Unos aps que no querían hacer join contra un WLC (Cisco)

Estas cosas que pasan cuando entras en un sitio y ves que hay cosas que llevan (probablemente) años sin reiniciarse. Un día se reinician y empieza la fiesta. En este caso unos cuantos 1100 que no querían hablar con su mama (un 4402).

Los aps veían el WLC, se hablaban entre ellos pero no acababan de hacer join. No tenia pinta de ser nada de red, todo conectado al mismo switch, había ping entre el wlc y los ap (y además ahí no había tocado nadie en meses, probablemente en años).

Algunos logs eran bastante sospechosos:

show msglog

*spamReceiveTask: Sep 25 22:10:08.723: %DTLS-3-HANDSHAKE_FAILURE: openssl_dtls.c:631 Failed to complete DTLS handshake with peer xx.xx.xx.xx.xx

Echando un ojo encontramos esto:

https://supportforums.cisco.com/t5/getting-started-with-wireless/ap-can-t-join-dtls-connection-closed-by-controller/m-p/1871407

Que no era exactamente lo mismo … pero que al final nos dio una parte de la llave de la solución (la otra nos la dio el soporte).

Algo pasaba con la fecha, así que comprobamos que el wlc estaba bien (sincronizado con un servidor ntp).

Y resulta que era eso … pero justo al revés … por lo visto el certificado que usan los AP’s estaba caducado así que … nos ofrecieron dos opciones.

Hacer que el WLC se comiera cualquier cosa:

config ap lifetime-check mic enable
config ap lifetime-check ssc enable

O dependiendo de la versión que tengas

config ap cert-expiry-ignore mic enable

Con esto suele ser suficiente, ponerlos y esperar unos minutos hasta que vuelvan a intentar hacer join (o reiniciarlos si tenéis acceso, cosa que yo no (WTF?)).

Estos comandos para wlc con versiones 8.X … por desgracia el «nuestro» aun está en versión 7.x así que … tuvimos que quitarle la sincronización y cambiarle la fecha … un par de años en el pasado … y los aps volvieron a entrar.

Curioso … y absurdo a la vez … pero vuelve a funcionar (y si, ya hemos levantado la mano (otra vez) a ver si en alguna de estas se cambia por algo mas nuevo).

https://travelingpacket.com/2016/12/16/cisco-wlc-ap-cert-issue-dtls-3-handshake_failure/

https://supportforums.cisco.com/t5/wireless-mobility-documents/lightweight-ap-fail-to-create-capwap-lwapp-connection-due-to/ta-p/3155111

Mas debugs que pueden ser utiles.

debug mac addr
debug client

debug capwap events enable
debug capwap errors enable
debug pm pki enable

https://www.cisco.com/c/en/us/support/docs/wireless/5500-series-wireless-controllers/119286-lap-notjoin-wlc-tshoot.html

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.