1800EF als WLC - APs nach einem Jahr weg ?!?

[firefox_i]

Hallo zusammen,
ich hatte heute folgendes Phänomen.
Ich habe einen 1800EF mit FW 10.80RU9 mit WLC Basic Option.
3 LX6200 mit FW 6.20RU1.

Der 1800EF wurde 2025 Anfang Januar eingerichtet und heute habe ich festgestellt, dass im LANMonitor beim Router ein rotes Ausrufezeichen ist.
Reingeschaut und gewundert:
- alle APs sind unter den fehlenden APs aufgelistet
- alle APs sind unter den neuen aufgelistet

Wie jetzt? Fehlt oder neu?

Ich hab dann nachgeschaut und ja, alle MACs haben gepasst, allerdings hab ich gesehen, dass bei den "neuen" angegeben war, dass der Zertifikatsstatus unbekannt sei.....momentchen da war was.

Gültigkeit der SCEP Zertifikate ist 1 Jahr - würde also passen - aber warum stellt der WLC kein neues aus?

Im LANconfig sehe ich beim Router unter

"Zertifikate --> SCEP Client --> Zertifizierungsstellen (CA)" zwei (!) CONTROLLER_CA die am 06.02.2025 ausgestellt sind und bis 04.02.2034 gelten
"Zertifikate --> SCEP Client --> Zertifikate" ein CONTROLLER das am 04.02.2026 ausgestellt ist und 1 Jahr gilt.

Warum hab ich da 2 CONTROLLER_CAs?

Ich habe das Ganze daduch gefixt bekommen, dass ich den Haken gesetzt habe, dass neue APs automatisch aufgenommen werden.

Ich sehe jetzt in
"Zertifikate --> Zertifizierungsstellen (CA) --> Andere --> Gültig" für jeden AP ein Zertifikat, das heute ausgestellt wurde und 1 Jahr gilt.

Ich muss zugeben: ich bin nicht sicher, was da vor dem "Fix" stand.

Aber...ich habe Fragen....

a) Wie ist denn der "eigentliche" Weg?
Meine Erwartung wäre jetzt gewesen, dass die Zertifikate automatisch neu ausgestellt werden.
Hab ich da nen Haken oder ne Konfig irgendwo vergessen?

b) warum jetzt ?
Mich wundert etwas, dass ich scheinbar so blind war, dass die APs schon knapp 3 Wochen gefehlt haben sollen.
Ich bekomme auch sehr zuverlässig Mails in solchen Fällen.
Heute wurde aber im Zuge des turnusmäßigen Black-Out-Tests der Router neu gestartet als ich einen kompletten Stromausfall simuliert habe.
Dabei wird auch der Router abgeschaltet und neu hochgefahren.

Kann es sein, dass dieses Zertifikatsthema nur beim Verbindungsaufbau mit dem WLC eine Rolle spielt und ansonsten - wenn der einfach durchläuft - da erstmal alles prima weiter läuft? Ich denke mich da an was in der Richtung zu erinnern....



Wäre super wenn mir da jemand nen Tipp hätte, damit das in einem Jahr nicht wieder passiert.

Grüße
S.

[firefox_i]

Hmmm,
scheinbar 800 Zugriffe, aber keine Reaktion?

Ist meine Frage zu einfach und die Lösung zu trivial?

[Jirka]

scheinbar 800 Zugriffe, aber keine Reaktion?

Na ja, das waren vermutlich zu 90 % Bots, da Du im Titel auch typische Suchbegriffe hast. Und von den restlichen 10 % sind ja vielleicht auch nicht alle kundig.

Ist meine Frage zu einfach und die Lösung zu trivial?

Eher zu komplex. Man weiß ja nicht, was da im Einzelnen konfiguriert wurde.

Meine Erwartung wäre jetzt gewesen, dass die Zertifikate automatisch neu ausgestellt werden.

So läuft es normalerweise, ja. Vielleicht passt was unter dem Punkt Zertifikatsbehandlung nicht? Oder bei SCEP-Client?

Mich wundert etwas, dass ich scheinbar so blind war, dass die APs schon knapp 3 Wochen gefehlt haben sollen.

Sehr wahrscheinlich haben die APs autark weiter gearbeitet, ohne WLC. Unter Logische WLAN-Netzwerke (SSIDs) findest Du den Punkt "Autarker Weiterbetrieb" (bzw. bei neueren Firmwares auch den Haken "Dauerhaft autark betreiben"). Per Default ist das an. Funktionieren tut das natürlich nur für den Fall ohne WLC-Tunnel.

[firefox_i]

Na ja, das waren vermutlich zu 90 % Bots, da Du im Titel auch typische Suchbegriffe hast.

Das würde es erklären.

Eher zu komplex. Man weiß ja nicht, was da im Einzelnen konfiguriert wurde.

Naja. Ich hab es eigentlich nach Schema F angelegt.
Nix besonderes.
Die Frage ist nur, was kann ich tun, damit

a) der Grund gefunden werden kann
b) vielleicht auch Andere davon profitieren.

So läuft es normalerweise, ja. Vielleicht passt was unter dem Punkt Zertifikatsbehandlung nicht? Oder bei SCEP-Client?

Ich kann gern die entsprechenden Teile hier reinstellen.
Screenshot ?

Unter Logische WLAN-Netzwerke (SSIDs) findest Du den Punkt "Autarker Weiterbetrieb" (bzw. bei neueren Firmwares auch den Haken "Dauerhaft autark betreiben"). Per Default ist das an. Funktionieren tut das natürlich nur für den Fall ohne WLC-Tunnel.

WLC Tunnel hab ich nicht, das könnte die Erklärung sein.
Und wenn das Default ist, würde das auch in die Richtung gehen, warum erst beim Restart des Routers die APs keine Konfig mehr bekommen haben, weil die Zertifikate gefehlt haben.

S.

Achso:
@Jirka: denkst noch an das Angebot ?

[firefox_i]

Hallo zusammen,
Hier die Einstellungen:

CA:

CA.png

Zertifikatsbehandlung:

Zertifikatsbehandlung.png

- Challengetabelle ist leer
- CA Verschlüsselung von oben nach unten AES128, SHA-256, SHA-256
- Tabellen in Profile und Vorlagen sind default

SCEP Client

SCEP-Client.png

- CA Tabelle ist ein Eintrag mit CONTROLLER_CA
- in der Zertifikatstabelle sind 2 Einträge (CONTROLLER und RADIUS), das sieht aber alles gut aus.
- bei dem CONTROLLER istunter Erw.Schlüssel Verw. folgendes: "critical,serverAuth,1.3.6.1.5.5.7.3.18"

CRL-Client, OCSP und ACME Client sind aus.

[firefox_i]

Ich kann nur 3 Anhänge rantüddeln, von daher hier noch einer:

WLC-Allgemein:

WLC_Allg.png

Was am Ende zum Erfolg geführt hat:
- Automatisches Annehmen neuer APs --> auf aktiviert gesetzt (war vorher aus)
- WLC aus
--> Konfig schreiben

- WLC an
--> Konfig schreiben

Danach war alles wieder prima....

S.