kritsisch: APs ohne Verbindung zum WLC - auch nach Reset

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
pherbert
Beiträge: 26
Registriert: 10 Jan 2012, 23:20
Wohnort: Alfter

kritsisch: APs ohne Verbindung zum WLC - auch nach Reset

Beitrag von pherbert » 05 Nov 2017, 19:25

Seit einigen Tagen hat der WLC 4100 immer mehr APs verloren, die Liste unter
"Zertifikate -> Zertifikatsbehandlung -> Challenge-Tabelle wurde immer Länger, die CA des WLC meldete hunderte wartende Anfragen dieser APs 'Challenge-Passwort stimmt ncht überein'

geholfen hat der Hinweise vom Support die APs zurückzusetzen und vorher die Challenge Tabelle auf dem WLC zu leeren.

Allerdings nicht bei allen Geräten, an einem (kritischen) Standort sind 5 Geräte (IAP 321/IAP-822 / L322-E) die sich mit dieser Prozedur absolut nicht mehr 'einfangen' lassen.
(mindestens 20x probiert, auch schon aktuelle Beta-SW für den wlc vom ftp probiert (diese bootet nach watchdog regelmaessig)

Wie kann man so ein Problem lösen ? Uhrzeit auf WLC/APs passt, SW überall aktuell 10.12, downgrade eines AP auf 9.24 bringt auch nichts.

Was nützt Ausfallsicherheit und autarker weiterbetrieb etc. wenn dann so ein Fehler einen kompletten Logistikstandort stilllegt ?

auszug vom AP:

DTLS aborted
Job-PID: 294
State..: DTLS-Teardown
UdpConn: L:172.26.1.216:6804 R:172.26.1.2:1027 (LAN-1, INTRANET)

[CAPWAP-CTRL] 2017/11/05 18:19:07,677
DTLS Error 'Aborted' on active Conn 27 (Active)


[CAPWAP-CTRL] 2017/11/05 18:19:07,677
Change CapWap State: DTLS-Teardown ==> Idle (Active,ConnId: 27)


[CAPWAP-CTRL] 2017/11/05 18:19:07,677
WTP stops anonymous connection

[CAPWAP-CTRL] 2017/11/05 18:19:07,678
Change WTP State: Active ==> WaitForCertificate


[CAPWAP-CTRL] 2017/11/05 18:19:07,678
SCEP-Client: Certificate not available yet

Benutzeravatar
Jirka
Beiträge: 4243
Registriert: 03 Jan 2005, 14:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: kritsisch: APs ohne Verbindung zum WLC - auch nach Reset

Beitrag von Jirka » 05 Nov 2017, 23:31

Hallo pherbert,

ich würde da jetzt erstmal die Konfig auf Fehler durchschauen. Evt., falls möglich, auch vergleichen, was sich geändert hat zu einem gesicherten älteren Stand.
Gibt ein 'readscript /Setup/Certificates/SCEP-CA' auf der Konsole mehr aus als das hier?:

Code: Alles auswählen

set /Setup/Certificates/SCEP-CA/Operating Yes
set /Setup/Certificates/SCEP-CA/Client-Certificates/General-challenge-password "xyz"
set /Setup/Certificates/SCEP-CA/Logging/E-Mail Yes
set /Setup/Certificates/SCEP-CA/Logging/Syslog Yes
set /Setup/Certificates/SCEP-CA/Logging/E-Mail-Receiver "status@xyz.de"
Du schreibst was von Standort. Befinden sich die APs an einem anderen Standort als der WLC? Können die APs den WLC erreichen?

Viele Grüße,
Jirka
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.

pherbert
Beiträge: 26
Registriert: 10 Jan 2012, 23:20
Wohnort: Alfter

Re: kritsisch: APs ohne Verbindung zum WLC - auch nach Reset

Beitrag von pherbert » 05 Nov 2017, 23:39

Hallo,

Insbesondere das general challenge Password hat sich nie geändert, das habe ich schon mehrfach verglichen.
Die Challenge Tabelle habe ich immer wieder gejeert, bevor ich die jeweiligen APS mit do /o/r zuückgesetzt habe.

Ja, akut betroffen ist nur 1 Standort, wobei von 8 APs die 5 wichtigsten nicht mehr funktionieren.
Alle 8 sind im gleichen Netz, FW trace auf beiden FWs zeigt, das die Kommunikation zwichen AP - WLC unauffällig ist.


--Philip


> readscript /Setup/Certificates/SCEP-CA
# Script (10.12.0082 / 18.09.2017) (0x00200118,IDs:3,4,8,15,24,2b,30;0x00000402)

lang English
flash No

set /Setup/Certificates/SCEP-CA/Operating Yes
set /Setup/Certificates/SCEP-CA/CA-certificates/Validity-Period 1100
set /Setup/Certificates/SCEP-CA/CA-certificates/Update-CA-certificates-before-expiration 21
cd /Setup/Certificates/SCEP-CA/Client-Certificates/Challenge-Passwords
del *
tab Index Subject-Distinguished-Name MAC-Address Challenge Validity
add 7 "CN=00:a0:57:2a:77:35/O=LANCOM SYSTEMS/C=DE" 00a0572a7735 "ouLC3+SgqvT_mH=0" one-time
add 8 "CN=00:a0:57:2a:77:2d/O=LANCOM SYSTEMS/C=DE" 00a0572a772d "n8Ib2z>x)RF$/U<;" one-time
add 10 "CN=00:a0:57:23:6a:d0/O=LANCOM SYSTEMS/C=DE" 00a057236ad0 "hQf$+'%P)RB*v,[?" one-time
cd /
set /Setup/Certificates/SCEP-CA/Client-Certificates/General-challenge-password "<removed in post>"
set /Setup/Certificates/SCEP-CA/Signature-Algorithm MD5
set /Setup/Certificates/SCEP-CA/Fingerprint-Algorithm MD5
flash Yes

# done
exit

Benutzeravatar
Jirka
Beiträge: 4243
Registriert: 03 Jan 2005, 14:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: kritsisch: APs ohne Verbindung zum WLC - auch nach Reset

Beitrag von Jirka » 06 Nov 2017, 00:49

Hallo Philip,

der Trace da oben zeigt aber keine Unterhaltung des APs (IP-Adresse: 172.26.1.216) mit dem WLC? Oder hat der WLC die IP-Adresse 172.26.1.2?

Viele Grüße,
Jirka
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.

pherbert
Beiträge: 26
Registriert: 10 Jan 2012, 23:20
Wohnort: Alfter

Re: kritsisch: APs ohne Verbindung zum WLC - auch nach Reset

Beitrag von pherbert » 06 Nov 2017, 00:53

das ist der WLC. Dort kommt auch Traffic vom AP an.

Benutzeravatar
Jirka
Beiträge: 4243
Registriert: 03 Jan 2005, 14:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: kritsisch: APs ohne Verbindung zum WLC - auch nach Reset

Beitrag von Jirka » 06 Nov 2017, 17:39

Hallo Philip,

ok, dann befinden sich die APs und der WLC also am gleichen Standort, ja sogar im gleichen Netz, insofern kannst Du auf den Firewalls nichts sehen.

Ja, also dass es am AP (bzw. an den APs) liegt, kann man eigentlich schon ausschließen, bei dem, was Du gemacht hast. Bleibt also nur der WLC (bzw. der Weg dorthin, wobei die ja im selben Netz sind, von daher sollte das kein Problem sein). Was sagt denn ein Trace beim WLC? Vielleicht mehr?

Die beiden nachfolgenden Parameter würde ich mal wie folgt ändern (das ändert aber nichts am Problem):

set /Setup/Certificates/SCEP-CA/Signature-Algorithm SHA-256
set /Setup/Certificates/SCEP-CA/Fingerprint-Algorithm SHA-256

Viele Grüße,
Jirka
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.

pherbert
Beiträge: 26
Registriert: 10 Jan 2012, 23:20
Wohnort: Alfter

Re: kritsisch: APs ohne Verbindung zum WLC - auch nach Reset

Beitrag von pherbert » 06 Nov 2017, 17:54

Hallo,

zwischenzeitlich konnte ich ein Problem auf der VPN Seite lokalisieren
(grosse UDP Pakete mit Fragmentierung gingen verloren), welches scheinbar noch ein zweites Problem auf Seite der Checkpoint Firewall triggert,
das dann nach nach PMTU Probe der mit ca 1500 bytes beginnt vom AP plötzlich auch kleine Pakete bzw. genauer gesagt deren Anworten vom WLC in der Zentrale nicht mehr in der Außenstelle ankommen.

Das wird aktuell gerade mit dem Checkpoint Support untersucht.

Allerdings gibt es immer noch alte APs (L310AGN) in Außenstellen, die dieses Problem nicht haben, aber erst nach physischem Transport + connect in der Zentrale wieder funktionieren und
dann auch wieder in der Filiale funktionieren.

Bislang keine Idee warum das so ist.

bzgl des Ändern der CA Parameter:
hat das Auswirkungen auf bereits erstelle Zertifikate ? Oder werden einfach zukünftig erstelle sicherer ausgestellt.
Leider gibt es ja auch kein KB Dokument was so eine Änderung der Sicherheitseinstellungen beschreibt.

Danke, Philip

Benutzeravatar
Jirka
Beiträge: 4243
Registriert: 03 Jan 2005, 14:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: kritsisch: APs ohne Verbindung zum WLC - auch nach Reset

Beitrag von Jirka » 06 Nov 2017, 18:29

Hallo Philip,
pherbert hat geschrieben:Allerdings gibt es immer noch alte APs (L310AGN) in Außenstellen, die dieses Problem nicht haben, aber erst nach physischem Transport + connect in der Zentrale wieder funktionieren und dann auch wieder in der Filiale funktionieren.
Bislang keine Idee warum das so ist.
bei denen kann es ja so sein, dass sie den WLC nicht finden/erreichen. Also WLC-Address mit der IP-Adresse des WLCs in der Außenstelle, wo der L-310 ist, definiert? Ist der WLC mittels HTTP über VPN erreichbar?
pherbert hat geschrieben:hat das Auswirkungen auf bereits erstelle Zertifikate?
Nö.

Viele Grüße,
Jirka
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.

pherbert
Beiträge: 26
Registriert: 10 Jan 2012, 23:20
Wohnort: Alfter

Re: kritsisch: APs ohne Verbindung zum WLC - auch nach Reset

Beitrag von pherbert » 06 Nov 2017, 19:21

die L310 Aps finden schon den WLC und kommunizieren auch mit diesem über das VPN.

Sonst würde nach dem Erstconnect in der Zentrale ein solches Gerät zurück in die Aussenstelle gebracht nicht incl. WLC-Tunnel funktionieren.
Es wird dann auch im Lanmonitor unter Active Aps und nicht unter fehlende APs angezeigt.

Fraglich ist allerdings warum der erste connect bei diesen Geräten aus der Filiale nicht zuverlässig funktioniert.
Port 1027_udp und http in Richtung wlc sind jedenfalls frei.

--Philip

Benutzeravatar
JoP75
Beiträge: 49
Registriert: 09 Mai 2005, 13:05
Wohnort: Trechtingshausen

Re: kritsisch: APs ohne Verbindung zum WLC - auch nach Reset

Beitrag von JoP75 » 08 Nov 2018, 17:53

Hallo, habt Ihr das Problem inzwischen ermitteln können ?

Wir haben aktuell die gleichen/ähnliche Probleme - mit dem LCOS 10.20.0175

Wenn ich die APs nicht über VPN, sondern im lokalen Netz am WLC auto-registriere und dann die APs in die Aussenstelle bringe läuft es.
Versuche ich die APs in den Aussenstellen in Betrieb zu nehmen bleibt die SCEP-Anfrage mit dem Fehler 'Challenge-Password stimmt nicht überein' hängen.

ua
Beiträge: 412
Registriert: 29 Apr 2005, 12:29

Re: kritsisch: APs ohne Verbindung zum WLC - auch nach Reset

Beitrag von ua » 08 Nov 2018, 18:17

Tach Zusammen,

ganz doofe Frage aus der Ecke: Uhrzeit des WLC stimmt?

VG aus OBC

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...

Benutzeravatar
JoP75
Beiträge: 49
Registriert: 09 Mai 2005, 13:05
Wohnort: Trechtingshausen

Re: kritsisch: APs ohne Verbindung zum WLC - auch nach Reset

Beitrag von JoP75 » 08 Nov 2018, 18:24

Ja, hab ich kontrolliert - die Uhrzeit wird per NTP gesynct.

Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“