分类 无线网络 下的文章

unifi的cloud key 替换https证书及遇到的坑

unifi的cloud key的web页面默认使用的是自签名的证书,打开时浏览器会提示不信任的页面,从阿里云或者其他地方免费获取证书后替换就能显示小绿锁了。想着替换一个证书而已,没想到这中间还有坑。
首先简单介绍一下cloud key的web架构
首先是80端口,请求http后会返回301跳转到https,然后打开入口页面,一个是unifi controller,一个是cloud key管理
80端口和443端口是nginx监听的,cloud key 管理页面是443端口,但是unifi controller使用的是8443端口,这个是java的
检查nginx配置发现ssl证书在/etc/ssl/private目录下,有cloudkey.crt和cloudkey.key,nginx证书替换好办,直接把新申请的域名证书内容覆盖cloudkey.crt和cloudkey.key内容即可。
麻烦的是java使用的证书,在网上找到办法,需要根据cloudkey.crt和cloudkey.key生产p12格式证书,在用工具生成Java用的证书unifi.keystore.jks,方法如下

cd /etc/ssl/private
openssl pkcs12 -export -in cloudkey.crt -inkey rsa.key -out unifi.p12 -name unifi -password pass:aircontrolenterprise
keytool -importkeystore -srckeystore unifi.p12 -srcstoretype PKCS12 -srcstorepass aircontrolenterprise -destkeystore unifi.keystore.jks -storepass aircontrolenterprise
service unifi restart

现在使用域名打开unifi controller页面,小绿锁出现了。
然后就遇到坑了,重启发现证书又变成了自签名,这就尴尬了,重启不能保存这则么能行。google后有说cloud key重启会重置文件系统的,但是查看df -h,和经过测试,发现并不会重置,那就是有开机脚本操作了。再搜索,ubnt的英文论坛里说/usr/share/initramfs-tools/scripts/ubnt-bottom/configure-sslcert这个脚本每次开机执行,检查/etc/ssl/private/cert.tar这个压缩包里的证书是否和/etc/ssl/private里的一致。分析脚本发现,只要这个tar包只要是非0字节就会解压到临时目录,对比/etc/ssl/private里证书,如果不一致则情况重新生成,并更新cert.tar。
到此,只要保持cert.tar里面到三个文件和外面到一致就可以了。

tar cvf /etc/ssl/private/cert.tar /etc/ssl/private/cloudkey.crt /etc/ssl/private/cloudkey.key /etc/ssl/private/unifi.keystore.jks

重启,小绿锁还在。

分享自家千兆无线和万兆有线局域网拓扑

没事画了家里网络拓扑,家用肯定是超出很多了,但是个人平时爱好玩这些,大家轻喷。<br/>
待升级的是ap,3702只支持千兆上联,打算更换3802i,还有就是nas716+2,当时买到时候有些保守了,链路聚合后只能2000m,打算换ds1817+加上x540T2网卡,或者组个黑裙。<br/>
图中没有画上米家智能家居的设备,尤其是智能开关控制哪些设备,万一关了之后断网就尴尬了,但是zigbee版的开关可以不联网用开关控制,以后有机会画一个米家智能家居的拓扑<br/>

拓扑图

cisco 无线系统折腾续,瘦ap在控制器离线情况下继续工作

家里布了两个3702i+2504wlc控制器,使用wlc控制器配置ap比胖ap配置方便很多,可是wlc有风扇,放在弱电箱里用泡沫封住还是太吵了,而且封住后温度直线上升,想是不是有方法可以让控制器离线情况下ap继续工作,ap只起一个认证和交换的作用,这样一来没有控制器的噪音还能省电。
搜索得知,使用flexconnect模式可以实现上面的需求,gui配置不难,但是有一点被困住了,在flexconnet组里不能添加ap,导致wlan开了flexconnect也不能实现ap继续工作,最后在ap配置页面找到ap工作模式,选择为flexconnct后,flexconnet组自动出现了ap,wlc关闭电源测试,果然成功。
重点是所有文档都没说要把ap模式调成flexconnct,坑了我几个小时。

cisco ap2702i胖ap关闭led指示灯

ap指示灯对家用来说有点多余,而且亮度不低,正常状态下又是蓝光,晚上影响睡眠,所以决定关闭。搜索到的方法大部分是针对ac的,要不就是设置led状态的,没有说胖ap怎么关的,试了一下成功了,记录下来。
方法:
telnet管理员登陆ap

config
led display off


User Access Verification

Username: admin
Password:
ap#?
Exec commands:
  <1-99>           Session number to resume
  access-enable    Create a temporary Access-List entry
  access-profile   Apply user-profile to interface
  access-template  Create a temporary Access-List entry
  archive          manage archive files
  cd               Change current directory
  clear            Reset functions
  clock            Manage the system clock
  configure        Enter configuration mode
  connect          Open a terminal connection
  copy             Copy from one file to another
  crypto           Encryption related commands.
  debug            Debugging functions (see also 'undebug')
  delete           Delete a file
  dir              List files on a filesystem
  disable          Turn off privileged commands
  disconnect       Disconnect an existing network connection
  do-exec          Mode-independent "do-exec" prefix support
  dot11            IEEE 802.11 commands
  dot1x            IEEE 802.1X Exec Commands
  eap              EAP Exec Commands
  enable           Turn on privileged commands
  erase            Erase a filesystem
  exit             Exit from the EXEC
  format           Format a filesystem
  fsck             Fsck a filesystem
  help             Description of the interactive help system
  if-mgr           IF-MGR operations
  ip               Exec commands for IP features
  led              LED functions
  lock             Lock the terminal
  logging          Handles logging operations
  login            Log in as a particular user
  logout           Exit from the EXEC
  mkdir            Create new directory
  monitor          Monitoring different system events
  more             Display the contents of a file
  name-connection  Name an existing network connection
  no               Disable debugging functions
  ping             Send echo messages
  pwd              Display current working directory
  radius           radius exec commands
  release          Release a resource
  reload           Halt and perform a cold restart
  rename           Rename a file
  renew            Renew a resource
  resume           Resume an active network connection
  rmdir            Remove existing directory
  routing-context  Routing Context
  rsh              Execute a remote command
  save             Start to save raise_interrupt_level stack
  send             Send a message to other tty lines
  set              Set system parameter (not config)
  show             Show running system information
  ssh              Open a secure shell client connection
  systat           Display information about terminal lines
  telnet           Open a telnet connection
  terminal         Set terminal line parameters
  test             Test subsystems, memory, and interfaces
  traceroute       Trace route to destination
  tunnel           Open a tunnel connection
  undebug          Disable debugging functions (see also 'debug')
  verify           Verify a file
  where            List active connections
  write            Write running configuration to memory, network, or terminal
  xconnect         Xconnect EXEC commands

ap#config
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line.  End with CNTL/Z.
ap(config)#led?
led

ap(config)#led
% Incomplete command.

ap(config)#led-stat
              ^
% Invalid input detected at '^' marker.

ap(config)#led display
% Incomplete command.

ap(config)#led display?
display

ap(config)#led display ?
  dim  Turn LED display dim.
  off  Turn LED display off.

ap(config)#led display off

思科ap 2702 折腾继续20160610

困扰了一个多月的问题终于解决了
问题描述:ap下两个客户端之间单独一个ping另一个不通,两个同时互ping能通,没有打开客户端隔离功能(pspf)其他功能正常。
解决办法:经指点是arp问题,打开arp caching功能,问题解决。
还是对计算机网络理解不够深入,应该早就想到是arp问题的。。。

还有个小问题,web页面一直提示cannot clear credential 什么的,也没查到解决办法。。。