Cisco Router für Bühneneinsatz

[netstalker]

Ich hab mittlerweile mehrere befreundete Bands mit diesem Cisco-AP ausgestattet:

AIR-AP1242AG-E-K9


Wichtig ist das AP - nicht LAP!!
Die LAPs sind sog. leightweight access points, die nur mit Controller zu betreiben sind.
Beim Kauf sollte man auch das passende Cisco 48Volt-Netzteil mit erwerben - die gibt es für unter 20€ (Netzteile für Cisco IP-Telefone der 79er Serie funktionieren super).
Die APs gibt es in Bucht unter 80€.
Die Konfiguration ist nicht ganz so trivial wie mit herkömmlichen Konsumer-APs, ein paar Cisco-Kenntnisse sind von Nöten (für Grundkonfig gibt es keine "klickibunti-Mäuseschubser-Oberfläche" - hier sind telnet/ssh und Kommandozeilenkenntnisse notwendig).

Im AP konfigurierbar:
DHCP, Zugangsbeschränkungen, diverse Usernamen und Passwörter, Pre-Shared-Key, 2,4 und/oder 5GHz, Sendeleistung, Antennengewinn und vieles mehr.

Professionelle Antennenanschlüsse (Reverse-TNC), Auto-MDIX (Autocrossover für die Netzwerkkabel) und ein Gehäuse, dass eine LKW-Überfahrt übersteht gibt es kostenlos dazu.

Bei genügend Interesse könnte ich eine "Roh-Konfig" und die Anleitung die Konfig auf den AP zu kriegen hier im Forum als Mini-Workshop posten.

 

[dr_rollo]

Ich hab mittlerweile mehrere befreundete Bands mit diesem Cisco-AP ausgestattet:
Die Konfiguration ist nicht ganz so trivial wie mit herkömmlichen Konsumer-APs, ein paar Cisco-Kenntnisse sind von Nöten (für Grundkonfig gibt es keine "klickibunti-Mäuseschubser-Oberfläche" - hier sind telnet/ssh und Kommandozeilenkenntnisse notwendig).

Bei genügend Interesse könnte ich eine "Roh-Konfig" und die Anleitung die Konfig auf den AP zu kriegen hier im Forum als Mini-Workshop posten.

Ich wäre interessiert, oder ein Konfigurationsfile zum draufspielen wäre auch schon mal ein guter Start. Ich bin da gerade mit einem Arbeitskollegen am herumprobieren. Das erste, was uns aufgefallen ist, dass die Kiste keine W?A2 VErschlüsselung macht, sodnern nur in Verbindung mit einem Radius Server, den wir natürlich nicht haben. Wie machst Du das? Verzichtest Du auf zu große Sicherheit?

 

[netstalker]

@dr_rollo :

WPA2 ist kein Problem:
Das Geheimnis um WPA2 ist die folgende Konfigurations-Zeile unter dem entsprechenden Interface (in dem Fall das 5GHz-Interface):

interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm tkip
!
broadcast-key change 100
!

Ein komplettes, anonymisiertes Config-File spiele ich demnächst ein - ich fahr grad aus dem Urlaub nach Hause

 

[dr_rollo]

Super, ich check das mal! (BTW: werde die Beiträge zu dem Cisco AP in einen separaten Thread überführen, weil OT! Hab nur jetzt gerade keine Zeit...)

 

[netstalker]

Sooo - hier mal eine Config - die muss per seriell-Kabel (spezielles Cisco-Serial-Cable)

auf den Access-Poit (Anschluss "Console") per Terminalprogramm (z.B.Putty, TeraTerm, usw.) aufgespielt werden.

Ist die Initial-Konfiguration mal auf dem AP (IP der LAN-Schnittstelle, Username, Passwort und Enable Secret), kann auch mit Telnet/SSH über das Netzwerk darauf zugegriffen werden.

Sollte es spezielle Fragen zur Config geben - bitte stellen, ich werde die dann sogut wie möglich beantworrten.

Hier nun die config - sie muss im "enable mode" des Cisco-Betriebssystems IOS via "config terminal" auf den AP aufgespielt werden:






Ich kommentiere nur die für den Betrieb eines APs wichtigen Kommandos – jeden Cisco-IOS-Befehl zu kommentieren und zu erklären wäre eine halbe Doktorarbeit….
Der jeweilige Kommentar befindet sich jeweils in der Zeile unter dem cli-Kommando.
Kommentare beginnen mit einem ! und werden vom IOS (beim pasten des textes in die Kommand-Zeile) des Cisco-APs ignoriert.
Die fett gedruckten Kommandos sind individuell anpassbar – wegen Sicherheit und so…. ;-)
Als IP-Adressen habe ich hier das Netz 192.168.200.0/24 verwendet – ein sog. C-Class-Netz, ie generell verwendbaren Adressen sind 192.168.200.1 bis 192.168.200.254.
Der AP selbst bekommt die .1; der Mixer die .10




no service pad
service timestamps debug datetime msec
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname MEINAP
! Dem Access-Point wird hier der Name MEINAP zugewiesen. Da könnte auch Käsekuchen stehen…..das kind braucht halt nen Namen
!
enable secret myenasecret
! Um den AP zu konfigurieren, muss man im sog. „Enable-Mode“ arbeiten, dieser ist Passwortgeschützt – das Passwort wäre dann hier myenasecret
!
clock timezone CEST 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
ip domain name stage.com
! könnte auch jeder andere Domain-Name sein – das Ding soll ja nicht ans Internet
!
ip host mixer 192.168.200.10
! legt für die Adresse 192.168.200.10 den Hostnamen mixer fest. Da kann auch X32 oder UI24 stehen…
!
ip dhcp excluded-address 192.168.200.1 192.168.200.100
! Diese Adressen werden vom DHCP nicht vergeben, sind frei für feste Zuordnungen
!
!
ip dhcp pool music
import all
network 192.168.200.0 255.255.255.0
default-router 192.168.200.1
dns-server 192.168.200.1
lease 10
! Der DHCP-Server wäre damit konfiguriert
!
no aaa new-model
!
dot11 ssid MixerAir
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii DesIsGeHeim
!
! Die SSID mit den pre-shared-key wird festgelegt
!
dot11 network-map
power inline negotiation prestandard source
!
! Bitte manuell eingeben:
!crypto key gen rsa
! Frage mit 1024 beantworten
!
username ich privilege 15 password GeHeim
!
! Unbedingt merken – mit diesem Usernamen und dem Password kommt man an den AP – wenn der weg ist => Komplettreset!!!
!
!
bridge irb
!
!
interface Dot11Radio0
! Das 2,4GHz Interface
no ip address
no ip route-cache
shutdown
! wird somit abgeschaltet
!
encryption mode ciphers aes-ccm tkip
! einstellung für WPA2
!
ssid MixerAir
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
! Das 5 GHz-Interface
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm tkip
! WPA2
!
broadcast-key change 100
!
!
ssid MixerAir
!
no dfs band block
speed basic-6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0
channel dfs
station-role root
rts threshold 2312
antenna gain -128
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
no shutdown
! den 5GHz Sender Einschalten
!
interface FastEthernet0
ip address 192.168.200.3 255.255.255.0
! Adresse für den Ethernet-Port
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
! Das ist die Adresse des BRIDGE VIRTUAL INTERFACE - hier werden die verschiedenen Interfaces des APs zusammengeführt
ip address 192.168.200.1 255.255.255.0
no ip route-cache
!
ip http server
ip http authentication local
ip http secure-server
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
!


Es wird hier in dieser Beispielkonfig die SSID "MixerAir" zugewiesen, der PSK (Pre-Shared-Key) ist "DesIsGeheim" - beides ist "Case-Sensitive" - Groß/Kleinschreibung beachten!!!

Erhält der Mixer dann z.B. die IP 192.168.200.10 kann durch Eingeben der Adresse (an einem mit dem AP verbundenen Tablet/Computer) auf den Mixer zugegriffen werden. Je nachdem wie der Zugriff funktioniert im Browser oder in einer App wie. z.B. X32Control o.Ä.


Soll 2,4GHz zusätzlich genutzt werden, so ist im Bereich
interface Dot11Radio0
no shutdown
zu ergänzen - dann wird das Interface Dot11Radio0 hochgefahren.


Am Ende des Aufspielens der Config das "write" kommando nicht vergessen, sonst ist nach dem Ausschalten wieder alles weg.
Ist diese Konfiguration auf dem AP gesichert und funktioniert, kann auch per http auf den AP zugegriffen werden, Username und Passwort sind die oben im Abschnitt username definierten.

Ich gebe zu dass, diese Art der Konfiguration nicht ganz einfach ist - diese Cisco-APs sind aber auch keine Consumer-Geräte wie eine Fritzbox und haben einen weitaus höheren Funktionsumfang und Betriebssicherheit.
Wer sich an Änderungen an der IP-Zweisung bzw. generellen Konfig versuchen will - gerne - man sollte hier ein gerüttet Maß an IP-Grundwissen und Cisco-IOS Kommandoreferenz mitbringen.

 

[dr_rollo]

Noch mal ne grundsätzliche Frage von einem Netzwerk Dummy: Für den XR18 muss ich den Cisco doch als AccessPoint konfigurieren, während beim X32 der Cisco doch als Router fungieren muss. Oder seh ich das falsch?

 

[netstalker]

Nö - nen Router braucht man nur, um "Netzwerk-Grenzen" zu überwinden:

z.B.:
Ein Netzwerk mit der Netzwerkadresse 192.168.0.0 (die Null steht hier für das Netz an sich) mit der Netzmaske 255.255.255.0 hat 254 nutzbare Adressen: die .1 bis zur .254
Nur wenn andere Netze - z.B. das Netz 192.168.200.0 erreicht werden soll, braucht man einen Router. Der Router muss dann in BEIDEN Netzen das Standard-Gateway zur Verfügung stellen und weiss dann, wo er ein Datenpaket hinschicken muss wenn z.B. der host mit der Adresse 192.168.0.15 mit dem Server 192.168.200.10 kommunizieren will.

Die Netzwerk-Grenzen werden durch die Netzmaske festgelegt: bei einer in diesem Bereich üblichen Netzmaske von 255.255.255.0 (oder halt 24 Bytes für das Netz - jede 255 steht für 8 Byte) stehen dann durch die 0 am Ende der Netzmaske 254 Adressen zur Verfügung. die .0 ist für "Das Netz" reserviert, die .255 für den sog. Broadcast.

Sowohl beim x18 als auch beim X32 muss der Mixer einfach an den AP angeschlossen werden und eine Adresse im gleichen Netz eingestellt werden, in dem der AP residiert und seine DHCP-Adressen verteilt.

Ich hab hier versucht, ein durchaus komplexes Thema einfach darzustellen - der normale User muss sich ja auch nicht um solche Dinge kümmern.
Wenn es dann komplexer wird - zB wenn man dann das Bühnen-Lan/Wlan mit einem Home-Wlan koppeln möche, wird es schon ein wenig kompliziert - dafür gibt es dann aber auch Fachleute...

Fragen immer gerne

 

[Carrera_124]

@netstalker : Danke für die ausführliche Erklärung. Ich dürfte der einzige in der Band sein der das hinbekommt. Da man dafür aber auch noch ein spezielles Kabel braucht habe ich eben den Nowsonic bestellt. Eigentlich deutlich zu teuer aber leider Konkurrenzlos. Den Airport Express nutze ich jetzt daheim, da sind nur die Fernseher von Samsung.

 

[netstalker]

aber leider Konkurrenzlos.

Kann ich so nicht stehenlassen: Die verbaute Technik ist Standard-Konsumerhardware - nur mit einem anderen Gehäuse. Mit Profitechnik hat das nichts zu tun.

Wer damit leben will - warum nicht.

 

[fender91]

Erstmal danke für die Infos zum Router, ich hab durch einen Thread von @dr_rollo davon gelesen.

Da ich netzwerkmäßig ein Laie bin, entschuldige bitte die Fragen:
Was ist denn der Vorteil des Cisco gegenüber einem handeslübliche(re)n Router der 2,4 und 5 GHz kann? Ist das stabiler, was die Verbindung angeht?

Ich bin für meine Band gerade auf der suche nach einem Router, der beides kann und auch gut "funkt". Unser bisheriger TP Link schwächelt da gerade etwas.

Was würde ich denn dann alles brauchen?
Router, Netzteil, "Spezialkabel", Antennen auch?

Wie gesagt, ich bin auf dem Gebiet eher Laie und hätte mir vermutlich bei Amazon irgendeinen Router gekauft.

 

[netstalker]

Das Spezialkabel braucht der, der dir den Access Point (da hat sich nix mit Router) als erster programmiert - solchen Geräten eine Grundprogrammierung zu verpassen, ist nichts für einen Laien.
Der Vorteil von den Dingern?

• Gebaut für die Ewigkeit (kein Plastikgehäuse, vernünftige Antennenanschlüsse)
  
• es lässt sich ALLES einstellen
• Zuverlässige Verbindung (weil sich auch die Verbindungsparameter "tunen" lassen

Du brauchst ein Netzteil, den Access Point und Antennen für den 5GHz-Bereich (sind für kleines Geld in der Bucht zu haben).
2,4GHz würde ich grundsätzlich abschalten, die Gründe wurden in diversen Threads unzählige Male besprochen.

Wer im Jahr 2x auf der Bühne steht und sein Equipment ansonsten im Proberaum oder Wohnzimmer hat, wird sicherlich auch mit irgendeinem Konsumer-Gerät glücklich; für den rauhen Bühnenalltag sind die Dinger eher suboptimal.

 

[fender91]

Das Spezialkabel braucht der, der dir den Access Point (da hat sich nix mit Router) als erster programmiert
Wer im Jahr 2x auf der Bühne steht und sein Equipment ansonsten im Proberaum oder Wohnzimmer hat, wird sicherlich auch mit irgendeinem Konsumer-Gerät glücklich; für den rauhen Bühnenalltag sind die Dinger eher suboptimal.

Okay, das trifft dann tatsächlich auf mich/uns zu.

Trotzdem vielen Dank für die Infos - jetzt bin ich wieder ein Bisschen schlauer

 

[dr_rollo]

Die Programmierung so eines Cisco Routers ist tatsächlich nicht ohne. Ich gebe zu, dass ich mir da Unterstützung aus unserer IT geholt habe. Da gibt‘s ein paar mit Cisco Zertifizierung. Allerdings haben die ein wenig die Nase gerümpft, da das hier beschriebene Modell ausgelaufen, daher auch gerade günstig gebraucht zu bekommen. WPA2 ist auch nur über einen Trick zu realisieren, wie er hier von @netstalker beschrieben ist (normalerweise erledigt ein separater Authentifizierungs-Server diese Aufgabe). Aber einmal konfiguriert, braucht man den Router ja auch nie wieder anzufassen. Dafür war er ohne Aufwand montiert, wo ich mir mit Konsumergeräten immer einen abgebrochen hab. Und er läuft absolut zuverlässig. Er braucht allerdings ne Minute länger zum hochfahren.

 

[netstalker]

Vielleicht noch als kleine Ergänzung:
Das, was die neuen Cisco-Access-Points "mehr" können, lässt sich im standalone-Betrieb gar nicht nutzen - dazu würde man einen sog. "Wireless-Lan-Controller" benötigen.
Das ist selbst auf der größten Bühne nicht norwendig - das sollten die zertifizierten IT'ler auch verstehen (sagt ein CCIE).

 

[dr_rollo]

Yep, so ist das. Im IT-Umfeld hat die Infrastruktur auch leicht andere Vorgaben, Voraussetzungen und auch andere Möglichkeiten. Bei uns hängen bald alle 30m so ein weißes Cisco-UFO, um ein flächendeckendes WLAN zu stellen, gespeist durch Unterputz-Ethernet, das auch gleich die Stromversorgung liefert (POE), gesteuert über Wireless-LAN-Controller und Authentifizierungs-Server. Nichts, was man auf irgendeiner Bühne hätte.

 

[netstalker]

Wieder mal was (hoffentlich) interessantes:
Ich stelle immer wieder fest, dass es für manche Bandmitglieder ein Problem darstellt, sich mit dem Wireless des Bühnen-APs zu verbinden um z.B. den Monitor/IeM-Mix einzustellen oder das Tablet mit Bandhelper zu verbinden....

Deshalb hier die Anleitung, wie man sich einen QR-Code bastelt, der dann nur noch gescannt werden muss (auf einem aktuellen EiFon braucht man nichts außer der Kamera, ich denke die Roboter-Fraktion muss da eine App installieren).

Einfach die SSID (den Netzwerknamen) und den PSK (Pre Shared Key - das Passwort) auf der Seite angeben, den QR-Code downloaden und am besten mehrfach ausdrucken, laminieren und jedem Bandmitglied in den Instumentenkoffer kleben......

Hier ein Beispiel:




https://qrcode.tec-it.com/en/wifi

 

[T2Loud]

@netstalker: Vielen Dank für das obige Konfigurationsbeispiel. Habe mir jetzt auch einen AIR-AP1242AG-E-K9 besorgt und wie vorgeschlagen konfiguriert. Es funktioniert auch wie erwartet und ich bin soweit nach ersten Tests mit dem UI24 Mixer zufrieden.

Jedoch habe ich noch 2 Punkte in der Config, die mir unklar sind:

- Warum Antenna Gain auf minus 128 db? Welchen Sinn hat diese Einstellung mit den Standardantennen?
- Der Befehl "control-plane" wurde auf meinem AP nicht akzeptiert. Was bewirkt dieser. Ich musste es somit weglassen.

Ansonsten bin ich von dem Gerät begeistert. Werde es zusammen mit dem Montageblech auch noch an einem Mikrostativ montieren und per PoE mit Strom versorgen. Und das für so wenig Geld

Danke

 

[cfortner]

Ich habe davon zwei am laufen, mit netstalkers Konfigurationen nur im 5GHz-Band, rock stable!

 

[gecco]

Soooo, jetzt stehe ich da mit meinem Unterhemd.
Kommunikation via Teraterm mit dem Cisco klappt. ABER:
Ich kriege einfach die Zeilen oben nicht eingegeben.

Copy&Paste geht sowas von schief

Möchte ich das alles einzeln abtippen kommen Kommentare wie
%invalid input detected at '' marker


Der "Heartbeat" ist dann immer NotSendingDiscoveryRequestAPDoesNotHaveAnIP

 

[cfortner]

Muss mal nachsehen, das ist tricky