Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 20:34



Ответить на тему  [ Сообщений: 14 ] 
Ищу IoS для WiFi тд. прошу помощи. 
Автор Сообщение

Зарегистрирован: 19 окт 2016, 15:35
Сообщения: 12
Уже несколько дней бьюсь, не могу подключить ТД AIR-AP1131 виртуальному контроллеру. :cry:
Точка не может поднять DTLS туннель т.к. не принимает SSC от контроллера. В данный момент на ней свежая версия софта c1130-rcvk9w8-tar.124-25e.JAP12.tar.
Есть информация, что с софтом c1130-rcvk9w8-tar.124-25e.JAL2.tar проблема решается. Поделитесь у кого есть, плиз!


14 ноя 2017, 15:46
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
а не MIC используется для подключения? В дебаге что пишет?


14 ноя 2017, 16:08
Профиль

Зарегистрирован: 19 окт 2016, 15:35
Сообщения: 12
crash писал(а):
а не MIC используется для подключения? В дебаге что пишет?

Нет, проблема известная, точка запрашивает DTLS соединение, WLC отвечает, используя SSC (похоже MIC у него вообще нет), точка ругается Bad Certificate. На этом все заканчивается.
В дебаге тд пишет Certificate verification failed! и т.п.
MIC есть на точке.
Установил и на точку и на контроллер LSC с одного СА, но непонятно как заставить контроллер его использовать в DTLS. Он все-равно упорно использует SSC, сгенеренный при установке образа.


14 ноя 2017, 17:04
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
ну не знаю. Знаю известная проблема, когда окончился сертификат MIC и после этого точка не может подключаться. А у вес какой контроллер?


14 ноя 2017, 17:26
Профиль

Зарегистрирован: 19 окт 2016, 15:35
Сообщения: 12
crash писал(а):
ну не знаю. Знаю известная проблема, когда окончился сертификат MIC и после этого точка не может подключаться. А у вес какой контроллер?

Виртуальный 8.0.152.0 AIR-CTVM-K9

На точке есть Cisco MIC до 2022 года и LSC.
на контроллере только SSC и LSC. Никаких следов MIC в настройках пока не обнаружил


14 ноя 2017, 17:38
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
http://sfree.ws/files/c1130-k9w8-tar.124-25e.JAP12.tar


14 ноя 2017, 19:22
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 227
Добавьте MAC адрес точки в лист и пробуйте


Вложения:
Комментарий к файлу: Скриншот из vWLC
appol.gif
appol.gif [ 13.04 КБ | Просмотров: 10226 ]
14 ноя 2017, 19:59
Профиль

Зарегистрирован: 19 окт 2016, 15:35
Сообщения: 12
Lomax писал(а):
http://sfree.ws/files/c1130-k9w8-tar.124-25e.JAP12.tar

Спасибо, я писал в первом посте, этот софт у меня есть, с ним ошибки. Кстати, уже скачал тот, что искал c1130-rcvk9w8-tar.124-25e.JAL2.tar ничего не изменилось.


15 ноя 2017, 08:57
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
alexey150296 писал(а):
Кстати, уже скачал тот, что искал c1130-rcvk9w8-tar.124-25e.JAL2.tar ничего не изменилось.

я думаю, что и не должно было


15 ноя 2017, 09:03
Профиль

Зарегистрирован: 19 окт 2016, 15:35
Сообщения: 12
amir писал(а):
Добавьте MAC адрес точки в лист и пробуйте

Добавлял конечно. Все, что описано в мануалах я уже давно перепробовал, плюс разные "танцы с бубном".
Все эти галочки в "AP Policies" здесь ни при чем, потому что проблема не в том, что контроллер не принимает сертификат точки, а наоборот, в том, что точка ругается на сертификат контроллера. До отправки сертификата от ТД на контроллер дело даже не доходит. Вот
весь попакетный процесс обмена:

ap -> Client Hello
wlc -> Hello Verify Request
ap -> Client Hello
wlc -> Server Hello, Certificate
wlc - > Certificate, Certificate Request, Server Hello Done
ap -> Alert (Level: Fatal, Bad Certificate)
ap -> Alert (Level: Fatal, Close Notify)

На контроллере по настройкам сертификатов почти никаких возможностей не предусмотрено. Есть SSC (именно его отправляет контроллер), и есть LSC


Вложения:
wlc.JPG
wlc.JPG [ 41.04 КБ | Просмотров: 10196 ]
15 ноя 2017, 09:27
Профиль

Зарегистрирован: 19 окт 2016, 15:35
Сообщения: 12
crash писал(а):
я думаю, что и не должно было

Просто нашел подобную тему
http://sysadmins.ru/topic375112.html
понадеялся на чудо


15 ноя 2017, 09:30
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
alexey150296 писал(а):
Просто нашел подобную тему
http://sysadmins.ru/topic375112.html
понадеялся на чудо

в той теме наверное ключевое было
Цитата:
rcvk в любом случае необходим, чтобы апгрейдить AP to LAP
Хотя там и пишут тоже про сертификаты и в конце дали кучу ссылок.

И еще тут наверное это имеет значение
Цитата:
Aironet APs that shipped before July 18, 2005, do not have MICs. So these APs create an SSC when they are converted to operate in lightweight mode.


15 ноя 2017, 13:08
Профиль

Зарегистрирован: 19 окт 2016, 15:35
Сообщения: 12
crash писал(а):
Хотя там и пишут тоже про сертификаты и в конце дали кучу ссылок.

И еще тут наверное это имеет значение


ТД 2012 года выпуска.
Кучи ссылок что-то не вижу.
ИМХО ключевое там, что:
Note: The Virtual Controller in release 7.3 uses Self Signed Certificates (SSC) as against the Manufacturing Installed Certificates (MIC) in the traditional controller. The AP will be able to validate the SSC certificate provided by the virtual controller before joining. See AP Considerations in the Troubleshooting section for more details.

т.е. виртуальный контроллер 7.3 релиза (и более поздних) использует SSC вместо MIC. АП должна суметь проверить валидность SSC контроллера до подключения. В моем случае ей этого не удается сделать.

По ссылке вообще много странных буков:
Known Issue: AP(s) not joining vWLC - The AP must get the hash entry from a legacy controller before it joins a vWLC.
- An AP must be at software version 7.3.1.35 and above to successfully join a virtual controller. Virtual controllers use SSC in order to validate an AP before joining. (точка должна иметь софт 7.3.1.35 и выше, чтобы успешно подключиться к контроллеру)
- An AP at version 7.3 can validate the SSC certificate provided by the virtual controller.

Например, пишут про software version 7.3.1.35 на точке!! Такой версии ПО для ТД не существует, это может быть версия контроллера.


15 ноя 2017, 15:34
Профиль

Зарегистрирован: 19 окт 2016, 15:35
Сообщения: 12
Похоже, что это просто один из многочисленных багов циски.
пишут, что нужно понизить версию.

https://bst.cloudapps.cisco.com/bugsear ... kviewredir


20 ноя 2017, 11:45
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 14 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 43


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB