Cisco Aironet 1702i

  • Keskustelun aloittaja Keskustelun aloittaja vesas
  • Aloitettu Aloitettu
Liittynyt
23.10.2016
Viestejä
844
Sattuisikohan kellään olemaan kyseisen wlan-tukiseman autonomoys firmware? Cisco päätyi pöydälleni kun sen firmispäivitys oli epäonnistunut ja oli kuulemma halvempaa ottaa pakasta uusi kuin viritellä tftp:n ja konsolikaapelin kanssa(!!!). Mikä kyllä saattaa pitää paikkansa jos noita asennuksia tehdään ihan tuntiveloituksella. Mitä itse vilkaisin niin consoli-rs232:seen tuo juttelee ja kaksi ekan vaiheen bootloaderiakin herää eli kyllä tuon saa suoraviivaisesti henkiin.

Tölkin tarkka tyyppi on siis AIR-CAP1702I-E-K9. Hakusessa siis Autonomous AP IOS Software - 15.3.3-JPK(ED, eli ap3g2-k9w7-tar.153-3.JPK.tar

Firmwaren saa näkyville Ciscolta mutta ilman $$$$$$ sopparia sitä ei sieltä saa haettua. Eli halvemmaksi tulee heittää tuo Cisco roskiin ja hakea kaupasta uusi toisen merkkinen wlan-AP.
 
Googlen osumat on aika pitkälle perattu ja sieltä ei näytä oikeaa löytyvän. Cisco tarjoilee MD5 tarkastus-summat ilman service-sopimusta ja ne ei tunnut täsmäävän. Kaipa Cisco sitten käyttää päällekkäistä nimeämiskäytäntöä..

No Härvelin speksi tuli luettua läpi ja ei tuo näytä tukevan mitään näin normikäyttäjän kaipaamaan wlan salaus-autentikointi pakettia. Kun ei ole tarkoitus laittaa radiusta tai eap:ia käyttöön niin roskiskamaahan tuo on.
 
Latasin mailmanin linkittämän tar-paketin ja MD5 -tarkastussumma on oikea. Myös tukarin spekseissä on "802.11i, Wi-Fi Protected Access 2 (WPA2), WPA", joten ei muuta kuin softan vaihto ja laitteen konffaus. Softan vaihto menee jonkseenkin näin:

1. konsolikaapeli kiinni, reset-nappi pohjaan ja tukiasemaan virrat. Pidä reset-nappi pohjassa, kunnes toisin pyydetään.

2. Kun konsolilla lukee "ap:", komenna "boot"

3.Kirjaudu sisään tunnuksilla Cisco/Cisco

4.
APf0f7.5560.4025>enable
Password: Cisco
APf0f7.5560.4025#

APf0f7.5560.4025#debug capwap console cli
This command is meant only for debugging/troubleshooting
Any configuration change may result in different
behavior from centralized configuration.

CAPWAP console CLI allow/disallow debugging is on
APf0f7.5560.4025# archive download-sw /force-reload /overwrite tftp://10.0.0.5/c1140-k9w7-tar.152-4.JA1.tar

Korvaa TFTP-palvelimen IP-osoite ja softaversio oikeiksi. Tokihan myös ethernetin tulee olla kytkettynä joko suoraan DHCP & TFTP -palvelimeen tai verkkoon, josta molemmat löytyvät. DHCP kannattaa konffata siten, että tukiaseman MAC-osoitteelle annetaan aina sama IP (tai vain yhden IP-osoitteen pooli). Muuten voi tulla softan vaihtovaiheessa ongelmia.
 
Kappas, näin hän tuo firmis tuolta löytyy. Vajaa viikko sitten kävin läpi guugelin kymmenen ekaa ja silloin tuo ei tullut vastaan.

No, nämä Ciscon tuotteet on vähän poikkeavia muun maailman laitteista, eli se manuaalipino pitää aina ensin kahlata läpi ja lueskella vähän Ciscon foorumia ennen säädön aloittamista. Oletuksella että tässä on ominaisuudet A, B ja D joita haluan käyttää päätyy nimittäin lähes aina umpikujaan. Ciscoissa tuppaa olemaan myös featuret X, Y ja Ö joista usein se ei haluttu Y on bundalttu väkisin ominaisuuden A kylkeen.

Manuaalin mukaan tuon tölkin saa joko ilman salausta tai wep-salauksella. WPA ja WPA2 onnistuu vain EAP:in kanssa. Tai jonkin muun keskitetyn käyttäjähallinnan kanssa. Ominaisuustaulukosta puuttuu rivi WPA/WPA2+none. Lisäksi "optionaalinen vlan" wlan ssid:lle on oikeasti pakollinen eli tölkkiin pitää sisälle conffia vlanit ja purkaa ne sitten eth-bridgelle. Tietysti jos täältä löytyy joku ios-guru jolla on testattu cli loitsusarja wlan AP tilan radiolle pelkällä WPA2 salaukselle ilman vlania ja EAP:tä niin saa kertoa. Manuskan kertomista optioista tuo uupuu.

Ciscon ios:ia on tullut väänettyä, se on oma maailmansa. Tuossa pöydällä on ihan Ciscon logollinen konsoli-rs232-rj45 kaabbelikin. Ciscon selain-käyttöliittymää tulee välttää, siellä on yleensä aina pari ikävää bugia ja yllättäviä rajoituksia. Ei ole tarkoitettu ammattilaisen käyttöön ja harrastelijoille näitä ei kaupata. Toteutus on sitten sen mukainen.

Pitää vielä jättää tuo hyllyyn odottelemaan ios-innostusta. Cli:hin asti tuo ei mene, eli joutuu rommonin kanssa juttelemaan joka sekin tukee tftp:tä. Tosin rommon eth tuki on ollut Ciscoissa buginen vuosikausia ja oikeasti sen firmiksen joutuu tunkemaan sisään sen rs232:sen kautta jos meinaa onnistua kerralla. Ymodemilla tuo letkuttelee sitä filettä erinäisiä tunteja, vakionopeus kun on 9600. Sen voi teoriassa vaihtaa, tosin Cison tapauksessa teoria ja käytäntö ei kohtaa. Vaihto nimittäin johtaa suurella todennäköisella tiiliskiveen ja kannattaa olla takuu voimassa että saa uuden tilalle.

Ymmärrän hyvin miksi noita käytettyjä Ciscoja saa ebay:stä jne. puoli-ilmaiseksi, samaisesta syystä tämäkin pöydälle päätyi.
 
Tässä konffi, mitä käytän omissa 2702:ssa ja about sama menee 1142 ja 2602 purkkeihin eli eiköhän myös 1702:een. Eli tällä tulee yksi WPA2-PSK SSID natiivi VLANiin eli tukiaseman voi heittää tyhmään kytkimeen kiinni. Ei varmaankaan ole loppuun asti viilattu konffi, mutta omaan kotikäyttöön on kelvannut. :)


Koodi:
!
! Last configuration change at 21:40:05 GMT Wed Nov 25 2020 by admin
! NVRAM config last updated at 21:40:07 GMT Wed Nov 25 2020 by admin
! NVRAM config last updated at 21:40:07 GMT Wed Nov 25 2020 by admin
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname tt-aironet
!
!
logging rate-limit console 9
enable secret 5 $xxxxxxxx.        <-tähän joku oma passu
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
clock timezone GMT 2 0
no ip source-route
no ip cef
ip name-server 8.8.8.8
!
!
!
!
dot11 pause-time 100
dot11 syslog
!
dot11 ssid xxxxx  <-tähän oma ssid
   vlan 1
   band-select
   authentication open
   authentication key-management wpa version 2
   accounting acct_methods
   guest-mode
   mbssid guest-mode
   wpa-psk ascii 7 xxxxx    <-tähän oma psk
!
dot11 band-select parameters
   cycle-count 3
   cycle-threshold 200
   expire-supression 20
   expire-dual-band 60
   client-rssi 80
!
!
no ipv6 cef
!
!
username Cisco password 7 072C285F4D06      <-tää joutanee pois...
username admin secret 5 $xxxxxx. <-tähän joku oma passu
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption vlan 1 mode ciphers aes-ccm
 !
 broadcast-key vlan 1 change 3600
 !
 !
 ssid xxxxxx    <- tähän oma ssid
 !
 antenna gain 0
 mbssid
 channel 2437
 station-role root
 world-mode dot11d country-code FI indoor
 no cdp enable
!
interface Dot11Radio0.1
 encapsulation dot1Q 1 native
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 1 mode ciphers aes-ccm
 !
 broadcast-key vlan 1 change 3600
 !
 !
 ssid xxxxxxxx    <-tähän oma ssid
 !
 antenna gain 0
 peakdetect
 no dfs band block
 mbssid
 channel width 80
 channel dfs
 station-role root
 world-mode dot11d country-code FI indoor
!
interface Dot11Radio1.1
 encapsulation dot1Q 1 native
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet1
 duplex auto
 speed auto
!
interface BVI1
 mac-address a89d.217f.b708
 ip address dhcp client-id GigabitEthernet0 hostname tt-aironet
 no ip route-cache
 arp timeout 120
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip ssh version 2
!
!
!
bridge 1 route ip
!
!
!
line con 0
 password 7 xxxxxxxxxxx   <- tähän oma passu
line vty 0 4
 transport preferred ssh
 transport input ssh
 transport output ssh
!
sntp server 0.fi.pool.ntp.org
end
 
Inspiraatio iski ja sain siirrettyä softan tölkkiin sisälle. Pari epätoivoista rommon tftp siirtoa, jotka päätyi korruptoituneeseen imageen, pistin sitten yöksi ymodemin letkuttamaan tarria sisään. Aamulla oli sitten IOS:in cli tarjolla, tosin ensin piti hypistellä rommon set boot ja set MANUAL_BOOT no kuntoon. Pitää vain ihmetellä miksi Cisco ei saa tuota rommon eth interface ehjättyä. Kai sitä ei sitten kukaan kaipaa..

Ihmettelin ensin web-guin kautta aihetta ja totesin että tulee turhan usein vastaukseksi 404-erroria niin CLI kehiin. Tosin että sen web-guin sai käytiin piti tehdä tämä:
Koodi:
no ip http server
ip http secure-server
jostain syystä web-gui ei suostu avautumaan ellei ole salaus päällä. Cisco tietty generoi oman certin josta jokainen selain huutaa varoitusta. Kaipa tuossa on joku keksinyt Ciscolla että pelkkä http on turvaton joten disabloidaampa se kokonaan.

Parin iteraation-hifistelyn jälkeen radiot suostui menemään päälle ja wpa2-psk autentikoi. Kiitokset conffista!

Onkos kukaan leikkinyt Ciscon 802.11r:än kanssa? Onkohan tuo mitenkään Openwrt:n mobility domainin kanssa yhteensopiva? Taikasanahan tuossa on paikallisesti generoitu PMK, Ciscon 17.x IOS:issa tuota kehutaan ainakin, liekkä tässä 15.3:sessa mokomaa..
 

Statistiikka

Viestiketjuista
258 146
Viestejä
4 487 996
Jäsenet
74 159
Uusin jäsen
kahvirommi

Hinta.fi

Back
Ylös Bottom