Cisco 877W e MacBook wireless

[MircoT]

Ciao a tutti,
sono nuovo del forum e quindi abbiate pietà...
Mi sono avvicinato a Cisco da poco... ho un 877W e con molta pazienza e parecchie ricerche sul sito di Cisco sono riuscito a configurarlo in modo da usarlo sia con PC connesso via cavo, che con il portatile IBM connesso wireless, con filtro sul mac-address e criptatura WEP128.

Il problema è nato quando ho preso un MacBook.
La configurazione wireless è andata bene: navigo senza problemi e il segnale è buono.
Il problema è questo: se dal Mac pingo il pc fisso, dopo 602 pacchetti il ping si ferma e riparte dal 1200esimo pacchetto... per poi fermarsi al 1802, ecc.
Cioè la connessione Mac-PC funziona per circa 600 secondi e poi si ferma per altrettanti 600 secondi. Però la navigazione internet dal Mac non si ferma mai.
Sul pc vedo arrivare tutti i pacchetti che il Mac gli manda... e vedo anche partire tutti i pacchetti di risposta... sembra però che dopo 600 secondi il router droppi la connessione dal PC verso il Mac... con tutto quello che ne consegue: cartelle condivise che si chiudono, copie di file interrotte, ecc....
Se faccio lo stesso test verso un telefono Voip, il problema non si presenta.
Se faccio lo stesso test con il Mac connesso via cavo ethernet, il problema non si presenta.
Se faccio lo stesso test con il portatile IBM connesso wireless, il problema non si presenta.

Ho anche provato ad usare un vecchio access point US Robotics, configurato con lo stesso tipo di sicurezza, ma il problema non si presenta.

Quindi penso che ci sia qualcosa da fare sulla configurazione della parte wireless del router Cisco...

La configurazione del Cisco 877 l'ho fatta partendo da SDM e l'ho poi modificata quà e là, soprattutto per la criptatura wep e per il filtraggio dei mac-address. Ho anche provato a togliere entrambe, ma il problema rimane...

MircoT877W#sh conf
Using 7246 out of 131072 bytes
!
! Last configuration change at 10:39:22 PCTime Fri Feb 16 2007 by mircot
! NVRAM config last updated at 10:39:43 PCTime Fri Feb 16 2007 by mircot
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname MircoT877W
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 informational
logging rate-limit 1000
logging console critical
enable secret 5 xxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
ip subnet-zero
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.200.1 192.168.200.99
ip dhcp excluded-address 192.168.200.111 192.168.200.254
!
ip dhcp pool sdm-pool1
import all
network 192.168.200.0 255.255.255.0
dns-server 151.99.125.2 151.99.125.3
default-router 192.168.200.1
!
!
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip tcp synwait-time 10
ip domain name gav.com
ip name-server 151.99.125.2
ip name-server 151.99.125.3
!
!
crypto pki trustpoint TP-self-signed-283785938
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-283785938
revocation-check none
rsakeypair TP-self-signed-283785938
!
!
crypto pki certificate chain TP-self-signed-283785938
certificate self-signed 01 nvram:IOS-Self-Sig#3802.cer
username MircoT privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxx
!
!
!
!
crypto ipsec client ezvpn Azienda
connect manual
group gruppo key chiave
mode client
peer xxx.xxx.xxx.xxx
xauth userid mode interactive
!
bridge irb
!
!
interface ATM0
no ip address
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $FW_OUTSIDE$$ES_WAN$
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
no ip address
load-interval 30
!
encryption key 1 size 128bit 7 xxxxxxxxxxxxxxxxxxxxxxxxxx transmit-key
encryption mode wep mandatory
!
ssid MT877W
authentication open
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
channel least-congested 2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462
station-role root
l2-filter bridge-group-acl
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 input-address-list 700
bridge-group 1 output-address-list 700
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
no ip address
ip tcp adjust-mss 1452
bridge-group 1
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
ip access-group 101 in
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname [email protected]
ppp chap password 7 xxxxxxxxxxxxxxxxxxxxxx
ppp pap sent-username [email protected] password 7 xxxxxxxxxxxxxxxx
crypto ipsec client ezvpn Azienda
!
interface BVI1
description $ES_LAN$$FW_INSIDE$
ip address 192.168.200.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
crypto ipsec client ezvpn Azienda inside
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
logging 192.168.200.60
access-list 1 remark INSIDE_IF=BVI1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.200.0 0.0.0.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 remark Auto generated by SDM for NTP (123) 193.204.114.232
access-list 100 permit udp host 193.204.114.232 eq ntp host 192.168.200.1 eq ntp log
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any log
access-list 101 remark auto generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 remark Auto generated by SDM for EzVPN (udp-10000) Azienda
access-list 101 permit udp host 217.56.81.106 any eq 10000
access-list 101 remark Auto generated by SDM for EzVPN (non500-isakmp) Azienda
access-list 101 permit udp host 217.56.81.106 any eq non500-isakmp
access-list 101 remark Auto generated by SDM for EzVPN (isakmp) Azienda
access-list 101 permit udp host 217.56.81.106 any eq isakmp
access-list 101 remark Auto generated by SDM for EzVPN (ahp) Azienda
access-list 101 permit esp host 217.56.81.106 any
access-list 101 remark Auto generated by SDM for EzVPN (esp) Azienda
access-list 101 permit ahp host 217.56.81.106 any
access-list 101 remark Auto generated by SDM for NTP (123) 193.204.114.232
access-list 101 permit udp host 193.204.114.232 eq ntp any eq ntp
access-list 101 permit udp host 151.99.125.3 eq domain any
access-list 101 permit udp host 151.99.125.2 eq domain any
access-list 101 deny ip 192.168.200.0 0.0.0.255 any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any log
access-list 700 permit xxxx.xxxx.xxxx 0000.0000.0000
access-list 700 permit yyyy.yyyy.yyyy 0000.0000.0000
access-list 700 deny 0000.0000.0000 ffff.ffff.ffff
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
banner login ^C-----------------------------------------------------------------------
State accedendo al router Cisco 877W di MircoT.
Ogni abuso sara' punito.
-----------------------------------------------------------------------
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
exec-timeout 120 0
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
ntp logging
ntp clock-period 17175008
ntp server 193.204.114.232
end



Qualcuno ha qualche idea di come risolvere il problema?

Ciauzzz!
MircoT.

[tetsuo]

Ciao,
ho avuto lo stesso problema con un AP cisco 1130.
Non mi ricordo quale sia la sintassi da riga di comando (tieni presente che l'AP ha una comoda interfaccia web), ma il problema è che a volte l'airport del mac invia dei messaggi TKIP non validi (almeno, il mio lo faceva) e l'impostazione di default di Cisco è che la trasmissione rimanga in idle per 5 minuti quando ciò avviene.
Per caso, quando si presenta il problema, gli altri computer continuano ad essere connessi in wifi? se si, il problema è questo, e devi solo disabilitare l'opzione di rimanere in idle (ti ripeto, non mi ricordo come sia la sintassi da riga di comando, stasera a casa provo a guardarla...). In caso contrario, sono fuori strada...
Spero ti sia utile


Ciao!!

[MircoT]

Grazie della risposta.
Gli altri client connessi wireless non ne risentono...
Il bello è che lo stesso MacBook continua a navigare... si interrompe la sola connessione con il pc fisso...

D'altra parte nella configurazione del router 877w che ho postato non ci sono riferimenti al TKIP... a meno che non ci sia qualche impostazione di "default" da disattivare appositamente...
Ho provato a togliere la WEP e anche il filtro sui mac-address, ma il problema è rimasto...

Se trovi il comando che disattiva a prescindere il tkip, mi aiuteresti un bel po'



Grazie dell'aiuto!

[tetsuo]

hmmm...
il tkip è un metodo si autenticazione delle chiavi wireless, che non è abilitato per default...
hai provato a dare un'occhiata ai log del router?
Se non sono abilitati, digita:
conf t
logging cns-events debugging


e poi riprova "forzare" il problema, e vediamo...

[MircoT]

Ho inserito il comando logging cns-events debugging.
Ora sto replicando il problema.

L'errore (eventuale) lo vedo nel programmino che mi mostra il syslog (KiwiSyslog)?
Oppure lo devo vedere con qualche comando ios?

Avrai capito che di ios ne so poco.......


Grazie dell'aiuto.

[MircoT]

Ho rifatto il test.
Non vedo errori nel log (sh logging sul router, che poi è la stessa cosa che vedo nel KiwiSyslog)...

Il problema rimane fino a che "scade" la mappa di routing temporanea sul mac... dopo di che il ping riprende come se niente fosse...
Ma anche nel periodo di "buio" i pacchetti arrivano sul pc fisso e le risposte partono... però non so se sia il router a fermare le risposte o il mac a non sentirle...
Resta il fatto che con un altro access point (us robotics) il problema non si presenta... quindi sembra che il router Cisco sia implicato solo quando il mac arriva a lui via wireless... che casotto....

[tetsuo]

Hmmm, sempre più interessante...
intanto, hai abilitato il firewall sul mac?
che vuol dire che "scade" la tabella di routing del mac? che indendi?
hai controllato le posizioni di rete che hai impostato sul mac?

fammi sapere!

[MircoT]

Il firewall sul mac è disabilitato, come sul pc di destinazione.
Facendo un netstat sul Mac prima del ping ottengo questo risultato:

Codice: Seleziona tutto

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.200.1      UGSc       12       13    en1
10.37.129/24       link#8             UCS         0        0    en2
10.37.129.2        localhost          UHS         0        6    lo0
10.211.55/24       link#9             UCS         0        0    en3
10.211.55.2        localhost          UHS         0        6    lo0
127                localhost          UCS         0        0    lo0
localhost          localhost          UH         10    18235    lo0
169.254            link#5             UCS         1        0    en1
169.254.255.255    0:19:56:95:c6:b0   UHLW        0        3    en1   1066
192.168.200        link#5             UCS         2        0    en1
192.168.200.1      0:19:56:95:c6:b0   UHLW       11       17    en1   1066
192.168.200.100    localhost          UHS         0        0    lo0
192.168.200.255    ff:ff:ff:ff:ff:ff  UHLWb       0       12    en1

Internet6:
Destination        Gateway            Flags      Netif Expire
localhost          localhost          UH          lo0
                   localhost          Uc          lo0
localhost          link#1             UHL         lo0
                   link#8             UC          en2
jenaosx.local      0:1:23:45:67:89    UHL         lo0
                   link#9             UC          en3
jenaosx.local      0:10:32:54:76:98   UHL         lo0
ff01::             localhost          U           lo0
ff02::%lo0         localhost          UC          lo0
ff02::%en2         link#8             UC          en2
ff02::%en3         link#9             UC          en3

Dopo l'inizio del ping la tabella diventa questa:

Codice: Seleziona tutto

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.200.1      UGSc       13       13    en1
10.37.129/24       link#8             UCS         0        0    en2
10.37.129.2        localhost          UHS         0        7    lo0
10.211.55/24       link#9             UCS         0        0    en3
10.211.55.2        localhost          UHS         0        7    lo0
127                localhost          UCS         0        0    lo0
localhost          localhost          UH         10    18627    lo0
169.254            link#5             UCS         1        0    en1
169.254.255.255    0:19:56:95:c6:b0   UHLW        0        3    en1   1020
192.168.200        link#5             UCS         3        0    en1
192.168.200.1      0:19:56:95:c6:b0   UHLW       12       17    en1   1020
192.168.200.60     0:c:6e:33:d8:26    UHLW        0        4    en1   1191
192.168.200.100    localhost          UHS         0        0    lo0
192.168.200.255    ff:ff:ff:ff:ff:ff  UHLWb       0       12    en1

Internet6:
Destination        Gateway            Flags      Netif Expire
localhost          localhost          UH          lo0
                   localhost          Uc          lo0
localhost          link#1             UHL         lo0
                   link#8             UC          en2
jenaosx.local      0:1:23:45:67:89    UHL         lo0
                   link#9             UC          en3
jenaosx.local      0:10:32:54:76:98   UHL         lo0
ff01::             localhost          U           lo0
ff02::%lo0         localhost          UC          lo0
ff02::%en2         link#8             UC          en2
ff02::%en3         link#9             UC          en3

L'ip del pc destinatario è 192.168.200.60. Il mac address indicato a fianco è quello della scheda di rete del pc destinatario.
Come vedi alla fine della riga c'è un valore che ""credo"" sia un tempo (in secondi) di validità della route.
Se faccio il ping al destinatario, quella route temporanea viene scritta automaticamente dal Mac. Il ping prosegue per 602 pacchetti, dopodichè si ferma (e la condivisione delle cartelle sul pc si interrompe, come qualsiasi altra attività verso il pc... tipo copia di file) fino a che quella route "scade", cioè quel tempo diventa zero. A quel punto la route viene riscritta e il ping riprende.
Tanto è vero che se cancello a mano la route "temporanea" via terminale con il comando "sudo route delete 192.168.200.60", il ping riprende a funzionare subito. Intanto però (per fortuna!) la connessione verso il router e verso internet continua a funzionare regolarmente senza apparenti problemi.

Sul mac ho l'ip address assegnato via dhcp al router 877. Ma ho anche provato ad assegnare un ip fisso, senza però risolvere il problema.

N.B: Gli indirizzi 10. che vedi all'inizio della tabella sono quelli delle schede di rete virtuali create dal software di emulazione Parallels. Ho comunque provato a rimuoverlo e anche a reinstallare completamente OSX, senza che il problema scomparisse...

Ciauzz!