Ubiquiti Ap's geven apipa adres uit. - Netwerken

maandag 24 april 2017 10:36

Acties:

Verwijderd

Topicstarter

Ik heb weer een vaag probleem.

Op een lokatie heb ik 4 Ubiquiti ap's hangen. (Unify AP AC Lite)
Die zie ik netjes alle 4 staan in mijn Unify beheersoftware. Ik kan er van alles mee, upgraden, benaderen dus, enzenz.

2 AP's werken goed, 2 niet.
2 AP's geven namelijk aan de gebruikers die connecten (er wordt dus geconnect met alle 4!) of een apipa adres (169.254.x.x) of helemaal niks uit.
Op de andere 2 AP's krijgen de users wel een ip adres in het juiste vlan.

De AP's zitten zelf op DHCP, iets wat ik zelf niet zo ingesteld zou hebben, maar ok. (ik heb eea niet ingericht aldaar)
Alle AP's zitten op 1 cisco 3560 swwitch. De poorten zijn alle 4 eender geconfigureerd, namelijk als accessport met allowed vlans 1 en 302. (Which is good.)

Googlen brengt me niet zo heel ver, ik moet nog wel een account aanmaken op het ubnt community, dus daar heb ik nog niet intensief gekeken, maar als iemand alvast enig idee heeft wat hier scheef loopt, roept u dan maar!

maandag 24 april 2017 10:40

Acties:

MAX3400

XBL: OctagonQontrol

APIPA wordt niet uitgegeven maar houdt in dat een client geen verbinding krijgt met de achterliggende DHCP-server.

Ergo, als een client dus op 169 uitkomt, betekent dat er geen communicatie (tijdig) mogelijk was van AC Lite -> kabel -> Cisco -> kabel -> DHCP-server.

Je zegt dat de AP's op DHCP staan? Hebben ze wel een reservation of ook dat niet? En zie je ook geen logging in Unify?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

maandag 24 april 2017 13:06

Acties:

Verwijderd

Topicstarter

Klopt mn woordkeuze zit daar niet goed. Een apipa betekent dat je niks hebt gekregen idd. :-)

In de gebeurtenissen log zie ik dat verschillende mensen met die AP01, die het goed doet, succesvol connecten.
Datzelfde zegt hij over iemand die met AP03 connect, maar als je kijkt heeft die dus momenteel een apipa.
Dus Unify vindt het allemaal gesneden koek, maar dat is logisch eigenlijk, aangezien de AP's zelf natuurlijk met een dhcp uitgifte niks van doen hebben.

maandag 24 april 2017 13:16

Acties:

The Realone

Lijkt me eerlijk gezegd een VLAN issue, maar daar kunnen we moeilijk iets over zeggen als we de exacte VLAN configuratie niet kennen. Je hebt het over een access port met VLAN 1 en 302. Mag ik dan aannemen dat VLAN1 je native VLAN is? In elk VLAN zit de DHCP server en je clients die connecten?

maandag 24 april 2017 13:16

Acties:

Verwijderd

Topicstarter

dhcp is trouwens ingeregeld op de Firewall. (Cisco ASA) er draait geen windows dhcp server.
En dit is de pool voor het betreffende vlan302:

dhcpd enable cust01-inside
dhcpd address 172.31.102.10-172.31.102.200 cust02-inside
enable cust01-inside

maandag 24 april 2017 13:19

Acties:

Verwijderd

Topicstarter

The Realone schreef op maandag 24 april 2017 @ 13:16:
Lijkt me eerlijk gezegd een VLAN issue, maar daar kunnen we moeilijk iets over zeggen als we de exacte VLAN configuratie niet kennen. Je hebt het over een access port met VLAN 1 en 302. Mag ik dan aannemen dat VLAN1 je native VLAN is? In elk VLAN zit de DHCP server en je clients die connecten?

klopt. vlan1 is native en de 302 is hetgeen ie moet gaan uitgeven, en in 2 vd 4 gevallen ook netjes doet.
Zie ook mijn post hierboven.

En daar heb ik als eerste naar gekeken, namelijk of de poorten op de switch wel goed stonden geconfigureerd, maar de running config laat zien dat die identiek zijn.

maandag 24 april 2017 13:28

Acties:

belrpr

Simpele testen:
Stel een fixed op op uw laptop wifi. Kan je dingen pingen in het netwerk dan is het een DHCP probleem. Kan je niets pingen een vlan probleem. Test dan even met uw laptop op de kabel van het ap.

maandag 24 april 2017 13:34

Acties:

Nielson

Zijn de APs goed bereikbaar? Anders even de twee die het goed doen omwisselen met de andere twee.

maandag 24 april 2017 13:38

Acties:

Verwijderd

Topicstarter

Nielson schreef op maandag 24 april 2017 @ 13:34:
Zijn de APs goed bereikbaar? Anders even de twee die het goed doen omwisselen met de andere twee.

Ja AP's zijn te bereiken vanuit de unify controller software.
Even omwisselen gaat helaas niet, omdat er momenteel op gewerkt wordt (het is op lokatie bij een klant van ons) En dan heb je dus kans dat niets het meer doet daar.

maandag 24 april 2017 13:40

Acties:

Verwijderd

Topicstarter

belrpr schreef op maandag 24 april 2017 @ 13:28:
Simpele testen:
Stel een fixed op op uw laptop wifi. Kan je dingen pingen in het netwerk dan is het een DHCP probleem. Kan je niets pingen een vlan probleem. Test dan even met uw laptop op de kabel van het ap.

Ik zal deze week een dagje inplannen om daar langs te gaan en dan kan ik dit soort zaken gaan uitproberen.
Want in deze richting moet ik het wel gaan zoeken idd. Thanks.

maandag 24 april 2017 13:42

Acties:

Vorkie

Hoe zijn je WiFi netwerken aangemaakt in de Unifi app?

maandag 24 april 2017 13:45

Acties:

Verwijderd

Topicstarter

Vorkie schreef op maandag 24 april 2017 @ 13:42:
Hoe zijn je WiFi netwerken aangemaakt in de Unifi app?

wlan group: BLABLA-BG

daaronder een ssid
BLABLA-air met vlan 302 ingesteld.

maandag 24 april 2017 13:47

Acties:

Vorkie

Verwijderd schreef op maandag 24 april 2017 @ 13:45:
[...]

wlan group: BLABLA-BG

daaronder een ssid
BLABLA-air met vlan 302 ingesteld.

En de config van de 4 poortjes?
en natuurlijk VLAN302.

Krijgen de clients op de werkende AP's trouwens een IP uit de aangegeven reeks of een IP uit VLAN 1?

[ Voor 20% gewijzigd door Vorkie op 24-04-2017 13:48 ]

maandag 24 april 2017 13:51

Acties:

Verwijderd

Topicstarter

interface FastEthernet0/18
description naar AP02
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,302
switchport mode access

Het vlan is niet als interface gedefinieerd, dus staat niet in de running config, maar in de vlan.dat:
302 cust02-inside active

Zou dat het misschien zijn?

[ Voor 37% gewijzigd door Verwijderd op 24-04-2017 13:54 ]

maandag 24 april 2017 13:57

Acties:

Verwijderd

Topicstarter

Vorkie schreef op maandag 24 april 2017 @ 13:47:
[...]

Krijgen de clients op de werkende AP's trouwens een IP uit de aangegeven reeks of een IP uit VLAN 1?

goeie vraag, maar dat is een 102 adres dus die komt uit vlan 302 en niet uit 1.

maandag 24 april 2017 13:58

Acties:

The Realone

Verwijderd schreef op maandag 24 april 2017 @ 13:51:
interface FastEthernet0/18
description naar AP02
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,302
switchport mode access

Het vlan is niet als interface gedefinieerd, dus staat niet in de running config, maar in de vlan.dat:
302 cust02-inside active

Zou dat het misschien zijn?

Dat strookt niet met elkaar, komt dat letterlijk uit de switch config? Een poort is trunk of access, niet beide.

maandag 24 april 2017 14:01

Acties:

Verwijderd

Topicstarter

The Realone schreef op maandag 24 april 2017 @ 13:58:
[...]

Dat strookt niet met elkaar, komt dat letterlijk uit de switch config? Een poort is trunk of access, niet beide.

Naar mijn weten kun je op deze manier 2 vlans toch op een accesspoort prakken. Maar dit is volgens mij meer een unsupported foefje dan echt beheer hoor.

Shoot my voorganger.

maandag 24 april 2017 16:28

Acties:

zenith

Verwijderd schreef op maandag 24 april 2017 @ 14:01:
[...]

Naar mijn weten kun je op deze manier 2 vlans toch op een accesspoort prakken. Maar dit is volgens mij meer een unsupported foefje dan echt beheer hoor.
Shoot my voorganger.

Dit gaat niet vliegen, je kan er lang over na blijven denken en filosoferen. 😀

maandag 24 april 2017 16:48

Acties:

Verwijderd

Je moet toch meer in de VLAN en DHCP dingen kijken. De AP's connecten iemand op layer 1 en misschien op L2. De client krijgt met L3 te maken.

Uiteraard, de AP moet wel de tag weghalen van VLAN 302, maar dat moet je controleren.

Een "tijdelijke" oplossing kan ook zijn: Gewoon de hele SSID en WLAN network in de (niet goed werkende) AP's weghalen, AP rebooten (indien mogelijk 1 minuut van de stroom eraf), en dan opnieuw aanmaken. Probleem opgelost.

En hoe manage jij de AP's? Met een CLoudKey of een software die ergens op draait? Of lokaal instellen, en PC uitzetten, en de AP's draaien dan autonoom?

dinsdag 25 april 2017 13:22

Acties:

Verwijderd

Topicstarter

Ik ben nu daar op lokatie en het kan weer niet vager.

Ik heb daar 1 goed werkend ap en de rest afgekoppeld behalve 1.
Als we daar connecten met het brakke AP, dan krijg ik netjes een ip adres in het juiste vlan uitgedeeld!
Ik kan een speedtest op inet doen, maar na een paar minuten begint ie te muiten, en disconnect ie je volledig.
Als je dan weer wilt connecten: apipa. Collega zn telefoon gepakt en die komt er dan wel weer netjes op.

AP01 blijft maar feilloos werken en de poorten op de switch zijn identiek!! beats me.

dinsdag 25 april 2017 13:41

Acties:

Verwijderd

Topicstarter

mn collega met zn apple komt er nu helemaal niet meer bij, mijn laptop verbindt maar geen ip adres en mn phone doet het prima.
eeeeehhhm.

dinsdag 25 april 2017 13:44

Acties:

MAX3400

XBL: OctagonQontrol

Is je scope niet gewoon vol? Of heb je een split-scope van, pak 'm beet, 60 IP's die dus per AP maar 15 IP's uitgeeft?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

dinsdag 25 april 2017 13:58

Acties:

The Realone

Dit soort issues lijken ook weer op een dubbele DHCP server in je subnet en/of dubbele IP adressen. Maar dan zul je toch echt zelf aan het troubleshooten moeten.

dinsdag 25 april 2017 14:07

Acties:

MAX3400

XBL: OctagonQontrol

code:

Guidelines and Limitations

Use the following guidelines to configure the DHCP server:

You can configure only one DHCP server on each interface of the ASA. Each interface can have its own pool of addresses to use. However the other DHCP settings, such as DNS servers, domain name, options, ping timeout, and WINS servers, are configured globally and used by the DHCP server on all interfaces.
You cannot configure a DHCP client or DHCP relay service on an interface on which the server is enabled. Additionally, DHCP clients must be directly connected to the interface on which the server is enabled.
The ASA does not support QIP DHCP servers for use with the DHCP proxy service.
The relay agent cannot be enabled if the DHCP server is also enabled.
The ASA DHCP server does not support BOOTP requests. In multiple context mode, you cannot enable the DHCP server or DHCP relay service on an interface that is used by more than one context.
When it receives a DHCP request, the ASA sends a discovery message to the DHCP server. This message includes the IP address (within a subnetwork) that was configured with the dhcp-network-scope command in the group policy. If the server has an address pool that falls within that subnetwork, the server sends the offer message with the pool information to the IP address&#8212;not to the source IP address of the discovery message.

For example, if the server has a pool in the range of 209.165.200.225 to 209.165.200.254, mask 255.255.255.0, and the IP address specified by the dhcp-network-scope command is 209.165.200.1, the server sends that pool in the offer message to the ASA.

Use the following guidelines to configure the DHCP relay service:

DHCP clients must be directly connected to the ASA and cannot send requests through another relay agent or a router.
For multiple context mode, you cannot enable DHCP relay service on an interface that is used by more than one context.
The DHCP relay service is not available in transparent firewall mode. An ASA in transparent firewall mode only allows ARP traffic through; all other traffic requires an access list. To allow DHCP requests and replies through the ASA in transparent firewall mode, you must configure two access lists: one that allows DCHP requests from the inside interface to the outside, and one that allows the replies from the server in the other direction.
When the DHCP relay service is enabled and more than one DHCP relay server is defined, the ASA forwards client requests to each defined DHCP relay server. Replies from the servers are also forwarded to the client until the client DHCP relay binding is removed. The binding is removed when the ASA receives any of the following DHCP messages: ACK, NACK, or decline.
You cannot enable DHCP relay service on an interface running as a DHCP proxy service. You must remove the VPN DHCP configuration first or an error message appears. This error occurs if both DHCP relay and DHCP proxy services are enabled. Make sure that either the DHCP relay or DHCP proxy service is enabled, but not both.

Even snel uit de ASA 5505 getrokken. Hier staan toch wat limitaties/zaken die ik niet benoemd zie in het topic/startpost maar die mogelijk wel de oorzaak/gevolg van de AP's kunnen verklaren?

/edit: lees elders dat er ook ACL's behoren te zijn welke ports en trunks wel/niet van DHCP gebruik zouden mogen maken. Helaas kan ik dat niet staven in dit topic; niet in de laatste plaats omdat ASA's niet echt aan mij besteed zijn qua kennis.

[ Voor 3% gewijzigd door MAX3400 op 25-04-2017 14:09 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Pagina: 1

Reageer