Cisco DHCP relay - Netwerken

dinsdag 8 april 2008 17:08

Acties:

Verwijderd

Topicstarter

Groetjes beste tweakers

ik zit momenteel in een project voor mijn stage en ik werk hier met Cisco. nu ik heb nog nooit cisco gehad dus het is wel redelijk moeilijk voor me.

het probleem wat ik voor heb:

ik moet een dhcp server opzetten en deze gaat dan cisco AP's voorzien van IP's.
de AP's connecteren naar de server via VPN.

nu ik kan de AP's instelle als dhcp relay. ip helper-address ...

maar als ik met een laptop probeer te connecteren krijg ik geen IP

momenteel heb ik een test opstelling staan. een Cisco AP is ingeplugd opdezelfde switch als de server.
het rare is:
ik kan niet pingen naar de server, maar de server krijgt wel paketten toegestuurd. Heb ik eventjes onderzicht met een sniffer.
dus hij zit er wel op maar ik denk dat de config van mijn router niet in orde is.

het is ook maar heel basis, ken er niet veel van in.
enige hulp is meer dan welkom.

config:
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$JWpU$iHkGRDPJ6mcwLuUCu.1kX/
!
ip subnet-zero
!
!
no aaa new-model
!
dot11 ssid surfzone
authentication open
guest-mode
!
!
!
username Cisco password 7 13261E010803
!
bridge irb
!
!
interface Dot11Radio0
ip address 192.168.3.254 255.255.255.0
ip helper-address 192.168.2.254
no ip route-cache
!
ssid surfzone
!
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
ip address 192.168.2.8 255.255.255.0
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!

interface BVI1
ip address dhcp client-id FastEthernet0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp...smbiz/prodconfig/help/eag
!
access-list 101 permit icmp any any echo-reply
access-list 101 permit udp any any
access-list 110 permit icmp any any echo
access-list 110 permit icmp any any echo-reply
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
transport preferred all
transport output all
line vty 0 4
login local
transport preferred all
transport input all
transport output all
line vty 5 15
login
transport preferred all
transport input all
transport output all
!
end

dinsdag 8 april 2008 17:13

Acties:

TrailBlazer

Karnemelk FTW

kan je wel de server 192.168.2.254 pingen met als source 192.168.3.254

en haal die bridge group meuk eens van je ethernetinterface af is helemaal nerges voor nodig met deze testopstelling lijkt me.

[ Voor 48% gewijzigd door TrailBlazer op 08-04-2008 17:15 ]

dinsdag 8 april 2008 17:18

Acties:

Verwijderd

En haal je encrypted passwords uit de config, want zeker "username Cisco password 7 ..." is zo te decoden...

dinsdag 8 april 2008 17:29

Acties:

TrailBlazer

Karnemelk FTW

lekker belangrijk dat die wachtwoorden te decoden zijn. Dat ding hangt duidelijk niet aan het internet en het wachtwoord is Cisco (net gedecode). Sowieso is dat het 1e wachtwoord wat iedereen probeert dus of het er nu wel of niet instaat zo lek als een mandje is het toch wel.

http://www.hope.co.nz/projects/tools/ciscopw.php

hier kan je ze online decoden.

[ Voor 13% gewijzigd door TrailBlazer op 08-04-2008 17:30 ]

dinsdag 8 april 2008 17:47

Acties:

Verwijderd

TrailBlazer schreef op dinsdag 08 april 2008 @ 17:29:
lekker belangrijk dat die wachtwoorden te decoden zijn. Dat ding hangt duidelijk niet aan het internet en het wachtwoord is Cisco (net gedecode). Sowieso is dat het 1e wachtwoord wat iedereen probeert dus of het er nu wel of niet instaat zo lek als een mandje is het toch wel.

http://www.hope.co.nz/projects/tools/ciscopw.php

hier kan je ze online decoden.

Ja, dat decoden had ik zelf ook al gedaan... maar veel mensen weten niet dat die wachtwoorden makkelijk te decoden zijn, dus ik waarschuw maar even... niet aan Internet hangen is natuurlijk geen excuus voor slechte beveiliging, en inderdaad, het ww zelf is ook niet al te secure :-)

dinsdag 8 april 2008 21:09

Acties:

ThaWurm

Wat zie je op de DHCP server binnen komen? Komt het DHCP verzoek van je client wel bij de DHCP server aan. En is er een scope voor 192.168.3.0 op de DHCP server aanwezig. Want aangezien je de ip helper-address op een interface in die reeks heb staan zal je een scope moeten hebben in die reeks. Want in het DHCP discover packet wat de cisco zal forwarden voor je zal 192.168.3.254 als relay adres staan. En aan de hand van dat adres wordt bepaald wat de scope moet zijn 192.168.3.x dus.

Mikrozagt
Linux is Luke. FreeBSD is Yoda

woensdag 9 april 2008 10:04

Acties:

Verwijderd

Topicstarter

Pingen is dus niet mogelijk. ik heb geen idee waarom niet, ik denk dat de access list ni ingesteld zijn ervoor ( als het daar vanaf hangt, ken er zelf niet geweldig veel van. ik ben er redelijk aan ingegooit )
de dhcp server heeft een volledige config script voor dat subnet option routers staat op 192.168.3.254.

de router heeft op wlan IP 192.168.3.254
ethernet is momenteel 192.168.2.8
DHCP server hangt op 192.168.2.254

ohja, bedankt om mij er aan te herinnere dat mijn test opstelling nog het default cisco wachtwoord heeft ...
dat wordt echt wel veranderd hoor :-)

woensdag 9 april 2008 10:14

Acties:

TrailBlazer

Karnemelk FTW

pas je config even an er zit nogal veel troep in volgens mij.
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$JWpU$iHkGRDPJ6mcwLuUCu.1kX/
!
ip subnet-zero
!
!
no aaa new-model
!
dot11 ssid surfzone
authentication open
guest-mode
!
!
!
username Cisco password 7 13261E010803
!
!
!
interface Dot11Radio0
ip address 192.168.3.254 255.255.255.0
ip helper-address 192.168.2.254
no ip route-cache
!
ssid surfzone
!
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
station-role root
!
interface FastEthernet0
ip address 192.168.2.8 255.255.255.0
no ip route-cache
duplex auto
speed auto
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp...smbiz/prodconfig/help/eag
!
control-plane
!
!
!
line con 0
transport preferred all
transport output all
line vty 0 4
login local
transport preferred all
transport input all
transport output all
line vty 5 15
login
transport preferred all
transport input all
transport output all
!
end
[/quote]
Ik heb nooit eerder een wifi AP geconfigged maar het lijkt me sterk als je al die bridge meuk nodig hebt in jouw geval
Je server heeft wel zijn default gateway goed staan naar de 192.168.2.8

woensdag 9 april 2008 10:56

Acties:

Verwijderd

Topicstarter

Heb zonet de aangepaste config eens laten lopen en het werkt niet.
de router pingt dus niets. zelfs zijn eigen niet. ik krijg altijd de foutmelding
% Unrecognized host or address, or protocol not running.

telnet lukt ook niet. ben een beetje aan het wanhopen hier ...

woensdag 9 april 2008 10:59

Acties:

TrailBlazer

Karnemelk FTW

Hmm dat is wel vaag. tik eens
ip routing
in config mode.

woensdag 9 april 2008 11:19

Acties:

Verwijderd

Topicstarter

Eeeen dat werkt blijkbaar niet ...
ip routing in config mode bolt dus niet.
AIR-AP1220-IOS-UPGRD is het modeltype van de router waarmee ik bezig ben.
aan de firmware ligt het niet. die is versie 12.3 en vanaf 12.0 was ip routing er .

ap(config)#ip routing
^
% Invalid input detected at '^' marker.

ik heb wel ip redirects gevonden. niet zeker of dat hetzelfde is .

ap#show ip redirects
Default gateway is 192.168.2.254

Host Gateway Last Use Total Uses Interface
ICMP redirect cache is empty

woensdag 9 april 2008 11:25

Acties:

TrailBlazer

Karnemelk FTW

hmm ik ben bang dat ik afhaak en gewoon te weinig weet van AP

woensdag 9 april 2008 11:38

Acties:

Verwijderd

De AP1200 ondersteund geen "ip routing" commando, en ook geen "show ip route", zie http://www.cisco.com/en/U...mmand_reference_list.html; ik vermoed dus (heb ook geen ervaring met deze AP's) dat hij dus helemaal geen routing ondersteund. Dat betekent dus dat je aan beide zijden van het AP dezelfde IP range gebruikt. Voordeel is dan weer wel dat je ook geen DHCP relay nodig hebt... (volgens diezelfde pagina bestaar dat commando ook niet op de AP's)
Je moet dus waarschijnlijk toch weer een bridging config erin draaien, iets in de richting van:

code:

interface Dot11Radio0
  no ip address
  bridge-group 1

interface FastEthernet0
  no ip address
  bridge-group 1

interface BVI1
  ip address ...

En natuurlijk de rest van de config overnemen uit je originele/die van TB.

woensdag 9 april 2008 11:42

Acties:

TrailBlazer

Karnemelk FTW

Dat denk ik ook inderdaad. Alleen ik heb te weinig ervaring om daar verder iet over te zeggen maar met de cisco sit emoet je wel een heel eind komen.

vrijdag 18 april 2008 10:24

Acties:

Verwijderd

Waarom doe je het niet zo:
Op deze manier heb je n.l. geen helper-address nodig aangezien je wireless netwerk (SSID surfzone) gebridged wordt in hetzelfde vlan als waar je dhcp server hangt. En anders maak je gewoon een extra wireless vlan (SSID) aan en configureer je een trunk op de switch poort waar je accesspoint aan hangt.

dot11 vlan-name Clients vlan 1
!
dot11 ssid surfzone
vlan 1
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
i
nterface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers tkip
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
ssid surfzone
!
speed basic-1.0 basic-2.0 basic-5.5 basic-6.0 basic-9.0 basic-11.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
channel 2437
station-role root
rts threshold 2312
no dot11 extension aironet
no cdp enable
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
no cdp enable
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.2.8 255.255.255.0
no ip route-cache
!

vrijdag 18 april 2008 15:24

Acties:

Whizzer

Flappie!

Een AP1220 kan niet routeren, dus je moet met een bridge-group werken. Mede omdat dat ding dus niet laag 3 doet, is een IP helper adres niet nodig op dat ding, dat heeft geen nut.

Daarbij heeft je AP een ip adres uit het 192.168.3.0/24 segment, maar is je DHCP server 192.168.2.254. Dat betekent dus dat er elders nog een laag 3 apparaat (lees: router) tussen zit. Op dat tussenliggende apparaat moet in ieder geval IP helper aan staan. Goed de config lezen Whizzer...

Overigens doe ik meestal de FA0 interface zonder ip adres "no ip address" en alleen een IP adres op de BVI interface.

Vergeet je ook niet een "ip default-gateway" op te geven in je config? Is wellicht handig

Edit: De optie van Cneeliz is op zich wel leuk (sterker nog, meerdere SSID's moet je in een trunk duwen en je kunt er leuke geintjes mee uithalen), maar dat betekent dat ook wel dat je de switchport waarop dit AP zit aangesloten dan ook als 802.1q trunk moet configureren.Lezen Whizzer.... lezen...

Edit 2: Ik heb even 5 minuutjes over... Probeer deze config eens:

code:

version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$JWpU$iHkGRDPJ6mcwLuUCu.1kX/
!
ip subnet-zero
!
!
no aaa new-model
!
dot11 ssid surfzone
authentication open
guest-mode
!
!
!
username Cisco password 7 13261E010803
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
ssid surfzone
!
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
no shut
!
interface FastEthernet0
no ip address 
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
no shut
!
interface BVI1
ip address 192.168.2.8 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.2.254
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp...smbiz/prodconfig/help/eag
!
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
transport preferred all
transport output all
line vty 0 4
login local
transport preferred all
transport input all
transport output all
line vty 5 15
login
transport preferred all
transport input all
transport output all
!
end

access-list 101 heb ik achterwege gelaten omdat je die toch nergens gebruikte...

[ Voor 63% gewijzigd door Whizzer op 18-04-2008 15:55 ]

Ik ben geweldig.. en bescheiden! En dat siert me...

vrijdag 18 april 2008 23:24

Acties:

Verwijderd

Of je zorgt ervoor dat je je baas zover krijgt dat ie een Cisco Wireless Lan Controller aanschaft zodat jij je AP's van LWAP images kan voorzien. Dat werkt helemaal super