird das Default Gateway nicht gesetzt. Daher ist der AP dann nur noch im Subnetz seiner IP erreichbar. Um das zu beheben, muss man das Gateway über die Konsole (seriell/ssh) setzen.

Grüße

lcer
Mitglied: Kuemmel
Kuemmel 18.06.2021 um 18:43:17 Uhr
Goto Top
@aqui
Das von dir verlinkte Netzteil funktioniert leider nicht. Das ist ein Netzteil mit Hohlstecker Ø 5,5 mm / 2,1 mm, man benötigt allerdings ein Netzteil in Ø 5,5 mm / 2,5 mm-Dimension.

Gruß
Kümmel
Mitglied: aqui
aqui 18.06.2021 aktualisiert um 19:39:09 Uhr
Goto Top
Danke dir für den wichtigen Hinweis !!! 👍
Ich korrigiere das !
Das wäre ein Passendes mit Ø 2,5mm für das Loch:
https://www.reichelt.de/tischnetzteil-90-w-48-v-1-87-a-mw-gst90a48-p1710 ...
Da ist es aber IMMER preiswerter einen PoE Injector zu nehmen sofern man keinen PoE Switch hat. Diese Injektoren sind erheblich preiswerter und auch universaler als ein dediziertes Netzteil.
https://www.reichelt.de/power-over-ethernet-poe-high-power-injektor-tpli ...
Mitglied: Kuemmel
Kuemmel 24.06.2021 um 22:35:19 Uhr
Goto Top
@aqui
2 doofe Fragen, aber ich will die Config per SSH einspielen....
  • Wo in deiner Vorlage gibst du eigentlich den WLAN-Channel mit? Den sollte man ja fest zuweisen oder nicht????
  • Wofür sind die ganzen secrets? Fürs Login klar, aber wofür brauch man die anderen? Ich brauche doch nur einen für den Zugang und einen WPA Key?

Der Rest ist einleuchtend.

Kleiner Tipp noch am Rande:
Am besten die Info mit der fehlerhaften Firmware (404-Error im WebInterface) oben in die Beschreibung dazu packen, hab mich schon gewundert warum ich meine neue Firmware nicht zum fliegen bekomme! ;-) face-wink
Mitglied: aqui
aqui 25.06.2021 aktualisiert um 10:51:34 Uhr
Goto Top
Doofe Fragen gibts doch nicht, nur doofe Antworten ! 😉

Du hast recht, eine feste Kanalzuweisung fehlt oben, was aber gewollt ist. Der AP arbeitet dann im Auto Mode.
Sprich er scannt alle Kanäle, analysiert dort die Belegung und nimmt dann immer den am wenigsten belegten Kanal. Siehe dazu auch:
https://www.cisco.com/c/en/us/td/docs/wireless/access_point/15-3-3/confi ...
Damit ist immer sichergestellt das der AP in den am geringsten gestörten Kanälen arbeitet.
Wenn du also einen Kanal statisch setzen willst fügst du im Radio Interface noch folgendes Kommando dazu:
channel {frequency | least-congested | width [20 | 40-above | 40-below] | dfs}
Für 2,4 Ghz reicht die Kurzform channel <Frequenz> denn die Bandbreiten Einstellungen sind nur bei 5 Ghz supportet. Welche Channel Werte gelten kannst du, wie Cisco CLI üblich, mit channel ? abfragen.
Wofür sind die ganzen secrets?
Oben ist eine etwas wasserdichtere Zugangssteuerung geschildert die nicht die einfach_zu_knackenden Hash Passwörter benutzt und eine User basierte Zugangssteuerung aktiviert. Bei WLAN sollte man da immer besser auf Nummer sicher gehen.
  • enable algorithm-type scrypt secret <password> Ist das Enable Passwort um in den Privilegde Mode (Konfig Mode zu kommen.
  • Ohne aaa authentication login default local gibst du nur das Enable Passwort ein um in den Privileged Mode zu kommen. Es lässt dann aber jeden unauthorisiert auf den AP.
  • Mit dem o.a. Kommando passiert das nicht und jeder muss sich vorab mit Username und Passwort legitimieren: username admin privilege 15 algorithm-type scrypt secret <password> und dann um in den privileged Mode zu kommen (Konfig) nochmal das Enable Secret eingeben. Mit "banner" könntest du auch noch einen Login Banner senden. Sicher ist sicher... ;-) face-wink
  • wpa-psk ascii test1234567 sind pro SSID die WLAN Passwörter. Wenn du mit MSSIDs arbeitest benötigst du ja auch mehrere WPA Keys.

Hoffe das bringt etwas Licht ins Dunkel der Secrets für dich und die Tips setze ich natürlich um ?!
Mitglied: Drohnald
Drohnald 16.07.2021 um 17:53:28 Uhr
Goto Top
Hallo zusammen,
hat zwar ewig gedauert über tftp aber dann alles schön. Dachte ich.
Zwei Tipps noch:

1. Das Flashen ist fertig, wenn der AP dauerhaft grün leuchtet (warte trotzdem noch eine Weile :) face-smile )
2. Pingbar war das aber weder über ssh noch http zu erreichen. Lustigerweise aber über telnet! Also macht man folgendes:
mit putty und telnet auf die Möhre und mit Username/PW jeweils "Cisco" (C groß, keine " ") anmelden
->
(PW ist wieder "Cisco" mit C groß und ohne "")
->
in den Konfigurationsmodus

Nun muss das enable PW erst geändert werden sonst weigert sich Herr AP den http Server zu aktivieren.

Also ein

in die Konsole prügeln gefolgt von einem


und schon ist das Ding auch über
erreichbar :) face-smile

@aqui vielen Dank für deine tollen Wissensbeiträge!
Mitglied: aqui
aqui 16.07.2021 aktualisiert um 18:42:46 Uhr
Goto Top
Vielen Dank für dein Feedback ! 🙂
2. Pingbar war das aber weder über ssh noch http zu erreichen.
Das ist auch klar und hat 2 einfache Gründe.
  • Die Konfig ist ja absolut leer. Damit SSH klappt musst zuerst im Setup mit crypto key rsa ein Schlüssel erzeugt werden. Das klappt nur wenn man VORHER den DNS Domain Namen gesetzt hat mit z.B. ip domain name drohnald.home.arpa
  • Der Webzugriff ist ebenso, da völlig leere Konfig im Default, deaktiviert. Mit ip http server aktiviert man ihn im Setup. Mit ip https server statt ohne "s" wäre er sogar noch gesichert !
Und....danke für die 💐 !
Mitglied: Drohnald
Drohnald 16.07.2021 um 21:29:28 Uhr
Goto Top
Im Nachhinein völlig logisch, ich hatte nur die Anleitung so interpretiert, als wäre das per default alles frei:
"Er lädt dieses Image dann automatisch, flasht es in seinen internen Speicher und rebootet danach automatisch in den Standalone Modus.
Im neu gebooteten Standalone Mode sucht der 1142er AP sich dann, wie bei allen APs üblich, per DHCP eine Management IP Adresse im angeschlossenen Netzwerk. Er kann dann über diese Management IP Adresse einfach via Browser WebGUI oder auch via Telnet oder SSH Zugang konfiguriert werden."
Vll. kannst du das anpassen, für die nicht(mehr)-Cisco affinen Kollegen (so wie ich...)
Mitglied: aqui
aqui 17.07.2021 um 09:34:30 Uhr
Goto Top
Erledigt ! ;-) face-wink
Mitglied: schlis
schlis 18.08.2021 um 18:27:22 Uhr
Goto Top
Hallo,
funktioniert die Anleitung auch mit einem AIR-CAP2702I-E-K9 und kann ich die oben verlinkte Firmware für den AP nutzen?

Gruß
schlis
Mitglied: aqui
aqui 18.08.2021 aktualisiert um 19:36:18 Uhr
Goto Top
Ja, das Firmware Image ist identisch für die 2700i Modelle. Alle 1700/2700/2600/3600/3700 APs haben alle das gleiche Firmware Image was mit dem Dateinamen "ap3g2-xxx" beginnt.
https://www.cisco.com/c/en/us/td/docs/wireless/access_point/ios/release/ ...
(Siehe Tabelle 1.)
sup
Und die Flash Prozedur ist ebenfalls identisch !
Danke für den Hinweis, habs auch mal so ins Tutorial aufgenommen.
Heiß diskutierte Beiträge
question
Adminpasswort löschenaleks08Vor 1 TagFrageWindows 79 Kommentare

Bei einem Kollegen hat jemand den Rechner eingerichtet und dabei ein Adminpasswort vergeben. Das Adminpasswort kennt er aber nicht und der Einrichter ist nicht mehr ...

question
Medienwandler für Glasfaser gelöst Reamer76Vor 1 TagFrageHardware9 Kommentare

Guten Tag liebe Admins, ich bräuchte mal Eure Hilfe für die Anschaffung eines Medienwandlers. Wir werden nächsten Monat freigeschaltet, Anbieter ist Wemacom. Ich habe die ...

question
Ethernet-LAN und DSL über Telefonkabel gelöst 150103Vor 1 TagFrageNetzwerke10 Kommentare

Hallo Administrator-Forum, ich habe hier ein ungewöhnliches Szenario, dass ich euch gerne näher bringen würde. Auf einem Grundstück gibt 2 Häuser (H1 und H2). Im ...

question
AD Server von 2012 R2 auf Server 2019 R2 hochgesetzt. Domänenlevel noch 2012 Aber nun geht kein LDAPS . LDAP geht gelöst itititVor 21 StundenFrageWindows Server13 Kommentare

Hallo zusammen, wir haben die Server 2012 R2 mit Server 2019 R2 ersetzt. Neue Server kein Inplace. Die neuen DCs haben IP und Name gleich ...

question
"Nicht identifiziertes Netzwerk" bei VPN VerbindungKatachi29Vor 1 TagFrageDSL, VDSL5 Kommentare

Hallo zusammen, ich habe seit einiger Zeit das Problem, dass, wenn ich mich daheim bei meinem Sophos SSL VPN Client anmelde, immer die Meldung: "Nicht ...

question
Euro Zeichen geht nicht mehrGwaihirVor 18 StundenFrageWindows 1013 Kommentare

Hallo zusammen, bei einem User geht das Euro-Zeichen nicht mehr. Er kann es nur noch über Copy&Paste aus der Zeichentabelle einfügen. Auch STRG+ALT+E klappt nicht. ...

question
Dauernd gesperrter User in der ADChristianIT2021Vor 1 TagFrageWindows Server3 Kommentare

Hallo zusammen, Ich habe ein riesen Problem ich habe einen User der wird immer wieder gesperrt. Über die Eventlgs habe ich schon herausgefunden aus welcher ...

question
Bitlockerpartition versehentlich gelöscht Läppi findet nach Partitiosformatierung mbr gpt die Partition nicht wiederPCChaosVor 17 StundenFrageWindows 1010 Kommentare

Hallo zusammen, Ich habe ein riesen Problem, das mir sonst einfach erschien. Ich hatte eine Bitlocker Partition D: auf meinem C: Laufwerk installiert. Weil Windows ...