03.02.2021, aktualisiert am 25.04.2025

87159

122

Cisco WLAN Access Points 3800, 3702, 2702 für den Heimgebrauch umrüsten

Inhaltsverzeichnis

TFTP Server installieren und starten

Cisco AP Netzwerk Verbindung aller Modelle

Basis Setup für Cisco AP

Mobility Express APs (Modellreihe x800)

Praxis Konfigurations Beispiele für Cisco APs

Weiterführende Links

Vorbemerkungen

Bei vielen kommerziellen Anwendern werden WLANs erneuert und Access Points auf neuere und aktuelle Standards umgerüstet. Gerade mit der Freigabe des dritten 6Ghz WLAN Bandes wird sich dieser Trend noch verstärken. Die Folge ist, das bei Wiederverkäufern und Verkaufsplattformen wie z.B. eBay und Co. solche professionellen Premium Access Points vermehrt zu sehr günstigen Preisen auftauchen.
Die o.a. APs sind für den damaligen Stand der Technik Premium APs, was man ihnen schon anhand der Verarbeitung mit einem massiven Metallgehäuse äußerlich ansieht. Mit Antennen auf Keramiksubstrat, die ohne große Leistungsverluste senden, ließe sich die Liste an Pluspunkten beliebig erweitern. Kein Vergleich zu Billiganbietern in meist dünnen und wackeligen Plastikgehäusen mit verlustreichen und schlecht abstrahlenden Antennen auf billigen Epoxyd Platinen.
Die Technik ist mit 802.11n bzw. ac (max. 600 Mbit/s bei WiFi 4) zwar nicht mehr die Allerneueste, aber für einen Dual Radio AP der gleichzeitig das 2,4 GHz und das 5 GHz WLAN Band mit MSSID/VLAN Funktion, schnellem 802.11r Roaming, Band Steering sowie MIMO 2x3 supportet macht der Cisco auch in heutigen WLAN Netzen eine gute Figur. WebGUI zur Konfig, Gastnetz Segmentierung und sogar ein Radius Server sind ebenfalls an Bord. Genug Features also, sie in Heimnetzen, kleinen WLAN Umgebungen mit wenig Budget und moderaten Anforderungen wie Z.B. Schulen und Hotels, Cafes usw. mit dem Ziel einer sehr guten Ausleuchtung einzusetzen.

Wer kann, sollte bevorzugt zum 2702 oder besser gleich 3702 (oder höher) greifen wegen der besseren 5 Ghz Performance. Mit den 3800er "Mobility EXPRESS" Modellen erhält man obendrein einen onboard Controller zur zentralen Verwaltung.
Die folgende Anleitung gilt generell auch für die Cisco AP Modelle 1140/1240/1530*/1700/2600/2700/3500*/3600/3700, denn alle nutzen das gleiche Firmware Image mit dem Dateinamen "ap3g2-xxx" !
(* = 1530 und 3502 Modelle nutzen "ap3g1-xxx" als Imagenamen, 1x00 Modelle modellspezifische Images. Die hier beschriebene Prozedur klappt auch bei diesen Modellen)

Den Betrieb der Cisco "Mobility Express" Accesspoint Modelle (Modellnummer x800), also solche die einen zentralen WLAN Controller im AP gleich selber mitbringen, beschreibt ein separates Kapitel des Tutorials und ist auch Inhalt eines hiesigen Threads.

Warum umrüsten?

Die Cisco Accesspoints sind primär für den Betrieb mit einem zentralen WLAN Controller (z.B. Cisco AIR-CT2504-5-K9 usw.) ausgelegt und kommen deshalb mit einem sehr abgespeckten Firmwareimage daher, dem sog. Lightweight Image. Man bezeichnet diesen Modus entsprechend dann auch als Lightweight Mode.
Für die Nutzung in kleinen WLANs oder Heimnetzen ist dieser Mode nicht geeignet, da man die APs allein und ohne den externen Controller nicht konfigurieren und betreiben kann.
Cisco bietet für diese Access Points aber parallel immer auch ein Firmware Image mit dem ein sog. Autonomous Mode (Standalone Betrieb) möglich ist und was so den Controller Zwang beseitigt.
Damit lassen sich die Accesspoints dann wie ein klassischer WLAN Access Point einfach über ein grafisches Webinterface ala FritzBox konfigurieren. Gleichzeitig bietet er auch das gewohnte CLI Konfig Interface.
Dieses Tutorial beschreibt die schnelle und unkomplizierte Firmware Umrüstung dieser Access Points in den Standalone Betrieb. Los gehts...

So wird's gemacht

Man benötigt einen Rechner mit TFTP Server, das Standalone Firmware Image und bei Bedarf einen preiswerten Seriellen Terminal Adapter (9600 Baud N81) um am Konsolen Port des Access Points ggf. mitzuverfolgen was der AP so treibt.

Als TFTP Server kommt hier der bekannte TFTP64 zum Einsatz. Es gehen aber auch Alternativen wie z.B. Pumpkin oder für die Apple MacOS Fraktion TFTP_Server. Linux hat einen TFTP Server wie z.B. tftpd-hpa von sich aus an Bord.

Die seriellen Adapter oder fertige RJ-45 Adapterkabel gibt es zuhauf bei den üblichen Versendern wie z.B. HIER.
Sie sind auch allgemein Standard für alle Netzwerkkomponenten verschiedener Hersteller die über eine serielle Schnittstelle gemanagt werden können. Eine Anschaffung lohnt also immer.
Als Terminal Programm nutzt man für Windows einen der Klassiker PuTTY oder auch TeraTerm. MacOS z.B. ZOC und für Linux minicom.
Die seriellen Schnittstellen Parameter lauten:

9600 Baud
8 Bits, keine Parity, 1 Stopbit (8N1)
Keine Hardware oder Software Flow Control

Nach dem Booten in den Setup Modus erhält der AP automatisch eine Default IP Adresse von 10.0.0.1 /8 und sucht dann automatisch auf einem TFTP Server im Netz an das er angeschlossen ist nach einem Firmware Image mit dem Namen ap3g2-k9w7-tar.default (2000er und 3000er Modelle) bzw. c1140-k9w7-tar.default (1142N Modell) usw.
Er lädt dieses Image dann automatisch, flasht es in seinen internen Speicher und rebootet danach automatisch in den Standalone / Autonomous Modus.
Nach dem Reboot sucht der Cisco AP sich dann, wie bei allen APs üblich, per DHCP eine Management IP Adresse im angeschlossenen Netzwerk. Er kann dann über diese Management IP Adresse via Browser WebGUI oder auch via Telnet oder SSH Zugang (PuTTY) konfiguriert werden.

👉🏽⚠️ Der SSH und Web Zugang funktionieren nach dem Reboot noch nicht, da die Konfig leer ist !! Es klappt nur mit Telnet z.B. mit PuTTY oder natürlich über die serielle Konsole, sofern angeschlossen.
Damit loggt man sich per Telnet (TCP 23) im Cisco ein, geht mit conf t in den Konfig Mode und gibt dort ein ip http server. Danach ist das Web GUI erreichbar. (Siehe auch den Hinweis von @Drohnald in den Thread Kommentaren !)

Statische IP setzen

Am Rechner mit dem TFTP Server setzt man eine statische IP Adresse die im gleichen Netzwerk liegen muss wie die Default IP des APs. Hier die 10.0.0.2 am Beispiel von Windows:

TFTP Server installieren und starten

Wichtig ist das man das TFTP Server Dateiverzeichnis "Current Directory" auf das Verzeichnis setzt welches die Firmware Datei mit der Endung .default wie z.B. c1140-k9w7-tar.default enthält.
Wer mit der Suchmaschine seiner Wahl nach dem original Firmware Namen sucht bzw. den Download Hinweis in den weiterführenden Links beachtet wird schnell fündig (z.B. auch hier) und muss diese Datei dann einfach auf den Default Namen:

c1140-k9w7-tar.default für den Cisco LAP1142N
ap3g2-k9w7-tar.default für die Cisco CAP2600, 2700, 3600 und 3700 Modelle umbenennen.
(CAP3502 Modelle als auch 1530er Modelle nutzen "ap3g1-xxx" Firmware, die man HIER mit einem Gastaccount kostenlos downloaden kann. (Datei Checksumme ist identisch!))

Ein Check ob der Firmware Dateiname eine "7" enthält wie "..k9w7" zeigt immer das man das Standalone Image hat. Das Controller Image hätte hier eine "8" im Namen.

Windows User sollten zudem zwingend sicherstellen das in der lokalen Windows Firewall der TFTP Zugang auf den Rechner freigeschaltet ist.
Fehlt diese Erlaubnis in der lokalen Windows Firewall, dann schlägt das Booten der Firmware fehl, weil der TFTP Server nicht gefunden wird (Timeout). Unter Windows ein typischer Fehler für ein Scheitern des Updates ! Die Threaddialoge unten liefern weitere Infos dazu.

(Einige wenige 2602 Images (und nur 2602) zeigen im GUI einen "404 Error" wenn man die Konfig sichern will. Der Fehler tritt rein nur im GUI und NICHT im CLI auf! Über das CLI lassen sich die APs immer fehlerlos konfigurieren. (.JAB Suffixe im Firmware Namen sind i.d.R. ohne GUI Fehler.))

Cisco AP Netzwerk Verbindung aller Modelle

Primär arbeiten Premium Access Points immer mit aktivem PoE (Stromversorgung über das Netzwerkkabel) nach 802.3af oder 802.3at Standard, so auch die Cisco APs. Sie besitzen aber ebenso einen separaten Netzteil Anschluss mit einem einfachen Standard Hohlstecker für den Betrieb ohne PoE. (+ auf dem Mittelpin).
Wer den AP ohne Netzteil erworben hat und auch kein PoE Switch sein eigen nennt, nimmt einen einfachen .af/.at konformen PoE_Injector oder ein simples Standard 48 Volt (Stecker) Netzteil wie z.B. HIER erhältlich. Jedes 48 Volt Netzteil mit Hohlstecker und + auf dem Mittelpin ist geeignet.
Achtung, der Hohlstecker muss die Abmessungen Ø 5,5 mm / 2,5 mm haben (Lochgröße f. Mittelpin 2,5mm Ø) ansonsten passt der Hohlstecker nicht.
Die Stromversorgung ist identisch wie sie auch im hiesigen Cisco_Telefon_Tutorial beschrieben ist.

Vorgehensweise zum Booten in den Flash Mode:
Zum automatischen Booten des Firmware Images hält man am AP den Mode Knopf gedrückt BEVOR man das Netzteil oder den PoE Switch bzw. PoE Injector anschliesst ! Erst dann mit dem PoE Switch verbinden oder Netzteil stecken.
Den Mode Knopf hält man weiter solange gedrückt bis die Status LED an der Front des APs die Farbe von blau blinkend auf rot wechselt und lässt ihn dann los. Das dauert ca. 20 Sekunden.

Der AP kontaktiert dann automatisch den TFTP Server im angeschlossenen Netzwerk und installiert das Image. Der gesamte Flashing Prozess dauert ca. 3-4 Minuten und darf keinesfalls unterbrochen werden.
Man kann dies parallel am fortschreitenden Ladebalken des TFTP Servers genau beobachten oder am seriellen Terminal Port über die dortigen Status Meldungen sofern dieser serielle Port angeschlossen ist.

Bzw. serieller Konsol Port Output (hier etwas gekürzt wiedergegeben):
...
IOS Bootloader - Starting system.
Xmodem file system is available.
DDR values used from system serial eeprom.
Reading cookie from system serial eeprom...Done
Base Ethernet MAC address: f8:66:f2:44:7a:e2
Ethernet speed is 1000 Mb - FULL duplex
button is pressed, wait for button to be released...
button pressed for 27 seconds
process_config_recovery: set IP address and config to default 10.0.0.1
process_config_recovery: image recovery
image_recovery: Download default IOS tar image tftp:/ /255.255.255.255/c1140-k9w7-tar.default
examining image...
extracting info (283 bytes)
Image info: ...

Es ist möglich das in einigen Fällen der Ladebalken am TFTP keinen Fortschritt mehr anzeigt oder die serielle Konsole nach dem Bootprozess folgendes ausgibt:
Not enough free space to download image first w/o extracting
deleting existing version(s)...
Deleting current version: flash:/ap3g2-k9w8-mx.153-x.JXy...done.
Das bedeutet lediglich das mit dem aktuell geflashten Image der Platz im Flash Speicher zum Extrahieren der neuen Firmware zu klein ist und das das System dann automatisch das bestehende Altimage gelöscht hat.
Eine Wiederholung des Boot Prozesses installiert dann im 2ten Anlauf fehlerfrei das gewünschte Image.

Bei gebrauchten APs kann möglicherweise eine Backup Konfig Datei namens config.txt.bak im Flash vorhanden sein. Der Cisco AP legt dieses Backup nach einem write mem aus Sicherheitsgründen automatisch an um User vor einem Konfig GAU zu bewahren. Diese Backup Datei wird bei einem AP Reset und auch bei einem Löschen der Konfig mit dem write erase oder erase startup Kommando aus Sicherheitsgründen nicht gelöscht!
Ist keine aktuelle Konfig (config.txt) im Flash vorhanden wie z.B. nach einem Reset aber noch die o.a. Backup Konfigdatei, dann lädt der AP immer wieder dieses "Not" Backup.
Ein show flash: zeigt den Inhalt des nichtflüchtigen Flash Speichers und ob dort ggf. noch eine Backup Konfig Datei namens config.txt.bak vorhanden ist. (File Extension .bak!)
Ein del flash:config.txt.bak und ein Reboot löscht das Backup und danach erhält man einen "jungfräulichen" AP! 😉

ap#sh flash:
Directory of flash:/

-rwx        3249  Nov 20 2023 17:38:10 +01:00  config.txt
-rwx        7273   Apr 3 2023 10:20:22 +02:00  event.log
drwx        2496   Jan 1 2023 01:16:58 +01:00  ap3g2-k9w7-mx.153-3.JPO
-rwx         196   Apr 3 2023 10:20:30 +02:00  env_vars
-rwx        3249  Nov 20 2023 17:38:10 +01:00  config.txt.bak  <<==LÖSCHEN!!<<== 

Basis Setup für Cisco AP

Ist der AP fertig geflasht und gebootet kann man via Netzwerk per Telnet (z.B. PuTTY) oder Browser (secure HTTPS und SSH nur mit entspr. Konfig !) auf den AP zur weiteren Konfiguration zugreifen.
Das Setup des APs ist dann schnell gemacht:

User "Cisco", Default Passwort: "Cisco" (C groß !)
SSID festlegen und eintragen und bei Bedarf auf VLAN ID mappen
WPA-2 Passwort festlegen
Wichtig: Den Universal Admin Mode deaktivieren

Informationen zur Cisco AP Konfiguration von MSSIDs, also mehreren WLAN Netzen die VLAN IDs zugewiesen werden, im VLAN_Tutorial.
Das Tutorial hat diverse Praxis Setups zu MSSID Designs.
(Falls das Abspeichern der Settings im GUI mit einem "404 Error" quittiert wird, ist das ein bekanntes Verhalten einiger Firmware Images. Generell sind Images mit dem JAB Suffix nicht betroffen. Eine Konfig und die Sicherung über das CLI funktioniert aber immer fehlerlos. (Siehe Kommentar in der Thread Diskussion unten))

Mobility Express APs (Modellreihe x800)

AP Modelle mit einer "8" im Modellnamen sind sog. "Mobility Express" APs. Diese AP Modelle sind zentral über einen sog. Master AP via Web GUI managebar der im WLAN die zentrale Controller Funktion übernimmt.
Das Flashen eines Mobility Express Images verläuft auf diesen Modellen anders als bei den o.a. "7"er Modellen. Um von einem Capwap Image auf ein Mobility Express Image zu wechseln benötigt man ein modellspezifisches ME Image und einen entsprechenden TFTP Server im Netz der dieses Image zur Verfügung stellen kann. Das Setup ist identisch zu dem von oben und kann in einem bestehenden Netz erfolgen.

Im seriellen Terminal oder Telnet bzw. SSH Zugang via Netzwerk auf den AP (hier 3800 als Beispiel mit dem ME Image AIR-AP3800-K9-ME-8-10-196-0.tar) loggt man sich mit den Default Credentials User: Cisco Passwort: Cisco ein und geht mit dem Kommando enable in den Privilegded Mode (Admin Mode) und lädt das ME Image via TFTP Server auf den AP mit dem folgenden Kommando:

ap-type mobility-express tftp://<tftp_server_ip>/AIR-AP3800-K9-ME-8-10-196-0.tar

Daraufhin rebootet der 3800er AP mit einer leeren Konfiguration und startet automatisch den Setup Wizzard mit einer menügeführten Abfrage für die AP Grundkonfiguration. Die Front LED blinkt dann rot und grün im Wechsel und signalisiert damit eine leere Grundkonfiguration des Master APs.

Man durchläuft die Abfrage der Daten im Wizzard die man alle mit den Default Vorgaben einfach erst einmal abnickt mit einer Ausnahme!
⚠️ Bei der Abfrage der Controller IP gibt man entweder eine feste IP Adresse aus dem verwendeten Management Netz an oder lässt diese über DHCP zuteilen. Diese sollte, wenn fest, immer außerhalb einer dortigen DHCP Range (Pool) liegen!
Bei einer Management IP Zuweisung via DHCP sollte diese Management Adresse idealerweise über eine Mac Reservierung auf einen festen Wert gesetzt sein so das man den Master AP immer mit einer festen IP erreichen kann.
Der Master AP besitzt damit zwei (!) operative IP Adressen was auf den ersten Blick etwas kurios klingt auf den zweiten aber durchaus Sinn macht.
Der Master AP, also der mit Controller Rolle, verwendet außer seiner DHCP Geräte Adresse die er immer automatisch zieht zusätzlich immer eine separate, zentrale Management IP im gleichen Netz über die sein Web GUI ansprechbar ist. Das Management Web GUI ist nicht über die eigentliche DHCP Geräteadresse des APs ansprechbar. Dies gilt es zu beachten!
👉🏽 Der Vorteil liegt auf der Hand! Egal welche Geräte IP dynamisch per DHCP bezogen wird ist der Master AP immer mit dieser festen Management IP erreichbar ist. Wie oben schon gesagt bekommt man Zugriff zum Web GUI Setup ausschliesslich nur über diese Management IP und nicht über die Geräte IP! Eine korrekte Einrichtung stellt also den Konfigurationszugang sicher!

Im weiteren Verlauf des Setup Wizzards wird eine WLAN SSID mit Passwort usw. abgefragt. Ob man hier zunächst ein Fake WLAN angibt oder sein wirkliches WLAN ist kosmetisch. Es kann alles später im Web GUI gelöscht oder angepasst werden.
Wer schon einen konfigurierten AP hat kann eine ggf. bestehende ME Grundkonfiguration über das Terminal mit dem Kommando
(Cisco Controller) >clear config
löschen was ebenso einen Reboot mit dem Start des Setup Wizzards für die Abfrage der Grundkonfig auslöst.

Nach dem Sichern der Konfigdaten des Wizzards rebootet der AP erneut mit der neu erstellten Konfig.
👉🏽 Die zuvor rot - grün blinkende Front LED leuchtet jetzt konstant grün wie es jeder aktive Cisco AP macht und in der WLAN Übersicht der Endgeräte "sieht" man auch das in der Grundkonfig mitgegebene WLAN Netz nun "on Air" ist. Loggt sich ein Client ein wechselt die LED Farbe des APs zu blau und zeigt damit an das sich aktive Clients auf diesem AP befinden. Das ist analog zu den obigen "7"er Modellen.

⚠️ Rebootet man den Master AP oder startet er neu (Power) durchläuft dieser wie jeder ME AP eine Check Sequenz indem er ca. 1 Minute lang prüft ob sich noch weitere ME APs im Netz befinden oder ob er allein ist. Diese Prüfperiode dauert ca. 1 Minute wo die Front LED wieder grün/rot im Wechsel blinkt.
Hier gilt es also Geduld zu haben und mindestens 1 Minute zu warten. Danach sollte mit valider Grundkonfiguration die Front LED in ein dauerhaftes grün wechseln und nicht mehr blinken.
Je nachdem ob der AP einen Master findet oder nicht ist er Member AP des Mobility Express Verbundes oder er wird selber zum Master sofern er allein im Netz ist.
Spricht man mit dem Browser (HTTPS ist Default) die oben konfigurierte Management IP an landet man auf dem Web GUI des Master APs:

Alle weiteren APs im Netz melden sich beim Booten automatisch bei diesem Master AP an und beziehen von dort ebenfalls automatisch die zentralisierte WLAN Konfig. Sie können sogar automatisch mit dem Master Firmware Image vorab betankt werden wenn dieser einen TFTP Server konfiguriert hat auf dem das Image hinterlegt ist. Ein gleiches Firmware Release ist erforderlich.
Alle weiteren WLAN Konfigs erledigt man dann zentral über das Web GUI des Master APs welches dann wie in einem Controller basierten Umfeld automatisch auf alle APs distribuiert wird.
Ein ME Master AP kann verschiedene ME Client AP Modelle managen sofern sie eine identische Image Version verwenden.
Die ME Modelle haben gegenüber den "7"er Modellen mit Standalone Image damit den Vorteil einer zentralisierten WLAN Verwaltung per Web GUI. Der Controller ist also quasi gleich mit an Bord des APs wie es bei modernen APs (z.B. auch Ruckus Unleashed) durch die Bank üblich ist.

Praxis Konfigurations Beispiele für Cisco APs

Konfigurations Beispiele für alle Cisco WLAN Accesspoint Modelle

Weiterführende Links

Die Wand- oder Decken Montageplatte findet man unter folgendem Suchbegriff Cisco 69-2160-03 Access Point Mounting Bracket. eBay und Co. führt sie aber auch teilweise mit dem AP Angeboten zusammen auf. Man kann sich aber auch mit einem kleinen Blumendraht zw. den Haltepins pfiffig selber helfen wenn man ihn ohne diese Platte aufhängen möchte.

Tutorial in 🇺🇸🇬🇧:
Cisco WLAN Access Points for Home Use: 1142N, 2702, 3702 and 3800 Comparison

Cisco Datenblatt zu den 1140er und 2602I APs:
https://www.cisco.com/c/dam/global/de_de/assets/portal-content/produkte- ...
https://www.cisco.com/c/de_de/support/wireless/aironet-2600i-access-poin ...

Cisco Configuration Guide für Autonomous APs:
https://www.cisco.com/c/en/us/td/docs/wireless/access_point/atnms-ap-8x/ ...

Cisco Mobility Express AP Modelle x8xx richtig upgraden:
https://www.youtube.com/watch?v=EtmGDmRl4lU
Gebrauchten Cisco 1852 mit Mobility Express zum laufen bekommen

Cisco 9100er Modelle in den EWP Mode konfigurieren:
Umrüstung Cisco WLAN Access Points Catalyst 9120 AX-E

Anfängerhürden bei einem MBSSID Setup (mehrere WLANs über einen AP) vermeiden:
Standalone-Einrichtung Cisco Air LAP 1142N

MSSID/VLAN Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Praxisbeispiel Gast WLAN mit Cisco AP:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

2 IP Netzwerke per WLAN Verbindung koppeln (WLAN Mesh):
2 Cisco AIR-LAP1142N-E-K9 als Bridge verbinden
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Workgroup Bridge als Wireless VLAN Trunk:
https://www.youtube.com/watch?v=2ydFcGlqycg

WLAN mit dynamischer VLAN Zuweisung:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

WLAN Radius Authentisierung via Web GUI und Beispielkonfigs:
Freeradius Management mit WebGUI

WLAN Performance mit Multicast AV Streaming prüfen:
Fehlersuche im lokalem Netzwerk (RSTP, MRP, Multicast)

Internet Links zu dem Thema:
http://exchange2013pikasuoh.blogspot.com/2015/08/convert-cisco-air-lap1 ...

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 647100

Url: https://administrator.de/tutorial/cisco-wlan-access-points-3800-3702-2702-fuer-den-heimgebrauch-umruesten-647100.html

Ausgedruckt am: 10.05.2025 um 13:05 Uhr

122 Kommentare

Neuester Kommentar

Hallo,

gibt es die Controller vieleicht auch günstig.
Dann wären die Dinger optimal einzusetzen.

Ich gehe davon aus, dass die nicht so schnell kaputt gehen.

Stefan

Ich gehe davon aus, dass die nicht so schnell kaputt gehen.

Bei dem mechanisch sehr stabilen Gehäuse und der damit verbundenen optimalen Kühlung tun sie das ganz sicher so schnell nicht... 😉

Blöde (oder doch nicht ganz so?) Frage:

Verbessere ich den WLAN Range und Durchsatz signifikant gegenüber einer ollen FB 7270? Ich hab da relativ wenig Plan.
An der FB wäre nen Port noch frei und Madame und Infant klagen über "Verbindungsprobleme"
(Frage ist "Stabilität". Dass es theoretisch schneller ist kann man an den Daten ablesen...)

Ich konnte diese "Ausfälle" bisher nicht nachvollziehen, aber nen Zehner wärs ja wert.

Aber auch für Kunden interessant. Preissensitiv sind sie alle. Sogar die Millionäre....

CU
Buc

Moin

Ich bin auch am Überlegen

DeFakto habe Ich nur Zickereien mit den WLAN Anschlüssen der Fritzen.
Wobei, Ich nicht, sondern Sohne 1, Frau, Sohn 2...

Ich hatte deswegen auch ausgelagert auf einen AP.
Und habe jetzt von 1&1 mit dem neuen Anschluss eine neue Fritze bekommen.
Und mit der 7520 ähnliche Probleme..

Deswegen bin Ich am überlegen da diese Cisco AP wirklich gut sind.
Ich hatte dieses, oder einen Vorgänger, vor 6-7 Jahren in der Firma aufgebaut.
Ausgesucht hatte unser Netzwerk Spezi

Und sie waren wirklich gut.

Stahl ohne Ende verbaut in dem Gebäude, frei stehend und Luftig sollte es Ender der 90er sein.
--> Stahl.

Die WLAN Vorgänger Versuche waren Mikrowellen Schleudern

Mit den optimierten Antennen und MIMO 2x3 sind sie technisch in jedem Falle besser ausgerüstet als die beiden FritzBox Antennen. Ein Versuch für 10 Euro wäre es ja allemal wert.

Generell ist die WLAN Reichweite damit deutlich besser als die der FB mit ihren einfachen Platinenantennen.

Hallo

@aqui Danke für den Tip.

Kurzes Feedback:

Auf Windows 10 hat die Firewall etwas rumgezickt. Zum Schluss war das Erlauben Netzwerkverkehrs für das Programm tftpd64.exe die Lösung. Nur TFPT Portbasiert hat das nicht geklappt. Vielleicht habe ich ja auch was übersehen.

Dann hat noch der Switch zugeschlagen! Wegen des POE-Stromanschlusses habe ich das über einen SG350X POE-Switch mit einem separaten VLAN für Laptop und AP geschaltet. Nachdem die Firmware geladen war, scheint das aktive Smartport-Feature den Cisco-AP als solchen erkannt zu haben und hat den Port von Access auf Trunk gesetzt. Da ich nicht VLAN 1 sondern anders VLAN genutzt hatte, passte das nicht und die Verbindung zum Webinterface (bzw. überhaupt zum Geräte per Netzwerkkabel) war nicht herzustellen. Hat ne Weile gedauert, bis ich die Ursache gefunden hatte.

Grüße

lcer

Gut zu wissen...! Das liegt vermutlich daran das bei beiden CDP als Infrastruktur Protokoll im Default aktiv ist und die sich das gegenseitig mitteilen. Auf dem Cisco AP kann man mit no cdp enable dafür sorgen das das nicht passiert.
Mit lldp run sollte man dann immer ein Standard konformes Infrastruktur Protokoll aktivieren.
Gleiches gilt für die Cisco SG Switches wenn die mehrheitlich nicht in einer Cisco Umgebung laufen. CDP=Ausschalten und LLDP=anschalten.
Danke für das Feedback. 👍

Aber muss man dafür rechnen dass , Zertifikate bei 1140 meistens abgelaufen und deswegen AP nicht mehr supported by Cisco, und kommt weitere beschränkungen wie: altere Datum auf WLC oder Scwierigkeiten mit SSL Zertifikate (

Nein, das ist nicht relevant denn die Zertifikate spielen keinerlei Rolle für den Standalone Betrieb. Einmal abgesehen davon das man sich self-signed Zertifikate jederzeit neu anlegen kann.
Wie bereits gesagt ist das für den Standalone Betrieb ohne WLC vollkommen irrelevant. Es geht hier im Tutorial nur um den Standalone Betrieb ohne Controller.

Welches Image habt ihr für den CAP2602I-E-K9 verwendet und wo habt ihr das gefunden?
Habe viele verschiedene gefunden, aber keins will bis jetzt so richtig (habe noch kein Consolenkabel)
ap3g2-k9w7-tar.153-3.JPJ4
ap3g2-k9w7-tar.153-3.JPJ3
ap3g2-k9w7-tar.153-3.JI5
ap3g2-k9w7-tar.153-3.JAB

Nimm die vom angegebenen Link oben die funktionieren (getestet) fehlerfrei.

Ok, bis heute Nacht war nur ein Fehler auf der Seite und keine Datei vorhanden. Nun habe ich sie geladen und spiele sie nachher rüber.

Vielen Dank

@ aqui

eine Verständnissfrage hab ich.

Ich hab deine Anweisungen bzgl standalone mit leichten Problemen durchgeführt.
Image geflasht und neu gestartet.

Den AP wollte ich danach übers WI konfigurieren.
Ich bekomm keinen Zugriff auf den AP

Über die Komandozeile bei Win10 finde ich den AP.

Ans Netz gehangen, LED grün, nochmal das Netzwerk gescannt, über die MAC identifiziert mit seiner neuen Netz-IP.

Muss ich zwingend um den AP zu konfigurieren über die serielle Konsolenschnittstelle gehen?
Oder gibts ne andre Möglichkeit das WI zu aktivieren?

Grüße
Sven

Hi Sven,

Ich bekomm keinen Zugriff auf den AP

Nach den Flashen des neuen Standalone Images und dem anschliessenden Reboot des APs ist das Interface per Default immer im DHCP Client Mode. Sprich es bezieht also immer automatisch eine IP Adresse von einem lokalen DHCP Server der im Netz sein sollte. Ist kein DHCP Server da bekommt der AP dann keine IP und der Zugang ist dann natürlich nur über das serielle Terminal möglich. Klar, denn ohne IP Adresse kein WebGUI, Telnet oder SSH Zugang mit PuTTY.

Du musst also, wie du es ja auch richtig gemacht hast, immer im DHCP Server nachsehen welche IP Adresse dieser an den AP vergeben hat. Das ist dann auch die Ziel IP die man im Browser eingeben muss.
Wenn du ein Terminal dran hast kannst du die aktuelle IP des APs immer mit dem Kommando show ip int brief sehen.
Ohne DHCP Server im Netz muss man dem AP natürlich eine statische IP Adresse konfigurieren!

Muss ich zwingend um den AP zu konfigurieren über die serielle Konsolenschnittstelle gehen?

Nein, natürlich nicht. Wenn du die AP IP Adresse kennst gehts per Default auch immer mit dem Browser oder per Telnet oder SSH Zugang mit PuTTY. Das Default Password ist "Cisco" (mit großem "C" !).

Dann hab ich was mit dem Flashen falsch gemacht.
Über die IP im Browser komm ich nich auf den AP.

Ich flash dann morgen früh nochmals und schau mal ob das gleiche Fehlerbild vorhanden ist.

Das Image für den Standalone hab ich mir unter deinem Link gezogen. Sollte so ja passen.

Grüße
Sven

Über die IP im Browser komm ich nich auf den AP.

Ist der AP denn überhaupt generell über diese IP pingbar ?
Hast du http:// genommen ?? Das WebGUI kann im Default nur HTTP und nicht HTTPS !

So,
AP hab ich soweit fix.
Inkl. 2.4 und 5.0 GHz SSID funktioniert fast alles.
Das fast ist für die Funktionalität aber ausschlaggebend.

Ich logge mich mit meinen Endgeräten in die WLAN´s des AP ein und bekomme keinen Internetzugriff mehr.
Ich geh stark davon aus, dass es nur ein verdammtes kleines Häkchen ist welches ich setzen muss.
Die Frage ist nur wo und welches.

Da die APs ja wie alle APs rein nur als simple Bridges arbeiten kann es also nur am LAN selber liegen an dem diese APs klemmen. Aus diesem LAN kommen ja per DHCP die IP Adresse, Gateway und DNS für die WLAN Clients die der AP nur 1 zu 1 auf die Funkschnittstelle durchreicht.
Vermutlich rennt also da im LAN schon was schief das da kein DHCP vorhanden ist und nicht auf den APs.

Ein simples ipconfig (Windows) oder ein Screenshot der Client IP Settings hätten uns alle hier gleich weitergebracht anstatt erst nachzufragen.

Dann die üblichen Ping Checks:

Ping auf die Router IP
Ping auf einen nackte IP im Internet wie z.B. 8.8.8.8 (um DNS Fehlern aus dem Wege zu gehen)
Ping auf eine Hostadresse wie www.heise.de um auch den DNS zu checken.

Zu all dem leider keinerlei Info von dir....

Auch hättest du mal mit dem Klassiker PuTTY eine simple Telnet oder SSH Session auf die IP des APs aufgemacht und über sein CLI mit show run einmal die Konfig abgezogen.
Auch damit hätten wir alle eine Möglichkeit gehabt dir zielführend zu helfen bzw. du hättest es mit der o.a. Konfig auch selber vergleichen können. Ohne all diese Infos können auch wir leider nur in die Kristallkugel sehen und rumraten...

Gemach gemach, morgen gibts mehr Infos.
Hab ja nur kurz drüber geschaut und wollt n Status durchgeben;)

Ich nehm mir morgen die Zeit und durchstöber mal alles...
Nachdem ich mal vom Router an bis zum AP alles kontrolliert hab.
Wenn’s irgendwo geblockt wird sollt ich’s finden👍🏼
Wenn nicht kommt meine Frage hier definitiv wieder😂
Euch n schönen Abend 🍷
Grüße
Sven

Gemach gemach, morgen gibts mehr Infos.

Aaaahhhsooo ! Dann harren wir mal der Dinge....😉
Ggf. neuen Thread aufmachen um das Tutorial hier nicht unnötig aufzublähen...
Standalone-Einrichtung Cisco Air LAP 1142N

Hallo,

ein Hinweis dazu doch noch:

Wenn man den AP über die GUI auf eine statische IP einstellt, wird das Default Gateway nicht gesetzt. Daher ist der AP dann nur noch im Subnetz seiner IP erreichbar. Um das zu beheben, muss man das Gateway über die Konsole (seriell/ssh) setzen.

Enable
Config t 
interface bvi1
Ip default-gateway 192.168.99.1
CTRL-z
wr 

Grüße

lcer

@aqui
Das von dir verlinkte Netzteil funktioniert leider nicht. Das ist ein Netzteil mit Hohlstecker Ø 5,5 mm / 2,1 mm, man benötigt allerdings ein Netzteil in Ø 5,5 mm / 2,5 mm-Dimension.

Gruß
Kümmel

Danke dir für den wichtigen Hinweis !!! 👍
Ich korrigiere das !
Das wäre ein Passendes mit Ø 2,5mm für das Loch:
https://www.reichelt.de/tischnetzteil-90-w-48-v-1-87-a-mw-gst90a48-p1710 ...
Da ist es aber IMMER preiswerter einen PoE Injector zu nehmen sofern man keinen PoE Switch hat. Diese Injektoren sind erheblich preiswerter und auch universaler als ein dediziertes Netzteil.
https://www.reichelt.de/power-over-ethernet-poe-high-power-injektor-tpli ...

@aqui
2 doofe Fragen, aber ich will die Config per SSH einspielen....

Wo in deiner Vorlage gibst du eigentlich den WLAN-Channel mit? Den sollte man ja fest zuweisen oder nicht????
Wofür sind die ganzen secrets? Fürs Login klar, aber wofür brauch man die anderen? Ich brauche doch nur einen für den Zugang und einen WPA Key?

Der Rest ist einleuchtend.

Kleiner Tipp noch am Rande:
Am besten die Info mit der fehlerhaften Firmware (404-Error im WebInterface) oben in die Beschreibung dazu packen, hab mich schon gewundert warum ich meine neue Firmware nicht zum fliegen bekomme!

Doofe Fragen gibts doch nicht, nur doofe Antworten ! 😉

Du hast recht, eine feste Kanalzuweisung fehlt oben, was aber gewollt ist. Der AP arbeitet dann im Auto Mode.
Sprich er scannt alle Kanäle, analysiert dort die Belegung und nimmt dann immer den am wenigsten belegten Kanal. Siehe dazu auch:
https://www.cisco.com/c/en/us/td/docs/wireless/access_point/15-3-3/confi ...
Damit ist immer sichergestellt das der AP in den am geringsten gestörten Kanälen arbeitet.
Wenn du also einen Kanal statisch setzen willst fügst du im Radio Interface noch folgendes Kommando dazu:
channel {frequency | least-congested | width [20 | 40-above | 40-below] | dfs}
Für 2,4 Ghz reicht die Kurzform channel <Frequenz> denn die Bandbreiten Einstellungen sind nur bei 5 Ghz supportet. Welche Channel Werte gelten kannst du, wie Cisco CLI üblich, mit channel ? abfragen.

Wofür sind die ganzen secrets?

Oben ist eine etwas wasserdichtere Zugangssteuerung geschildert die nicht die einfach_zu_knackenden Hash Passwörter benutzt und eine User basierte Zugangssteuerung aktiviert. Bei WLAN sollte man da immer besser auf Nummer sicher gehen.

enable algorithm-type scrypt secret <password> Ist das Enable Passwort um in den Privilegde Mode (Konfig Mode zu kommen.
Ohne aaa authentication login default local gibst du nur das Enable Passwort ein um in den Privileged Mode zu kommen. Es lässt dann aber jeden unauthorisiert auf den AP.
Mit dem o.a. Kommando passiert das nicht und jeder muss sich vorab mit Username und Passwort legitimieren: username admin privilege 15 algorithm-type scrypt secret <password> und dann um in den privileged Mode zu kommen (Konfig) nochmal das Enable Secret eingeben. Mit "banner" könntest du auch noch einen Login Banner senden. Sicher ist sicher...
wpa-psk ascii test1234567 sind pro SSID die WLAN Passwörter. Wenn du mit MSSIDs arbeitest benötigst du ja auch mehrere WPA Keys.

Hoffe das bringt etwas Licht ins Dunkel der Secrets für dich und die Tips setze ich natürlich um ?!

Hallo zusammen,
hat zwar ewig gedauert über tftp aber dann alles schön. Dachte ich.
Zwei Tipps noch:

1. Das Flashen ist fertig, wenn der AP dauerhaft grün leuchtet (warte trotzdem noch eine Weile

)
2. Pingbar war das aber weder über ssh noch http zu erreichen. Lustigerweise aber über telnet! Also macht man folgendes:
mit putty und telnet auf die Möhre und mit Username/PW jeweils "Cisco" (C groß, keine " ") anmelden
->

enable

(PW ist wieder "Cisco" mit C groß und ohne "")
->

config t

in den Konfigurationsmodus

Nun muss das enable PW erst geändert werden sonst weigert sich Herr AP den http Server zu aktivieren.

Also ein

enable algorithm-type scrypt secret meinLustigesEnablePasswort

in die Konsole prügeln gefolgt von einem

ip http server

und schon ist das Ding auch über

http://ipMeinesTollenCiscoAP

erreichbar

@aqui vielen Dank für deine tollen Wissensbeiträge!

Vielen Dank für dein Feedback ! 👍

2. Pingbar war das aber weder über ssh noch http zu erreichen.

Das ist auch klar und hat 2 einfache Gründe.

Die Konfig ist ja absolut leer. Damit SSH klappt musst zuerst im Setup mit crypto key rsa ein Schlüssel erzeugt werden. Das klappt nur wenn man VORHER den DNS Domain Namen gesetzt hat mit z.B. ip domain name drohnald.home.arpa
Der Webzugriff ist ebenso, da völlig leere Konfig im Default, deaktiviert. Mit ip http server aktiviert man ihn im Setup. Mit ip https server statt ohne "s" wäre er sogar noch gesichert !

Und....danke für die 💐 !

Im Nachhinein völlig logisch, ich hatte nur die Anleitung so interpretiert, als wäre das per default alles frei:
"Er lädt dieses Image dann automatisch, flasht es in seinen internen Speicher und rebootet danach automatisch in den Standalone Modus.
Im neu gebooteten Standalone Mode sucht der 1142er AP sich dann, wie bei allen APs üblich, per DHCP eine Management IP Adresse im angeschlossenen Netzwerk. Er kann dann über diese Management IP Adresse einfach via Browser WebGUI oder auch via Telnet oder SSH Zugang konfiguriert werden."
Vll. kannst du das anpassen, für die nicht(mehr)-Cisco affinen Kollegen (so wie ich...)

Erledigt !

Hallo,
funktioniert die Anleitung auch mit einem AIR-CAP2702I-E-K9 und kann ich die oben verlinkte Firmware für den AP nutzen?

Gruß
schlis

Ja, funktioniert problemlos!
Das Firmware Image ist identisch für die 2700i Modelle. Alle 1700/2700/2600/3600/3700 APs haben alle das gleiche Firmware Image was mit dem Dateinamen "ap3g2-xxx" beginnt.
https://www.cisco.com/c/en/us/td/docs/wireless/access_point/ios/release/ ...
(Siehe Tabelle 1.)

Und die Flash Prozedur ist ebenfalls identisch !
Danke für den Hinweis, habs auch mal so ins Tutorial aufgenommen.
Derzeit aktuell die FW vom Dez.2022.

Hallo in die Runde,

Wer im Internet nach dem original Firmware Namen z.B. [...] ap3g2-k9w7-tar.153-3 für das 2602I Modell wird schnell fündig

ohne Wartungsvertag bietet Cisco selbst folgende Firmware an (kostenloser Account nötig):
https://software.cisco.com/download/home/286256843/type/284180979/releas ...
Aironet 2700i Access Point Release 15.3.3-JH ED (Early Deployment (ED) heißt "Software releases that provide new features and new platform support in addition to bug fixes. Cisco IOS CTED, STED, SMED, and XED are variations of ED software releases. ")

Alle 1700/2700/2600/3600/3700 APs haben alle das gleiche Firmware Image was mit dem Dateinamen "ap3g2-xxx" beginnt.

Da die Images identisch sind, kann man damit jedenfalls schon mal starten und sich keine Sorgen darüber machen, ob die Quelle integer ist.
(Eigentlich habe ich was für die 2800er gesucht, aber ab da gibt es wohl nur noch Mobility Express. Anderes Thema

)

Edit: Hinweis auf kostenlosen Gastaccount für Download hinzugefügt

Hallo zusammen,

ich habe die anleitung soweit gelesen und mir auch die Sache alle downgeloadet.

nun Irgendwie bekomme ich keine verbindet zwischen den AP und der TFTp Software. Firewall ist alles frei,
die IP an dem Lan-anschluss am PC habe ich auch geändert, leider alles ohne erfolg.

Angeschlossen wird der AP am PC wie netzteil und Consolen Steckplatz wie USB.

Jemand eine Idee ??

Danke vielmals für die Hilfe

Wenn du eine serielle Konsole dranhast kannst du dort einen Output sehen wenn der AP bootet ? Dort sollten in jedem Falle Boot Messages zu sehen sein wie ! (Serial: 9600 Baud, N,8,1)
IOS Bootloader - Starting system.
Xmodem file system is available.
DDR values used from system serial eeprom.
Reading cookie from system serial eeprom...Done

Leider sehe ich nix

Nutzt du einen USB Seriell Adapter ??
Wenn ja hast du den getestet ob der fehlerfrei funktioniert indem du einmal Pin 2 und 3 (RX und TX Data) überbrückst und ein paar Tasten drückst ? Damit sendet das Terminal zu sich selbst und die Tasten sollten auf dem Schirm zu sehen sein.
Das zeigt dann das dein Terminal und der COM Port (Windows) fehlerfrei arbeiten.
Welches Terminal Prg und Kabel nutzt du ?
Auch wenn du nur erstmal den AP einschaltest sollten IMMER Boot Meldungen über das serielle Terminal ausgegeben werden !
Sind die Blinkmuster der Front LED so wie sie sein sollen ?

Ja ein USB Seriell Adapter und zwar folgendes:
https://www.ebay.de/itm/223727783559?hash=item3417370e87:g:1RgAAOSw2YNgr ...
Überbrückt habe ich noch nichts aber ich werde es mal eben testen, mmal sehen ob hier was Passiert.
was Meinst du mit Terminal Prg und Kabel?

wie sollen die Blinkmuster den sein?
Das RX am Kabel leucht kurz mal auf und dann wars das aber auch schon.

Sorry für die umstände bin da völlig neu drin

wie sollen die Blinkmuster den sein?

Nicht die am seriellen Port (das sind im übrigen auch keine !) sondern die Multicolor LED auf der Frontplatte des APs !!

Die ist mit dem Satz:
"bis die Status LED an der Front des APs die Farbe von blau blinkend auf rot wechselt und lässt ihn dann los. Das dauert ca. 20 Sekunden."
gemeint !

Also ich benutze Putty und das schreibt folgendes:
*Feb 1 13:49:50.415: %CAPWAP-3-DHCP_RENEW: Could not discover WLC. Either IP address is not assigned or assigned IP is wrong. Renewing DHCP IP.

jetzt schreibt er mir folgendes:
IOS Bootloader - Starting system.
flash is writable
FLASH CHIP: Numonyx Mirrorbit (0089)
Xmodem file system is available.
flashfs: 70 files, 9 directories
flashfs: 0 orphaned files, 0 orphaned directories
flashfs: Total bytes: 31997952
flashfs: Bytes used: 21179904
flashfs: Bytes available: 10818048
flashfs: flashfs fsck took 20 seconds.
Reading cookie from SEEPROM
Base Ethernet MAC address: 4c:4e:35:03:3d:65
Ethernet speed is 100 Mb - FULL Duplex
button pressed for 20 seconds
process_config_recovery: set IP address and config to default 10.0.0.1
process_config_recovery: image recovery
image_recovery: Download default IOS tar image tftp:255.255.255.255/ap3g2-k9w7-tar.default

examining image...
DPAA Set for Independent Mode
DPAA_INIT = 0x0

%Error opening tftp:255.255.255.255/ap3g2-k9w7-tar.default (no such file or directory)ap

jetzt schreibt er mir folgendes:

Bingo ! Das sieht gut aus ! So sollte es aussehen ! 🙂
Ziegt das der AP physisch OK ist. Allerdings sollte statt der Error Meldung dann ein:
image_recovery: Download default IOS tar image tftp:255.255.255.255/ap3g2-k9w7-tar.default
examining image...
extracting info (283 bytes)
Image info: ... //
folgen.

Der Fehler zeigt das dein TFTP Server nicht erreichbar ist vom AP oder die IP Adresse des TFTP Rechners nicht stimmt oder die Schreibweise der Datei nicht stimmt.
Welches TFTP Programm nutzt du ?
Hast du das Root Verzeichnis des TFTPs (sofern tu TFTP64 nutzt) richtig auf das Verzeichnis eingestellt wo deine ap3g2-k9w7-tar.default Datei liegt ??

Auch ein Ping von deinem TFTP Rechner auf die IP 10.0.0.1 des AP muss möglich sein.

Also ich habe das so gemacht wie beschrieben war.
Die rar datei entpackt auf dem Desktop in einen neuen Ordner Names APImage.
Diese habe ich auch so angegeben in der Dirrectory.

Die IP ändere ich von meinem PC lan anschluss auf 10.0.0.2 so wie es im Bild oben angegeben ist TCP/IP4

Kannst du die 10.0.0.1 pingen ??
Dann kann es nur noch ein Firewall Problem sein ! Nutzt du Windows ?
Wenn ja schalte temporär mal die Firewall aus

Wie kann ich auf die 10.0.0.1 PIngen?
firewall war schon aus Trotzdem keine change, muss ich mit dem Internet verbunden sein PC oder AP?
muss ich ein kabel in den AP mit Internet stecken?

Wenn du Windows hast: Eingabeaufforderung mit "cmd" aufmachen und dort ping 10.0.0.1 eingeben. 😉

muss ich ein kabel in den AP mit Internet stecken?

Nein.
Der AP muss lediglich nur mit deinem PC verbunden sein mit einem Patchkabel oder über einen (PoE) Switch mehr nicht.

Ping wird ausgeführt für 10.0.0.1 mit 32 Bytes Daten:
Antwort von 10.0.0.5: Zielhost nicht erreichbar.
Antwort von 62.155.244.166: Zielnetz nicht erreichbar.
Antwort von 62.155.244.166: Zielnetz nicht erreichbar.
Antwort von 62.155.244.166: Zielnetz nicht erreichbar.

Ping-Statistik für 10.0.0.1:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),

Zeig mal bitte deine IP-Einstellungen im Windows und dein TFTP-Fenster.

Habs hin bekommen war ein gdefektes lan kabel zwischen Pc und ap

Sehr gut!

Danke schön nochmal an alle ✌🏼

Danke für die Idee und die Anleitung!

Die Geräte sind ja am Ende ihres Produktzyklus oder schon knapp drüber.
Wie seht ihr da die Problematik bezüglich Sicherheitsupdates?
Oder ist das im privaten Umfeld wenn nicht gerade ein Scheunentor (Firmware bzw. im Standard selbst) gefunden wird zu verschmerzen?

Sind die ED (Early Deployment) Versionen "stabil genug" oder sollte lieber auf MD (Maintenance Deployment) Versionen gesetzt werden?

Wie schlagen sich eigentlich im direkten Vergleich die Ruckus Unleashed Dinger?
Die sind ja in der Bucht teils auch recht günstig zu bekommen.

Danke und Grüße,
Martin

Ein guter Punkt. Allerdings ist die Gefahr das da noch Gravierendes kommt eher sehr gering, da WPA2 derzeit als sicher und ausgereift gilt. WPA3 werden sie sicher nicht mehr supporten aber das spielt im SoHo oder Privat erstmal keine so große Rolle da derzeit nur wenige Hardware bzw. Treiber es supportet.
In Bezug aufs Management wäre das dann SSH, HTTPS und SMTPv3. Auch da ist eher wenig zu erwarten denn die verwendeten Crypto Verfahren gelten alle als sicher. Alles in allem also der Impact eher sehr gering zumal es in den vergangenen Jahren keine gravierenden Security Warning in der Produktreihe gab die nicht kurzfristig gefixt wurden.
Das alles ist aber letztlich immer Ermessensache und wie hoch man seine eigene Security Anforderung setzt.
Für das Gros der SoHo und Privatkunden haben diese Punkte sowieso wenig bis keinen Stellenwert da meist ausschliesslich preisorientiert beschafft wird. Zudem haben diese typischen Hersteller keine langfristige und nachhaltige Support Policy wie das die Premiumhersteller mit Wartungsverpflichtungen haben weil die hier gänzlich anderen Anforderungen unterworfen sind.
Was die Releases anbetrifft macht man nichts falsch die von Cisco recommendeten Versionen zu verwenden, das sind die im Download Portal mit einem Stern gekennzeichneten. Bei solcher Firmware mit einer langen Patchhistorie ist aber auch von der latest und greatest stabiler Betrieb zu erwarten bzw. wird später eh MD Level erreichen.
Ruckus Unleashed hat natürlich den unschätzbaren Vorteil einen zentralen Controller gleich mit in der AP Firmware zu haben. Das ist ein wesentlicher Vorteil wenn man nicht nur 1 bis 3 APs hat sondern ein paar mehr. Daher wäre Ruckus auch wegen seiner Beamflex Technologie und der damit besseren Ausleuchtung deutlich im Vorteil.
Cisco supportet onboard Controller im AP nur in seinen Air Express Modellen.

Wie schaut es mit WPA3 OWE aus? (Opportunistic Wireless Encryption)

Supportet i.d. Ruckus FW Versionen: Unleashed: 200.8 and above, ZoneDirector: 10.3.0 and above., v/SmartZone: 5.2.0 and above.

Neue Erkenntnisse (ich hatte mal wieder Zeit):
Das Autonomous AP IOS ist seit 2020 end of life, wird also nur noch mit Sicherheitsupdates gepflegt. Der 404-Error rührt daher, da es Probleme mit den Zertifikaten gibt in neueren Firmwares. Die gute Nachricht: "Unofficially, 1600/2600/3600 share the same IOS as 1700/2700/3700/IW3700". Bedeutet: Auch mit einem 2602 kann man neuere Firmwares betreiben. Deren Web-GUI ist logischerweise genau so EoL, aber für die neueren Modelle gibt es Firmwares, die nicht von Anno kommen und eine funktionsfähige Web-GUI besitzen. Ich bin alle Cisco-Forenbeiträge (es gibt unzählige) die diesen Fehler betreffen durchgegangen, um eine gute Firmware zu finden, allerdings war keine wirklich zufriedenstellend von den genannten. Nach einiger Zeit bin ich auf einen japanischen Beitrag gestoßen, der eine Eierlegende-Wollmilchsau-Firmware nennt:
ap3g2-k9w7-tar.153-3.JI5.tar

Installiert man diese Firmware, hat man eine halbwegs aktuelle (Jahr 2019) Firmware mit funktionsfähigem Web-Interface. Vielleicht hilft diese Information dem ein oder anderen. Natürlich kann man den AP auch einfach per CLI konfigurieren, aber so können auch nicht ganz so technisch Affine Menschen den preiswerten AP konfigurieren.

Hallo zusammen, das Flashen war unproblematisch und ich komme auch über den Browser auf die GUI. Wenn ich aber im Easy Setup eine neue SSID anlege wird diese nicht ausgestrahlt. Ich bekommen keinen Fehler.. die neue SSID wird dann auch im SSID Manager angezeigt. Hat jemand eine Idee für mich?

Hallo,

Zitat von @Gajowy:

Hallo zusammen, das Flashen war unproblematisch und ich komme auch über den Browser auf die GUI. Wenn ich aber im Easy Setup eine neue SSID anlege wird diese nicht ausgestrahlt. Ich bekommen keinen Fehler.. die neue SSID wird dann auch im SSID Manager angezeigt. Hat jemand eine Idee für mich?

vielleicht "Broadcast SSID in Beacon" ? Du musst davon ausgehen, dass das Teil eben kein Consumer-Produkt ist, mit Easy-Einstellungen.

Grüße

lcer

Gehe in die dedizierten WLAN Einstellungen und setze die beiden Radios dort explizit auf enable. Oder nutze noch besser das CLI!
Fertige Konfigs zu allen WLAN Setups gibt es HIER plug and play zum Abtippen.

Zitat von @aqui:

Gehe in die dedizierten WLAN Einstellungen und setze die beiden Radios dort explizit auf enable. Oder nutze noch besser das CLI!
Fertige Konfigs zu allen WLAN Setups gibt es HIER plug and play zum Abtippen.

Danke. Tatsächlich konnte ich auch über CLI das SSID nicht aktivieren. Inzwischen habe ich aber die Lösung gefunden: diese war unter dem Menüpunkt: Network > Network Interface > Radio0-802.11N 2.4GHz und ggf. Radio1-802.11N 5GHz.

Tatsächlich konnte ich auch über CLI das SSID nicht aktivieren.

Da hast du dann wohl das falsche Kommando verwendet?! 🤔
Normalerweise reicht da ein simples no shut ! 😉
cisco-ap(config)#interface Dot11Radio0
cisco-ap(config-if)#no shut
Das gleiche dann nochmal für das 5GHz Radio Dot11Radio1.

Zitat von @aqui:

Tatsächlich konnte ich auch über CLI das SSID nicht aktivieren.

Dann war es wohl doch Layer8 Problem. Bin davon ausgegangen, dass dies im Code oben schon drin steht.
Dankeschön!

Hi, super Arbeit und super Anleitung. Danke dir!
Gibt es hier jemand in der Runde, der mir das aktuellste Release zur Verfügung stellen kann:
ap3g2-k9w7-tar.153-3.JPO.tar
Ich habe leider keinen Cisco Zugang.
Danke!

Moin,

hätte die "ap3g2-k9w7-tar.153-3.JPJ4.tar" anzubieten.
Hab die 2020 Archiviert.
Wenn ich diese zur Verfügung stellen darf kann ich dies gerne tun.

Lg

Yannick

Ich habe den Artikel vor kurzem gefunden, weil ich eine WLAN-Bridge von Stockwerk zu Stockwerk einrichten will. Dann habe ich mir einen 3502I bei eBay geschossen und kann nun keine Firmware (ap3g1) für ihn finden. Habt Ihr einen Tipp?

Zitat von @rwraith:

Ich habe den Artikel vor kurzem gefunden, weil ich eine WLAN-Bridge von Stockwerk zu Stockwerk einrichten will. Dann habe ich mir einen 3502I bei eBay geschossen und kann nun keine Firmware (ap3g1) für ihn finden. Habt Ihr einen Tipp?

Mir wurde geholfen. Danke.

Ich versuche gerade den oben genannten 3502I unter Linux (tftp-hpa) zu flashen (Image ap3g1-k9w7-tar.default) und die LED auf dem AP wechselt wenige Sekunden, nachdem der TFTP-Server meldet, dass er die Anforderung für die Datei vom AP bekommen hat, darauf rot zu blinken. Offensichtlich bricht der Flashprozess ab, nur warum? Die Datei hat den Mode 666, kann also gelesen werden.

Was kann ich tun?

Zusatzinfo: Ich habe leider keine seriellen Konsolenzugang.

Warum nicht? Das ist doch ein leichtes das einzurichten und dann weisst du warum der Flash Vorgang abgebrochen ist!

Vermutlich ist das aber auch normal und du hast leider das Tutorial nicht richtig gelesen, denn das geht auf diesen Abbruch ein der in machen Fällen beim Flashen passiert.
(Zitat)
"Es ist möglich das in einigen Fällen der Ladebalken am TFTP keinen Fortschritt mehr anzeigt oder die serielle Konsole nach dem Bootprozess folgendes ausgibt:
Not enough free space to download image first w/o extracting
deleting existing version(s)...
Deleting current version: flash:/ap3g2-k9w8-mx.153-x.JXy...done.
Das bedeutet lediglich das mit dem aktuell geflashten Image der Platz im Flash Speicher zum Extrahieren der neuen Firmware zu klein ist und das das System dann automatisch das bestehende Altimage gelöscht hat.
Eine Wiederholung des Boot Prozesses installiert dann im 2ten Anlauf fehlerfrei das gewünschte Image. "

Mit anderen Worten: Starte den Flash Prozess einfach nochmal. Im zeiten Anlauf läuft das dann fehlerfrei durch!
Ebenso sollte natürlich die TFTPD-HPA Konfig Datei unter /etc/default/tftpd-hpa korrekt eingerichtet sein!

# /etc/default/tftpd-hpa

TFTP_USERNAME="tftp"
TFTP_DIRECTORY="/srv/tftp"
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="--secure --create --ipv4 --verbosity 1" 

Das TFTP Verzeichnis plus Dateien darin sollte dann auf 666 und den Owner "tftp" gesetzt sein mit chown -R tftp /srv/tftp

Und.... Besorge dir für ein paar Euro ein serielles Konsolen Kabel!! Damit weisst du immer genau was los ist (siehe oben in grün!) und es leistet auch sonst gute Dienste beim Konfigurieren von Netzwerk Komponenten!

Danke für die Tipps, leider führt eine Wiederholung (auch mit den Tipps) nur zum selben Ergebnis, das hatte ich schon getestet. Ich denke, ich brauche tatsächlich ein serielles Konsolenkabel, Ich habe sonst nur nicht so viele Netzwerkkomponenten, für die ich es gebrauchen könnte.

Oder um es genauer zu sagen: Ich bin unter Arch Linux, der tftp-hpa läuft mit folgenden Argumenten "/usr/bin/in.tftpd --listen --secure /srv/tftp/ --create --ipv4 --verbosity 5 --address 0.0.0.0:69" unter dem root-User, das Verzeichnis /srv/tftp gehört root und hat den Mode "777", die Datei "ap3g1-k9w7-tar.default" gehört auch root und hat den Mode "666", Der AP blinkt, nach dem Anschluss an PoE ein mal grün, ca. zwanzig Sekunden blau, dann lasse ich den Knopf los und der AP fordert beim TFTP-Server die Datei an, blinkt dann vierzig Sekunden lang grün, und wechselt dann auf rotes Blinken.

Das ganze lässt sich mehrfach, mit dem selben Ergebnis, wiederholen.

Ich denke, ich brauche tatsächlich ein serielles Konsolenkabel

In der Tat!
Ggf. kannst du einmal mit dem alternativen TFTP64 unter Winblows versuchen wenn du einen Winblows Rechner hast. Dort kannst du über den grafischen Ladebalken und dem Hochzählen der Bytecounter sehen ob der Ladevorgang aktiv noch rennt.

Bedenke das das Laden und Entzippen der Flashdatei aus dem Archiv in Summe mindestens 15 Minuten! dauert. Hier ist also Geduld gefragt.
Nicht das du aus Ungeduld oder weil du nicht sehen kannst ob der Boot- und Entzip Prozess noch rennt einfach abbrichst?!

ca. zwanzig Sekunden blau, dann lasse ich den Knopf los

Das ist auch falsch oder du hast das Tutorial oben NICHT richtig gelesen!

Du MUSST den Moment abwarten wenn die blau blinkende LED auf ROT wechselt und erst dann den gedrückten Knopf loslassen!
Hättest du eine Konsole dran würdest du auch sehen das der AP dies mit "button is pressed, wait for button to be released... button pressed for 27 seconds.." quittiert und dann mit dem Flashvorgang anfängt.

Ich habe ihn gerade, zur Sicherheit mal an mein normales Netz gehängt und er startet, bezieht eine IP und strahlt ein 2,4 und ein 5 GHz Netz mit der selben SSID aus. Er funktioniert also. Per HTTPS oder Telnet ist er aber nicht erreichbar, als ist kein Standalone-Image installiert (Hätte ja sein können, dass das der Fehler gewesen wäre).

ca. zwanzig Sekunden blau, dann lasse ich den Knopf los

Das ist auch falsch oder du hast das Tutorial oben NICHT richtig gelesen!

Sorry falsch beschrieben: Ich lasse den Knopf los, NACHDEM der AP für zwanzig Sekunden blau geblinkt hat und auf rot gewechselt ist.

Bedenke das das Laden und Entzippen der Flashdatei aus dem Archiv in Summe mindestens 15 Minuten! dauert. Hier ist also Geduld gefragt.

Wenn das rote Blinken kein Indiz für einen abgebrochenen Flash ist, lasse ich ihn gerne mal 30 Minuten machen. Probiere ich gleich mal aus.

Per HTTPS oder Telnet ist er aber nicht erreichbar

Per HTTPS geht so oder so nicht weil das erst konfiguriert werden müsste. Bei Telnet antwortet er schlicht nicht oder wie äußert sich das ? Hast du alternativ einmal SSH probiert.
Das Verhalten ist verwunderlich denn ein Lightweight Image sendet ohne eine Controller Session aufbauen zu können niemals blind los. 🤔

Bevor das aber hier jetzt eine längere Session wird, solltest du dafür besser einen eigenen Thread aufmachen und den hier referenzieren um nicht das Tutorial mit langwierigen Troubleshooting Sessions unnötig weiter aufzublähen!!

OK, Werde ich vielleicht machen. Für andere mit dem Problem: Das rote Blinken bedeutet laut der Doku des AP übrigens eins von denen hier:
"Environment variable failure", "Bad MAC address", "Ethernet failure during image recovery", "Boot environment failure", "No Cisco image file" oder "Boot failure".

Servus zusammen,

auch wenn das hier sicher nicht ideal ist, wollte ich den gedanklichen Verlauf nicht unterbrechen und schreibe deshalb hier:

Habe einen Cisco der 1700er Serie mit der anderen Firmware bestückt, läuft alles. Zum Testen habe ich mir mal deine Konfiguration
"Mehrere WLANs pro AP: MSSID Konfiguration mit fester, statischer VLAN Zuordnung"
geschnappt und noch 2 zusätzliche VLans ergänzt.
Ergebnis: Es werden alle VLANs korrekt ausgestrahlt, Verbindung funktioniert top.
Nur das VLAN 1 erscheint überhaupt nicht zur Auswahl. Thema Sicherheit und Mgmt-Netz ist eben egal, hier gehts tatsächlich nur ums Verstehen

PS: Konfig poste ich nicht, da ich eben nicht drauf zugreifen kann und es ohnehin 1:1 die gepostete ist.

Nur das VLAN 1 erscheint überhaupt nicht zur Auswahl.

Wenn du wie oben eine der MSSIDs auch auf das VLAN 1 gebunden hast erscheint es auch!
2 mögliche Fehler die du begangen haben könntest:

Mapping der MSSID auf die VLAN ID "1" vergessen
Vergessen die VLAN 1 MSSID auf das jeweilige Radio Interface mit ssid <VLAN-1 SSID> zuzuweisen.

Hier ist darauf zu achten das die Schreibweise der SSID Namen identisch sein muss ansonsten scheitert die Zuweisung.
Sehr wahrscheinlich also ein Flüchtigkeitsfehler in deiner Konfig. 🤔

und es ohnehin 1:1 die gepostete ist.

Das kann nicht sein, denn die hat nur 2 statt 4 MSSIDs wie bei dir und da klappt es auch mit dem VLAN 1 fehlerfrei. 😉

Die Beispielkonfigs oben legen auch ein WLAN auf das Management Interface in VLAN 1. In Firmennetzen sollte man das bekanntlich NICHT machen aus Sicherheitsgründen um das Management VLAN nicht zu exponieren. Muss jeder Admin aber für sich entscheiden.

Hier als Beispiel eine laufende Konfig mit 3 MSSID VLANs:
!
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime show-timezone year
service password-encryption
!
hostname cisco-ap
!
enable secret 9 Geheim123!
!
aaa new-model
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
dot11 vlan-name Privat vlan 1
dot11 vlan-name Smarthome vlan 10
dot11 vlan-name Gaeste vlan 20
!
dot11 ssid Cisco-Privat
vlan 1
band-select
authentication open
authentication key-management wpa version 2
mbssid guest-mode
wpa-psk ascii 2109198223021988
!
dot11 ssid Cisco-Smarthome
vlan 10
band-select
authentication open
authentication key-management wpa version 2
mbssid guest-mode
wpa-psk ascii 2331307492911270DMZ
!
dot11 ssid Cisco-Gaeste
vlan 20
band-select
authentication open
authentication key-management wpa version 2
mbssid guest-mode
wpa-psk ascii GastWLan2020
!
username Cisco password 7 Geheim123!
username admin privilege 15 secret 9 Geheim123!
!
!
interface Dot11Radio0
description 2.4 GHz Radio (VLAN1)
no ip address
!
encryption vlan 1 mode ciphers aes-ccm
encryption vlan 10 mode ciphers aes-ccm
encryption vlan 20 mode ciphers aes-ccm
!
ssid Cisco-Gaeste
ssid Cisco-Privat
ssid Cisco-Smarthome
mbssid
!
speed ofdm-only
dot11 dot11r pre-authentication over-air
dot11 dot11r reassociation-time value 30
world-mode dot11d country-code DE both
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.10
description 2.4 GHz Radio (VLAN10)
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 spanning-disabled
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
!
interface Dot11Radio0.20
description 2.4 GHz Radio (VLAN20)
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 spanning-disabled
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
!
interface Dot11Radio1
description 5 GHz Radio (VLAN1)
no ip address
!
encryption vlan 1 mode ciphers aes-ccm
encryption vlan 10 mode ciphers aes-ccm
encryption vlan 20 mode ciphers aes-ccm
!
ssid Cisco-Gaeste
ssid Cisco-Privat
ssid Cisco-Smarthome
mbssid
!
speed throughput
channel width 40-above
dot11 dot11r pre-authentication over-air
dot11 dot11r reassociation-time value 30
world-mode dot11d country-code DE both
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.10
description 5 GHz Radio (VLAN10)
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 spanning-disabled
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
!
interface Dot11Radio1.20
description 5 GHz Radio (VLAN20)
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 spanning-disabled
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
!
interface GigabitEthernet0
description LAN Port (VLAN 1,untagged)
no ip address
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface GigabitEthernet0.10
description LAN Port (VLAN 10,tagged)
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 spanning-disabled
no bridge-group 10 source-learning
!
interface GigabitEthernet0.20
description LAN Port (VLAN 20,tagged)
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 spanning-disabled
no bridge-group 20 source-learning
!
interface BVI1
ip address dhcp client-id GigabitEthernet0
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
!
ip http server
sntp server de.pool.ntp.org

Hey aqui, hab Dank. Gehe deine Config auch sofort durch, stelle parallel aber mal meine rein. Vlan 101 und 102 sind da, Vlan 1 fehlt... Sicher nur ne Kleinigkeit....

hostname cisco-ap
!
!
logging rate-limit console 9
enable secret 5 $1$8o9O$SDbJ2IYJ/ZIK77WWVlAHQ1
!
no aaa new-model
clock timezone +0100 1 0
no ip source-route
no ip cef
!
!
!
!
dot11 pause-time 100
dot11 syslog
dot11 vlan-name VLAN1 vlan 1
dot11 vlan-name VLAN101 vlan 101
dot11 vlan-name VLAN102 vlan 102
dot11 vlan-name VLAN103 vlan 103
!
dot11 ssid VLAN-1
   vlan 1
   band-select
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 0559575F781D17514B574442595D5D7273
!
dot11 ssid VLAN-101
   vlan 101
   band-select
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 144541585D577A7C7071616C7342554153257B63
!
dot11 ssid VLAN-102
   vlan 102
   band-select
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 03235A1812380D4D405B495747
!
!
!
no ipv6 cef
!
!
username Cisco password 7 14341B180F0B
!
!
bridge irb
!
!
!
interface Dot11Radio0
 description 2.4GHz (VLAN1)
 no ip address
 !
 encryption vlan 1 mode ciphers aes-ccm
 !
 encryption vlan 101 mode ciphers aes-ccm
 !
 encryption vlan 102 mode ciphers aes-ccm
 !
 ssid VLAN-1
 !
 ssid VLAN-101
 !
 ssid VLAN-102
 !
 antenna gain 0
 stbc
 mbssid
 speed  basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0 m0. m1. m2. m3. m4. m5. m6. m7. m8. m9. m10. m11. m12. m13. m14. m15.
 station-role root
 dot11 dot11r pre-authentication over-air
 dot11 dot11r reassociation-time value 30
 world-mode dot11d country-code DE both
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.101
 description 2.4GHz VLAN101
 encapsulation dot1Q 101
 bridge-group 11
 bridge-group 11 subscriber-loop-control
 bridge-group 11 spanning-disabled
 bridge-group 11 block-unknown-source
 no bridge-group 11 source-learning
 no bridge-group 11 unicast-flooding
!
interface Dot11Radio0.102
 description 2.4GHz VLAN102
 encapsulation dot1Q 102
 bridge-group 12
 bridge-group 12 subscriber-loop-control
 bridge-group 12 spanning-disabled
 bridge-group 12 block-unknown-source
 no bridge-group 12 source-learning
 no bridge-group 12 unicast-flooding
!
interface Dot11Radio1
 description 5GHz VLAN1
 no ip address
 !
 encryption vlan 1 mode ciphers aes-ccm
 !
 encryption vlan 101 mode ciphers aes-ccm
 !
 encryption vlan 102 mode ciphers aes-ccm
 !
 ssid VLAN-1
 !
 ssid VLAN-101
 !
 ssid VLAN-102
 !
 antenna gain 0
 peakdetect
 no dfs band block
 stbc
 mbssid
 speed  basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0 m0. m1. m2. m3. m4. m5. m6. m7. m8. m9. m10. m11. m12. m13. m14. m15. a1ss9 a2ss9 a3ssnone
 channel width 80
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.101
 description 5GHz VLAN101
 encapsulation dot1Q 101
 bridge-group 11
 bridge-group 11 subscriber-loop-control
 bridge-group 11 spanning-disabled
 bridge-group 11 block-unknown-source
 no bridge-group 11 source-learning
 no bridge-group 11 unicast-flooding
!
interface Dot11Radio1.102
 description 5GHz VLAN102
 encapsulation dot1Q 102
 bridge-group 12
 bridge-group 12 subscriber-loop-control
 bridge-group 12 spanning-disabled
 bridge-group 12 block-unknown-source
 no bridge-group 12 source-learning
 no bridge-group 12 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.101
 description LAN (VLAN 101 tagged)
 encapsulation dot1Q 101
 bridge-group 11
 bridge-group 11 spanning-disabled
 no bridge-group 11 source-learning
!
interface GigabitEthernet0.102
 description LAN Port VLAN102 tagged
 encapsulation dot1Q 102
 bridge-group 12
 bridge-group 12 spanning-disabled
 no bridge-group 12 source-learning
!
interface GigabitEthernet1
 no ip address
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface BVI1
 mac-address 2c5a.0f20.a478
 ip address dhcp client-id GigabitEthernet0
 ipv6 address dhcp
 ipv6 address autoconfig
 ipv6 enable

Auf GigabitEthernet1 hat eine Bridge Group nichts zu suchen. Kosmetisch kann man der Bridge Group die VLAN ID geben zu der sie korrespondiert was die Konfig etwas "übersichtlicher" macht. Ist aber lediglich kosmetisch.
Fehler hast du in der Timezone Definition und aaa sollte auf new model gesetzt sein. Und deinen Admin Username/Passwort 14341B180F0B = Cisco solltest du besser NICHT mehr als Typ 7 konfigurieren wenn du das öffentliche postest! (Siehe HIER und auch hier) 😉

Alles korrekt. Das Teil ist völlig auf Standard gesetzt, mir ging es hier wirklich rein um die WLAN/VLAN Konfig.
SID(VLAN1) wird dennoch nicht angezeigt. Ich werde einfach mal deine Konfig von oben hernehmen und dann schauen.
---
Habe deine Konfig übernommen und gespeichert, neu gestartet. Musste die Interface dot11Radio0/1 noch no shut setzen, die kamen sonst nicht.
Sehe jetzt Cisco Gäste und Smarthome, das 1er wieder nicht...

Building configuration...

Current configuration : 5090 bytes
!
! No configuration change since last restart
version 15.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime show-timezone year
service password-encryption
!
hostname cisco-ap
!
!
logging rate-limit console 9
enable secret 5 $1$sDYC$/M4dc.ylE6KKQWRZzxb4N.
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip cef
!
!
!
!
dot11 pause-time 100
dot11 syslog
dot11 vlan-name Gaeste vlan 20
dot11 vlan-name Privat vlan 1
dot11 vlan-name Smarthome vlan 10
!
dot11 ssid Cisco-Gaeste
   vlan 20
   band-select
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 0728205F5A3E350419405B5E54
!
dot11 ssid Cisco-Privat
   vlan 1
   band-select
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 005642565D0A525E5D731F1E5B485C4F4A
!
dot11 ssid Cisco-Smarthome
   vlan 10
   band-select
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 144541585D577A7C7071616C7342554153257B63
!
!
!
no ipv6 cef
!
!
username Cisco password 7 1531021F0725
!
!
bridge irb
!
!
!
interface Dot11Radio0
 description 2.4 GHz Radio (VLAN1)
 no ip address
 !
 encryption vlan 1 mode ciphers aes-ccm
 !
 encryption vlan 10 mode ciphers aes-ccm
 !
 encryption vlan 20 mode ciphers aes-ccm
 !
 ssid Cisco-Gaeste
 !
 ssid Cisco-Privat
 !
 ssid Cisco-Smarthome
 !
 antenna gain 0
 stbc
 mbssid
 station-role root
 dot11 dot11r pre-authentication over-air
 world-mode dot11d country-code DE both
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.10
 description 2.4 GHz Radio (VLAN10)
 encapsulation dot1Q 10
 bridge-group 10
 bridge-group 10 subscriber-loop-control
 bridge-group 10 spanning-disabled
 bridge-group 10 block-unknown-source
 no bridge-group 10 source-learning
 no bridge-group 10 unicast-flooding
!
interface Dot11Radio0.20
 description 2.4 GHz Radio (VLAN20)
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 subscriber-loop-control
 bridge-group 20 spanning-disabled
 bridge-group 20 block-unknown-source
 no bridge-group 20 source-learning
 no bridge-group 20 unicast-flooding
!
interface Dot11Radio1
 description 5 GHz Radio (VLAN1)
 no ip address
 !
 encryption vlan 1 mode ciphers aes-ccm
 !
 encryption vlan 10 mode ciphers aes-ccm
 !
 encryption vlan 20 mode ciphers aes-ccm
 !
 ssid Cisco-Gaeste
 !
 ssid Cisco-Privat
 !
 ssid Cisco-Smarthome
 !
 antenna gain 0
 peakdetect
 no dfs band block
 stbc
 mbssid
 speed  basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48                                                                                                                                                             .0 basic-54.0 m0. m1. m2. m3. m4. m5. m6. m7. m8. m9. m10. m11. m12. m13. m14. m                                                                                                                                                             15. a1ss9 a2ss9 a3ssnone
 channel width 40-above
 channel dfs
 station-role root
 dot11 dot11r pre-authentication over-air
 world-mode dot11d country-code DE both
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.10
 description 5 GHz Radio (VLAN10)
 encapsulation dot1Q 10
 bridge-group 10
 bridge-group 10 subscriber-loop-control
 bridge-group 10 spanning-disabled
 bridge-group 10 block-unknown-source
 no bridge-group 10 source-learning
 no bridge-group 10 unicast-flooding
!
interface Dot11Radio1.20
 description 5 GHz Radio (VLAN20)
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 subscriber-loop-control
 bridge-group 20 spanning-disabled
 bridge-group 20 block-unknown-source
 no bridge-group 20 source-learning
 no bridge-group 20 unicast-flooding
!
interface GigabitEthernet0
 description LAN Port (VLAN 1,untagged)
 no ip address
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.10
 description LAN Port (VLAN 10,tagged)
 encapsulation dot1Q 10
 bridge-group 10
 bridge-group 10 spanning-disabled
 no bridge-group 10 source-learning
!
interface GigabitEthernet0.20
 description LAN Port (VLAN 20,tagged)
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet1
 no ip address
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface BVI1
 mac-address 2c5a.0f20.a478
 ip address dhcp client-id GigabitEthernet0
 ipv6 address dhcp
 ipv6 address autoconfig
 ipv6 enable
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 transport input all
!
sntp server de.pool.ntp.org
end

Hab die oben beschriebene Anleitung erfolgreich auf mehreren 2602er APs durchgeführt.
Nachdem der Zugriff auf die GUI mit

ip http server

freigeschaltet wurde, hab ich den AP in mein Netzwerk gehängt. Zur Login-Seite komme ich auch, und wenn ich dann Cisco / Cisco eingebe, lädt die Seite kurz und dann soll ich mich wieder anmelden.
Sowohl Default Passwort als auch über die Konsole manuell eingetragene Passwörter funktionieren nicht...

Achso mehrere Browser und Images hab ich getestet.

Inhaltsverzeichnis

Allgemeines

Konfigurationsdatei übertragen

Klassische WLAN Konfiguration ohne VLAN Support

Mehrere WLANs pro AP: MSSID Konfiguration mit fester, statischer VLAN Zuordnung

WLAN mit Mac-Address Authentisierung und dynamischen VLANs via Radius Server

WLAN mit 802.1x (Username/Password) Authentisierung und dynamischen VLANs via Radius Server

WLAN Zugang mit einer Captive Portal Webseite

Cisco APs als WLAN Bridge (Workgroup Bridge)

Cisco APs mit Mikrotik Radius (User Manager) u. dynamischen VLANs

Allgemeines

Einige wenige Firmware Images wie auch das derzeit Aktuellste für den 2600/2700er haben im GUI einen "404 Error" wenn man die Konfig sichern will. Das ist aber rein nur im GUI. (.JAB Suffixe im Namen sind ohne GUI Fehler.)
Der AP ist aber trotz GUI Fehler voll funktionsfähig und kann ganz normal und problemlos über das CLI Interface (Command Line) konfiguriert werden.
Grundlagen für eine WLAN Authentisierung mit 802.1x / WPA-Enterprise und MAB über einen zentralen Radius Server beschreibt ein separates Radius Tutorial und seine weiterführenden Links.

Die folgenden Beispiele zeigen diverse Standard WLAN Konfigurationen für alle WLAN Anwendungsfälle.
Den Beispiel Konfig Text sollte man ganz einfach vorab Cut and Pasten in einen einfachen Texteditor der Wahl wie Notepad oder Notepad++ usw. und dann zuerst individuell anpassen auf die eigenen Belange (SSID, Passwörter, Hostname usw.).
Dann nimmt man ein einfaches Terminal Programm wie z.B. den Klassiker PuTTY und verbindet sich via Telnet, SSH oder die serielle Konsole auf den AP und geht mit enable und conf t in den CLI Konfig Mode.
Danach pastet man einfach die angepasste Konfig ins Gerät. Das kann man idealerweise auch abschnittsweiseweise machen z.B. immer mit 5 Zeilen oder pro Interface usw. So behält man ggf. auftretende CLI Fehlermeldungen durch Tippfehler etc. immer im Auge! 😉

(Die Konfigs sind für eine für maximale WLAN Geschwindigkeit und schnelles Client Roaming gesetzt!
(2,4 GHz=speed only-ofdm, 5GHz=speed throughput)
Wer den AP mit maximaler Reichweite betreiben will/muss setzt den Speed Mode in beiden Radio Interfaces auf speed range !)

Konfigurationsdatei übertragen

ToDos um die Konfigs auf die APs zu übertragen:

PuTTY Terminal Verbindung via Telnet, SSH oder die serielle Konsole auf den AP und mit Username/Passwort einloggen. CLI Prompt zeigt ap>
Eingabe enable um in den Administrator Mode zu gelangen. Der Prompt wechselt von spitzer Klammer ins Doppelkreuz ap#
Mit conf t (configure terminal) gelangt man in den Konfigurations Modus. Prompt zeigt ein "config" ala ap(config)#
Jetzt die Konfig Textdatei einfach per cut and paste in den AP übertragen. Es macht Sinn die u.a. Konfig Beispiele VORHER in einem einfachen Texteditor wie z.B. Notepad++ zu editieren und auf die eigenen Belange (WLAN Name, Passwort etc.) anzupassen!
<ctrl z> oder exit verlässt den Konfig Mode wieder und (wichtig) ein write mem sichert die Konfig im Flashspeicher.
Mit einem show run kann man dann die Konfig im AP noch einmal überprüfen ob sie vollständig in den AP übertragen wurde.

Klassische WLAN Konfiguration ohne VLAN Support

Eine einfache AP Konfig ohne MSSIDs (VLAN) sieht dann z.B. so aus:

Parameter dot11r in der SSID Definition aktiviert Fast Roaming und sollte bei mehreren APs nur dann aktiviert sein wenn man durchgehend .11r fähige Endgeräte hat! ⚠️ Nicht .11r fähige Endgeräte können sich ansonsten nicht mehr mit dem WLAN verbinden. Im Zweifel also diesen Parameter zuerst immer weglassen!!
Kommando 11w-pmf client optional aktiviert die Management Frame Protection und sollte optional aktiviert sein. (WLAN Security!)

!
service timestamps debug datetime msec
service timestamps log datetime localtime show-timezone year
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
hostname cisco-ap
!
enable algorithm-type scrypt secret <password>
username admin privilege 15 algorithm-type scrypt secret <password>
!
aaa new-model
!
aaa authentication login default local
!
dot11 ssid Bitschleuder
band-select
authentication open
authentication key-management wpa version 2 <dot11r>
guest-mode
wpa-psk ascii test1234567
11w-pmf client optional
!
!
interface Dot11Radio0
description 2.4 GHz Radio
no ip address
!
encryption mode ciphers aes-ccm
!
ssid Bitschleuder
!
speed only-ofdm
dot11 dot11r pre-authentication over-air
dot11 dot11r reassociation-time value 300
world-mode dot11d country-code DE both ==> (⚠️für andere Länder anpassen! z.B. AT=Österreich, CH=Schweiz)
!
interface Dot11Radio1
description 5 GHz Radio
!
encryption mode ciphers aes-ccm
!
ssid Bitschleuder
!
speed throughput
channel width 40-above
(channel width 80) ==> (80 bei Modellen ab 2702l mit .11ac Support!)
dot11 dot11r pre-authentication over-air
dot11 dot11r reassociation-time value 300
world-mode dot11d country-code DE both ==> (⚠️an Land anpassen! z.B. AT=Österreich, CH=Schweiz)
!
interface GigabitEthernet0
description Lokales LAN
!
interface BVI1
description LAN-WLAN Bridge
ip address dhcp client-id GigabitEthernet0
!
no cdp run
lldp run
!
sntp server de.pool.ntp.org

Mehrere WLANs pro AP: MSSID Konfiguration mit fester, statischer VLAN Zuordnung

(Grundkonfig Kommandos der Übersicht halber wegeglassen)
Die beiden MSSID WLANs sind auf die VLANs 10 und 20 tagged gemappt!
!
hostname cisco-ap
!
aaa new-model
!
dot11 vlan-name VLAN10 vlan 10
dot11 vlan-name VLAN20 vlan 20
!
dot11 ssid Bitschleuder
vlan 10
band-select
authentication open
authentication key-management wpa version 2
mbssid guest-mode
wpa-psk ascii <password>
11w-pmf client optional
!
dot11 ssid Bitschleuder-Gast
vlan 20
band-select
authentication open
authentication key-management wpa version 2
mbssid guest-mode
wpa-psk ascii <password>
11w-pmf client optional
!
!
interface Dot11Radio0
description 2.4 GHz Radio
!
encryption vlan 10 mode ciphers aes-ccm
encryption vlan 20 mode ciphers aes-ccm
ssid Bitschleuder
ssid Bitschleuder-Gast
!
mbssid
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
speed only-ofdm
dot11 dot11r pre-authentication over-air
dot11 dot11r reassociation-time value 30
world-mode dot11d country-code DE both ==> (⚠️an Land anpassen! z.B. AT=Österreich, CH=Schweiz)
!
interface Dot11Radio0.10
description 2.4 GHz Radio (VLAN10)
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 spanning-disabled
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
!
interface Dot11Radio0.50
description 2.4 GHz Radio (VLAN20)
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 spanning-disabled
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
!
interface Dot11Radio1
description 5 GHz Radio (VLAN1)
!
encryption vlan 10 mode ciphers aes-ccm
encryption vlan 20 mode ciphers aes-ccm
ssid Bitschleuder
ssid Bitschleuder-Gast
mbssid
!
speed throughput
channel width 40-above
(channel width 80) ==> (80 bei Modellen ab 2702l mit .11ac Support!!)
!
interface Dot11Radio1.10
description 5 GHz Radio (VLAN10)
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 spanning-disabled
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
!
interface Dot11Radio1.50
description 5 GHz Radio (VLAN20)
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 spanning-disabled
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
!
!
interface GigabitEthernet0
description LAN Port (MgmtVLAN 1,untagged)
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface GigabitEthernet0.10
description LAN Port (VLAN 10,tagged)
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 spanning-disabled
no bridge-group 10 source-learning
!
interface GigabitEthernet0.20
description LAN Port (VLAN 20,tagged)
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 spanning-disabled
no bridge-group 20 source-learning
!
interface BVI1
ip address dhcp client-id GigabitEthernet0
!
sntp server de.pool.ntp.org
!
no cdp run
lldp run

WLAN mit Mac-Address Authentisierung und dynamischen VLANs via Radius Server

Informationen zum Radius Server Setup gibt ein separates Radius Server Tutorial.
!
hostname cisco-ap
!
aaa new-model
!
aaa group server radius rad_mac
server name FreeRadius
!
aaa authentication login mac_methods group rad_mac
aaa authorization exec default local
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
dot11 vlan-name VLAN-10 vlan 10
dot11 vlan-name VLAN-20 vlan 20
!
dot11 ssid Cisco-AP
vlan 10
band-select
authentication open mac-address mac_methods
guest-mode
!
interface Dot11Radio0
description 2.4 GHz Radio
no ip address
!
ssid Cisco-AP
!
dot11 dot11r pre-authentication over-air
dot11 dot11r reassociation-time value 300
world-mode dot11d country-code DE both ==> (⚠️an Land anpassen! z.B. AT=Österreich, CH=Schweiz)
speed only-ofdm
!
interface Dot11Radio0.10
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 spanning-disabled
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
!
interface Dot11Radio0.20
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 spanning-disabled
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
!
interface Dot11Radio1
description 5 GHz Radio
speed througput
!
ssid Cisco-AP
!
dot11 dot11r pre-authentication over-air
dot11 dot11r reassociation-time value 300
world-mode dot11d country-code DE both ==> (⚠️an Land anpassen! z.B. AT=Österreich, CH=Schweiz)
channel width 40-above
(channel width 80) ==> (80 bei Modellen ab 2702l mit .11ac Support!)
!
interface Dot11Radio1.10
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 spanning-disabled
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
!
interface Dot11Radio1.20
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 spanning-disabled
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
!
interface GigabitEthernet0
description LAN Port Management
!
interface GigabitEthernet0.10
description LAN Port VLAN 10
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 spanning-disabled
no bridge-group 10 source-learning
!
interface GigabitEthernet0.20
description LAN Port VLAN 20
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 spanning-disabled
no bridge-group 20 source-learning
!
interface BVI1
ip address dhcp client-id GigabitEthernet0
!
ip radius source-interface BVI1
no cdp run
lldp run
!
radius-server attribute 32 include-in-access-req format %h
!
radius server FreeRadius
address ipv4 192.168.178.20 auth-port 1812 acct-port 1813
key geheim123
!
sntp server de.pool.ntp.org
!
end

WLAN mit 802.1x (Username/Password) Authentisierung und dynamischen VLANs via Radius Server

Hier muss 802.1x am WLAN Client aktiviert sein und der Radius Server enstprechend Username und Passwort gesetzt haben !
(Beispiel mit VLAN 1 und VLAN 10. Weitere VLANs ggf. hinzufügen !) !
hostname cisco-ap
!
aaa new-model
!
aaa group server radius RADIUS
server name freeradius
!
aaa authentication login default local
aaa authentication login EAP group RADIUS
aaa authorization network default group RADIUS
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
dot11 vlan-name VLAN-10 vlan 10
dot11 vlan-name VLAN-20 vlan 20
dot11 vlan-name VLAN-99 vlan 99
!
dot11 ssid DynVLAN-Dot1x
band-select
vlan 10
band-select
authentication open eap EAP
authentication network-eap EAP
authentication key-management wpa version 2
guest-mode
11w-pmf client optional
!
no cdp run
lldp run
!
interface Dot11Radio0
description 2.4 GHz Radio
!
encryption vlan 10 mode ciphers aes-ccm
!
encryption vlan 20 mode ciphers aes-ccm
!
encryption vlan 99 mode ciphers aes-ccm
!
ssid DynVLAN-Dot1x
!
speed only-ofdm
dot11 dot11r pre-authentication over-air
dot11 dot11r reassociation-time value 300
world-mode dot11d country-code DE both ==> (⚠️an Land anpassen! z.B. AT=Österreich, CH=Schweiz)
channel width 40-above
(channel width 80) ==> (80 bei Modellen ab 2702l mit .11ac Support!)
!
interface Dot11Radio0.10
description 2.4 GHz Radio (VLAN10)
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 spanning-disabled
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
!
interface Dot11Radio0.20
description 2.4 GHz Radio (VLAN20)
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 spanning-disabled
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
!
interface Dot11Radio0.99
description 2.4 GHz Radio (VLAN99)
encapsulation dot1Q 99
bridge-group 99
bridge-group 99 subscriber-loop-control
bridge-group 99 spanning-disabled
bridge-group 99 block-unknown-source
no bridge-group 99 source-learning
no bridge-group 99 unicast-flooding
!
!
interface GigabitEthernet0
description Lokales LAN (PoE)
!
interface GigabitEthernet0.10
description Lokales LAN (VLAN10 Tag)
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 spanning-disabled
no bridge-group 10 source-learning
!
interface GigabitEthernet0.20
description Lokales LAN (VLAN20 Tag)
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 spanning-disabled
no bridge-group 20 source-learning
!
interface GigabitEthernet0.99
description Lokales LAN (VLAN99 Tag)
encapsulation dot1Q 99
bridge-group 99
bridge-group 99 spanning-disabled
no bridge-group 99 source-learning
!
interface BVI1
ip address dhcp client-id GigabitEthernet0
!
no cdp run
lldp run
!
radius server freeradius
address ipv4 10.1.1.147 auth-port 1812 acct-port 1813
key testing123
!
sntp server ntps1-0.cs.tu-berlin.de
!
end
⚠️ 5 Ghz Radio Konfig der Übersicht halber wegelassen !! Muss entsprechend analog mit gleicher Konfig Syntax zu dem Beispiel bei der Mac Authentisierung auch gesetzt werden wie das 2,4 Ghz Interface.

WLAN Zugang mit einer Captive Portal Webseite

Diese Konfig ist in einen dedizierten Cisco Tutorial beschrieben.

Cisco APs als WLAN Bridge (Workgroup Bridge)

Die folgende Konfiguration verbindet ein remotes Netz via WLAN mit einem bestehenden AP. (WLAN Mesh) Z.B. bei fehlender Kupfer Verkabelung der APs oder als Netzwerk Brücke zur Kopplung von Gebäuden etc.
2 Cisco AIR-LAP1142N-E-K9 als Bridge verbinden

Cisco APs mit Mikrotik Radius (User Manager) u. dynamischen VLANs

802.1x / WPA-Enterprise Authentisierung
Cisco 802.1x mit Mikrotik Radius
Mac Adress Authentisierung (MAB)
Cisco MAB mit Mikrotik Radius

Bei dir fehlt das Kommando das die Web Login Authentisierung lokal passieren soll ...login default local! Damit scheitert dann erwartungsgemäß natürlich dein Login Versuch. Man sollte das Tutorial oder die Beispielkonfigs schon genau lesen. 😉
So sollte es mit starker Verschlüsselung aussehen:

enable algorithm-type scrypt secret <password>
username admin privilege 15 algorithm-type scrypt secret <password>
!
aaa new-model
aaa authentication login default local

2 wichtige Tips noch:

Du solltest aus guten Gründen besser NICHT mehr den Default Account cisco/Cisco verwenden und mit „no username...“ NACH (um sich nicht auszusperren) Einrichtung eines alternativen Login Namens entfernen!
Passwort Encryption mit Type 7 sind NICHT sicher. (Siehe hier) Wenn, dann immer sichere Encryption verwenden wie HIER beschrieben.

Zitat von @aqui:

Bei dir fehlt das Kommando das die Web Login Authentisierung lokal passieren soll ...login default local! Damit scheitert dann erwartungsgemäß natürlich dein Login Versuch. Man sollte das Tutorial oder die Beispielkonfigs schon genau lesen. 😉
So sollte es mit starker Verschlüsselung aussehen:

enable algorithm-type scrypt secret <password>
username admin privilege 15 algorithm-type scrypt secret <password>
!
aaa new-model
aaa authentication login default local

2 wichtige Tips noch:

Du solltest aus guten Gründen besser NICHT mehr den Default Account cisco/Cisco verwenden und mit „no username...“ NACH (um sich nicht auszusperren) Einrichtung eines alternativen Login Namens entfernen!
Passwort Encryption mit Type 7 sind NICHT sicher. (Siehe hier) Wenn, dann immer sichere Encryption verwenden wie HIER beschrieben.

Hatte ich natürlich mit eingegeben….
Aber mit deiner oben beschriebenen Variante hat es geklappt!

Works as designed! 😉 👏👍

Hallo Zusammen,

danke für die tolle Anleitung/Tutorial. Ich habe aber nochmal eine Frage.
Ich habe nach Anleitung versucht meinen 3702 mit dem Image zu bespielen. Es funtkioniert alles bis soweit
bis in der Konsole diese ERROR-Meldung kommt:

[09:38:56:870] ␍Ethernet speed is 1000 Mb - FULL Duplex␊
[09:39:01:947] ␍button pressed for 24 seconds␊
[09:39:01:980] ␍process_config_recovery: set IP address and config to default 10.0.0.1␊
[09:39:02:055] ␍process_config_recovery: image recovery␊
[09:39:02:159] ␍image_recovery: Download default IOS tar image tftp://255.255.255.255/ap3g2-k9w7-tar.default␊
[09:39:02:258] ␍␊
[09:39:02:274] ␍examining image...␊
[09:39:02:294] ␍DPAA Set for Independent Mode␊
[09:39:02:344] ␍ tide_boot_speed = 1000 ␊
[09:39:02:376] ␍DPAA_INIT = 0x0␊
[09:39:04:386] ␍␊
[09:39:04:398] ␍extracting info (282 bytes)␊
[09:39:45:442] ␍Premature end of tar file␊
[09:39:45:467] ␍ERROR: Image is not a valid IOS image archive.ap: 

Laut meiner Suche ist dort eine fehlende Validierung eines Zertifikates schuld.
Habt ihr noch eine Idee wie ich das zum Erfolg bringen kann ?

Premature end of tar file

Das hört sich eher nach Windows Firewall Problem oder fehlerhafter Datei an, weil die Datei nicht vollständig/fehlerhaft übertragen worden ist.
Schalte die Windows Firewall doch mal testweise komplett aus, die blockt hier sonst gerne die ephemeral Ports für die Übertragung trotz UDP69 Freigabe.

Gruß sid

Hi sid,

ich nutze Linux Mint. Dort habe ich die Firewall zum testen mal deaktiviert. Das Problem bleibt bestehen.
Ich vewende u.a. auch das Image was von aqui angegeben war (der Link funktioniert aktuell nicht mehr).

Was ich bei der Suche gefunden habe ist, dass ein Zertifikat abgelaufen ist im Dez 2022. Dieses sorgt wohl für die "Validierung / Integritätsprüfung" des Images.
Als Lösung wurde dort verhindert das der NTP Server das korrekte Datum zieht.
Ich habe nur keinen Plan ob das ohne Controller funktioniert und wenn, -> wie es überhaupt geht

Gruß antrix

Grad mal getestet mit tftpd-hpa auf einem aktuellen Debian Bookworm und ebenso mit TFTP64 unter Windows. Rennt beides fehlerlos.
Die Fehlermeldung lässt befürchten das du mit dem Download oder Entpacken des Archivs irgendeinen Fehler gemacht hast?!

Hi,

der Fehler ist gefunden im tftpd-hpa Server den ich nachinstalliert habe auf Linux Mint

A tftp-hpa implementation of the tftp server as in net-ftp/tftp-hpa package is not compatible with Aironet bootloader code. Uploading of IOS image fails with: ERROR: Image is not a valid IOS image archive.

hier der Link der mich drauf gebracht hat

Danke trotzdem für die Mühe und vielleicht hilft es dem ein oder anderen

Gruß antrix

Danke fürs Feedback! 👍
Ist wohl nur die Allianz in Verbindung mit net-ftp. Allein, nur mit dem TFTP Server, rennt es.

Hallo zusammen,

ist das ganze auch mit dem Cisco AP2802I-E-K9 möglich?

Ja, natürlich. Prozedur ist die gleiche allerdings benötigst du ein ap3g3 Image in der Lightweight Version.
https://software.cisco.com/download/home/286304498/type/286288051/releas ...

Die 2800er APs sind sog. Mobility Express APs und die Controller Firmware wurde damit ersetzt.
https://software.cisco.com/download/home/286304498/type/286289839/releas ...

Es wäre also deutlich sinnvoller immer die Mobility Express Firmware zu flashen, da diese gleich einen onboard Controller mitbringt.
Mehrere 2802er APs kaspern also automatisch einen aus der zusätzlich zum AP auch noch den zentralen Controller für alle anderen spielt OHNE das ein externer Controller erforderlich ist. Ein deutlicher Vorteil beim zentralen Management des WLANs.

Zitat von @aqui:

Ja, natürlich. Prozedur ist die gleiche allerdings benötigst du ein ap3g3 Image in der Lightweight Version.
https://software.cisco.com/download/home/286304498/type/286288051/releas ...

Die 2800er APs sind sog. Mobility Express APs und die Controller Firmware wurde damit ersetzt.
https://software.cisco.com/download/home/286304498/type/286289839/releas ...

Es wäre also deutlich sinnvoller immer die Mobility Express Firmware zu flashen, da diese gleich einen onboard Controller mitbringt.
Mehrere 2802er APs kaspern also automatisch einen aus der zusätzlich zum AP auch noch den zentralen Controller für alle anderen spielt OHNE das ein externer Controller erforderlich ist.

Vielen Dank für die Rückmeldung, dann werde ich die Mobility Express Software flashen, da zwei bis drei 2802er APs zum Einsatz kommen werden

Hallo,
leider habe ich Probleme mein AP zu flashen. Es handelt sich um einen AIR-AP3702I.

Bisheriges vorgehen wie oben beschrieben.
- TFTPD64 v4.64 installiert, Einstellungen wie im Bild vorgenommen und dann geschlossen.
- Image in Ordner gespeichert und umbenannt: ap3g2-k9w7-tar.default
- auf meinem Windows PC die Firewall gecheckt
- auf meinem Windows PC die IP auf 10.0.0.5 gesetzt (Sub 255.0.0.0)
- TFTPD gestartet, Verzeichnis wie genannt ausgewählt, IP unter Serverinterface ist ausgewählt
- AP vom POE getrennt, während Knopf drücken wieder verbunden, gewartet bis es rot blinkt, Knopf losgelassen
-TFTP fängt an etwas zu kopieren und bricht gleich ab...

Fehler im Log Viewer:

Connection received from 10.0.0.1 on port 1024 [07/04 14:18:25.122]
Read request for file <ap3g2-k9w7-tar.default>. Mode octet [07/04 14:18:25.122]
Using local port 50245 [07/04 14:18:25.131]
TIMEOUT waiting for Ack block #2 [07/04 14:18:40.272]

Hat jemand eine Idee was ich falsch mache?

Danke vorab!
Gruß
Markus

Per se sieht das gut aus, denn der TFTP Server antwortet auf den 10.0.0.1er Request vom AP.
Dann antwortet dieser ab nicht mehr....
Was häufig passiert ist das der Flash Speicher im AP zu voll ist weil Vorbesitzer ggf. mehrere Images abgelegt haben. Die serielle Konsole antwortet dann:
Not enough free space to download image first w/o extracting
deleting existing version(s)...
Deleting current version: flash:/ap3g2-k9w8-mx.153-x.JXy...done.
Dann musst du einfach die ganze Prozedur nochmal starten, denn wie du siehst löscht er dann im ersten Versuch das onboard Flash.
Sehr hilfreich wäre der Output vom seriellen Interface!

Ich hatte befürchtet das du das brauchst

Ich weiß leider nicht genau wie ich das machen soll.

Habe schon versucht mich per Telnet auf 10.0.0.1 zu connecten- klappt aber nicht (ping auch nicht).

Wie genau muss ich da vorgehen?

Ich weiß leider nicht genau wie ich das machen soll.

Ist doch oben genau erklärt...! 😉

Serielles Cisco Konsolkabel in Rechner und AP anstecken
PuTTY Terminalprogramm starten und in den Settings auf den seriellen COM Port, 9600 Baud, N81 einstellen
Seriellen Output beobachten
Fertisch

Schafft auch ein Laie in 3 Minuten.

Siehe dazu auch HIER und HIER für die einfachen Details.

Danke für die Hilfe!

Edit: Ich habe das ap3g2-k9w7-mx.153-3.JA12 gewählt weil es angeblich keine 404 Fehler haben soll... ich hatte vorher das ap3g2-k9w7-tar.153-3.JPQ drauf und konnte über die Weboberfläche nix konfigurieren.

Hier die Ausgaben von Putty:

IOS Bootloader - Starting system.
flash is writable
Tide XL MB - 40MB of flash
Xmodem file system is available.
flashfs[0]: 243 files, 8 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 41158656
flashfs[0]: Bytes used: 14029824
flashfs[0]: Bytes available: 27128832
flashfs[0]: flashfs fsck took 10 seconds.
Base Ethernet MAC address: 38:0e:4d:62:b0:00
Ethernet speed is 1000 Mb - FULL Duplex
button is pressed, wait for button to be released...
button pressed for 21 seconds
process_config_recovery: set IP address and config to default 10.0.0.1
process_config_recovery: image recovery
image_recovery: Download default IOS tar image tftp://255.255.255.255/ap3g2-k9w7                                           -tar.default

examining image...
DPAA Set for Independent Mode
 tide_boot_speed = 1000
DPAA_INIT = 0x0

extracting info (285 bytes)
Image info:
    Version Suffix: k9w7-.153-3.JA12
    Image Name: ap3g2-k9w7-mx.153-3.JA12
    Version Directory: ap3g2-k9w7-mx.153-3.JA12
    Ios Image Size: 10250752
    Total Image Size: 13271552
    Image Feature: WIRELESS LAN
    Image Family: AP3G2
    Wireless Switch Management Version: 8.0.152.0
Extracting files...
ERROR: Problem extracting files from archive.ap: IOS Bootloader - Starting system.
Unknown cmd: IOS
ap: flash is writablXL MB - 40MB of flash
Unknown cmd: flash
ap: Xmodem file syst0]: 243 files, 8 directories
Unknown cmd: Xmodem
ap: flashfs0]: 0 orprectories
Unknown cmd: flashfs0]:
ap: flashfs[0]: TotaBytes used: 14029824
Unknown cmd: flashfs[0]:
ap: flashfs[0]: Byte]: flashs fsck took 10 seconds.
Unknown cmd: flashfs[0]:
ap: Base Ethernet MAhernet speed is 1000 Mb - FULL Duplex
Unknown cmd: Base
ap: button is presse released...
Unknown cmd: button
ap: butto pressed fog_recovery: set IP address and config to default 10.0.0.1
Unknown cmd: butto
ap: process_config_rmage_recovery: Download defaul IOS tar image tftp://255.255.255.255/ap3g2-k9w7                         
*** line too large ***

Unknown cmd: process_config_rmage_recovery:
ap:          -tar.de0
Unknown cmd: -tar.de0
ap: DPAA_INIT = 0x0
Unknown cmd: DPAA_INIT
ap:
ap: Image info:
Unknown cmd: Image
ap:    J   Image Nam12
Unknown cmd: J
ap:     Version Dire53-3.JA12
Unknown cmd: Version
ap:     Ios Image Sie Size: 13271552
Unknown cmd: Ios
ap:     Image Featurge Family: AP3G2
Unknown cmd: Image
ap:     Wireless Swi0.152.0
Unknown cmd: Wireless
ap: Extracting filesg files from archive.ap:
Unknown cmd: Extracting
ap:

Der Output ist klar: Das Firmware Image File was du verwendest ist kaputt!

Oha...
Ich habe es nun mit der Firmware versucht die oben verlinkt ist:

IOS Bootloader - Starting system.
flash is writable
Tide XL MB - 40MB of flash
Xmodem file system is available.
flashfs[0]: 243 files, 8 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 41158656
flashfs[0]: Bytes used: 14029824
flashfs[0]: Bytes available: 27128832
flashfs[0]: flashfs fsck took 10 seconds.
Base Ethernet MAC address: 38:0e:4d:62:b0:00
Ethernet speed is 1000 Mb - FULL Duplex
button is pressed, wait for button to be released...
button pressed for 23 seconds
process_config_recovery: set IP address and config to default 10.0.0.1
process_config_recovery: image recovery
image_recovery: Download default IOS tar image tftp://255.255.255.255/ap3g2-k9w7-tar.default

examining image...
DPAA Set for Independent Mode
 tide_boot_speed = 1000
DPAA_INIT = 0x0

extracting info (287 bytes)
Image info:
    Version Suffix: k9w7-.153-3.JAB
    Image Name: ap3g2-k9w7-mx.153-3.JAB
    Version Directory: ap3g2-k9w7-mx.153-3.JAB
    Ios Image Size: 225792
    Total Image Size: 12974592
    Image Feature: WIRELESS LAN|LWAPP
    Image Family: AP3G2
    Wireless Switch Management Version: 8.0.72.236
Extracting files...
ERROR: Problem extracting files from archive.ap:

Ich habe im Flash geschaut ob dort noch eine .bak Datei liegt, scheint aber nicht so:

ap>enable
Password:
ap#sh flash:

Directory of flash:/

    3  -rwx         285   Jan 1 1970 00:00:54 +00:00  info
   11  drwx        2496   Jan 1 1970 00:11:48 +00:00  ap3g2-k9w7-mx.153-3.JPQ1
    4  -rwx       11288   Mar 1 1993 17:44:13 +00:00  private-multiple-fs
    6  -rwx          64   Feb 5 2024 21:22:08 +00:00  sensord_CSPRNG0
    5  drwx           0   Mar 1 1993 00:01:05 +00:00  configs
    7  -rwx         265   Mar 1 1993 00:00:51 +00:00  env_vars
    8  -rwx          64   Feb 5 2024 21:22:08 +00:00  sensord_CSPRNG1
    9  -rwx       76139   Feb 5 2024 21:22:18 +00:00  event.log
   10  -rwx          85   Mar 1 1993 00:00:33 +00:00  mesh_port_cfg.txt
   80  -rwx        1074   Mar 1 1993 17:44:13 +00:00  private-config

40900608 bytes total (26870784 bytes free)

Das JPQ1 was drauf ist funktioniert noch, halt nur nicht mit Web Oberfläche. Ein anderes JA12 oder jAB (bei dem die Weboberfläche läuft) hab ich nicht... also könnte ich das JPQ1 auch drauf lassen... prinzipiell erklärt das aber immer noch nicht wieso ich nix anderes drauf flashen kann...

Ist zu vermuten das das Flash nicht mehr ausreicht das neue Image zu entpacken.
Frage ist ob du jetzt mutig bist...?!
Wenn ja kannst du alle Dateien vom Flash mit del flash:<name> löschen und das Flash nackig machen. Dann einen neuen Upgrade Versuch starten.
Da beides eine 15.3.3er Version ist, ist die Frage ob das Sinn macht. Das GUI ist so oder so gewöhnungsbedürftig und es ist deutlich einfacher und effizienter den AP über das CLI zu konfigurieren. Kommt also auf dich an wieviel Wert du auf KlickiBunti legst. 🤔
Eine CLI Auswahl von lauffähigen Konfigs findest du oben im Tutorial. Die kannst du in einem einfachen Text Editor auf deine Belange anpassen und dann schlicht und einfach per Cut and Paste in den AP bringen. Schaffst du in der Hälfte der Zeit die das KlickiBunti Geklicke benötigt.

Mein Ziel ist prinzipiell zuhause mein Netzwerk und auch mehr in das Thema vlan einzusteigen. Das Projekt liegt aber noch so nen halbes Jahr in der ferne, da einiges vorher zu tun ist.

Derzeit läuft bei mir alles über Fritzbox mit fritzRepeatern. Davon will ich aufgrund der fehlenden vlan Möglichkeiten aber weg. Ich hab nun den 3702 gekauft um einen neuen AP im Gartenhaus zu installieren, wo ich sowieso POE für eine IP-cam brauche. Verbindungsfall wäre bei mir daher wohl eine Workgroup Bridge aber ne Fritzbox auf der einen und der Cisco-Ap auf der anderen Seite.

Aufgrund der fehlenden CLI Erfahrung dachte ich mir das eine Config mit Oberfläche etwas einfach wird...
Ich werde mich nun mal durch die Configs lesen und hoffe dort bald etwas mehr zu verstehen. Die Config für die WorkgroupBridge hab ich schonmal gefunden und werd jetzt mal schauen ob ich sie anpassen kann.

Danke auf jeden Fall schon mal für deine Hilfe!

Wenn das Gartenhaus nicht weiter als 100m weg ist kannst du auch ein Cat5e Kabel in einen billigen Gartenschlauch einziehen und den vergraben. Dann hast du wenigstens einen verlässlichen PoE Kabelanschluss im Gartenhaus und ein stabiles WLAN anstatt wieder unzuverlässige Funkverbindung oder die gruselige Frickelei mit Repeatern die dir per se die Bandbreite halbieren und mit ihrer Hidden Node Problematik den Rest des WLANs killen.
Wenn es konfigtechnisch kneifen sollte dann einfach hier fragen. Aber bitte wenns geht immer mit einem separaten Thread um das Tutotial hier nicht unnötig mit Troubleshooting Themen aufzublähen! 😉

Ich habe von der Arbeit einen AIR-AP1832I-E-K9 erhalten.
Nachdem was ich gefunden habe, gibt es für diese keine Standalone Software, sondern nur ein Mobilty Express Release. Dieses beinhaltet dann die Controller Software. Dann läuft auf dem 1. AP sowohl der Controller als auch der AP selbst. Ist das soweit richtig?
Wenn ja, dafür kann ich ohne Cisco Zugang keinen Download-Link finden.

Das ist genau richtig!
Die 1800er sind Mobility Express APs. Ein sehr guter AP, denn er bringt gleich einen Onboard Controller in der Firmware mit. Deshalb erübrigt es sich 2 Firmware Versionen zu haben.
Mit diesem AP können auch weitere APs zentral, ohne externen Controller gemanaged werden. Das entspricht z.B. dem Ruckus Unleashed.

dafür kann ich ohne Cisco Zugang keinen Download-Link finden.

Wie bei den anderen Modellen auch sind ohne Service nicht mehr ganz aktuelle Releases frei von der Cisco Seite mit einen Gastaccount downloadbar. Die letzte freie Version ist 15.3.3-JI6 vom März 2020:
https://software.cisco.com/download/home/286318342/type/286288051/releas ...
Sollte deine Firmware älter sein macht ein Update sicher Sinn.
Die aktuelle 15.3.3-JPS bekommst du offiziell nur mit Service oder über nicht offizelle Seiten wenn man nach dem Image Namen ap1g5-k9w8-tar.153-3.JPS.tar suchst.

Moin,
wie sieht das eigentlich mit WPA3 aus?
Es wird ja vermutlich nicht mehr lange dauern bis Handys WPAs als unsicher anzeigen.
Stefan

Wäre das hier ein Guter?
https://www.tonitrus.com/de/netzwerk/cisco/access-point-controller/cisco ...

Da 18xx sollte der doch auch Mobility Express sein oder nicht?

Und wie sieht es mit einem neuem "Cisco Business 240AC Access Point" aus?
Wo fängt Entprise für Dich an?

Stefan

Alles was *8** im Namen hat sind Mobility Express APs also APs die ihren WLAN Controller selber in der Firmware an Bord haben. Das ist dann analog zu Ruckus Unleashed APs bei denen das ebenso ist.

Die 1800er Serie supporten alle WPA 3. Siehe Datenblatt unter "Prominent features"!!
https://www.cisco.com/c/en/us/products/collateral/wireless/aironet-1815- ...

Die AC240 APs sind vorbereitet für WPA3 da kommt es mit einem neuen Release:
https://www.cisco.com/c/en/us/products/collateral/wireless/business-200- ...

Datenblätter lesen hilft wirklich! 😉

Hallo

könnte mir jemand sagen wo ich in der Weboberfläche Cisco Aironet 2600 Series AP den Universal Admin Mode finde zum deaktivieren?

Hat der Catalyst 9120AXE Access Point auch eine Weboberfläche um an der FritzBox betrieben zu werden?

Um einen Cisco AP an der Fritte zu betreiben braucht es kein Web GUI. Jedenfalls nicht zwingend. Die Fritte hat ja keinerlei Einfluss auf den AP weder von der Konfig noch vom Betrieb. Folglich ist es völlig egal ob du den AP via KlickiBunti GUI oder CLI konfigurierst. Ggf. machst du hier einen Denkfehler?! 🤔

Du hast recht man brauch keine Web GUI aber es tut vieles erleichtern ich habe die ganzen Befehle nicht im Kopf.

Nochmal zu meiner ersten Frage ich konnte den Reiter Universal Admin Mode leider nicht finden in der Web GUI wo soll das sein oder gibt es ein cmd Befehl dafür den man über putty ein gibt?

Hallo,
ich habe einen 3702 und eine 2702 als bridge in meinem Netzwerk laufen.
Die geräte haben jeweils einen eigenen eindeutigen Hostnamen. Dieser wird aber nicht in meiner Fritzbox angezeigt...
Der erste Ap der die Brücke baut heißt wird dort "ap" genannt, der andere "PC-192-168-178-7".
Gibt es eine Möglichkeit beiden APs einen Netzwerknamen über die config zuzuweisen?
Alles was ich bisher gefunden habe ist die Einstellung eines Hostnamens (den ich habe)...

Vielen Dank für Eure Mühe!

Gruß Markus

aber es tut vieles erleichtern

Tuten tut bekanntlich der Nachtwächter und wenn er genug getutet hat, tut er seine Tute wieder in den Tutkasten rein.

ich konnte den Reiter Universal Admin Mode leider nicht finden in der Web GUI wo soll das sein

Er ist gleich im Hauptmenü des APs in der Radio Configuration:

@Moet01

Dieser wird aber nicht in meiner Fritzbox angezeigt...

Das liegt sehr wahrscheinlich daran das du vergessen hast LLDP auf dem AP zu aktivieren, kann das sein? Ein...
no cdp run
lldp run
im CLI oder entsprechendes Klicken im GUI sollte das sofort fixen.
Siehe dazu auch hier:
LLDP und FRITZ!Box 7530

Danke für die schnelle Antwort!

Der Bridge "Host" hat funktioniert... beim Bridge "Client" bekomme ich nen Fehler:

Client(config)#no cdp run
Client(config)#lldp run
                      ^
% Invalid input detected at '^' marker.  

Client(config)#lldp run
                      ^
% Invalid input detected at '^' marker.  

Der Pfeil zeigt auf das zweite "l"

Woran könnte das liegen? Der Client ist ein AIR 2702, der Host ein 3702- gibts da unterschiede in der Funktionalität?

Das ist möglich allerdings ist das keine Frage der Hardware sondern immer der Firmware Version.
Der Cisco hat das Kommando Handbuch ja immer online mit dabei und hilft dir mit dem "?" immer bei der Erklärung ob Kommandos vorhanden sind und was genau diese machen.

Client(config)#ll? = zeigt dir z.B. alle Kommandos an die mit "ll" anfangen. Steht dort schon kein "lldp" kennt diese FW Version das Kommando nicht
Client(config)#lldp ? = zeigt dir alle Subkommandos vom Kommando "lldp" an. Wenn es das Kommando "lldp" gibt kannst du sehen ob es dort Unterkommandos gibt.
ll<TAB_Taste> = Komplettiert dir alle Kommandos die mit "ll" beginnen. Wenn es mehrere gibt zeigt der Kommando Parser diese zur Auswahl an.

Über diese online Kommandohilfe hilft dir der Cisco immer und du kannst genau checken ob es das Kommando überhaupt gibt und wenn ja welche Unterkommandos vorhanden sind. 😉

Hallo,
bei mir läuft ein Cisco 3702 im Standalone-Mode.

Wenn ich auf die GUI zugreife, habe ich folgendes Verhalten:

1.) Zugriff per LAN mit Brave-Browser -> Das Laden mancher Seiten dauert mehrere Sekunden (>20), andere kommen sofort
2.) Zugriff per LAN mit Firefox-Browser (gleicher PC wie bei 1.)) -> Alle Seiten kommen sofort
3.) Zugriff per WLAN mit Brave-Browser (Tablet) -> Alle Seiten kommen sofort.

Habe bei 1.) schon bei Brave die Seiten-Überwachung abgeschaltet, hat aber nichts gebracht.

Hat jemand eine Idee?

Danke schon mal

Ergänzung (habe ich gerade entdeckt):
Wenn ich bei 1.) die Seite laden will, dann kurz auf einen anderen TAB im Browser hin und wieder zurück wechsel, ist die Seite sofort da.
... schon seltsam

Muss was mit dem Browser selbst zu tun haben. Benutze hier Safari und Firefox und dort kommen die Seiten auf Mausklick. Sowohl LAN als auch WLAN.

Stimmt. Mit Firefox kommen die Seiten sofort.
Brave scheint hier sich etwas zu sperren.

Suche eine akuellere Firmenware für Aironet 2600i Access Point drauf ist jetzt 15.2(2)JA. Gibt es da was ohne Servicevertrag?

Den deine Frage betreffenden Download Hinweis des Kollegen @Benandi von oben hast du gelesen?? 🤔
Firmware Download ohne Service
Zusätzlich hat das Tutorial selber auch eine Quelle für die ap3g2-xxx Autonomous Firmware die du vermutlich (geraten) meinst?!
Etwas genauer lesen sollte man das Tutorial schon...

Anleitung Netzwerke LAN, WAN, Wireless Netzwerkgrundlagen

Serie: Cisco-Tutorials

Cisco WLAN Access Points 3800, 3702, 2702 für den Heimgebrauch umrüsten122 Cisco Telefone für All IP Anschluss, FritzBox und andere VoIP Anlagen fit machen183 Cisco 800, 900, ISR1100 Router Konfiguration mit xDSL, Kabel, FTTH Anschluss und VPN285

Mehr von aqui

Freeradius Management mit WebGUIaqui - 60 Kommentare

Outlook kostenlos für Apple Macaqui - 10 Kommentare

Netzwerkverkehr mit NetFlow bzw. IPFIX visualisierenaqui - 1 Kommentar

Wie ESXi VMs richtig sichern ?aqui - 29 Kommentare

Heiß diskutiert