The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Wifi c cisco WLC - вопросики"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение [ Отслеживать ]

"Wifi c cisco WLC - вопросики"  –1 +/
Сообщение от www_tank (ok) on 25-Янв-17, 16:21 
Надо настроить сабж для клиентов 3х типов: свои юзеры с полным доступом, свои с доступом к некоторым сайтам, гости с разовыми паролями. Соответсвенно, это у меня три WLAN с разными SSID.
Удалось настроить lobby гостям через локальную авторизацию и аутентификацию своих юзеров через LDAP(AD). все работает, Инет у клиентов есть. но:
1) при web аутентификации на некоторых устройствах (Sumsung galaxy s4 / sumsung galaxy note) никак не открывается http:\\1.1.1.1, открывается google.com безрезультатно ибо нет авторизации. А вот на китайском Zopo нормально сразу открывается 1.1.1.1

2)при открытии 1.1.1.1 (авто или URL руками вводить) идет стандарная ругань на сертификат. Как подложить сертификат? и можно ли самоподписанный(не покупать)?

3)как ограничить юзеров определенным списком сайтов? можно ли списком сайтов с именами, а не ip?  (прокси не предлагать) кстати, где прокси подключать тоже не понятно.
Благодарю отвечающих

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Wifi c cisco WLC - вопросики"  +/
Сообщение от ShyLion (ok) on 26-Янв-17, 06:51 
> как

Поставить шлюз с прозрачным прокси на сквиде, на нем пилить все что хочешь.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Wifi c cisco WLC - вопросики"  +/
Сообщение от www_tank (ok) on 26-Янв-17, 09:46 
> Поставить шлюз с прозрачным прокси на сквиде, на нем пилить все что
> хочешь.

вопрос не самой в прокси. как клиентам адрес прокси вменить? или только можно дефолтовый маршрут на wlc указать на прокси?
в целом ради одного списочка (авторизация-то уже реализована) поднимать целый сервер как-то роскошно. В данном сегменте сети у меня никаких серверов кроме wifi нет


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Wifi c cisco WLC - вопросики"  +/
Сообщение от ShyLion (ok) on 26-Янв-17, 09:58 
>> Поставить шлюз с прозрачным прокси на сквиде, на нем пилить все что
>> хочешь.
> вопрос не самой в прокси. как клиентам адрес прокси вменить? или только
> можно дефолтовый маршрут на wlc указать на прокси?
> в целом ради одного списочка (авторизация-то уже реализована) поднимать целый сервер как-то
> роскошно. В данном сегменте сети у меня никаких серверов кроме wifi
> нет

Задача "пропускать только на huemoe.ru" в нормальном исполнении решаема только с использованием DPI решений, заглядывающих в HTTP запросы и HTTPS SNI|server certificate.
потому что все приличные сайты используют CDN решения в том или ином виде и фильтрации по IP недостаточна. Ни контроллер, ни обычные роутеры такого не умеют.
Тут либо покупать что-то типа СКАТ или аналогичное решение, либо на коленке городить свое типа сквида. Я вот прямо сейчас решаю точно такую-же задачу. Поднял центос со сквидом на виртуалке, он является шлюзом по умолчанию для вилана с ограниченой сетью.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Wifi c cisco WLC - вопросики"  +/
Сообщение от Andrey (??) on 26-Янв-17, 12:07 
>[оверквотинг удален]
> 1) при web аутентификации на некоторых устройствах (Sumsung galaxy s4 / sumsung
> galaxy note) никак не открывается http:\\1.1.1.1, открывается google.com безрезультатно
> ибо нет авторизации. А вот на китайском Zopo нормально сразу открывается
> 1.1.1.1
> 2)при открытии 1.1.1.1 (авто или URL руками вводить) идет стандарная ругань на
> сертификат. Как подложить сертификат? и можно ли самоподписанный(не покупать)?
> 3)как ограничить юзеров определенным списком сайтов? можно ли списком сайтов с именами,
> а не ip?  (прокси не предлагать) кстати, где прокси подключать
> тоже не понятно.
> Благодарю отвечающих

3. Если пользователи не будут использовать сторонние DNS, то в BIND можно использовать функционал Response Policy Zone. DNS раздавать по DHCP при подключении. Запретить использование сторонних DNS (TCP&UDP 53) обычным ACL.
Но эту технологию _категорически_ _не_ _стоит_ _путать_ с firewall или proxy.

1.У вас в настройках Controller->General включены опции WebAuth Proxy Redirecton Mode и WebAuth Proxy Redirecton Port? (по крайней мере на WLC-2504 с software ver.8.2.x. это включается там)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Wifi c cisco WLC - вопросики"  +/
Сообщение от www_tank (ok) on 26-Янв-17, 15:07 
> 1.У вас в настройках Controller->General включены опции WebAuth Proxy Redirecton Mode и
> WebAuth Proxy Redirecton Port? (по крайней мере на WLC-2504 с software
> ver.8.2.x. это включается там)

WebAuth Proxy Redirecton Mode сменили на enable
WebAuth Proxy Redirecton Port=0, но при попытке завести 80 сказала, что на этом порту и так по дефолту работает. В результате ничего не поменялось. а на китайском meizu сразу открывается 1.1.1.1

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Wifi c cisco WLC - вопросики"  +/
Сообщение от Andrey (??) on 26-Янв-17, 15:44 
>> 1.У вас в настройках Controller->General включены опции WebAuth Proxy Redirecton Mode и
>> WebAuth Proxy Redirecton Port? (по крайней мере на WLC-2504 с software
>> ver.8.2.x. это включается там)
> WebAuth Proxy Redirecton Mode сменили на enable
> WebAuth Proxy Redirecton Port=0, но при попытке завести 80 сказала, что на
> этом порту и так по дефолту работает. В результате ничего не
> поменялось. а на китайском meizu сразу открывается 1.1.1.1

На 80 у вас работает WebAuth HTTP. WebAuth Proxy Redirection определяет доступ на WebAuth по HTTPS. HTTPS - 443 порт.
Вроде можно было поменять дефолтовый порт... не помню где.. не суть...
Т.к. WebAuth на этом порту у вас не слушает, то и перенаправить не может.

После включения и настройки этой опции нужно перегрузить контроллер.

Обычно все нормальные ссылки на google идут по https. Если Meizu экономят на вводе http вместо https в коде - ну с миру по нитке, милиардеру хорошо. Вот с Meizu и ходите на WebAuth нормально.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Wifi c cisco WLC - вопросики"  +/
Сообщение от www_tank (ok) on 26-Янв-17, 17:19 
>>> > На 80 у вас работает WebAuth HTTP. WebAuth Proxy Redirection определяет доступ
> на WebAuth по HTTPS. HTTPS - 443 порт.

WebAuth Proxy Redirecton Mode =enable
WebAuth Proxy Redirection Port =443
WLC 2504 Software Version 8.0.115.0  был перегружен
"не выходит каменный цветок", хотя на google действительноидет https-ом

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Wifi c cisco WLC - вопросики"  +/
Сообщение от ShyLion (ok) on 27-Янв-17, 15:25 
> городить свое типа сквида. Я вот прямо сейчас решаю точно такую-же
> задачу. Поднял центос со сквидом на виртуалке, он является шлюзом по
> умолчанию для вилана с ограниченой сетью.

Если интересно: http://www.opennet.ru/openforum/vsluhforumID12/7278.html

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Wifi c cisco WLC - вопросики"  +/
Сообщение от Andrey (??) on 27-Янв-17, 21:16 
>>>> > На 80 у вас работает WebAuth HTTP. WebAuth Proxy Redirection определяет доступ
>> на WebAuth по HTTPS. HTTPS - 443 порт.
> WebAuth Proxy Redirecton Mode =enable
> WebAuth Proxy Redirection Port =443
> WLC 2504 Software Version 8.0.115.0  был перегружен
> "не выходит каменный цветок", хотя на google действительноидет https-ом

Тогда стандартно - дебаг в руки и попытаться обновиться, если есть возможность.
Возможно стоит включить Override Global Config.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Wifi c cisco WLC - вопросики"  +/
Сообщение от Del on 29-Янв-17, 17:20 
Для РКН делаете?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Wifi c cisco WLC - вопросики"  +/
Сообщение от ShyLion (ok) on 30-Янв-17, 07:14 
> Для РКН делаете?

Не. для провайдинга сквид ИМХО не надежен и медленный.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Wifi c cisco WLC - вопросики"  +/
Сообщение от www_tank (ok) on 30-Янв-17, 12:34 
> Тогда стандартно - дебаг в руки и попытаться обновиться, если есть возможность.

в журнале
2017-01-30 09:33:02    Local7.Warning    192.168.211.2    controller.air-gate-net: *webauthRedirect: Jan 30 09:33:02.176: #EMWEB-4-READ_ERROR: webauth_redirect.c:1299 Remote client closed connection (bytes read=0, errno=0).
2017-01-30 09:33:10    Local7.Warning    192.168.211.2    controller.air-gate-net: *webauthRedirect: Jan 30 09:33:10.371: #EMWEB-4-READ_ERROR: webauth_redirect.c:1299 Remote client closed connection (bytes read=0, errno=0).
2017-01-30 09:33:22    Local7.Warning    192.168.211.2    controller.air-gate-net: *webauthRedirect: Jan 30 09:33:22.532: #EMWEB-4-READ_ERROR: webauth_redirect.c:1299 Remote client closed connection (bytes read=0, errno=0).
> Возможно стоит включить Override Global Config

как раз включено, вот думаю попробовать выключить. ибо параметры выше определяются кака раз на уровне Global


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Wifi c cisco WLC - вопросики"  +/
Сообщение от www_tank (ok) on 30-Янв-17, 16:47 
Как я понимаю, google.com выступает как неотключаемая прокси на телефоне Galaxy?
WLC стоит в конторе за корпоративным файрволом, соответственно куда он и кто его - все видно в логе.

настраиваю wlc на работу с прокси:
- вышеупомянутые параметры enable и 443
- на WLAN прописан Preauthentication ACL с разрешением destination UDP:53 и TCP:443
- на файрволе выпилены соответствующие дырки
в итоге теперь google.com висит дольше.
В логах файрвола видно, как он сходил спросил ДНС, а потом попер в Инет и получил ресет из-за того, что нет обратного правила
Teardown TCP connection 473813722 for outside:173.194.44.64/443 to wfguest:192.168.211.85/38089 duration 0:00:00 bytes 0 TCP Reset-I
Сдается мне, через гугль он никогда не откроет мне http:1.1.1.1
я гугле не управляю, к сожалению.

настраиваю wlc без прокси:
- вышеупомянутые параметры disable и 0
- на WLAN прописан Preauthentication ACL с разрешением
Permit UDP any any:53
Permit TCP any any:443
Permit  TCP any:443 any
- на файрволе выпилены соответствующие дырки
в итоге теперь google.com открывается сразу и плевал он на авторизацию и 1.1.1.1

если сделать гибрид
- вышеупомянутые параметры enable и 443
- на WLAN прописан Preauthentication ACL с разрешением
Permit UDP any any:53
Permit TCP any any:443
Permit  TCP any:443 any
- на файрволе выпилены соответствующие дырки
в итоге теперь google.com открывается сразу и опять нет 1.1.1.1

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Wifi c cisco WLC - вопросики"  +/
Сообщение от ShyLion (ok) on 31-Янв-17, 07:41 
> Как я понимаю, google.com выступает как неотключаемая прокси на телефоне Galaxy?

Нет, гуглофоны проверяют наличие каптив-портала, делая http запрос на сервис гугла и если получают не то, что ожидают - уведомляют пользователя.
Тоже самое делают виндофоны и яблокофоны, только ломятся по другим, своим УРЛ.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Wifi c cisco WLC - вопросики"  +/
Сообщение от www_tank (ok) on 31-Янв-17, 14:06 
> Нет, гуглофоны проверяют наличие каптив-портала, делая http запрос на сервис гугла и
> если получают не то, что ожидают - уведомляют пользователя.
> Тоже самое делают виндофоны и яблокофоны, только ломятся по другим, своим УРЛ.

Спасибо. по слову captive нашлись ссылки на тему CLI параметра web-auth captive-bypass disable
например https://supportforums.cisco.com/discussion/11779306/web-auth...
но играние этим параметром тоже не помогло
выложу show network summary
RF-Network Name............................. air1
Web Mode.................................... Enable
Secure Web Mode............................. Enable
Secure Web Mode Cipher-Option High.......... Disable
Secure Web Mode Cipher-Option SSLv2......... Disable
Secure Web Mode RC4 Cipher Preference....... Disable
Secure Web Mode SSL Protocol................ Disable
OCSP........................................ Disabled
OCSP responder URL..........................
Secure Shell (ssh).......................... Enable
Telnet...................................... Disable
Ethernet Multicast Forwarding............... Disable
Ethernet Broadcast Forwarding............... Disable
IPv4 AP Multicast/Broadcast Mode............ Multicast   Address : 239.0.0.0
IPv6 AP Multicast/Broadcast Mode............ Multicast   Address : ::
IGMP snooping............................... Disabled
IGMP timeout................................ 60 seconds
IGMP Query Interval......................... 20 seconds
MLD snooping................................ Disabled
MLD timeout................................. 60 seconds
MLD query interval.......................... 20 seconds
User Idle Timeout........................... 2200 seconds
ARP Idle Timeout............................ 300 seconds
Cisco AP Default Master..................... Disable
AP Join Priority............................ Disable
Mgmt Via Wireless Interface................. Enable
Mgmt Via Dynamic Interface.................. Disable
Bridge MAC filter Config.................... Enable
Bridge Security Mode........................ EAP
Mesh Full Sector DFS........................ Enable
AP Fallback ................................ Enable
Web Auth CMCC Support ...................... Disabled
Web Auth Redirect Ports .................... 80
Web Auth Proxy Redirect  ................... Disable
Web Auth Captive-Bypass   .................. Disable
Web Auth Secure Web  ....................... Enable
Web Auth Secure Redirection  ............... Disable
Fast SSID Change ........................... Disabled
AP Discovery - NAT IP Only ................. Enabled
IP/MAC Addr Binding Check .................. Enabled
Link Local Bridging Status ................. Disabled
CCX-lite status ............................ Disable
oeap-600 dual-rlan-ports ................... Disable
oeap-600 local-network ..................... Enable
oeap-600 Split Tunneling (Printers)......... Disable
WebPortal Online Client .................... 0
WebPortal NTF_LOGOUT Client ................ 0
mDNS snooping............................... Disabled
mDNS Query Interval......................... 15 minutes
Web Color Theme............................. Default
Capwap Prefer Mode.......................... IPv4
Client ip conflict detection (DHCP) ........ Disabled

show WLAN 3 (авторизация с radius)
(Cisco Controller) show>wlan 3  


WLAN Identifier.................................. 3
Profile Name..................................... AIR-GROUP
Network Name (SSID).............................. AIR-GROUP
Status........................................... Enabled
MAC Filtering.................................... Disabled
Broadcast SSID................................... Enabled
AAA Policy Override.............................. Disabled
Network Admission Control
Client Profiling Status
    Radius Profiling ............................ Disabled
     DHCP ....................................... Disabled
     HTTP ....................................... Disabled
    Local Profiling ............................. Disabled
     DHCP ....................................... Disabled
     HTTP ....................................... Disabled
  Radius-NAC State............................... Disabled
  SNMP-NAC State................................. Disabled
  Quarantine VLAN................................ 0
Maximum number of Associated Clients............. 0
Maximum number of Clients per AP Radio........... 200

--More-- or (q)uit
Number of Active Clients......................... 0
Exclusionlist Timeout............................ 60 seconds
Session Timeout.................................. 1800 seconds
User Idle Timeout................................ Disabled
Sleep Client..................................... disable
Sleep Client Timeout............................. 720 minutes
User Idle Threshold.............................. 0 Bytes
NAS-identifier................................... controller.air-gate-net
CHD per WLAN..................................... Enabled
Webauth DHCP exclusion........................... Disabled
Interface........................................ management
Multicast Interface.............................. Not Configured
WLAN IPv4 ACL.................................... unconfigured
WLAN IPv6 ACL.................................... unconfigured
WLAN Layer2 ACL.................................. unconfigured
mDNS Status...................................... Enabled
mDNS Profile Name................................ default-mdns-profile
DHCP Server...................................... Default
DHCP Address Assignment Required................. Disabled
Static IP client tunneling....................... Disabled
Quality of Service............................... Silver
Per-SSID Rate Limits............................. Upstream      Downstream
Average Data Rate................................   0             0

--More-- or (q)uit
Average Realtime Data Rate.......................   0             0
Burst Data Rate..................................   0             0
Burst Realtime Data Rate.........................   0             0
Per-Client Rate Limits........................... Upstream      Downstream
Average Data Rate................................   0             0
Average Realtime Data Rate.......................   0             0
Burst Data Rate..................................   0             0
Burst Realtime Data Rate.........................   0             0
Scan Defer Priority.............................. 4,5,6
Scan Defer Time.................................. 100 milliseconds
WMM.............................................. Allowed
WMM UAPSD Compliant Client Support............... Disabled
Media Stream Multicast-direct.................... Disabled
CCX - AironetIe Support.......................... Enabled
CCX - Gratuitous ProbeResponse (GPR)............. Disabled
CCX - Diagnostics Channel Capability............. Disabled
Dot11-Phone Mode (7920).......................... Disabled
Wired Protocol................................... None
Passive Client Feature........................... Disabled
Peer-to-Peer Blocking Action..................... Disabled
Radio Policy..................................... All
DTIM period for 802.11a radio.................... 1
DTIM period for 802.11b radio.................... 1

--More-- or (q)uit
Radius Servers
   Authentication................................ 10.9.9.9 1812
   Accounting.................................... Global Servers
      Interim Update............................. Enabled
      Interim Update Interval.................... 0
      Framed IPv6 Acct AVP ...................... Prefix
   Dynamic Interface............................. Enabled
   Dynamic Interface Priority.................... wlan
Local EAP Authentication......................... Disabled
Radius NAI-Realm................................. Disabled
Security

   802.11 Authentication:........................ Open System
   FT Support.................................... Disabled
   Static WEP Keys............................... Disabled
   802.1X........................................ Disabled
   Wi-Fi Protected Access (WPA/WPA2)............. Disabled
   WAPI.......................................... Disabled
   Wi-Fi Direct policy configured................ Disabled
   EAP-Passthrough............................... Disabled
   CKIP ......................................... Disabled
   Web Based Authentication...................... Enabled
   Web Authentication Timeout.................... 300

--More-- or (q)uit
        IPv4 ACL........................................ pre-authACL
        IPv6 ACL........................................ Unconfigured
        Web-Auth Flex ACL............................... Unconfigured
        Web Authentication server precedence:
        1............................................... radius
   Web-Passthrough............................... Disabled
   Mac-auth-server............................... 0.0.0.0
   Web-portal-server............................. 0.0.0.0
   Conditional Web Redirect...................... Disabled
   Splash-Page Web Redirect...................... Disabled
   Auto Anchor................................... Disabled
   FlexConnect Local Switching................... Disabled
   FlexConnect Central Association............... Disabled
   flexconnect Central Dhcp Flag................. Disabled
   flexconnect nat-pat Flag...................... Disabled
   flexconnect Dns Override Flag................. Disabled
   flexconnect PPPoE pass-through................ Disabled
   flexconnect local-switching IP-source-guar.... Disabled
   FlexConnect Vlan based Central Switching ..... Disabled
   FlexConnect Local Authentication.............. Disabled
   FlexConnect Learn IP Address.................. Enabled
   Client MFP.................................... Optional but inactive (WPA2 not configured)
   PMF........................................... Disabled

--More-- or (q)uit
   PMF Association Comeback Time................. 1
   PMF SA Query RetryTimeout..................... 200
   Tkip MIC Countermeasure Hold-down Timer....... 60
   Eap-params.................................... Not Applicable
AVC Visibilty.................................... Disabled
AVC Profile Name................................. None
Flow Monitor Name................................ None
Split Tunnel Configuration
    Split Tunnel................................. Disabled
Call Snooping.................................... Disabled
Roamed Call Re-Anchor Policy..................... Disabled
SIP CAC Fail Send-486-Busy Policy................ Enabled
SIP CAC Fail Send Dis-Association Policy......... Disabled
KTS based CAC Policy............................. Disabled
Assisted Roaming Prediction Optimization......... Disabled
802.11k Neighbor List............................ Disabled
802.11k Neighbor List Dual Band.................. Disabled
802.11v Directed Multicast Service............... Disabled
802.11v BSS Max Idle Service..................... Enabled
DMS DB is empty
Band Select...................................... Disabled
Load Balancing................................... Disabled
Multicast Buffer................................. Disabled

--More-- or (q)uit
Universal Ap Admin............................... Disabled

Mobility Anchor List
WLAN ID     IP Address            Status
-------     ---------------       ------

802.11u........................................ Disabled

MSAP Services.................................. Disabled

Local Policy
----------------
Priority  Policy Name
--------  ---------------


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Wifi c cisco WLC - вопросики"  +/
Сообщение от www_tank (ok) on 01-Мрт-17, 11:42 
Пара дней в Женеве, жажда бесплатного WiFi... и сразу как-то выяснилось, что дело было не в Android+WiFi, а в гребаном гугл-хроме, открывавшемся как браузер по дефолту.
На другом приложении все работает.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Wifi c cisco WLC - вопросики"  +/
Сообщение от ShyLion (ok) on 01-Мрт-17, 16:57 
> Пара дней в Женеве, жажда бесплатного WiFi... и сразу как-то выяснилось, что
> дело было не в Android+WiFi, а в гребаном гугл-хроме, открывавшемся как
> браузер по дефолту.
> На другом приложении все работает.

хз, у нас хромой нормально работает.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor