Montag, 16. September 2013

Lancom Access Points AP verlieren nach einem Jahr den Zugriff / Zugang / Kontakt zum WLAN Controller WLC (VPN, SCEP, CA, Zertifikat) Problem verliert Probleme

Als Lancom Gold Partner (Solution Partner) haben wir bei einigen Kunden festgestellt, dass in einem WLC-Umfeld (allerdings sehr selten) die Access Points nach genau einem Jahr Laufzeit keine Verbindung mehr zum WLC-Controller (egal ob als eigener WLAN-Controller oder als WLC-Option) aufbauen können. Die Access Points können mit LANconfig gefunden werden, holen sich aber die WLAN-Konfiguration nicht und sind über WLAN nicht ansprechbar. Das betrifft dann alle im Einsatz befindlichen Access Points.

Wenn ein Trace (auf dem WLC) mit LANconfig durchgeführt wird, gibt es Meldungen wie:

[SCEP-Client] 2013/09/15 12:32:47,484  Devicetime: 2013/09/15 12:32:47,197
SCEP-Client info: SCEPclient-Interface: isCertificateAvailable: SCEP-Client is initialised[SCEP-Client] 2013/09/15 12:32:47,484 Devicetime: 2013/09/15 12:32:47,197
SCEP-Client info: SCEPclient-Interface: isCertificateAvailable: status of device certificate is SCEP_ENROLL_REJECTED_BADREQ
[CAPWAP-CTRL] 2013/09/15 12:32:47,484 Devicetime: 2013/09/15 12:32:47,197
CEP-Client: certificate id 0 CA id 0 Request error

Schuld ist ein bisher noch nicht von Lancom diagnostizierter Fehler, der wie folgt behoben werden kann. Bitte beachten Sie, dass alle Angaben ohne Gewähr sind. Gerne helfen wir Ihnen weiter, wenn Sie uns direkt kontaktieren.

Wichtige Hinweise vorab:
  • Sichern Sie Ihre bestehende Konfiguration per LANconfig.
  • Beachten Sie, dass durch das Zurücksetzten des Zertifikat-Baumes alle vorhanden Zertifikate aus dem WLC gelöscht werden.
  • Sollten Sie Zertifikats basierende VPN-Verbindungen nutzen, führen Sie dieses HowTo nicht durch.
  • Das neue Generieren der Zertifikate durch den WLC kann einige Zeit in Anspruch nehmen. für diese Zeit besteht keine Möglichkeit sich mit dem WLAN zu verbinden.
  • Aktivieren Sie z.B. unter LANconfig die Annahme neuer APs, sowie die Vergabe des Standard-Profils (alternativ manuelle Zuweisung von Profilen per LANmonitor)
  • Schließen Sie vor dem Beginn das Offline-Konfigurationstool LANconfig.
  • Bitte öffnen Sie das Offline-Konfigurationstool LANconfig erst wieder, wenn alle Access-Points erkannt worden sind (kann im LANmonitor geprüft werden).
  • Geben Sie die Befehle in der Eingabekonsole (PUTTY, Telnet,..) genau in der gegebenen Reihenfolge ein, da ansonsten die gesamte Konfiguration gelöscht werden kann.

1) Webconfig
  • Verbinden Sie sich (auch über WAN möglich) über die Weboberfläche auf den Lancom-Router.
  • Navigieren Sie in den Verzeichnisbaum durch zu LCOS-Menübaum->Status->Dateisystem->Inhalt
  • Löschen Sie alle "scep*"-Dateien sowie die "Controller_pkcs12_int"-Datei

2) Putty, Telnet, etc.
Nun verbinden Sie sich mit Putty auf den WLC (Anmeldung mit dem Benutzer "root" und dem Lancom-Kennwort) und geben die nachfolgenden Befehle in dieser Reihenfolge ein:
  • cd Setup/Certificates/ (wechselt in das Verzeichnis)
  • default-r (setzt alle Einstellungen zurück auf DEFAULT)
  • do /Setup/Certificates/SCEP-Client/reinit (Reinitialisieren des SCEP-Clients)
  • do /Setup/Certificates/SCEP-CA/reinit (Reinitialisieren der SCEP-CA)
  • do /Setup/Certificates/CRLs/refresh-crl-now (Reinitialisieren der CRLs)

3) Kontrolle
Nun müssen Sie ein paar Minuten warten und können beobachten, wie die Access Points sich wieder die Konfiguration vom WLC holen und betriebsbereit werden. Der Router / WLC muss nicht neu gestartet werden.

Viel Spaß mit dem WLAN und Ihrem Kunden!

Kommentare:

Sie haben hier die Gelegenheit, einen Kommentar zu hinterlassen.