TP-Link CPE210: keine WAN-Verbindung (lan0 bei "Neugerät" mindestens semi-defekt)

mave · 19. November 2018 um 15:54

Hallo Leute,
testweise habe ich auf unserem Haus einen CPE210 v1.0 installiert. Das Szenario war bisher: am Nebengebäude ist ein mit WAN-Uplink laufender TP-Link TL-WR1043N/ND v2 und unten im Haus ein TL-WA860RE v1.
Nun soll(te) der CPE210 aufs Dach, um mal testweise einen Outdoorbereich abzudecken (Firmware Freifunk Franken für V1). Der CPE210 hat auf LAN0 Spannung nebst WAN von einem Switch im Haus (im Prinzip identisch mit dem WR1043 der im Nebengebäude läuft. An LAN1 läßt sich problemlos ein PC anschließen. So läuft alles „über“ den WR1043 „vermeshed“ mit dem CPE210.
Das wollte ich aber so zunächst nicht, sondern, dass sich der CPE210 direkt per WAN-Uplink mit dem Freifunk-Netz verbindet. Macht er aber nicht (im Webinterface wird die Internetanbindung als vorhanden angezeigt). Entweder konfiguriere ich hier etwas falsch oder es gibt eine automatisierte Priorität, sodass der CPE210 die WAN-Anbindung nicht berücksichtigt. Läßt sich das erzwingen?
Außerdem: im Terminal per SSH ist es nicht mögliich, erfolgreich /etc/sysupgrade.sh aufzurufen => Upgrade path not set … opkg scheint es auch nicht zu geben. Kann es sein, dass hier die das (noch) nicht bietet, oder klingt hier irgendein Durcheinander an?
Für Hinweise bin ich dankbar!

Router im Monitoring hier

MPW · 19. November 2018 um 18:38

Moin,

zu den spezifischen Fragen von FF-Franken kann ich nichts beitragen. Nur kurz hierzu:

Du solltest pro DSL-Leitung nur einen Knoten haben, der VPN macht. Alle anderen sollten dahinter meschen, sei es per Kabel (LAN-Mesch) oder per Funk. Aber zwei VPN-Tunnel verschwenden nur Gateway-Ressourcen.

Das wäre zumindest bei uns im FF-Münsterland sehr ungerne gesehen. Für FF-Franken kann ich nicht sprechen.

Viele Grüße
Matthias

mave · 19. November 2018 um 19:36

Hallo Matthias,

ich danke!

Du solltest pro DSL-Leitung nur einen Knoten haben, der VPN macht …

Das sehe ich durchaus ebenso und m.W. sieht man das bei Freifunk-Franken ebenso. Mich hat aber das Verhalten gewundert, verbunden mit der Überlegung, wenn z.B. der Nachbar (mit eigener DSL-Leitung) einen Freifunk-Router dazu spendiert, ob das dann u.U. genauso ist. Und wenn nicht, würde dann bei Ausfall einer DSL-Verbindung im System ein anderer Router mit WAN-Verbindung eine andere Breitbandanbindung nutzen?

Gruss
Markus

MPW · 19. November 2018 um 20:07

@mave, kannst du bitte deinen Beitrag reparieren? Das, was du als Zitat geschrieben hast, habe ich nicht gesagt.

Natürlich kann der Nachbar wieder VPN-Mesch aktivieren. Ich schrieb ja pro DSL-Leitung. Der wird ja eine eigene haben.

mave · 19. November 2018 um 20:17

Uuuups, das war ein Paste & Copy-Fehler! Sorry!

ChrisD · 19. November 2018 um 22:25

Hallo @mave

Vorweg: Die Kommunikation bei Freifunk Franken findet kaum hier über das Forum statt. Wir haben Mailinglisten und nutzen viel das IRC. Schau dich mal hier um:
https://wiki.freifunk-franken.de/w/Kommunikation
Ich versuche aber dennoch, mal deine Fragen zu beantworten auch wenn es gerade bisschen wirr für mich aussieht:

Wenn ich es richtig verstehe, hast du am LAN0 den POE Injektor und den an deinem privaten Netz? Im WebUI kannst du einstellen was der LAN0 Port machen soll, dort musst du es in dem Fall auf WAN stellen, dann sollte er eine VPN Verbindung aufbauen. Sowas wie Mesh vor VPN bevorzugen gibt es nicht, es wird alles was möglich ist verwendet. Ausname die Router sind in verschiedenen Hoods, dann wird VPN bevorzugt und da sie dann unterschiedliche MeshID haben können sie nicht mehr miteinander meshen (danke Macnocker auch nicht über Kabel!)

wie ich sehe, hast du schon die v2 Firmware 20180802 drauf. Da das die aktuellste ist und wir uns noch nicht sicher sind wie wir zukünftige Updates verteilen (es gibt noch keinen Server dafür) ist in der Hoodfile noch kein Downloadpath eingetragen, daher die Fehlermeldung. Sobald es eine neue Firmware gibt, wird die Hoodfile auch einen richtigen Downloadpath bekommen und dein Router sich diese Hoodfile ganz automatisch holen, so das dann ein Update über diesen Weg auch möglich sein wird. Das ist also soweit aktuell ein erwartetes verhalten.

Aus $Gründen die ich jetzt gerade nicht näher weiß, wurde bei uns entschieden kein opkg mit in die Firmware inzukompilieren. Das ist also bewusst so gewollt, erwartetes verhalten.

ne glaube nicht, wirkt alles ganz schlüssig was du geschrieben hast. Da ich selbst keine CPE im Einsatz habe, kann ich dir da mit dem WAN nur grob helfen und weiß nicht genau wie das wirklich sein sollte.

Hoffe ich konnte dir dennoch soweit helfen.

Übrigens ist es bei uns recht egal, wer wo was an VPN ansteckt. Das prüft praktisch keiner und viele Gateways (zumindest alles was ich betreue) hat mehr als genug Ressourcen übrig. Durch Hoods von 50-100 Knoten (eigentlich war mein Ziel <50 Knoten aber das ist echt schwer zu halten ;)) und kaum über 150 Clients tun auch so unschönheiten wie 5x am VPN kaum weh.

mfg

Christian

mave · 20. November 2018 um 06:51

Hallo Christian,

Wenn ich es richtig verstehe, hast du am LAN0 den POE Injektor und den an deinem privaten Netz? Im WebUI kannst du einstellen was der LAN0 Port machen soll, dort musst du es in dem Fall auf WAN stellen, dann sollte er eine VPN Verbindung aufbauen.

Genauso ist ist das Szenario. LAN0 steht auch auf WAN, baut jedoch keine VPN-Verbindung darüber auf, sondern meshed zum/mit dem anderen Router im Nebenhaus. Im Grunde macht das ja Sinn ;-). Mein Gedanke war nur, dass dieser CPE210 als Richtantenne gar nicht optimal von „Hauptrouter“ empfängt, weil er anders ausgerichtet ist. Daher das Anliegen, diesen direkt zu versorgen (Mesh per Leitung geht ja nicht bzw. nur sehr aufwändig, da zwei Gebäude).
Warum der CPE210 das nun partout nicht über eine eigene VPN-Verbindung macht, wird sich vielleicht noch klären …

Für die anderer Infos der V2- FF-Firmware danke ich - ich vermutete die Gründe schon, was den Nutzen mitnichten schmälert. Dank auch für weitere Hinweise!

Gruss
Markus

ChrisD · 20. November 2018 um 10:37

hi

ok wenn sie auf WAN steht wird es spannend.

Logg dich mal per SSH ein und prüf mal folgendes:

ifconfig → ist da ein Interface fffVPN vorhanden?
batctl if → wird da fffVPN mit angezeigt?
ping keyserver.freifunk-franken.de und ping heise.de klappt jeweils?

Das werden wir jetzt Stück für Stück durchgehen müssen, kann also sein das dann später wieder neue Rückfragen kommen.

mfg

Christian

mave · 20. November 2018 um 13:36

Hallo Christian,

ich danke für den freundlichen Service

ifconfig ergibt (leider nirgends eine lokale IP):

root@Pfarrhaus-Etz-Sued:~# ifconfig
bat0      Link encap:Ethernet  HWaddr 56:11:CD:03:A8:04
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2479 errors:0 dropped:0 overruns:0 frame:0
          TX packets:458 errors:0 dropped:4 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:187308 (182.9 KiB)  TX bytes:192490 (187.9 KiB)

br-mesh   Link encap:Ethernet  HWaddr 30:B5:C2:86:48:98
          inet6 addr: fdff::32b5:c2ff:fe86:4898/64 Scope:Global
          inet6 addr: fe80::32b5:c2ff:fe86:4898/64 Scope:Link
          inet6 addr: fdff::1/64 Scope:Global
          inet6 addr: fdff::30b5:c286:4898/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2466 errors:0 dropped:0 overruns:0 frame:0
          TX packets:465 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:151984 (148.4 KiB)  TX bytes:193340 (188.8 KiB)

eth0      Link encap:Ethernet  HWaddr 30:B5:C2:86:48:98
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:5

eth0.1    Link encap:Ethernet  HWaddr 30:B5:C2:86:48:98
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

eth0.2    Link encap:Ethernet  HWaddr 30:B5:C2:86:48:98
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

eth0.3    Link encap:Ethernet  HWaddr 32:B5:C2:86:48:98
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:80 errors:0 dropped:0 overruns:0 frame:0
          TX packets:80 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:15889 (15.5 KiB)  TX bytes:15889 (15.5 KiB)

w2ap      Link encap:Ethernet  HWaddr 32:B5:C2:86:48:98
          inet6 addr: fe80::30b5:c2ff:fe86:4898/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2260 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:193344 (188.8 KiB)

w2configap Link encap:Ethernet  HWaddr 36:B5:C2:86:48:98
          inet6 addr: fe80::34b5:c2ff:fe86:4898/64 Scope:Link
          inet6 addr: fe80::1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:580 (580.0 B)

w2mesh    Link encap:Ethernet  HWaddr 30:B5:C2:86:48:98
          inet6 addr: fe80::32b5:c2ff:fe86:4898/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1528  Metric:1
          RX packets:32529 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16692 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4282742 (4.0 MiB)  TX bytes:2866404 (2.7 MiB)

batctl liefert kein fffVPN, die pings schlagen auch fehl:

root@Pfarrhaus-Etz-Sued:~# batctl if
w2mesh: active

root@Pfarrhaus-Etz-Sued:~# ping keyserver.freifunk-franken.de
ping: bad address 'keyserver.freifunk-franken.de'

root@Pfarrhaus-Etz-Sued:~# ping heise.de
ping: bad address 'heise.de'

Da scheint was gar nicht normal zu laufen …

Gruss
Markus

MisterCrumble · 20. November 2018 um 14:54

Hallo,

wie ist der Router denn ans Internet angeschlossen ? Zeigt er im Webinterface eine IP an ?

ChrisD · 20. November 2018 um 15:23

Hi

Ich das sieht in der Tat etwas seltsam aus. Kannst du noch eine Ausgabe zu
swconfig dev switch0 show
posten?

Mich wundert auch das auf br-mesh die fd43 Adressen fehlen, das wirkt auch falsch.

Kannst du dich Mal auf den oben genannten Kontaktmöglichkeiten (Mailingliste, IRC) melden, da lesen dann auch Leute mit, die die cpe kennen, ich hab mit der leider kaum Erfahrung.

Mfg

Christian

mave · 20. November 2018 um 15:44

Im WebInterface wird keine IP angezeigt, nur bei „Internet vohanden: ja“.
Allerdings im weiteren Verlauf: „no link“ …

mave · 20. November 2018 um 15:49

Hallo Christian,

mittlerweile habe ich den Verdacht, dass das Teil einen Hardwaredefekt aufweisen könnte, da am LAN-Kabel andere Geräte problemlos eine lokale IP beziehen können. Bevor sich jetzt noch weitere Leute darüber Gedanken machen: Ich erhalte vorauss. morgen einen weiteren CPE210 und teste erst mal den. Verhält es sich dann genauso,dürfte die Technik i.O. sein und ich kontaktiere über die FF-Mailingsliste.

Nochmals vielen Dank!
Gruss
Markus

adrianschmutzler · 20. November 2018 um 15:53

Hallo,

das mit dem Hardwaredefekt kann natürlich immer sein.

Da es sich ja um eine CPE210 v1 handelt, kannst du auch einfach mal versuchen, den zweiten Port auf WAN umzustellen und dort ein LAN-Kabel „mit dem Internet“ zu verbinden.
Beachte, dass der PoE-Adapter zur Stromversorgung am ersten Port bleiben muss, du kriegst also ein bisschen Kabelsalat.

Zusätzlich wäre der Inhalt der Datei /etc/config/network interessant.

Grüße

Adrian

adrianschmutzler · 20. November 2018 um 16:00

Interessant ist auch, dass am br-mesh beide fd43-Adressen fehlen. Das deutet darauf hin, dass bei der Konfiguration der Hood zumindest irgendwas schief gelaufen ist. Das ist u.U. auch der Grund, warum das /etc/sysupgrade.sh nicht funktioniert.

Ich würde ggf. auch mal versuchen, die CPE einfach nochmal per WebUI mit der gleichen Firmware zu flashen.

mave · 20. November 2018 um 16:01

Hallo Adrian,

WAN auf LAN1 … teste ich mal - aktuell mehr als Gefummel, denn ich habe beim CPE210 auf’m Dach keinen Strom (da war jemand bei der Planung seeeeeeehr klug …, aber das ist ein anderes Problem Hier aber mal die /etc/config/network

root@Pfarrhaus-Etz-Sued:~# cat /etc/config/network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config interface 'mesh'
        option type 'bridge'
        option auto '1'
        option ifname 'eth0.1 bat0'
        option macaddr '30:b5:c2:86:48:98'
        list ip6addr 'fdff:0::0:30b5:c286:4898/64'
        list ip6addr 'fdff:0::1/64'
        list ip6addr 'fdff:0::32b5:c2ff:fe86:4898/64'
        option proto 'static'

config interface 'wan'
        option proto 'dhcp'
        option ifname 'eth0.2'

config interface 'ethmesh'
        option mtu '1528'
        option proto 'batadv'
        option mesh 'bat0'
        option ifname 'eth0.3'
        option macaddr '32:b5:c2:86:48:98'

config interface 'w2mesh'
        option mtu '1528'
        option proto 'batadv'
        option mesh 'bat0'

config switch 'eth0'
        option name 'eth0'
        option enable '1'
        option reset '1'
        option enable_vlan '1'

config switch_vlan 'eth0_1'
        option device 'eth0'
        option vlan '1'
        option ports '0t 4'

config switch_vlan 'eth0_2'
        option device 'eth0'
        option vlan '2'
        option ports '0t 5'

config switch_vlan 'eth0_3'
        option device 'eth0'
        option vlan '3'
        option ports '0t'

config globals 'globals'
        option ula_prefix 'fdff:0::/64'

config interface 'configSta'
        option proto 'static'

config interface 'configap2'
        option proto 'static'
        option ip6addr 'fe80::1/64'

adrianschmutzler · 20. November 2018 um 16:27

Also in der /etc/config/network passt alles. Das Switch-Setup stimmt also schon mal und ist nicht das Problem.

mave · 20. November 2018 um 17:32

Danke … Ja WAN ist ja entsprechend für eth0.2 konfiguriert und bei meinem anderen Router (WR1043N/ND v2) am VDSL/LAN liegt eben auf eth0.2 schön die lokale IP 192.168.x.x. per DHCP zugeteilt.

Würde mich nicht wundern, wenn die WAN-Schnittstelle des CPE210 einen Schlag weg hat und zwar dem Gerät Strom gibt, aber das LAN-Signal unterschlägt. Also: Dort testweise einen anderen Router anschließen.

adorfer · 20. November 2018 um 18:08

CPEs auf denen das primäre LAN (das mit dem POE) nur link, aber eine Daten (im tcpdump) liefert: Schon mehrerere gesehen, gerade solche, die „frisch von Amazon“ kamen, vermutlich Geräte die an „48V-POE“ oder so gegrillt wurden und dann einem arglosen nächsten KUnden als „neu“ zugeschickt wurden.

mave · 20. November 2018 um 20:43

vermutlich Geräte die an “48V-POE” oder so gegrillt wurden …

Der Gedanke kam mir auch schon
Mal sehen, ob die nächste/erwartete Lieferung etwas anderes bringt.
Ich werde hier berichten.