Foro en Español

Reply
Occasional Contributor I
Posts: 9
Registered: ‎08-18-2014

Gestion IAP mediante Airwave a traves de VPN

Buenas tardes,

Estoy teniendo un problema y a ver si alguien me da una pista.
Tengo un IAP que se conecta a mi Airwave a través de una IP Pública, hasta aqui bien.
Cuando levanto un túnel VPN contra un Controlador 3600 ( está bien y operativo) y cambio la IP del Airwave en el IAP de la pública a la IP LAN privada del Airwave ( a través del túnel), dejo de tener gestión del IAP.
En el IAP se me muestra que está conectado al Airwave, pero en este siempre está el AP Down.
La sesión está bien y no encuentro nada raro. Si vuelvo a indicar la IP Pública, el IAP se pone "UP" en el Airwave.
Esta es la sesión:
18:64:32:c7:aa:3a# sh datapath session dpi
10.10.0.67 10.20.252.34 6 443 59804 App-Not-Class [0 ] Web-Not-Class [0 ] 0 a 872 0 NR
10.30.2.100 10.10.0.67 6 59804 443 App-Not-Class [0 ] Web-Not-Class [0 ] 0 14 369d 0 SRC
¿Alguna luz?

 

 

Enrique Arias
ACMP/ACCP/CCNP
MVP
Posts: 4,307
Registered: ‎07-20-2011

Re: Gestion IAP mediante Airwave a traves de VPN

[ Edited ]
Tienes la IP privada de el Airwave como parte de el VPN routing profile list ?
 
Has tratado hacer un ping hacia la IP Privada de el Airwave ?
Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Occasional Contributor I
Posts: 9
Registered: ‎08-18-2014

Re: Gestion IAP mediante Airwave a traves de VPN

[ Edited ]

victorfabian wrote:

Tienes la IP privada de el Airwave como parte de el VPN ACL list ?

 

Has tratado hacer un ping hacia la IP Privada de el Airwave ?


Hola Victor,

 

Si , esta es la configuracion.

routing-profile
 route 10.10.0.0 255.255.254.0 <IP_Controller>

 

El ping esta cortado en el Firewall Corporativo , pero si llega.

 

Como te comentaba, si te conectas a la pagina web del IAP , en el Airwave pone conectado , pero en el Servidor sale como "DOWN"

 

Mira la salida del IAP
# sh ap debug airwave
Airwave Server List
-------------------
Domain/IP Address  Type     Mode    Status
-----------------  ----     ----    ------
10.10.0.67        Primary  Manage  Login-done

 

Saludos

Enrique Arias
ACMP/ACCP/CCNP
MVP
Posts: 4,307
Registered: ‎07-20-2011

Re: Gestion IAP mediante Airwave a traves de VPN

Creo que el problema es que el airwave esta esperando tu VC utilizando el IP público mira ver si puedes cambiar al ip privado y funciona
Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Occasional Contributor I
Posts: 9
Registered: ‎08-18-2014

Re: Gestion IAP mediante Airwave a traves de VPN


victorfabian wrote:
Creo que el problema es que el airwave esta esperando tu VC utilizando el IP público mira ver si puedes cambiar al ip privado y funciona

Victor, justamente cuando hago eso, aparece el problema.

 

Al cambiar en el VC, la IP Publica del Airwave por la IP Privada del Airwvave, funciona bien durante 5 a 10 minutos, luego el MAP indica "AP DOWN" y no vuelve a conectar , pero el IAP indica que esta conectado.


Saludos

Enrique Arias
ACMP/ACCP/CCNP
MVP
Posts: 4,307
Registered: ‎07-20-2011

Re: Gestion IAP mediante Airwave a traves de VPN

Trata de incrementar la sección de https hacia el manejo de el IAP
Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
MVP
Posts: 4,307
Registered: ‎07-20-2011

Re: Gestion IAP mediante Airwave a traves de VPN

 

You can see it here:

Screen Shot 2014-05-22 at 9.45.48 AM.png

Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Occasional Contributor I
Posts: 9
Registered: ‎08-18-2014

Re: Gestion IAP mediante Airwave a traves de VPN


victorfabian wrote:

 

You can see it here:

Screen Shot 2014-05-22 at 9.45.48 AM.png


BUenos dási,


Hemos intentado hasta con time-out de 30 minutos y sigue fallando.

 

Saludos

Enrique Arias
ACMP/ACCP/CCNP
Moderator
Posts: 948
Registered: ‎07-29-2010

Re: Gestion IAP mediante Airwave a traves de VPN

Hola Enrique

 

No sé si estoy entendiendo bien vuestro esquema, así que perdona si pongo alguna burrada. Según lo que cuentas ocurre lo siguiente:

  1. El IAP recibe la IP pública de Airwave desde Activate y se conecta a él correctamente
  2. Airwave configura el IAP y le dice que tiene que establecer un túnel contra vuestro 3600 y que, a partir de este momento, tiene que buscar a Airwave a través de su IP privada.
  3. El IAP empieza a buscar a Airwave por su IP privada (en lugar de la pública) y ahí es cuando empieza a fallar la gestión remota.

Si esto es así, creo que vuestro problema viene precisamente de pretender pasar de gestionar por una IP (la pública) a otra (la privada). ¿No sería más lógico dejar la gestión siempre por la IP pública? Se me ocurren varias razones por las que hacerlo así:

  • Es más sencillo, ya que siempre gestionas usando la misma IP
  • Tienes gestión de los AP aunque se caiga el túnel
  • Si tuvieras más AP que por la razón que fuera no necesitases que establezcan túnel contra vuestro controlador, vas a poder mantener una mayor coherencia en las configuraciones.
  • Ya has habilitado el HTTPS desde Internet hacia Airwave, eso hay que hacerlo sí o sí, pero usando siempre la misma IP te ahorras tener que permitir HTTPS entre las IP virtuales de los IAP y Airwave.

 

Mira a ver si te cuadra esto que te he dicho y cuéntanos cómo te va.

 

Un saludo

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor I
Posts: 9
Registered: ‎08-18-2014

Re: Gestion IAP mediante Airwave a traves de VPN


sperez wrote:

Hola Enrique

 

No sé si estoy entendiendo bien vuestro esquema, así que perdona si pongo alguna burrada. Según lo que cuentas ocurre lo siguiente:

  1. El IAP recibe la IP pública de Airwave desde Activate y se conecta a él correctamente
  2. Airwave configura el IAP y le dice que tiene que establecer un túnel contra vuestro 3600 y que, a partir de este momento, tiene que buscar a Airwave a través de su IP privada.
  3. El IAP empieza a buscar a Airwave por su IP privada (en lugar de la pública) y ahí es cuando empieza a fallar la gestión remota.

Si esto es así, creo que vuestro problema viene precisamente de pretender pasar de gestionar por una IP (la pública) a otra (la privada). ¿No sería más lógico dejar la gestión siempre por la IP pública? Se me ocurren varias razones por las que hacerlo así:

  • Es más sencillo, ya que siempre gestionas usando la misma IP
  • Tienes gestión de los AP aunque se caiga el túnel
  • Si tuvieras más AP que por la razón que fuera no necesitases que establezcan túnel contra vuestro controlador, vas a poder mantener una mayor coherencia en las configuraciones.
  • Ya has habilitado el HTTPS desde Internet hacia Airwave, eso hay que hacerlo sí o sí, pero usando siempre la misma IP te ahorras tener que permitir HTTPS entre las IP virtuales de los IAP y Airwave.

 

Mira a ver si te cuadra esto que te he dicho y cuéntanos cómo te va.

 

Un saludo


Hola Sergio,

 

Efectivamente ese es el flujo de la configuración. Pero el problema ya lo he localizado.

El problema reside en que un paquete HTTP POST de más de 1300 bytes que envia el IAP al AMP para indicar que esta activo no llega a este.

 

El IAP envía cada 1 a 3 minutos un HTTP POST al AMP para indicar que esta activo. Cada 5 HTTP POST, con una media de 500 bytes de tamaño, se origina uno que supera los 1300 bytes, que es el que nunca se recibe en el AMP. No se si el paquete no es generado por el IAP (podria ser dropado al meterlo en el tunel VPN) o se pierde al salir de la VPN en el controlador o es un problema en la red desde el controlador hasta el AMP.

 

Respecto a tu solución, el cliente no quiere que el Airwave este visible por Internet y solo lo estamos utilizando para el despliegue incial mediante Aruba Activate.

 

Saludos y muchas gracias

Enrique Arias
ACMP/ACCP/CCNP
Search Airheads
Showing results for 
Search instead for 
Did you mean: