ShineDaStar 10 Geschrieben 13. Dezember 2009 Melden Teilen Geschrieben 13. Dezember 2009 Hallo liebe Forengemeinde, ich habe es nun auch endlich mal geschafft, meinen WLC auszupacken und das Ganze zu konfigurieren. Meine AP´s haben fest IP´s, den WLan Controller habe ich im Basic eingerichtet. Clients können sich verbinden, sehen den AP, können aber nicht ins Internet. Bei mir ist das so gelöst router->ASA->2 Kabel an WLC ( 1 Admin, 1 Lan ). anbei mal die config des WLC: (Cisco Controller) >show running-config 802.11a cac voice tspec-inactivity-timeout ignore 802.11a cac voice stream-size 84000 max-streams 2 802.11a txPower global 1 802.11b cac voice tspec-inactivity-timeout ignore 802.11b cac voice stream-size 84000 max-streams 2 aaa auth mgmt local radius acl create Zugang_WLAN_Privat acl rule add Zugang_WLAN_Privat 1 acl rule action Zugang_WLAN_Privat 1 permit acl rule destination address Zugang_WLAN_Privat 1 0.0.0.0 0.0.0.0 acl rule destination port range Zugang_WLAN_Privat 1 0 65535 --More-- or (q)uit acl rule source address Zugang_WLAN_Privat 1 0.0.0.0 0.0.0.0 acl rule source port range Zugang_WLAN_Privat 1 0 65535 acl rule direction Zugang_WLAN_Privat 1 Any acl rule dscp Zugang_WLAN_Privat 1 Any acl rule protocol Zugang_WLAN_Privat 1 Any acl apply Zugang_WLAN_Privat Location Summary Algorithm used: Average Client RSSI expiry timeout: 5 sec Half life: 0 sec Notify Threshold: 0 db Calibrating Client RSSI expiry timeout: 5 sec Half life: 0 sec --More-- or (q)uit Rogue AP RSSI expiry timeout: 5 sec Half life: 0 sec Notify Threshold: 0 db RFID Tag RSSI expiry timeout: 5 sec Half life: 0 sec Notify Threshold: 0 db location rssi-half-life tags 0 location rssi-half-life client 0 location rssi-half-life rogue-aps 0 location expiry tags 5 location expiry client 5 location expiry calibrating-client 5 location expiry rogue-aps 5 --More-- or (q)uit Cisco Public Safety is not allowed to set in this domain ap syslog host global 255.255.255.255 country DE Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 13. Dezember 2009 Autor Melden Teilen Geschrieben 13. Dezember 2009 custom-web redirectUrl "http://www.google.de" custom-web webtitle "NGN Wireless Network Login Page" dhcp create-scope Internal_Clients dhcp address-pool Internal_Clients 192.168.10.100 192.168.10.124 dhcp default-router Internal_Clients 192.168.10.1 192.168.10.2 dhcp enable Internal_Clients dhcp dns-servers Internal_Clients 192.168.10.1 192.168.10.2 192.168.2.1 dhcp domain Internal_Clients painlan.wlan dhcp network Internal_Clients 192.168.10.0 255.255.255.0 local-auth method fast server-key ***** interface create wlan01priv01ltb01 5 --More-- or (q)uit interface address ap-manager 192.168.3.3 255.255.255.0 192.168.3.10 interface address management 192.168.3.2 255.255.255.0 192.168.3.10 interface address dynamic-interface tkgnwlan01priv01ltb01 192.168.10.1 255.255.255.0 192.168.10.2 interface address virtual 9.9.9.9 interface dhcp ap-manager primary 192.168.3.10 interface dhcp management primary 192.168.3.10 interface dhcp dynamic-interface wlan01priv01ltb01 primary 192.168.10.2 interface vlan wlan01priv01ltb01 5 interface port ap-manager 1 interface port management 1 interface port tkgnwlan01priv01ltb01 2 interface acl wlan01priv01ltb01 Zugang_WLAN_Privat --More-- or (q)uit load-balancing window 5 memory monitor error disable memory monitor leak thresholds 10000 30000 mesh security eap mgmtuser add ShineDaStar**** read-write mobility group domain painlan.local network multicast mode multicast 0.0.0.0 network broadcast enable network fast-ssid-change enable network rf-network-name painlan.local snmp version v2c enable --More-- or (q)uit snmp version v3 enable sysname TKGNWLCS01LTB01 time ntp interval 3600 time ntp server 1 192.168.2.1 wlan create 1 NGN_Private-Lan painlanLTB01 wlan interface 1 wlan01priv01ltb01 wlan acl 1 Zugang_WLAN_Privat wlan session-timeout 1 1800 wlan wmm allow 1 wlan security static-wep-key encryption 1 104 <mode unknown> <passwd hidden> 1 wlan security wpa akm 802.1x disable 1 wlan security wpa akm psk enable 1 --More-- or (q)uit wlan security wpa wpa1 ciphers tkip enable 1 wlan security wpa wpa2 ciphers aes disable 1 wlan security wpa wpa2 ciphers tkip enable 1 wlan dhcp_server 1 192.168.10.1 wlan enable 1 Port 5,6, sind an einen PoE Injector und dann auf 2 AP´s, 7,8 mit PoE direkt an die AP´s angebunden. Die AP´s haben ihre Addresse im 192.168.3.0 Bereich Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 13. Dezember 2009 Autor Melden Teilen Geschrieben 13. Dezember 2009 An Port 1 ist das Management via ASA angeschlossen, aus dem Internen Netz, 192.168.0.0, kann man auf das Management 192.168.3.0 zugreifen. Ein WLan ist eingerichtet, erscheint bei den clients, diese bekommen eine IP, können aber nicht ins Internet und der WLC erreicht meinen AAA Server unter 192.168.0.2 nicht. Die config meiner ASA sieht so aus: : Saved : ASA Version 8.2 (1) ! hostname FW01ASA01LTB01 domain-name painlan.local enable password Jf/.encrypted passwd Jf/.encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address dhcp setroute ! interface Vlan3 nameif WLC_Wlan_Control security-level 60 ip address 192.168.3.1 255.255.255.0 ! interface Vlan4 nameif AdminWEB security-level 99 ip address 192.168.4.1 255.255.255.0 ! interface Vlan5 nameif WLN01LTB01 security-level 60 ip address 192.168.10.2 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 switchport trunk allowed vlan 3 ,5 switchport mode trunk switchport protected ! interface Ethernet0/6 switchport access vlan 3 ! interface Ethernet0/7 switchport access vlan 4 ! ftp mode passive clock timezone CET 1 clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 dns domain-lookup inside dns domain-lookup WLC_Wlan_Control dns domain-lookup AdminWEB dns server-group DefaultDNS retries 3 timeout 1 name-server 192.168.2.1 name-server 192.168.4.2 name-server 192.168.3.2 domain-name painlan.local access-list outside_in extended permit icmp any any echo-reply access-list outside_in extended deny ip any any log access-list WLan_in extended permit ip any any access-list Admin_in extended permit ip any any access-list WLan_In_Client extended permit ip any any pager lines 24 logging enable logging timestamp logging console alerts logging history warnings logging asdm informational logging queue 1024 logging host inside 192.168.0.2 format emblem logging permit-hostdown logging class auth trap errors logging class config trap notifications logging class ids trap warnings logging class ip trap emergencies logging class np trap errors logging class rm trap errors logging class sys trap errors logging class vm trap errors logging class dap trap errors Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 13. Dezember 2009 Autor Melden Teilen Geschrieben 13. Dezember 2009 mtu inside 1500 mtu outside 1500 mtu WLC_Wlan_Control 1500 mtu AdminWEB 1500 mtu TKGNWLN01LTB01 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (outside) 1 interface global (outside) 1 192.168.2.2 netmask 255.255.255.0 global (WLC_Wlan_Control) 1 interface global (WLC_Wlan_Control) 1 192.168.3.10 netmask 255.255.255.0 global (AdminWEB) 1 interface global (AdminWEB) 1 192.168.4.2 netmask 255.255.255.0 global (WLN01LTB01) 1 interface global (WLN01LTB01) 1 192.168.10.0 netmask 255.255.255.0 nat (inside) 1 192.168.0.0 255.255.255.0 nat (outside) 1 192.168.2.0 255.255.255.0 nat (WLC_Wlan_Control) 1 192.168.3.0 255.255.255.0 nat (AdminWEB) 1 192.168.4.0 255.255.255.0 nat (WLN01LTB01) 1 192.168.10.0 255.255.255.0 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy aaa-server Administration protocol radius accounting-mode simultaneous aaa-server Administration (inside) host 192.168.0.2 timeout 5 key Klattnetwork aaa authentication ssh console LOCAL aaa authentication telnet console Administration http server session-timeout 2 http 192.168.0.0 255.255.255.0 inside snmp-server location Serverraum 1.UG snmp-server contact Tobias snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet 192.168.0.0 255.255.255.0 inside telnet timeout 5 ssh 192.168.0.0 255.255.255.0 inside ssh timeout 5 console timeout 0 dhcpd dns 192.168.2.1 dhcpd wins 192.168.0.2 dhcpd lease 1800 dhcpd auto_config outside ! dhcpd address 192.168.0.20-192.168.0.68 inside dhcpd dns 192.168.2.1 192.168.0.1 interface inside dhcpd enable inside ! dhcpd address 192.168.3.20-192.168.3.30 WLC_Wlan_Control dhcpd dns 192.168.2.1 192.168.3.1 interface WLC_Wlan_Control dhcpd option 43 ip 192.168.3.0 interface WLC_Wlan_Control dhcpd enable WLC_Wlan_Control ! dhcpd address 192.168.10.100-192.168.10.124 WLN01LTB01 dhcpd dns 192.168.2.1 interface WLN01LTB01 dhcpd option 43 ip 192.168.10.0 interface WLN01LTB01 dhcpd enable WLN01LTB01 ! priority-queue outside tx-ring-limit 256 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ntp server 192.168.2.1 source outside prefer ntp server 192.53.103.108 source outside username Tobi password Iya.encrypted privilege 15 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum: : end Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 13. Dezember 2009 Autor Melden Teilen Geschrieben 13. Dezember 2009 Meine Fragen sind nun dahingehend: ->Wie bekomme ich das hin, dass am Besten die ASA das DHCP für das WLAN macht ->Wie bekomme ich das WLan Roaming hin ->Wie verschaffe ich den WLan clients den Zugang zum Internet ->Wie verschaffe ich den WLan usern Zugang zu Netzwerkressourcen im internen Netz ->Wie bekomme ich den Controller dazu, meinen AAA Server zu nutzen, der die IP 192.168.0.2 hat ->Wie bekomme ich das Ganze relativ sicher? Ich habe mir schon im Forum und bei Mutter Google den Wolf gesucht und nach 7 Tagen testen, komme ich einfach nicht weiter, und würde mich freuen, wenn Ihr mir bei der configuration helfen könnt. Danke Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 14. Dezember 2009 Melden Teilen Geschrieben 14. Dezember 2009 Hier erst mal ein Dokumentverweis. Wenn du die Dinger durch hast, dann sind deine Fragen beantwortet: Enterprise Mobility 4.1 Design Guide [Design Zone for Mobility] - Cisco Systems Deploying Cisco 440X Series Wireless LAN Controllers - Cisco Systems Wie bekomme ich das hin, dass am Besten die ASA das DHCP für das WLAN macht Die ASA als DHCP Server oder DHCP Relay konfigurieren. Für das WLAN VLAN im WLC, fügst du als DHCP Server die VLAN IP der ASA ein. Wie bekomme ich das WLan Roaming hin Verstehe die Frage nicht. Layer-2 oder Layer-3 roaming. Kleiner Leitsatz: Ausser bei Cisco WLAN Clients ist Roaming eine reine Clientsache! Natürlich brauchst du für Roaming mehrere APs :suspect: , welche alle die Selbe SSID zur Verfügung stellen. Je nach Größe, Konzept und flächenmäßige Trennung, segmentiert man das ganze noch in verschiedene Subnetze und macht Layer-3 Roaming. Dafür kann dir hier aber bestimmt niemand eine Pauschalempfehlung geben - das hängt echt von den lokalen Gegebenheiten ab! Hier verweise ich auf den "Mobility Design Guide" Wie verschaffe ich den WLan clients den Zugang zum Internet Keinen Blassen was da falsch läuft. Deine Clients haben sich mit dem WLAN verbunden und ne IP über DHCP bezogen. Was ich noch checken würde: - Router Option beim DHCP vergessen? (Default Gateway fehlt) - DNS Option beim DCHP vergessen? (keine DNS Auflösung) - Ping Default Gateway (ASA) - Namensauflösungstest Ich schätze es wird an irgendeiner ACL auf der ASA oder so liegen. Warum hast du eigentlich ACLs auf dem Controller, wenn sowieso direkt hinter dem WLC die ASA ist? Das würde ich mir wenn es geht sparen, da das normale (non-Stateful) ACLs sind. Das Logging und Management von solchen ACLs finde ich persönlich nicht so dolle! Wie verschaffe ich den WLan usern Zugang zu Netzwerkressourcen im internen Netz Verstehe die Frage schon wieder nicht. Stinknormales Routing und Switching? Vielleicht an der ASA noch was freischalten?! Denk daran: WLAN ist prinzipiell unsicher und macht an der Geländegrenze in der Regel nicht halt. Wenn nur schwache Authentifizierung und Verschlüsselung eingesetzt werden, würde ich das Netz Richtung innen nicht sperrangelweit aufmachen. Ich persönlich sehe alle mit einem gemeinsamen Schlüssel (WEP, WPA PERSONAL, WPA2 PERSONAL, schwache EAP Methoden, gemeinsame EAP Credentials) als unsicher an. Aber das hängt von der Security Policy deines Ladens ab. Auch hier wirst du nichts pauschales bekommen, denke ich. Wie bekomme ich den Controller dazu, meinen AAA Server zu nutzen, der die IP 192.168.0.2 hat Sorry - das sind ja wirklich Basics. Ich rate dir echt mal die Doku zu lesen! Ansonsten wirst du beim Betrieb des Dings nicht glücklich. Aber in der Kürze: AAA Konfig entweder in der SSID oder global. Die AAA Server konfigurierst du in der Management Section glaube ich. Firewall Freischaltungen vom WLC zum AAA nicht vergessen! Wie bekomme ich das Ganze relativ sicher? Mein Vorgehen: WPA2 ENTERPRISE (802.1x) mit einer sicheren EAP Methode (PEAP, EAP-TLS, EAP-TTLS, EAP-FAST) Oder eben nur eine PSK Verschlüsselung und die Firewall ziemlich dicht machen! Ich habe mir schon im Forum und bei Mutter Google den Wolf gesucht und nach 7 Tagen testen Für sowas sucht man da auch nicht unbedingt (Konfig). Auf der Cisco Seite findest du alles was du brauchst - und mehr. Neben den Dokumenten oben rate ich dir zu aller erst mal den "Software Configuration Guide" zu Lesen: Cisco Wireless LAN Controller Configuration Guide, Release 5.2 - Cisco Systems Das ist für die 5.2er Software. Wie gesagt, du wirst auf CCO fündig. Du kannst die Doku für die 4400 Controller benutzen. Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 14. Dezember 2009 Melden Teilen Geschrieben 14. Dezember 2009 Sorry wenn ich nur kurz und knapp drauf eingegangen bin, aber diese Fragen sind nicht spezielles, sondern nur Basics. Les die Dokumente und dann dürfte eigentlich alles klar sein. Vielleicht holt ja ein anderer Boardie noch etwas mehr aus, aber ich persönlich weiß bei den ganzen und offenen Fragen nicht, wo ich anfangen und aufhören soll. Für mich hört sich das Ganze so an, als würdest du eine gesamt WLAN-System Konzeption brauchen. Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 14. Dezember 2009 Autor Melden Teilen Geschrieben 14. Dezember 2009 Sorry wenn ich nur kurz und knapp drauf eingegangen bin, aber diese Fragen sind nicht spezielles, sondern nur Basics. Les die Dokumente und dann dürfte eigentlich alles klar sein.Vielleicht holt ja ein anderer Boardie noch etwas mehr aus, aber ich persönlich weiß bei den ganzen und offenen Fragen nicht, wo ich anfangen und aufhören soll. Für mich hört sich das Ganze so an, als würdest du eine gesamt WLAN-System Konzeption brauchen. Das ist es ja und genau das bringt mich zum Zweifeln. Ich habe ein management LAN, ap-manager lan, beides untagged und in diesem Netz ist der controller, die ASA, die AP´s. Dann habe ich dem wlan ein vlan gegeben, auf der asa den access port konfiguriert, aber: Die clients bekommen keine IP. Verwende ich den DHCP Server des controllers, bekommen die Clients ne IP, können aber nicht ins Internet. Die Dienste aus dem Netz wären nur eigendlich Drucker, sonst kann es so bleiben, vllt. noch den Homeserver erreichbar machen, muss aber nicht. Das Prinzipielle ins Netz kommen geht nicht und da habe ich mich an die Config Guides gehalten, dennoch kann ich nicht ins internet. Die ASA erlaubt ja per default, dass alles, was eine sicherheitsstufe unter der eigenen interface hat, connectierbar ist, das geht aber nicht. Kein Ping vom Controller auf die ASA oder den Router, kein nichts... das ist ja genau das, was mich so zweifeln lässt... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 15. Dezember 2009 Melden Teilen Geschrieben 15. Dezember 2009 Die ASA erlaubt ja per default, dass alles, was eine sicherheitsstufe unter der eigenen interface hat, connectierbar ist, das geht aber nicht. Kein Ping vom Controller auf die ASA oder den Router, kein nichts... das ist ja genau das, was mich so zweifeln lässt... ICMP und Service Policy? Manchmal bewirkts Wunder, bzw. laesst einen verzweifeln :) Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 15. Dezember 2009 Melden Teilen Geschrieben 15. Dezember 2009 ICMP und Service Policy? Manchmal bewirkts Wunder, bzw. laesst einen verzweifeln :) Lol - und ich Hirsch schreib hier WLAN Romane :shock: Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 15. Dezember 2009 Autor Melden Teilen Geschrieben 15. Dezember 2009 Lol - und ich Hirsch schreib hier WLAN Romane :shock: jetzt bin ich verwirrt, wenn ich den internen dhcp des controllers nehme, funktioniert es, allerdings grad nur mit wpa2, weil das mit dem radius und so einfach nich in mein gelingen geraten will... Und ich weiss nicht was ich groß anders gemacht habe, als im controller den controller als dhcp server anzugeben... das is doch zu krass... Naja... jetzt muss ich heraus finden, welcher AAA Server es für umme gibt, bzw. wie man im WHS den IAS so einstellt, dass man den für freigaben im WLan und zur konfiguration auf den consolen nutzen kann... Das is das, was mich an der ASA wundert... man schaut sich mehrmals die config auf der console durch und auf einmal geht es, niemand weiss wieso und warum... ;-) Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 15. Dezember 2009 Melden Teilen Geschrieben 15. Dezember 2009 Hi, hier findest du einige Samples für den IAS Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 15. Dezember 2009 Autor Melden Teilen Geschrieben 15. Dezember 2009 was kann ich denn an meiner Firewallconfig noch ändern, was grob unsicher ist, bzw. für QoS und Sicherheit? Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 15. Dezember 2009 Autor Melden Teilen Geschrieben 15. Dezember 2009 Nun ist es wirklich strange, auf einmal geht kein wlan mehr, weil man keine dhcp zugewiesene addresse mehr bekommt. Weder die ASA, noch der WLC dhcp server hat lust die IP Addressen zu konfigurieren... Ich verstehe einfach nicht, was da falsch läuft, dass das nicht funktionieren mag... Ich habe an port 2 des WLC die ASA angeschlossen, der port, der für das Internet da ist. Mit statischer IP Funktioniert das einwandfrei, aber weder die ASA, noch WLC, wie gesagt, verteilen IP Addressen und ich weiss nicht warum. Hat mir einer nen Rat? Ich wäre sehr dankbar, denn so langsam drehe ich an selbigem ;-) Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 16. Dezember 2009 Melden Teilen Geschrieben 16. Dezember 2009 Entschuldige die Frage - aber testest du mit mehr als einem WLAN Client? Das hört sich für mich stark nach nem Client Problem an. Hast du schon mal gecaptured, was für DHCP Messages geschickt werden? Richte vielleicht mal einen Span Port an dem WLC Interface Richtung DHCP Server ein und capture mit. Ansonsten verstehe ich deine Aussage bezüglich 802.1x / IAS nicht wirklich. Du sagst, dass du WPA2 nutzt, weil du RADIUS nicht ans rennen bekommst. Sorry, das eine hat mit dem anderen gar nichts zu tun bzw. das schließt sich nicht aus! Erlaube mir bitte nochmal die Frage: Was hast du eigentlich im Detail vor? Welche Security Policys gelten? Ist 802.1x für WLAN gesetzt oder werden PSKs verwendet? Ich hab echt den Faden verloren, was eigentlich die konkrete Zielsetzung ist... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.