Автор |
Сообщение |
Jasson
Зарегистрирован: 18 окт 2016, 17:25 Сообщения: 84
|
Добрый день Имею вот такого зверя: WS-C3750G-24WS-S25 Поднял контроллер - хочу прицепить точку - получаю вот такой вывод *Jun 24 18:00:30.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 10.38.200.34 peer_port: 5246 *Jun 24 18:00:30.095: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: 12ABC67A0000001ECA9A) has expired. Validity period ended on 07:41:59 UTC Jul 14 2017Peer certificate verification failed 001A *Jun 24 18:00:30.096: %CAPWAP-3-ERRORLOG: Certificate verification failed! *Jun 24 18:00:30.096: DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:478 Certificate verified failed! *Jun 24 18:00:30.096: %DTLS-5-SEND_ALERT: Send FATAL : Bad certificate Alert to 10.38.200.34:5246 *Jun 24 18:00:30.097: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 10.38.200.34:5246 Bug Search Tool: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuq19142Обновил контроллер до SWLC3750K9-7-0-252-0.aes - не помогло Прописывал команды на WLC - config ap lifetime-check {mic|ssc} enable - не помогло Точка прошита вот этой прошивкой - c1140-rcvk9w8-tar.153-3.JD.tar Кто что посоветует ? Буду очень благодарен П.С.: LSC не пробовал, нет дома CA сервера
|
25 июн 2018, 12:12 |
|
|
vevilz
Зарегистрирован: 25 июн 2018, 09:32 Сообщения: 11
|
Привет. Была аналогичная проблема на контроллере 4400 с точками 1131, помог даунгрейд до 7.6, попробуй сделать откат на более старую версию.
|
25 июн 2018, 13:11 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
vevilz писал(а): Была аналогичная проблема на контроллере 4400 с точками 1131, помог даунгрейд до 7.6, куда даунгрейд? Последняя версия на 4400 это AIR-WLC4400-K9-7-0-252
|
25 июн 2018, 13:15 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
Возможно не прошла команда на то что не смотреть сертификат. Регион выставили правильный или в разрезе контроллера там выбирается страна точки.
|
25 июн 2018, 13:17 |
|
|
vevilz
Зарегистрирован: 25 июн 2018, 09:32 Сообщения: 11
|
crash писал(а): vevilz писал(а): Была аналогичная проблема на контроллере 4400 с точками 1131, помог даунгрейд до 7.6, куда даунгрейд? Последняя версия на 4400 это AIR-WLC4400-K9-7-0-252 Прошу прощения, не на 4400, vWLC с 8 до 7.6
|
25 июн 2018, 13:40 |
|
|
Jasson
Зарегистрирован: 18 окт 2016, 17:25 Сообщения: 84
|
crash писал(а): Возможно не прошла команда на то что не смотреть сертификат. Регион выставили правильный или в разрезе контроллера там выбирается страна точки. Касательно региона, можете подробней? На WLC - Wireless - Country - изначально была установлена US, потом я сменил на UA Попробовать другую страну?
|
25 июн 2018, 16:46 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
а точки у вас на какой регион?
|
25 июн 2018, 17:38 |
|
|
Jasson
Зарегистрирован: 18 окт 2016, 17:25 Сообщения: 84
|
Отправил контроллер в 2016 год и все заработало Буду теперь гадать как сделать так, что бы он работал в этом году.
|
26 июн 2018, 00:53 |
|
|
surFER58
Зарегистрирован: 13 дек 2017, 23:25 Сообщения: 11
|
У циски деление точек по регионам. Напишите точную модель точки.
|
23 окт 2018, 17:44 |
|
|
Vitaliy216
Зарегистрирован: 11 окт 2017, 11:43 Сообщения: 21
|
Походу проблема в стухшем сертификате. Откатом даты вы частично решаете проблему. Ищите инфу как выключить проверку... Это как раз можно делать в 7 версии... Сам так делал... Ссылки на мануал сейчас нет под рукой.
|
24 окт 2018, 10:31 |
|
|
surFER58
Зарегистрирован: 13 дек 2017, 23:25 Сообщения: 11
|
Vitaliy216 писал(а): Походу проблема в стухшем сертификате. Откатом даты вы частично решаете проблему. Ищите инфу как выключить проверку... Это как раз можно делать в 7 версии... Сам так делал... Ссылки на мануал сейчас нет под рукой. У точек нет датирования сертификата, тут либо он ставит версию контроллера, которая не поддерживает старые точки (не помню точно, но где-то 2016-2017 с какой-то версии прекратили поддержку AIR 1140 и ниже), либо в попытке автора выставить какой-нибудь регион US в контроллере и подключить к нему AIR-LAP1130AG-E, который только для Европы (к примеру). Переделать E в A не трудно, но никто делиться этим знанием за пределами .Onion ресурсов не будет, тем более бесплатно.
|
24 окт 2018, 14:29 |
|
|
Vitaliy216
Зарегистрирован: 11 окт 2017, 11:43 Сообщения: 21
|
surFER58 писал(а): Vitaliy216 писал(а): Походу проблема в стухшем сертификате. Откатом даты вы частично решаете проблему. Ищите инфу как выключить проверку... Это как раз можно делать в 7 версии... Сам так делал... Ссылки на мануал сейчас нет под рукой. У точек нет датирования сертификата, тут либо он ставит версию контроллера, которая не поддерживает старые точки (не помню точно, но где-то 2016-2017 с какой-то версии прекратили поддержку AIR 1140 и ниже), либо в попытке автора выставить какой-нибудь регион US в контроллере и подключить к нему AIR-LAP1130AG-E, который только для Европы (к примеру). Переделать E в A не трудно, но никто делиться этим знанием за пределами .Onion ресурсов не будет, тем более бесплатно. Мне кажется что вы все же не правы. 1. У меня 4400 контролер + точки AIR-LAP1131AG... так точки отвалились как стух сертификат. Пришлось нудно искать прошивку до 7.0252.0 что бы отключить проверку сертификатов, в более старых не было команды для отключения проверки валидности сертификата. Ошибки валились такие же. Как временное решение делал откат даты... 2. Точки все же состыковываются все же по сертификату.
|
24 окт 2018, 16:28 |
|
|
surFER58
Зарегистрирован: 13 дек 2017, 23:25 Сообщения: 11
|
Vitaliy216 писал(а): surFER58 писал(а): Vitaliy216 писал(а): Походу проблема в стухшем сертификате. Откатом даты вы частично решаете проблему. Ищите инфу как выключить проверку... Это как раз можно делать в 7 версии... Сам так делал... Ссылки на мануал сейчас нет под рукой. У точек нет датирования сертификата, тут либо он ставит версию контроллера, которая не поддерживает старые точки (не помню точно, но где-то 2016-2017 с какой-то версии прекратили поддержку AIR 1140 и ниже), либо в попытке автора выставить какой-нибудь регион US в контроллере и подключить к нему AIR-LAP1130AG-E, который только для Европы (к примеру). Переделать E в A не трудно, но никто делиться этим знанием за пределами .Onion ресурсов не будет, тем более бесплатно. Мне кажется что вы все же не правы. 1. У меня 4400 контролер + точки AIR-LAP1131AG... так точки отвалились как стух сертификат. Пришлось нудно искать прошивку до 7.0252.0 что бы отключить проверку сертификатов, в более старых не было команды для отключения проверки валидности сертификата. Ошибки валились такие же. Как временное решение делал откат даты... 2. Точки все же состыковываются все же по сертификату. Мы когда фирму запускали точки (AIR-LAP1142N-A-K9) тоже фаталы сыпали. Я тогда в циске не очень ориентировался и не сразу понял, что проблема в регионе. В итоге переделал на E сами точки. Очевидным решением было бы добавление US региона на контроллере, но у нас в стране предусмотрены огромные штрафы за несоблюдение частотных диапазонов региона (в моём случае именно E - EU) Так же потом они начали сыпать фаталы, когда обновил контроллер. Оказалось что CISCO убрала поддержку старых точек в новой версии. Конкретно поддержку 1130 убрали после версии 8.0.152.0, вот тут таблица соответствия версий контроллера и точек: https://www.cisco.com/c/en/us/td/docs/w ... atrix.htmlУ точки сертификат формируется, когда прошивка проверяет регион точки (домен прописан в EEPROM), причем при смене прошивки сертификат обновляется.
|
24 окт 2018, 16:57 |
|
|
Vitaliy216
Зарегистрирован: 11 окт 2017, 11:43 Сообщения: 21
|
Эту таблицу я видел , и в соответствии с ней искал прошивку контроллера + совместимость точек + что бы в прошивке была возможность отключения валидности сертификатов. в старых прошивках этой возможности нет...
Делал это год назад на регионы не обращал внимания ... до сих пор все крутится как надо
|
24 окт 2018, 17:16 |
|
|