WLC-1000 APs neu verbinden funktioniert nicht

[markus-h]

Hallo zusammen,

nachdem so ein Scherzkeks einen AP (LW-600) resetet hat, bekomme ich diesen nicht mehr eingebunden. Als ich dann den LAN Monitor geöffnet habe, sah ich dass dort noch ein AP unter "Fehlende APs" angezeigt wird. Beide werden auch unter "Neue APs" angezeigt. Aber auch diesen bekomme ich nicht mehr eingebunden. Weder im LAN Monitor (rechte Maustaste -> Neuer Access-Point zu Profil zuordnen) noch mit dem Setup-Wizard "Neue Acccess Points zu Profilen zuordnen". Auch die manuelle Zuordnung unter Extras -> LCOS-Menübaum -> Setup -> WLAN-Management -> AP einbinden klappt nicht.
Welchen Weg ich auch versuche, der AP verschwindet kurz aus der Übersicht mit den neuen APs. Erscheint dann aber relativ schnell wieder. In die AP-Tabelle am WLC werden sie aber angelegt.
Es werden auch keine Zertifikate für die APs angelegt, es gibt keinen Eintrag unter Extras -> LCOS-Menübaum-> Status -> Zertifiakte -> SCEP-CA -> Zertifikate -> Zertifikatssataus-Tabelle.
Der resettete AP begrüßt mich auf der Oberfläche mit Herzlich Willkommen, hat also noch gar keine Konfig bekommen. Der andere AP zeigt gleich die Login Maske an und ich kann mich mit dem zentralen Kennwort anmelden. Dann kommt auch die Meldung dass dies ein verwalteter AP ist. Er hat aber keine SSIDs konfiguriert, ihm fehlt also auch das ganze Profil.

Jemand eine Idee woran das liegen könnte? Ich vermute mal, es liegt daran, dass keine Zertifikate erstellt werden können. Ohne die findet ja keine verschlüsselte Kommunikation mit dem WLC statt und der AP kriegt keine Konfig oder? Die Datei ist von dem AP bei dem ich mich noch anmelden kann.

Gruß - Markus

[markus-h]

Hier noch eine Info zu den Firmwareständen:

WLC-1000: 10.50.1180RU11
LW-600: 5.38.0130SU1

[markus-h]

Also hier mal ein Trace Ausschnitt von einem der LW-600 nachdem ich auf Profil zuweisen klicke im LAN-Monitor:

Code: Alles auswählen

[Syslog] 2023/11/12 10:26:40,533 : capwap[1423]: Receive packet from 192.168.50.201:1027 to 192.168.50.60 with size 261
[Syslog] 2023/11/12 10:26:40,534 : capwap[1423]: From 192.168.50.201:1027 to 192.168.50.60 with size 261
[Syslog] 2023/11/12 10:26:40,534 : capwap[1423]: WTP got data: r: 261
[Syslog] 2023/11/12 10:26:40,534 : capwap[1423]: CAPWAP process packet
[Syslog] 2023/11/12 10:26:40,534 : capwap[1423]: CAPWAP decrypt packet
[Syslog] 2023/11/12 10:26:40,534 : capwap[1423]: Check message type [7]
[Syslog] 2023/11/12 10:26:40,534 : capwap[1423]: MESSAGE ELEMENT: 37
[Syslog] 2023/11/12 10:26:40,534 : capwap[1423]: VENDOR MESSAGE ELEMENT: 2356:3
[Syslog] 2023/11/12 10:26:40,535 : capwap[1423]: vendor read_ops: 0x4a5c78
[Syslog] 2023/11/12 10:26:40,535 : capwap[1423]: MESSAGE ELEMENT: 37
[Syslog] 2023/11/12 10:26:40,535 : capwap[1423]: VENDOR MESSAGE ELEMENT: 2356:33
[Syslog] 2023/11/12 10:26:40,535 : capwap[1423]: vendor read_ops: 0x4a5c50
[Syslog] 2023/11/12 10:26:40,535 : capwap[1423]: MESSAGE ELEMENT: 37
[Syslog] 2023/11/12 10:26:40,535 : capwap[1423]: VENDOR MESSAGE ELEMENT: 2356:4
[Syslog] 2023/11/12 10:26:40,535 : capwap[1423]: vendor read_ops: 0x4a5ca0
[Syslog] 2023/11/12 10:26:40,536 : capwap[1423]: MESSAGE ELEMENT: 37
[Syslog] 2023/11/12 10:26:40,536 : capwap[1423]: VENDOR MESSAGE ELEMENT: 2356:5
[Syslog] 2023/11/12 10:26:40,536 : capwap[1423]: vendor read_ops: 0x4a5cc8
[Syslog] 2023/11/12 10:26:40,536 : capwap[1423]: Update AP WLAN status table [192.168.50.201] res [0] state [100]
[Syslog] 2023/11/12 10:26:40,568 : capwap[1423]: Stop Keep alive dead timer
[Syslog] 2023/11/12 10:26:40,568 : capwap[1423]: Stop Keep alive timer
[Syslog] 2023/11/12 10:26:40,568 : capwap[1423]: Stop echo timer
[Syslog] 2023/11/12 10:26:40,568 : capwap[1423]: Update request received
[Syslog] 2023/11/12 10:26:40,569 : capwap[1423]: Anonymous Reset 1
[Syslog] 2023/11/12 10:26:40,569 : capwap[1423]: wtp_scep_setconfiguration url [http://192.168.50.201:80/cgi-bin/pkiclient.exe]
[Syslog] 2023/11/12 10:26:40,569 : capwap[1423]: wtp_scep_setconfiguration distinguished name [/CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE]
[Syslog] 2023/11/12 10:26:40,601 : capwap[1423]: wtp_scep_setconfiguration ip [1009952960] [192.168.50.60] subject [CN=00:a0:57:60:7a:ad/O=LANCOM SYSTEMS/C=DE]
[Syslog] 2023/11/12 10:26:40,634 : capwap[1423]: Try run: /usr/sbin/sscep - fork -> -1
[Syslog] 2023/11/12 10:26:40,635 : capwap[1423]: wtp_scep_setconfiguration getca failed
[Syslog] 2023/11/12 10:26:40,635 : capwap[1423]: WTP change state from RUN to RESET
[Syslog] 2023/11/12 10:26:40,635 : capwap[1423]: Stop connection, ...
[Syslog] 2023/11/12 10:26:40,635 : capwap[1423]: Sent packet to 192.168.50.201:1027 with result 69
[Syslog] 2023/11/12 10:26:40,635 : capwap[1423]: Stop EV_IO on socket 27
[Syslog] 2023/11/12 10:26:40,635 : capwap[1423]: Reset kernel session
[Syslog] 2023/11/12 10:26:40,635 : capwap[1423]: Kernel module cmd reset
[Syslog] 2023/11/12 10:26:40,636 : capwap[1423]: Kmod sendrecv
[Syslog] 2023/11/12 10:26:40,636 : capwap[1423]: Netlink Ack
[Syslog] 2023/11/12 10:26:40,636 : capwap[1423]: nl_recvmsgs 0
[Syslog] 2023/11/12 10:26:40,636 : capwap[1423]: result 0
[Syslog] 2023/11/12 10:26:40,636 : capwap[1423]: WTP change state from RESET to DTLS_TEARDOWN
[Syslog] 2023/11/12 10:26:40,636 : capwap[1423]: Update AP WLAN status table [192.168.50.201] res [0] state [35]
[Syslog] 2023/11/12 10:26:40,669 : capwap[1423]: Go Certificate mode
[Syslog] 2023/11/12 10:26:40,669 : capwap[1423]: Leave capwap control
[Syslog] 2023/11/12 10:26:45,534 : capwap[1423]: DTLS teardown, on going...
[Syslog] 2023/11/12 10:26:45,534 : capwap[1423]: Update AP WLAN status table [192.168.50.201] res [0] state [40]
[Syslog] 2023/11/12 10:26:45,568 : capwap[1423]: Stop EV_IO on socket 27

Ausschlaggebend dürfte wohl das "wtp_scep_setconfiguration getca failed" sein?! Die CA Url für den Server passt aber, keine Ahnung welche Schraube da noch zu drehen ist! Ich frag mich, wie das jemals vorher funktioniert hat....

[markus-h]

Okay, anscheinend hab ich jetzt die/den richtigen Knopf gedrückt Folgendes habe ich angepasst:

• im Management Interface war beim HTTP Port 0 drin, ich hab das jetzt mal auf 80 geändert

• Den Eintrag für den WLC in der CA-Tabelle habe ich abgeändert auf seine IP-Adresse. Da stand die 127.0.0.1 drin, wobei ich vermute, dass er das richtig auf die eigene IP umsetzt dann

• einen Skript Eintrag im Abschnitt AP-Update entfernt. Das Skript WLC_Script_1.lcs war nicht vorhanden auf dem WLC

Dann die beiden APs aus der AP-Tabelle gelöscht, dann auf die APs per SSH und ein beherztes "do /other/reset" ausgeführt. Nachdem der reboot durch war, habe ich den Setup-Wizard "Neue Access-Points zu Profilen zuordnen" verwendet und schon waren die APs sauber drin