Wireless Access

Reply
Occasional Contributor I

AP PCAP on 8.x code.

Cannot get "ap packet-capture" to send traffic to local machine as datasession table shows the packets being denied.  

 

Following commands are run:

 

ap packet-capture open-port 5555

ap packet-capture ip-addr 11.0.0.14 11.0.0.33 5555 radio 1

 

Output of following commands:

 show rights sys-ap-role   (Note this shows 5555 open)

 

Priority  Source  Destination  Service               Application  Action  TimeRange  Log  Expired  Queue  TOS  8021P  Blacklist  Mirror  DisScan  IPv4/6  Contract

--------  ------  -----------  -------               -----------  ------  ---------  ---  -------  -----  ---  -----  ---------  ------  -------  ------  --------

1         any     any          sys-svc-gre                        permit                           Low                                            4        

2         any     any          sys-svc-gre                        permit                           Low                                            6        

3         any     any          sys-svc-syslog                     permit                           Low                                            4        

4         any     any          sys-svc-syslog                     permit                           Low                                            6        

5         any     any          sys-svc-snmp                       permit                           Low                                            4        

6         any     any          sys-svc-snmp                       permit                           Low                                            6        

7         any     any          sys-svc-http                       permit                           Low                                            4        

8         any     any          sys-svc-http                       permit                           Low                                            6        

9         user    any          sys-svc-kerberos-tcp               permit                           Low                                            4        

10        user    any          sys-svc-kerberos-tcp               permit                           Low                                            6        

11        user    any          sys-svc-smb-tcp                    permit                           Low                                            4        

12        any     any          sys-svc-snmp-trap                  permit                           Low                                            4        

13        any     any          sys-svc-ntp                        permit                           Low                                            4        

14        user    any          sys-svc-ftp                        permit                           Low                                            4        

15        user    any          sys-svc-ftp                        permit                           Low                                            6        

16        user    any          sys-svc-ftp-flbck                  permit                           Low                                            4        

17        user    any          sys-svc-ftp-flbck                  permit                           Low                                            6        

18        any     user         sys-svc-ftp-data-any               permit                           Low                                            4        

19        any     user         sys-svc-ftp-data-any               permit                           Low                                            6        

20        any     user         sys-svc-telnet                     permit                           Low                                            4        

21        user    any          sys-svc-am-5555                    permit                           Low                                            4        

22        user    any          sys-svc-am-5001                    permit                           Low                                            4       

 

show ap packet-capture status ip-addr 11.0.0.14 (pcap is active)

 

Packet Capture Sessions at LIVINGROOM, IP 11.0.0.14

---------------------------------------------------

pcap-id  filter  type  intf               channel  max-pkt-size  num-pkts  status       url  target          Radio ID

-------  ------  ----  ----               -------  ------------  --------  ------       ---  ------          --------

1                raw   38:17:c3:8e:de:a0  1        0             9371      in-progress       11.0.0.33/5555  1

 

show datapath session table 11.0.0.14 (Note that packets are being denyed to my local ip)

 

Source IP or MAC  Destination IP  Prot SPort DPort Cntr     Prio ToS Age Destination TAge Packets    Bytes      Flags           CPU ID  

----------------- --------------- ---- ----- ----- -------- ---- --- --- ----------- ---- ---------- ---------- --------------- ------- 

11.0.0.101        11.0.0.14       47   0     0      0/0     0    4   0   local       3c   255        49764      FC              7        

11.0.0.14         11.0.0.101      17   4500  4500   0/0     0    0   1   0/0/4       48   56         25780      FC              6        

11.0.0.101        11.0.0.14       17   8444  8209   0/0     0    0   1   tunnel 11   d    0          0          FYI             6        

11.0.0.14         11.0.0.101      17   8211  15301  0/0     0    0   1   local       20   0          0          FYI             6        

 

11.0.0.14         11.0.0.101      17   8209  8444   0/0     0    0   0   tunnel 11   d    0          0          FYCI            6        

11.0.0.101        11.0.0.14       17   15301 8211   0/0     0    0   0   local       20   3          1671       FCI             6        

11.0.0.101        11.0.0.14       17   8494  8211   0/0     0    0   1   local       16   1          127        FCI             6        

11.0.0.14         11.0.0.33       17   5555  5555   0/0     0    0   0   0/0/4       a    385        120046     FDC             7        

 

11.0.0.14         11.0.0.101      17   8211  8494   0/0     0    0   1   local       16   0          0          FYI             6        

11.0.0.14         11.0.0.101      47   0     0      0/0     0    40  0   local       3c   90         10508      F               6        

11.0.0.101        11.0.0.14       17   4500  4500   0/0     0    0   4   0/0/4       48   9          7045       F               6   

 

 

Ports are all trusted so no port level acls are enabled. Why is the traffic being denyed to local machine?

 

 

 

 

 

Guru Elite

Re: AP PCAP on 8.x code.

The traffic should be coming directly from the ip address of the access point to the ip address of the station, and not going through the controller UNLESS that is the only route between the AP and the monitoring station.  If the monitoring station is connected wirelessly, check to make sure that there are no ACLs on the station's role blocking that traffic.  You should be able to put the station and the AP on the same subnet and no traffic should go through the controller.  The deny suggests that the station is in the user table and the ACL applied to the user is blocking the traffic, not the system role, which is not what would be enforcing that traffic.


*Answers and views expressed by me on this forum are my own and not necessarily the position of Aruba Networks or Hewlett Packard Enterprise.*
ArubaOS 8.4 User Guide
InstantOS 8.3 User Guide
Airheads Knowledgebase
Airheads Learning Videos
Aruba Central Documentation
Sign up for Security Alerts
Aruba Technical Webinars
Occasional Contributor I

Re: AP PCAP on 8.x code.

Both AP and user are in same subnet and user role is an allow all for the target machine.  

 

Occasional Contributor I

Re: AP PCAP on 8.x code.

Sorry double post!

Guru Elite

Re: AP PCAP on 8.x code.

Please place the monitoring station on a wired switch parallel to the AP so that the traffic does not go through the controller.  We want to establish that the pcap is making it to the management station before troubleshooting traffic going through the controller.  If we establish that it is working with that setup, your problem is then understanding your controller setup.


*Answers and views expressed by me on this forum are my own and not necessarily the position of Aruba Networks or Hewlett Packard Enterprise.*
ArubaOS 8.4 User Guide
InstantOS 8.3 User Guide
Airheads Knowledgebase
Airheads Learning Videos
Aruba Central Documentation
Sign up for Security Alerts
Aruba Technical Webinars
Occasional Contributor I

Re: AP PCAP on 8.x code.

Not possible in my home lab as the 7008 is the central hub for all connected devices (FW, AP's, End users).  I did try with a wired port to rule out wireless users to no avail as well.  

 

I figured that this setup was likely causing the issue but considered that if everything is set to allow-all it should still work.  Ill verify at my office lab after holidays which is configured more like a traditional end customer network. 

 

This config worked on 6.x code previously when doing testing so do not know what has changed.

Moderator

Re: AP PCAP on 8.x code.

can you run "show acl hits" and to try and find which ACL is blocking the traffic

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: