Beschreibung:

Der Config-Sync dient dazu, die Konfiguration zwischen zwei VPN-Gateways bzw. zwei WLAN-Controllern abzugleichen, damit beide Geräte auf dem gleichen Stand sind und der Slave bei einem Ausfall des Masters dessen Funktionen vollumfänglich übernehmen kann. Funktioniert der Konfigurations-Abgleich nicht mehr und es werden auf dem Master Konfigurations-Änderungen durchgeführt, können diese nicht auf den Slave übertragen werden. Bei einem Ausfall des Masters kann dies daher dazu führen, dass die Kommunikation nur eingeschränkt möglich ist.

In diesem Artikel wird beschrieben, welche Schritte durchgeführt werden können, wenn der Config-Sync nicht mehr funktioniert.

Die Einrichtung der Konfigurations-Synchronisierung für zwei WLAN-Controller können Sie durchführen, indem Sie einen der beiden WLAN-Controller in LANconfig markieren und per Drag & Drop auf das andere Gerät ziehen. 

Die manuelle Einrichtung der Konfigurations-Synchronisierung für zwei VPN-Gateways ist in diesem Artikel beschrieben.


Voraussetzungen:


Vorgehensweise:

1. Verwendung der gleichen Firmware-Version auf beiden Geräten:

Grundsätzlich funktioniert der Config-Sync auch auf Geräten mit unterschiedlichen Firmware-Versionen. Wird in einer Firmware-Version allerdings ein neues Feature implementiert und es kommt dabei eine neue Spalte in dem Konsolen-Pfad hinzu, kann dies zu einem Konflikt führen, da der Eintrag nicht mehr eindeutig ist (siehe Punkt 4.).

Es ist daher empfehlenswert auf beiden Geräten die gleiche Firmware-Version zu verwenden.



2. Prüfen des Config-Sync Zertifikats:

Verbinden Sie sich per SSH zu beiden Geräten und geben auf der Konsole jeweils den Befehl show scep configsync cert ein, um das Config-Sync Zertifikat einzusehen.

Überprüfen Sie die folgenden Parameter:

  • Validity: Die Gültigkeit des Zertifikates muss auf beiden Geräten übereinstimmen. Geringe Abweichungen wie in diesem Beispiel sind normal. Die Funktion wird dadurch nicht eingeschränkt.
  • Subject: Die IP-Adresse des jeweiligen Gerätes muss im Subject enthalten sein.
  • X509v3 Authority Key Identifier: Diese ID muss auf beiden Geräten gleich sein. 

  


2.1 Die Zertifikate stimmen bei zwei WLAN-Controllern nicht überein:

Setzen Sie den Slave auf Werkseinstellungen zurück und ziehen diesen in LANconfig erneut auf den Master, damit der Config-Sync neu eingerichtet und das Zertifikat neu bezogen wird.


2.2 Die Zertifikate stimmen bei zwei VPN-Gateways nicht überein:

Setzen Sie den Slave auf den Werkszustand zurück und richten diesen wie in diesem Knowledge Base Artikel ab Schritt 2. beschrieben neu ein.



3. Prüfung auf Fehlermeldungen im Config-Sync:

Verbinden Sie sich per SSH mit dem Master und geben auf der Konsole den Befehl ls /Status/Config/Sync/New-Cluster ein.

In diesem Beispiel ist ein Fehler aufgetreten:

  • Info: Hier wird der fehlerhafte Parameter angezeigt.
  • State:  Hier wird aktuelle Status des Config-Sync angegeben. In diesem Beispiel ist ein Fehler aufgetreten und der Status daher Invalid.


Mögliche Status und Schritte zur Fehlerbehebung:

  • Invalid: Der fehlerhafte Parameter unter Info muss angepasst oder entfernt werden.
  • Changed: Es wurden Einstellungen an den Synchronisierungs-Knoten verändert (etwa die IP-Adresse). Führen Sie auf dem Gerät mit der aktuellen Konfiguration (Master) den Konsolen-Befehl do /Status/Config/Sync/New-Cluster/Launch aus oder wählen im Kontextmenü in LANconfig die Option Einstellungen Konfigurations-Synchronisierung aktivieren aus, um den Config-Sync erneut zu starten.
  • Not-running: Der Config-Sync wurde noch nie gestartet. Führen Sie auf dem Gerät mit der aktuellen Konfiguration (Master) den Konsolen-Befehl
    do /Status/Config/Sync/New-Cluster/Launch aus oder wählen im Kontextmenü in LANconfig die Option Einstellungen Konfigurations-Synchronisierung aktivieren aus, um den Config-Sync zu starten.



4. LCOS ab Version 10.40 auf einem VPN-Gateway: Anpassung der Tabelle "Ignorierte Zeilen" erforderlich

Auf einem VPN-Gateway wird die Default-Route üblicherweise in dem Menü Management → Synchronisierung → Ignorierte Zeilen von der Synchronisierung ausgenommen.

Nach einem  Firmware-Update auf die Version 10.40  oder höher wird die folgende Fehlermeldung ausgegeben (siehe auch Punkt 3.):

In diesem Fall muss  der  Zeilen-Index um eine 0 ergänzt  werden, da die Administrative Distanz in der Firmware 10.40 als neues Feature hinzugekommen ist. Der Eintrag muss daher  255.255.255.255 0.0.0.0 0 0  lauten.

Das Firmware-Update muss zwingend auf beiden Geräten durchgeführt werden, da ansonsten nur eines der beiden Geräte die Funktion Administrative Distanz unterstützt und es somit zu einem Konflikt kommt.



5. Bei Verwendung der Tabelle "Zugriffs-Stationen" muss die IP-Adresse des anderen Cluster-Teilnehmers zusätzlich hinterlegt werden:  

Bei Verwendung der Tabelle  Zugriffs-Stationen  in dem Menü  Management → Admin → Zugriffseinstellungen → Konfigurations-Zugriffs-Wege  muss die  IP-Adresse  (z.B.  IP-Adresse 192.168.1.1 Netzmaske 255.255.255.255)  oder das gesamte Netzwerk des anderen WLAN-Controllers  (z.B. IP-Adresse 192.168.1.0 Netzmaske 255.255.255.0) hinterlegt werden, damit die Geräte untereinander kommunizieren können!