Unos aps que no querían hacer join contra un WLC (Cisco)

Estas cosas que pasan cuando entras en un sitio y ves que hay cosas que llevan (probablemente) años sin reiniciarse. Un día se reinician y empieza la fiesta. En este caso unos cuantos 1100 que no querían hablar con su mama (un 4402).

Los aps veían el WLC, se hablaban entre ellos pero no acababan de hacer join. No tenia pinta de ser nada de red, todo conectado al mismo switch, había ping entre el wlc y los ap (y además ahí no había tocado nadie en meses, probablemente en años).

Algunos logs eran bastante sospechosos:

show msglog

*spamReceiveTask: Sep 25 22:10:08.723: %DTLS-3-HANDSHAKE_FAILURE: openssl_dtls.c:631 Failed to complete DTLS handshake with peer xx.xx.xx.xx.xx

Echando un ojo encontramos esto:

https://supportforums.cisco.com/t5/getting-started-with-wireless/ap-can-t-join-dtls-connection-closed-by-controller/m-p/1871407

Que no era exactamente lo mismo … pero que al final nos dio una parte de la llave de la solución (la otra nos la dio el soporte).

Algo pasaba con la fecha, así que comprobamos que el wlc estaba bien (sincronizado con un servidor ntp).

Y resulta que era eso … pero justo al revés … por lo visto el certificado que usan los AP’s estaba caducado así que … nos ofrecieron dos opciones.

Hacer que el WLC se comiera cualquier cosa:

config ap lifetime-check mic enable
config ap cert-expiry-ignore mic enable

Estos comandos para wlc con versiones 8.X … por desgracia el “nuestro” aun esta en versión 7.x así que … tuvimos que quitarle la sincronización y cambiarle la fecha … un par de años en el pasado … y los aps volvieron a entrar.

Curioso … y absurdo a la vez … pero vuelve a funcionar (y si, ya hemos levantado la mano (otra vez) a ver si en alguna de estas se cambia por algo mas nuevo).

Tags:,

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *