Solucionado: Error AP 3502I join a una WLC 4402

jorge.zamorano1 · ‎03-20-2020

Buenas comunidad, tengo para un laboratorio (que estoy empezando desde CERO) una WLC 4402 Ver 7.0.252.0 y no puedo hacer que un AP cap3502i se una a la controladora. WLC y AP estan en la misma VLAN he configurado la Option 43 apuntando a la WLC y no consigo el JOIN.

creo que es un tema del certificado. pero busco ayuda...

datos que puedo aportar:

debug en el AP:

*Mar 20 20:49:28.059: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY
*Mar 20 20:49:28.059: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY
*Mar 20 20:51:47.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 172.16.90.41 peer_port: 5246
*Mar 20 20:51:47.000: %CAPWAP-5-CHANGED: CAPWAP changed state to
*Mar 20 20:51:47.091: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: 25D15FCB00000018B149) has expired. Validity period ended on 18:38:29 UTC Dec 3 2019
*Mar 20 20:51:47.091: %LWAPP-3-CLIENTERRORLOG: Peer certificate verification failed
*Mar 20 20:51:47.091: %CAPWAP-3-ERRORLOG: Certificate verification failed!
*Mar 20 20:51:47.091: DTLS_CLIENT_ERROR: ../capwap/capwap_wtp_dtls.c:348 Certificate verified failed!
*Mar 20 20:51:47.091: %DTLS-4-BAD_CERT: Certificate verification failed. Peer IP: 172.16.90.41
*Mar 20 20:51:47.091: %DTLS-5-SEND_ALERT: Send FATAL : Bad certificate Alert to 172.16.90.41:5246
*Mar 20 20:51:47.091: %DTLS-3-BAD_RECORD: Erroneous record received from 172.16.90.41: Malformed Certificate
*Mar 20 20:51:47.091: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 172.16.90.41:5246
*Mar 20 20:51:47.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 172.16.90.41 peer_port: 5246
*Mar 20 20:51:47.088: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: 25D15FCB00000018B149) has expired. Validity period ended on 18:38:29 UTC Dec 3 2019
*Mar 20 20:51:47.088: %LWAPP-3-CLIENTERRORLOG: Peer certificate verification failed
*Mar 20 20:51:47.088: %CAPWAP-3-ERRORLOG: Certificate verification failed!

debug en la WLC 4402

*spamReceiveTask: Mar 20 21:09:11.090: 64:9e:f3:90:4a:ca DTLS connection was closed
*spamReceiveTask: Mar 20 21:09:11.090: 64:9e:f3:90:4a:ca DTLS connection closed event receivedserver (172:16:90:41/5246) client (172:16:90:152/1198)
*spamReceiveTask: Mar 20 21:09:11.090: 64:9e:f3:90:4a:ca No entry exists for AP (172:16:90:152/1198)
*spamReceiveTask: Mar 20 21:09:11.090: 64:9e:f3:90:4a:ca No AP entry exist in temporary database for 172.16.90.152:1198
*spamReceiveTask: Mar 20 21:09:11.090: 64:9e:f3:90:4a:ca Discarding non-ClientHello Handshake OR DTLS encrypted packet from 172.16.90.152:1198)since DTLS session is not established

*sshpmLscTask: Mar 20 21:10:03.213: sshpmLscTask: LSC Task received a message 4
*spamReceiveTask: Mar 20 21:10:14.666: 64:9e:f3:90:4a:ca DTLS connection not found, creating new connection for 172:16:90:152 (1198) 172:16:90:41 (5246)

alguna idea de lo que pasa

Daniel Ordóñez Flores · ‎03-20-2020

Hola @jorge.zamorano1

Por lo que veo hay dos opciones por la cual no se registra, las cuales son las siguientes:

La versión de la WLC no es compatible con el AP.

Para descartar esta opción puedes por favor compartirnos el "show system info" de tu WLC

2. La fecha de tu WLC esta mal configurada. En los logs se ve un error de certificado, para descartar esta posibilidad puedes compartirnos el "show time" del WLC.

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"

**Please rate the answer if this information was useful***

**Por favor si la información fue util marca esta respuesta como correcta**

*Tu reconocimiento nos alienta a seguir participando en los foros *

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

Ver la solución en mensaje original publicado

jorge.zamorano1 · ‎03-21-2020

solucion temporal... esto se encamina a la opcion 2)", buscando en el foro de CISCO. comprendi que al estar el certificado expirado no logra provisionar el AP, **como solucion temporal ** he cambiado la fecha de la WLC, 2 años atras y con ello he coniseguido ver el AP y poder trabajar con el. (levartar SSID, etc )

El AP por lo que entiendo se ha actualizado a la Version que le proporciono el WLC

como solucion definitiva, tendré que cargar un nuevo certificado al WLC 4402 .

Esta parte de Wireless es nueva para mi ... pero vamos sacandolo paso a paso adelante.

gracias !

Manufacturer's Name.............................. Cisco Systems Inc.
Product Name..................................... Cisco Controller
Product Version.................................. 7.0.252.0
RTOS Version..................................... 7.0.252.0
Bootloader Version............................... 7.0.252.0
Emergency Image Version.......................... 7.0.252.0
Build Type....................................... DATA + WPS

System Name...................................... Cisco_de:e0:43
System Location..................................
System Contact...................................
System ObjectID.................................. 1.3.6.1.4.1.14179.1.1.4.3
IP Address....................................... 172.16.90.40
System Up Time................................... 0 days 1 hrs 45 mins 34 s