Anticisco
http://anticisco.ru/forum/

Ищу IoS для WiFi тд. прошу помощи.
http://anticisco.ru/forum/viewtopic.php?f=2&t=10106
Страница 1 из 1

Автор:  alexey150296 [ 14 ноя 2017, 15:46 ]
Заголовок сообщения:  Ищу IoS для WiFi тд. прошу помощи.

Уже несколько дней бьюсь, не могу подключить ТД AIR-AP1131 виртуальному контроллеру. :cry:
Точка не может поднять DTLS туннель т.к. не принимает SSC от контроллера. В данный момент на ней свежая версия софта c1130-rcvk9w8-tar.124-25e.JAP12.tar.
Есть информация, что с софтом c1130-rcvk9w8-tar.124-25e.JAL2.tar проблема решается. Поделитесь у кого есть, плиз!

Автор:  crash [ 14 ноя 2017, 16:08 ]
Заголовок сообщения:  Re: Ищу IoS для WiFi тд. прошу помощи.

а не MIC используется для подключения? В дебаге что пишет?

Автор:  alexey150296 [ 14 ноя 2017, 17:04 ]
Заголовок сообщения:  Re: Ищу IoS для WiFi тд. прошу помощи.

crash писал(а):
а не MIC используется для подключения? В дебаге что пишет?

Нет, проблема известная, точка запрашивает DTLS соединение, WLC отвечает, используя SSC (похоже MIC у него вообще нет), точка ругается Bad Certificate. На этом все заканчивается.
В дебаге тд пишет Certificate verification failed! и т.п.
MIC есть на точке.
Установил и на точку и на контроллер LSC с одного СА, но непонятно как заставить контроллер его использовать в DTLS. Он все-равно упорно использует SSC, сгенеренный при установке образа.

Автор:  crash [ 14 ноя 2017, 17:26 ]
Заголовок сообщения:  Re: Ищу IoS для WiFi тд. прошу помощи.

ну не знаю. Знаю известная проблема, когда окончился сертификат MIC и после этого точка не может подключаться. А у вес какой контроллер?

Автор:  alexey150296 [ 14 ноя 2017, 17:38 ]
Заголовок сообщения:  Re: Ищу IoS для WiFi тд. прошу помощи.

crash писал(а):
ну не знаю. Знаю известная проблема, когда окончился сертификат MIC и после этого точка не может подключаться. А у вес какой контроллер?

Виртуальный 8.0.152.0 AIR-CTVM-K9

На точке есть Cisco MIC до 2022 года и LSC.
на контроллере только SSC и LSC. Никаких следов MIC в настройках пока не обнаружил

Автор:  Lomax [ 14 ноя 2017, 19:22 ]
Заголовок сообщения:  Re: Ищу IoS для WiFi тд. прошу помощи.

http://sfree.ws/files/c1130-k9w8-tar.124-25e.JAP12.tar

Автор:  amir [ 14 ноя 2017, 19:59 ]
Заголовок сообщения:  Re: Ищу IoS для WiFi тд. прошу помощи.

Добавьте MAC адрес точки в лист и пробуйте

Вложения:
Комментарий к файлу: Скриншот из vWLC
appol.gif
appol.gif [ 13.04 КБ | Просмотров: 2036 ]

Автор:  alexey150296 [ 15 ноя 2017, 08:57 ]
Заголовок сообщения:  Re: Ищу IoS для WiFi тд. прошу помощи.

Lomax писал(а):
http://sfree.ws/files/c1130-k9w8-tar.124-25e.JAP12.tar

Спасибо, я писал в первом посте, этот софт у меня есть, с ним ошибки. Кстати, уже скачал тот, что искал c1130-rcvk9w8-tar.124-25e.JAL2.tar ничего не изменилось.

Автор:  crash [ 15 ноя 2017, 09:03 ]
Заголовок сообщения:  Re: Ищу IoS для WiFi тд. прошу помощи.

alexey150296 писал(а):
Кстати, уже скачал тот, что искал c1130-rcvk9w8-tar.124-25e.JAL2.tar ничего не изменилось.

я думаю, что и не должно было

Автор:  alexey150296 [ 15 ноя 2017, 09:27 ]
Заголовок сообщения:  Re: Ищу IoS для WiFi тд. прошу помощи.

amir писал(а):
Добавьте MAC адрес точки в лист и пробуйте

Добавлял конечно. Все, что описано в мануалах я уже давно перепробовал, плюс разные "танцы с бубном".
Все эти галочки в "AP Policies" здесь ни при чем, потому что проблема не в том, что контроллер не принимает сертификат точки, а наоборот, в том, что точка ругается на сертификат контроллера. До отправки сертификата от ТД на контроллер дело даже не доходит. Вот
весь попакетный процесс обмена:

ap -> Client Hello
wlc -> Hello Verify Request
ap -> Client Hello
wlc -> Server Hello, Certificate
wlc - > Certificate, Certificate Request, Server Hello Done
ap -> Alert (Level: Fatal, Bad Certificate)
ap -> Alert (Level: Fatal, Close Notify)

На контроллере по настройкам сертификатов почти никаких возможностей не предусмотрено. Есть SSC (именно его отправляет контроллер), и есть LSC

Вложения:
wlc.JPG
wlc.JPG [ 41.04 КБ | Просмотров: 2006 ]

Автор:  alexey150296 [ 15 ноя 2017, 09:30 ]
Заголовок сообщения:  Re: Ищу IoS для WiFi тд. прошу помощи.

crash писал(а):
я думаю, что и не должно было

Просто нашел подобную тему
http://sysadmins.ru/topic375112.html
понадеялся на чудо

Автор:  crash [ 15 ноя 2017, 13:08 ]
Заголовок сообщения:  Re: Ищу IoS для WiFi тд. прошу помощи.

alexey150296 писал(а):
Просто нашел подобную тему
http://sysadmins.ru/topic375112.html
понадеялся на чудо

в той теме наверное ключевое было
Цитата:
rcvk в любом случае необходим, чтобы апгрейдить AP to LAP
Хотя там и пишут тоже про сертификаты и в конце дали кучу ссылок.

И еще тут наверное это имеет значение
Цитата:
Aironet APs that shipped before July 18, 2005, do not have MICs. So these APs create an SSC when they are converted to operate in lightweight mode.

Автор:  alexey150296 [ 15 ноя 2017, 15:34 ]
Заголовок сообщения:  Re: Ищу IoS для WiFi тд. прошу помощи.

crash писал(а):
Хотя там и пишут тоже про сертификаты и в конце дали кучу ссылок.

И еще тут наверное это имеет значение


ТД 2012 года выпуска.
Кучи ссылок что-то не вижу.
ИМХО ключевое там, что:
Note: The Virtual Controller in release 7.3 uses Self Signed Certificates (SSC) as against the Manufacturing Installed Certificates (MIC) in the traditional controller. The AP will be able to validate the SSC certificate provided by the virtual controller before joining. See AP Considerations in the Troubleshooting section for more details.

т.е. виртуальный контроллер 7.3 релиза (и более поздних) использует SSC вместо MIC. АП должна суметь проверить валидность SSC контроллера до подключения. В моем случае ей этого не удается сделать.

По ссылке вообще много странных буков:
Known Issue: AP(s) not joining vWLC - The AP must get the hash entry from a legacy controller before it joins a vWLC.
- An AP must be at software version 7.3.1.35 and above to successfully join a virtual controller. Virtual controllers use SSC in order to validate an AP before joining. (точка должна иметь софт 7.3.1.35 и выше, чтобы успешно подключиться к контроллеру)
- An AP at version 7.3 can validate the SSC certificate provided by the virtual controller.

Например, пишут про software version 7.3.1.35 на точке!! Такой версии ПО для ТД не существует, это может быть версия контроллера.

Автор:  alexey150296 [ 20 ноя 2017, 11:45 ]
Заголовок сообщения:  Re: Ищу IoS для WiFi тд. прошу помощи.

Похоже, что это просто один из многочисленных багов циски.
пишут, что нужно понизить версию.

https://bst.cloudapps.cisco.com/bugsear ... kviewredir

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/