Автор |
Сообщение |
alexey150296
Зарегистрирован: 19 окт 2016, 15:35 Сообщения: 12
|
Уже несколько дней бьюсь, не могу подключить ТД AIR-AP1131 виртуальному контроллеру. Точка не может поднять DTLS туннель т.к. не принимает SSC от контроллера. В данный момент на ней свежая версия софта c1130-rcvk9w8-tar.124-25e.JAP12.tar. Есть информация, что с софтом c1130-rcvk9w8-tar.124-25e.JAL2.tar проблема решается. Поделитесь у кого есть, плиз!
|
14 ноя 2017, 15:46 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
а не MIC используется для подключения? В дебаге что пишет?
|
14 ноя 2017, 16:08 |
|
|
alexey150296
Зарегистрирован: 19 окт 2016, 15:35 Сообщения: 12
|
crash писал(а): а не MIC используется для подключения? В дебаге что пишет? Нет, проблема известная, точка запрашивает DTLS соединение, WLC отвечает, используя SSC (похоже MIC у него вообще нет), точка ругается Bad Certificate. На этом все заканчивается. В дебаге тд пишет Certificate verification failed! и т.п. MIC есть на точке. Установил и на точку и на контроллер LSC с одного СА, но непонятно как заставить контроллер его использовать в DTLS. Он все-равно упорно использует SSC, сгенеренный при установке образа.
|
14 ноя 2017, 17:04 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
ну не знаю. Знаю известная проблема, когда окончился сертификат MIC и после этого точка не может подключаться. А у вес какой контроллер?
|
14 ноя 2017, 17:26 |
|
|
alexey150296
Зарегистрирован: 19 окт 2016, 15:35 Сообщения: 12
|
crash писал(а): ну не знаю. Знаю известная проблема, когда окончился сертификат MIC и после этого точка не может подключаться. А у вес какой контроллер? Виртуальный 8.0.152.0 AIR-CTVM-K9 На точке есть Cisco MIC до 2022 года и LSC. на контроллере только SSC и LSC. Никаких следов MIC в настройках пока не обнаружил
|
14 ноя 2017, 17:38 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
|
14 ноя 2017, 19:22 |
|
|
amir
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 227
|
Добавьте MAC адрес точки в лист и пробуйте
Вложения:
Комментарий к файлу: Скриншот из vWLC
appol.gif [ 13.04 КБ | Просмотров: 10428 ]
|
14 ноя 2017, 19:59 |
|
|
alexey150296
Зарегистрирован: 19 окт 2016, 15:35 Сообщения: 12
|
Lomax писал(а): http://sfree.ws/files/c1130-k9w8-tar.124-25e.JAP12.tar Спасибо, я писал в первом посте, этот софт у меня есть, с ним ошибки. Кстати, уже скачал тот, что искал c1130-rcvk9w8-tar.124-25e.JAL2.tar ничего не изменилось.
|
15 ноя 2017, 08:57 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
alexey150296 писал(а): Кстати, уже скачал тот, что искал c1130-rcvk9w8-tar.124-25e.JAL2.tar ничего не изменилось. я думаю, что и не должно было
|
15 ноя 2017, 09:03 |
|
|
alexey150296
Зарегистрирован: 19 окт 2016, 15:35 Сообщения: 12
|
amir писал(а): Добавьте MAC адрес точки в лист и пробуйте Добавлял конечно. Все, что описано в мануалах я уже давно перепробовал, плюс разные "танцы с бубном". Все эти галочки в "AP Policies" здесь ни при чем, потому что проблема не в том, что контроллер не принимает сертификат точки, а наоборот, в том, что точка ругается на сертификат контроллера. До отправки сертификата от ТД на контроллер дело даже не доходит. Вот весь попакетный процесс обмена: ap -> Client Hello wlc -> Hello Verify Request ap -> Client Hello wlc -> Server Hello, Certificate wlc - > Certificate, Certificate Request, Server Hello Done ap -> Alert (Level: Fatal, Bad Certificate) ap -> Alert (Level: Fatal, Close Notify) На контроллере по настройкам сертификатов почти никаких возможностей не предусмотрено. Есть SSC (именно его отправляет контроллер), и есть LSC
Вложения:
wlc.JPG [ 41.04 КБ | Просмотров: 10398 ]
|
15 ноя 2017, 09:27 |
|
|
alexey150296
Зарегистрирован: 19 окт 2016, 15:35 Сообщения: 12
|
crash писал(а): я думаю, что и не должно было Просто нашел подобную тему http://sysadmins.ru/topic375112.html понадеялся на чудо
|
15 ноя 2017, 09:30 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
в той теме наверное ключевое было Цитата: rcvk в любом случае необходим, чтобы апгрейдить AP to LAP
Хотя там и пишут тоже про сертификаты и в конце дали кучу ссылок. И еще тут наверное это имеет значение Цитата: Aironet APs that shipped before July 18, 2005, do not have MICs. So these APs create an SSC when they are converted to operate in lightweight mode.
|
15 ноя 2017, 13:08 |
|
|
alexey150296
Зарегистрирован: 19 окт 2016, 15:35 Сообщения: 12
|
crash писал(а): Хотя там и пишут тоже про сертификаты и в конце дали кучу ссылок.
И еще тут наверное это имеет значение ТД 2012 года выпуска. Кучи ссылок что-то не вижу. ИМХО ключевое там, что: Note: The Virtual Controller in release 7.3 uses Self Signed Certificates (SSC) as against the Manufacturing Installed Certificates (MIC) in the traditional controller. The AP will be able to validate the SSC certificate provided by the virtual controller before joining. See AP Considerations in the Troubleshooting section for more details. т.е. виртуальный контроллер 7.3 релиза (и более поздних) использует SSC вместо MIC. АП должна суметь проверить валидность SSC контроллера до подключения. В моем случае ей этого не удается сделать. По ссылке вообще много странных буков: Known Issue: AP(s) not joining vWLC - The AP must get the hash entry from a legacy controller before it joins a vWLC. - An AP must be at software version 7.3.1.35 and above to successfully join a virtual controller. Virtual controllers use SSC in order to validate an AP before joining. (точка должна иметь софт 7.3.1.35 и выше, чтобы успешно подключиться к контроллеру) - An AP at version 7.3 can validate the SSC certificate provided by the virtual controller. Например, пишут про software version 7.3.1.35 на точке!! Такой версии ПО для ТД не существует, это может быть версия контроллера.
|
15 ноя 2017, 15:34 |
|
|
alexey150296
Зарегистрирован: 19 окт 2016, 15:35 Сообщения: 12
|
Похоже, что это просто один из многочисленных багов циски. пишут, что нужно понизить версию. https://bst.cloudapps.cisco.com/bugsear ... kviewredir
|
20 ноя 2017, 11:45 |
|
|