APs kommunizieren mit WLC, blinken aber nur

[smxko01]

Moin!

Wir haben hier einen WLC 4006+ in Betrieb und wollten unsere WLAN-Infra an einem neuen Außenstandort durch drei LX 6400 aufbauen. Gesagt getan, Profil gebastelt und APs in den WLC hinzugefügt und an den APs jeweils die IP des WLC eingetragen. Auf der Firewall sieht man auch, dass die APs aktiv über TCP 1027 mit dem WLC kommunizieren. Allerdings blinken beide LEDs abwechselnd orange / grün, was laut Datenblatt bedeutet, dass sie den WLC nicht erreichen können. Und das, obwohl die Traffic-Logs anderes zeigen. Was mache ich hier falsch? Die APs am Hauptstandort funktionieren ja auch alle, das einzige, worin sich das WLAN-Profil unterscheidet, sind die VLANs (Und dass es am neuen Standort keinen getunnelten Public Spot gibt). Etliche Neustarts und Firmware-Updates natürlich durchgeführt.

APs am Hauptstandort sind LN830U. Sind die LX 6400 vllt. inkompatibel mit dem WLC?

Freue mich über jede Hilfe.

[tobiasr]

Welche Firmware hat der WLC? Kannst du einen LX mal am Hauptstandort und einen alten L* mal zur Niederlassung bringen? Stimmt die Uhrzeit (Thema SSL Zertifikat), hat der Accesspoint ein Passwort ggf. mit der neuen Firmwareversion mal neugesetzt bekommen (bilde mir da dunkel eine andere Passwortverschlüsselung bei neuen Firmwareständen ein).

[smxko01]

Die "Gegenprobe" mit den jeweils anderen Profilen auf den APs teste ich mal.

Firmware:
WLC: 10.72.0484RU6
LX-6400: 6.10.0042RU1

[tstimper]

. Auf der Firewall sieht man auch, dass die APs aktiv über TCP 1027 mit dem WLC kommunizieren.

Port 80 zum WLC wird auch gebraucht, um beim ersten Connect des APs die Zertifikate herunterzuladen.
Hast Du das zum WLC erlaubt?

Viele Grüße

ts

[smxko01]

Port 80 zum WLC wird auch gebraucht, um beim ersten Connect des APs die Zertifikate herunterzuladen.
Hast Du das zum WLC erlaubt?

Viele Grüße

ts

Ja, ist erlaubt und laut Firewall-Logs haben APs und WLC über Port 80 miteinander gesprochen.

[tstimper]

Port 80 zum WLC wird auch gebraucht, um beim ersten Connect des APs die Zertifikate herunterzuladen.
Hast Du das zum WLC erlaubt?

Viele Grüße

ts

Ja, ist erlaubt und laut Firewall-Logs haben APs und WLC über Port 80 miteinander gesprochen.

ok, stimmt denn die Zeit auf den APs mit der auf dem WLC überein?
Trag da am besten einen lokalen NTP Server in, den die APs auch erreichen können

Viele Grüße

ts

[smxko01]

ok, stimmt denn die Zeit auf den APs mit der auf dem WLC überein?
Trag da am besten einen lokalen NTP Server in, den die APs auch erreichen können

Viele Grüße

ts

Hab jetzt mal denselben NTP-Server wie auf dem WLC hinterlegt. Kann man die Systemzeit der APs irgendwo einsehen? Laut FW-Logs sprechen die auch via NTP mit dem Server. Leider blinken sie aber immer noch, auch nach Neustarts. Auch der LCOS-Menübaum im Config-Dialog ist reduziert, eben als wären die alle als Standalone konfiguriert.

[tstimper]

ok, stimmt denn die Zeit auf den APs mit der auf dem WLC überein?
Trag da am besten einen lokalen NTP Server in, den die APs auch erreichen können

Viele Grüße

ts

Hab jetzt mal denselben NTP-Server wie auf dem WLC hinterlegt. Kann man die Systemzeit der APs irgendwo einsehen? Laut FW-Logs sprechen die auch via NTP mit dem Server. Leider blinken sie aber immer noch, auch nach Neustarts. Auch der LCOS-Menübaum im Config-Dialog ist reduziert, eben als wären die alle als Standalone konfiguriert.

ok. Wenn die APs neu mit dem WLC verbunden werden sollen, muss der WLC auch neue APs annehmen. (Autoaccept)
Dannach siehst Du die im Lanmonitor und du kannst diesen neuen APs das Profil zuweisen.
Also zumindest im Lanmonitor müsstest Du die APs sehen,als neu / unbekannt.
Alternativ kannst Du fürs Deployment auch "Automatically provide APs with a default confguration" einstellen.
Dazu must Du dann auch en Delauft Profile definieren.

Viele Grüße

ts

[smxko01]

ok. Wenn die APs neu mit dem WLC verbunden werden sollen, muss der WLC auch neue APs annehmen. (Autoaccept)
Dannach siehst Du die im Lanmonitor und du kannst diesen neuen APs das Profil zuweisen.
Also zumindest im Lanmonitor müsstest Du die APs sehen,als neu / unbekannt.
Alternativ kannst Du fürs Deployment auch "Automatically provide APs with a default confguration" einstellen.
Dazu must Du dann auch en Delauft Profile definieren.

Viele Grüße

ts

Die APs sind gelistet bei "Fehlende APs". Obwohl der WLC sie erreichen kann.

[tstimper]

Die APs sind gelistet bei "Fehlende APs". Obwohl der WLC sie erreichen kann.

Was mir spontan einfällt und wir hatten das schon so oft.

Dein WLC-4006+ verwaltet auch LCOS APs, richtig?
Und das schon seit Jahren oder?

Dann ist die CA auf dem WLC vor Jahren mit einer viel älteren LCOS Version erzeugt worden.
Mit älteren Verschlüsselungsalgorythmen.

Die sind auf LCOS-LX nicht mehr zulässig.

Wenn das so ist musst Du die CA auf dem WLC erneuern.

Viele Grüße

ts

[smxko01]

Was mir spontan einfällt und wir hatten das schon so oft.

Dein WLC-4006+ verwaltet auch LCOS APs, richtig?
Und das schon seit Jahren oder?

Dann ist die CA auf dem WLC vor Jahren mit einer viel älteren LCOS Version erzeugt worden.
Mit älteren Verschlüsselungsalgorythmen.

Die sind auf LCOS-LX nicht mehr zulässig.

Wenn das so ist musst Du die CA auf dem WLC erneuern.

Viele Grüße

ts

Danke für den Hinweis. Gibts dazu Anleitungsartikel und geht das ohne große Downtime? So tief bin ich da leider nicht drin.

[rotwang]

Da eingangs von 'Außenstandort' die Rede war: Es gibt unter Setup/WLAN-Management einen Schalter, ob CAPWAP-Verbindungen aus dem WAN angenommen werden sollen. Der steht im Default auf 'no'.

[smxko01]

Da eingangs von 'Außenstandort' die Rede war: Es gibt unter Setup/WLAN-Management einen Schalter, ob CAPWAP-Verbindungen aus dem WAN angenommen werden sollen. Der steht im Default auf 'no'.

Naja, IPsec zum Standort macht die Firewall, davon bekommt der WLC nix mit. Ist also alles LAN. Wär die Frage, ob WAN hier auch "WAN" meint, oder nur ein WLC-fremdes Subnetz.

[alexes]

Noch ein Schuss ins Blaue...
Passt im WLC das IP-Paramter-Profil für die Niederlassung?

[tstimper]

Danke für den Hinweis. Gibts dazu Anleitungsartikel und geht das ohne große Downtime? So tief bin ich da leider nicht drin.

Du kannst die CA nur löschen und neu anlegen.

Alle Deine APs müssen neu mit dem WLC verbunden werden.
Am besten Reset der APs und dann über DNS Namen wlc-address den WLC suchen lassen.

Hilfreich ist, wenn Du einem WLC zum Vergleich mit einer fuktionierenden Config mit LX-6400 hast.
(habe ich bei mir laufen...)

Wieviel APs hast Du denn insgesamt?

Bei guter Vorbereitung ist die Downtime 5 - 10 Minuten für die CA erstellen und vielleicht 5 Minuten je AP


Viele Grüße

ts