Cisco AIR-AP2802E-E-K9 Access Point – Von Lightwight Firmware auf Mobility Express umstellen

Ich habe die Finger an zwei gebrauchte Cisco AIR-AP2802E-E-K9 Access Points bekommen.
Die zwei APs wollte ich als „Notfall-AP“ mir zur Seite legen, falls man mal etwas WLAN irgendwo braucht.
Ist ja nicht verkehrt, da ein AP ein Durchsatz von 2340Mbit/s im 5GHz Band auf die Straße bringen kann.
Leider wird das Modell nicht von OpenWrt unterstützt, obwohl OpenWrt auf dem Ding werkelt.
Also muss ich bei der proprietären Firmware von Cisco bleiben.

Mit dieser Anleitung will ich dir den Weg zeigen, wie du den AP von der Lightwight Firmware auf die Mobility Express Firmware umstellen kannst, damit der AP ohne WLAN-Controller (WLC) auskommt.
Mit Mobility Express hostet der Access Point selbst ein WLAN-Controller, welcher bis zu 100 APs steuern kann.

Zu meinem Nachteil, hatten beide Access Points eine Alte Firmware installiert.
Ich fand Version 8.2.166.0 vor.
Mobility Express wurde aber erst in 8.3.XX eingeführt und die letzte supportete Version von Cisco ist 8.10.196.0.
Also erst mal updaten …
AP Running Image : 8.2.166.0
Primary Boot Image : 8.2.166.0
Backup Boot Image : 8.2.166.0

Das Problem:

Es ist nicht möglich, von Version 8.2.XXX direkt auf 8.10.XXX zu gehen.
Die Partitionierung des Speicherchips ist nicht passend gewählt, wodurch beim Upgrade-Prozess der Speicher voll läuft und das Upgrade abgebrochen wird.
Das Thema wurde ab Version 8.3 behoben.

Damit wir den AP auf die neuste Version bekommen, müssen wir zuerst die neuste 8.2.XXX Version, dann die 8.3.XX Version und anschließend die 8.10.XX Version aufspielen.
Nur so klappts.
Cisco ist allerdings einer der Firmen, die extrem Kundenunfreundlich unterwegs ist und dir nicht alle notwendien Firmware-Versionen zur Verfügung stellt.
Selbst im Forum sind auf Nachfrage ein paar unhilfreiche Gestalten unterwegs, die es lieber bevorzugen, wenn du den neusten geilsten überteuerten Shit kaufen gehst, statt die alte Hardware noch auf den neusten Stand zu bringen.

Was brauchen wir alles?

– Ein Cisco AIR-AP2802E-E-K9 Access Point
– Ein Konsolenkabel
– Eine passende Anwendung, um die Serielle Konsole öffnen zu können (PuTTy / minicom)
– Ein PoE-Injektor oder PoE-Switch, welcher 15 Watt liefert
– Die passende Firmware für den AP
– Einen TFTP-Server (ohne Login!)
– Ein paar Grundkentnisse zu Cisco-Hardware
– Ein DHCP-Server

Geht das auch mit anderen Access Points von Cisco?

In der Theorie ja, in der Praxis kann ich dir das nicht sagen.
Ich habe nur den einen Typ hier. Mit dem hat es so funktioniert.
Das Thema mit der Firmware haben wohl alle APs von Cisco.

0. AP zurücksetzen

Setze den Access Point einmal zurück bevor zu beginnst, damit alle möglichen Reste weg sind.
0.1. Reset-Knopf gedrückt halten und dann via PoE Strom auf den AP geben
0.2. Reset-Knopf nach 30 Sekunden los lassen
0.3. 3-4 Minuten warten
Hinweis: Einstellungen wie Hostname oder Lokation (freies Textfeld) bleiben nach einem Reset noch erhalten und werden nicht gelöscht.

1. Firmware herunterladen

Lade dir die folgenden Firmware-Pakete herunter:
– 8.2.170.0 (ap3g3-k9w8-tar.153-3.JC15.tar)
– 8.3.143.0 (ap3g3-k9w8-tar.153-3.JD16.tar)
– 8.10.196.0 (AIR-AP2800-K9-ME-8-10-196-0.tar)
– OPTIONAL: 8.5.161.0 (ap3g3-k9w8-tar.153-3.JF12.tar)

Hinweis: Wer keinen gültigen Wartungsvertrag mit Cisco hat, kommt an die alten Firmware-Stände NICHT dran. Es kann nur die neuste Firmware bei Cisco heruntergeladen werden, wenn man sich einfach ein neues Konto (mit Fake-Daten) erstellt.
Cisco ist in der Sache echt extrem Kundenunfreundlich. Wir brauchen aber zwingend die alten Versionen!

Tipp: Suche mit einer besseren Suchmaschine als Google mal nach dem Firmware-Namen. Du wirst so vielleicht ein passenden Download finden 😉
Manche Vögel zwitschern etwas lauter als andere …

2. TFTP-Server installieren

Ein TFTP-Server ist notwendig, da von diesem der AP die Firmware gleich downloaden muss.
Ich nutze hier ein Linux-System als Haupt-Betriebssystem, deshalb erkläre ich den Weg damit.

2.1 Paketlisten aktualisieren

# sudo apt update

2.2 tftpd-hpa installieren

# sudo apt install tftpd-hpa

2.3 Die Konfiguration anpassen

# sudo nano /etc/default/tftpd-hpa

INHALT:

# /etc/default/tftpd-hpa

TFTP_USERNAME="tftp"
TFTP_DIRECTORY="/var/lib/tftpboot"
TFTP_ADDRESS=":69"
TFTP_OPTIONS="--secure"

2.4 Den freigegebenen Ordner erstellen und Rechte anpassen

# sudo mkdir -p /var/lib/tftpboot
# sudo chown -R tftp:tftp /var/lib/tftpboot
# sudo chmod -R 777 /var/lib/tftpboot

2.5 tftpd-hpa neu starten lassen, damit die Konfiguration übernommen wird

# sudo systemctl restart tftpd-hpa

2.6 Die Firmware in den Ordner kopieren

# ls -l /var/lib/tftpboot/
-rwxrwxrwx Jul 29 13:52 8.2.170.0_ap3g3-k9w8-tar.153-3.JC15.tar
-rwxrwxrwx Jul 29 13:52 8.3.143.0_ap3g3-k9w8-tar.153-3.JD16.tar
-rw-rw-r-- Jun 29 19:36 AIR-AP2800-K9-ME-8-10-196-0.tar

3. Mit dem Access Point Verbinden

3.1 Stecke ein Konsolen-Kabel am AP und an deinem Rechner an
3.2 Verbinde dich via serieller Schnittstelle mit dem AP
– Baud-Rate 9600
3.3 Melde dich mit den Standard-Login-Daten ein, sofern du Schritt 0 gemacht hast
Benutzer: cisco
Passwort Cisco (ja großes C am Anfang!)
enable Passwort: Cisco (ja großes C am Anfang!)

3.4 Nerviger Debuglog abschlaten

> enable
# logging console disable

Nun müssen wir etwas zügiger sein, denn nach etwa 10 Minuten startet der AP neu, weil er keinen WLC findet.
Falls du den AP also schon ein paar Minuten nach dem Reset laufen hast, starte ihn kurz neu und führe Schritt 3 erneut aus.

4. Neuste 8.2-Firmware installieren

> enable
# archive download-sw /reload tftp://192.168.13.37/8.2.170.0_ap3g3-k9w8-tar.153-3.JC15.tar

Ersetze die IP 192.168.13.37 durch die von deinem System, auf dem der TFTP-Server läuft.

Der AP wird anschließend neu starten.

5. Firmware 8.3 aufspielen

5.1 Melde dich wieder per Konsole am AP an
5.2 Schalte das nervige Log ab

> enable
# logging console disable

5.3 Überprüfe die installierte Frimware-Version

> show version

Als primäre Firmware sollte jetzt die neuste 8.2 drin sein, die Backup-Firmware sollte auf dem alten Stand sein.
AP primary version: 8.3.143.0
AP backup version: 8.2.170.0

5.4 Installiere nun die Version 8.3.143

# archive download-sw /reload tftp://192.168.13.37/8.3.143.0_ap3g3-k9w8-tar.153-3.JD16.tar

Der AP wird nach der Installation wieder neu starten.

5.5 Melde dich nach dem Neustart wieder an und prüfe erneut die Firmware

> show version

Du solltest als primäre Firmware nun die 8.3.143 sehen und als Backup 8.2.170.0.

5.6 Wir müssen jetzt auch die Backup-Firmware auf die 8.3.143.0 anheben, sonst können wir gleich 8.10 nicht installieren.
Also führen wir Schritt 5.4 erneut aus.

# archive download-sw /reload tftp://192.168.13.37/8.3.143.0_ap3g3-k9w8-tar.153-3.JD16.tar

5.7 Nach dem Neustart prüfe erneut die Firmware-Version

> show version

Es sollte jetzt bei Primär und Backup jeweils 8.3.143.0 zu sehen sein.

6. Firmware 8.10 installieren

Nun können wir die neuste Firmware einspielen.
6.1 Lass die Firmware installieren

archive download-sw /reload tftp://192.168.13.37/AIR-AP2800-K9-ME-8-10-196-0.tar

6.2 Melde dich nach dem Neustart wieder an und prüfe die Version

> show version

7. Auf Mobility Express umschalten

Der AP läuft trotz Mobility Express Firmware immer nich auf dem Lightwight-Modus.

7.1 Von Lightwight auf ME umschalten

> enable
# ap-type mobility-express tftp://192.168.13.37/AIR-AP2800-K9-ME-8-10-196-0.tar

8. Mobility Express Controller konfigurieren

Nach dem Neustart wird automatisch ein Setup gestartet, um den Controller kurz zu konfigureieren.
Solang wir das nicht per CLI abgeschlossen haben, startet der Webserver nicht.

8.1 Beantworte die Fragen wie folgt:
In kursiv sind die möglichen Antworten enthalten.
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (3 to 127 characters): Admin123
Re-enter Administrative Password: Admin123

System Name [Cisco-XXXXXXXXX] (31 characters max): Cisco-AP01
Enter User Name for AP (24 characters max): admin
Enter Password for AP (6 to 127 characters): Admin123
Re-enter Password for AP: Admin123
Enter Enable Password for AP (6 to 127 characters max): Admin123
Re-enter Enable Password for AP: Admin123

Enter Country Code list (enter ‚help‘ for a list of countries) [US]: DE

Configure a NTP server now? [YES][no]: no
Configure the system time now? [YES][no]: no

Management Interface IP Address Configuration [STATIC][dhcp]: dhcp
Create Management DHCP Scope? [yes][NO]: no
Employee Network Name (SSID)?: Cisco-Test
Employee Network Security? [PSK][enterprise]: PSK
Employee PSK Passphrase (8-63 characters)?: 1234567890
Re-enter Employee PSK Passphrase: 1234567890
Enable RF Parameter Optimization? [YES][no]: yes
Client Density [TYPICAL][Low][High]: Low
Set internal AP to Flex+Bridge mode [yes][NO]: no

Configuration correct? If yes, system will save it and reset. [yes][NO]: yes

HINWEIS: Die Passwörter für die Admin-Zugänge müssen große und kleine Buchstaben + Zahlenb enthalten. Sonderzeichen sind nicht zwingend erforderlich.

8.2 Der AP startet nach bestätigen der letzten Frage sich nun neu, das dauert wieder 2-3 Minuten
8.3 Schau im Router nun nach, welche IP-Adressen der AP selbst gezogen hat ODER halte ein Auge in die Konsolenausgabe beim Start
– Eine IP wird für den AP selbst gezogen (Beispiel: 192.168.13.42)
– Eine IP wird für den Controller gezogen (Beispiel: 192.168.13.69)

8.4 Öffne einen Webbrowser und rufe die IP des Controllers nun mit HTTPS auf
https://192.168.13.69
Hinweis: http ist erst mal nicht verfügbar. Es erfolgt auch KEINE Umleitung. Du musst von Hand HTTPS eingeben.

8.5 Melde dich mit den in Schritt 8.1 definierten Zugangsdaten an
Benutzer: admin
Passwort: Admin123

---

Tipps am Ende

Die LED blinkt dauerhaft im Rythmus Grün-Blau-Rot?
Dein PoE-Injektor liefert zu wenig Strom. Hol dir einen anderen. Hatte das Problem auch.

Das WLAN ist für fast genau eine Minute sichtbar, danach verschwindet es?
Der AP bekommt zu wenig Strom vom PoE-Injektor / Switch und schaltet daraufhin das WLAN ab, damit der Controller nicht abstürzt.
Such dir eine andere Stromquelle.

Die Speicher-Diskette im Webinterface ist dauerhaft immer rot, warum?
Kein Plan was da immer an Kleinigkeiten geändert wird.
Sofern du nichts an der Konfiguration verändert hast, ignoriere es einfach.

Was passiert wenn ich den AP zurücksetze (Knopf drücken), wenn er schon im Mobility Express Modus mit Controller war?
Er wird sich zurücksetzen und den Controller wieder einrichten.
Du kannst ab Schritt 8 wieder einsteigen.

Wie muss ich die Firmware-Versionen im Netz suchen und warum nicht Googel fragen?
Such nach dem Dateinamen, den ich hinter die Version geschrieben hab. Das hilft dir mit Sicherheit weiter. Damit hab ich auch etwas gefunden.
Der Name steht also nicht umsonst da 😉
Mit Google hab ich nichts gefunden. Entweder haben sie die Einträge zensiert, oder die betreiber dieser Download-Quellen lassen Googles Such-Server nicht zu.
Mit meiner SearX-Instanz, welche diverse Suchmaschinen anzapft, bin ich selbst dann endlich mal fündig geworden.

Wie nehme ich einen zweiten AP nun bei dem Controller auf?
Einfach den zweiten AP nach Anleitung mit der aktuellsten Firmware versorgen und ans Netzwerk anschließen.
Der AP sucht kurz nach einem WLC, sollte ihn dann finden und eine Beitrittsanfrage stellen.
In der Standardkonfiguration von Cisco, nimmt der WLC direkt den neuen AP auf und er steht bei Wireless Settings -> Access Points zur Verfügung.

Mein AP will die die Version 8.10.X nicht installieren, was tun?
Ich habe ein AP gehabt, der patu nicht von Version 8.3.X auf 8.10.X upgraden wollte.
Ich habe ihn zuerst noch einmal in Version 8.3.X in Werkseinstellungen versetzt.

> enable
# capwap ap erase all

Anschließend habe ich Version 8.5.X doppelt installiert, damit diese Version als primäre und sekundäre Firmware installiert ist.
Danach habe ich das Upgrade auf Version 8.10.X noch einmal versucht, was direkt wieder fehlgeschlagen ist.
Nach dem Fehlschlag habe ich den Befehl einfach erneut abgeschickt, dann hats funktioniert.