forum.opennet.ru - "Wifi c cisco WLC - вопросики" (17)

форумы

помощь

поиск

регистрация

вход/выход

слежка

"Wifi c cisco WLC - вопросики"

Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Wifi c cisco WLC - вопросики"	–1 +/–
Сообщение от www_tank (ok) on 25-Янв-17, 16:21
Надо настроить сабж для клиентов 3х типов: свои юзеры с полным доступом, свои с доступом к некоторым сайтам, гости с разовыми паролями. Соответсвенно, это у меня три WLAN с разными SSID. Удалось настроить lobby гостям через локальную авторизацию и аутентификацию своих юзеров через LDAP(AD). все работает, Инет у клиентов есть. но: 1) при web аутентификации на некоторых устройствах (Sumsung galaxy s4 / sumsung galaxy note) никак не открывается http:\\1.1.1.1, открывается google.com безрезультатно ибо нет авторизации. А вот на китайском Zopo нормально сразу открывается 1.1.1.1 2)при открытии 1.1.1.1 (авто или URL руками вводить) идет стандарная ругань на сертификат. Как подложить сертификат? и можно ли самоподписанный(не покупать)? 3)как ограничить юзеров определенным списком сайтов? можно ли списком сайтов с именами, а не ip? (прокси не предлагать) кстати, где прокси подключать тоже не понятно. Благодарю отвечающих
Ответить \| Правка \| Cообщить модератору

Оглавление

Wifi c cisco WLC - вопросики, ShyLion, 06:51 , 26-Янв-17, (1)

Wifi c cisco WLC - вопросики, www_tank, 09:46 , 26-Янв-17, (2)

Wifi c cisco WLC - вопросики, ShyLion, 09:58 , 26-Янв-17, (3)

Wifi c cisco WLC - вопросики, ShyLion, 15:25 , 27-Янв-17, (8)
Wifi c cisco WLC - вопросики, Del, 17:20 , 29-Янв-17, (10)

Wifi c cisco WLC - вопросики, ShyLion, 07:14 , 30-Янв-17, (11)

Wifi c cisco WLC - вопросики, Andrey, 12:07 , 26-Янв-17, (4)

Wifi c cisco WLC - вопросики, www_tank, 15:07 , 26-Янв-17, (5)

Wifi c cisco WLC - вопросики, Andrey, 15:44 , 26-Янв-17, (6)

Wifi c cisco WLC - вопросики, www_tank, 17:19 , 26-Янв-17, (7)

Wifi c cisco WLC - вопросики, Andrey, 21:16 , 27-Янв-17, (9)

Wifi c cisco WLC - вопросики, www_tank, 12:34 , 30-Янв-17, (12)

Wifi c cisco WLC - вопросики, www_tank, 16:47 , 30-Янв-17, (13)

Wifi c cisco WLC - вопросики, ShyLion, 07:41 , 31-Янв-17, (14)

Wifi c cisco WLC - вопросики, www_tank, 14:06 , 31-Янв-17, (15)

Wifi c cisco WLC - вопросики, www_tank, 11:42 , 01-Мрт-17, (16)

Wifi c cisco WLC - вопросики, ShyLion, 16:57 , 01-Мрт-17, (17)

Сообщения по теме [Сортировка по ответам | RSS]

1. "Wifi c cisco WLC - вопросики" +/–

Сообщение от ShyLion (ok) on 26-Янв-17, 06:51

> как
Поставить шлюз с прозрачным прокси на сквиде, на нем пилить все что хочешь.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Wifi c cisco WLC - вопросики" +/–

Сообщение от www_tank (ok) on 26-Янв-17, 09:46

> Поставить шлюз с прозрачным прокси на сквиде, на нем пилить все что
> хочешь.
вопрос не самой в прокси. как клиентам адрес прокси вменить? или только можно дефолтовый маршрут на wlc указать на прокси?
в целом ради одного списочка (авторизация-то уже реализована) поднимать целый сервер как-то роскошно. В данном сегменте сети у меня никаких серверов кроме wifi нет

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Wifi c cisco WLC - вопросики" +/–

Сообщение от ShyLion (ok) on 26-Янв-17, 09:58

>> Поставить шлюз с прозрачным прокси на сквиде, на нем пилить все что
>> хочешь.
> вопрос не самой в прокси. как клиентам адрес прокси вменить? или только
> можно дефолтовый маршрут на wlc указать на прокси?
> в целом ради одного списочка (авторизация-то уже реализована) поднимать целый сервер как-то
> роскошно. В данном сегменте сети у меня никаких серверов кроме wifi
> нет
Задача "пропускать только на huemoe.ru" в нормальном исполнении решаема только с использованием DPI решений, заглядывающих в HTTP запросы и HTTPS SNI|server certificate.
потому что все приличные сайты используют CDN решения в том или ином виде и фильтрации по IP недостаточна. Ни контроллер, ни обычные роутеры такого не умеют.
Тут либо покупать что-то типа СКАТ или аналогичное решение, либо на коленке городить свое типа сквида. Я вот прямо сейчас решаю точно такую-же задачу. Поднял центос со сквидом на виртуалке, он является шлюзом по умолчанию для вилана с ограниченой сетью.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Wifi c cisco WLC - вопросики" +/–

Сообщение от Andrey (??) on 26-Янв-17, 12:07

>[оверквотинг удален]
> 1) при web аутентификации на некоторых устройствах (Sumsung galaxy s4 / sumsung
> galaxy note) никак не открывается http:\\1.1.1.1, открывается google.com безрезультатно
> ибо нет авторизации. А вот на китайском Zopo нормально сразу открывается
> 1.1.1.1
> 2)при открытии 1.1.1.1 (авто или URL руками вводить) идет стандарная ругань на
> сертификат. Как подложить сертификат? и можно ли самоподписанный(не покупать)?
> 3)как ограничить юзеров определенным списком сайтов? можно ли списком сайтов с именами,
> а не ip?  (прокси не предлагать) кстати, где прокси подключать
> тоже не понятно.
> Благодарю отвечающих
3. Если пользователи не будут использовать сторонние DNS, то в BIND можно использовать функционал Response Policy Zone. DNS раздавать по DHCP при подключении. Запретить использование сторонних DNS (TCP&UDP 53) обычным ACL.
Но эту технологию _категорически_ _не_ _стоит_ _путать_ с firewall или proxy.
1.У вас в настройках Controller->General включены опции WebAuth Proxy Redirecton Mode и WebAuth Proxy Redirecton Port? (по крайней мере на WLC-2504 с software ver.8.2.x. это включается там)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Wifi c cisco WLC - вопросики" +/–

Сообщение от www_tank (ok) on 26-Янв-17, 15:07

> 1.У вас в настройках Controller->General включены опции WebAuth Proxy Redirecton Mode и
> WebAuth Proxy Redirecton Port? (по крайней мере на WLC-2504 с software
> ver.8.2.x. это включается там)
WebAuth Proxy Redirecton Mode сменили на enable
WebAuth Proxy Redirecton Port=0, но при попытке завести 80 сказала, что на этом порту и так по дефолту работает. В результате ничего не поменялось. а на китайском meizu сразу открывается 1.1.1.1

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Wifi c cisco WLC - вопросики" +/–

Сообщение от Andrey (??) on 26-Янв-17, 15:44

>> 1.У вас в настройках Controller->General включены опции WebAuth Proxy Redirecton Mode и
>> WebAuth Proxy Redirecton Port? (по крайней мере на WLC-2504 с software
>> ver.8.2.x. это включается там)
> WebAuth Proxy Redirecton Mode сменили на enable
> WebAuth Proxy Redirecton Port=0, но при попытке завести 80 сказала, что на
> этом порту и так по дефолту работает. В результате ничего не
> поменялось. а на китайском meizu сразу открывается 1.1.1.1
На 80 у вас работает WebAuth HTTP. WebAuth Proxy Redirection определяет доступ на WebAuth по HTTPS. HTTPS - 443 порт.
Вроде можно было поменять дефолтовый порт... не помню где.. не суть...
Т.к. WebAuth на этом порту у вас не слушает, то и перенаправить не может.
После включения и настройки этой опции нужно перегрузить контроллер.
Обычно все нормальные ссылки на google идут по https. Если Meizu экономят на вводе http вместо https в коде - ну с миру по нитке, милиардеру хорошо. Вот с Meizu и ходите на WebAuth нормально.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Wifi c cisco WLC - вопросики" +/–

Сообщение от www_tank (ok) on 26-Янв-17, 17:19

>>> > На 80 у вас работает WebAuth HTTP. WebAuth Proxy Redirection определяет доступ
> на WebAuth по HTTPS. HTTPS - 443 порт.
WebAuth Proxy Redirecton Mode =enable
WebAuth Proxy Redirection Port =443
WLC 2504 Software Version 8.0.115.0  был перегружен
"не выходит каменный цветок", хотя на google действительноидет https-ом

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Wifi c cisco WLC - вопросики" +/–

Сообщение от ShyLion (ok) on 27-Янв-17, 15:25

> городить свое типа сквида. Я вот прямо сейчас решаю точно такую-же
> задачу. Поднял центос со сквидом на виртуалке, он является шлюзом по
> умолчанию для вилана с ограниченой сетью.
Если интересно: http://www.opennet.ru/openforum/vsluhforumID12/7278.html

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Wifi c cisco WLC - вопросики" +/–

Сообщение от Andrey (??) on 27-Янв-17, 21:16

>>>> > На 80 у вас работает WebAuth HTTP. WebAuth Proxy Redirection определяет доступ
>> на WebAuth по HTTPS. HTTPS - 443 порт.
> WebAuth Proxy Redirecton Mode =enable
> WebAuth Proxy Redirection Port =443
> WLC 2504 Software Version 8.0.115.0  был перегружен
> "не выходит каменный цветок", хотя на google действительноидет https-ом
Тогда стандартно - дебаг в руки и попытаться обновиться, если есть возможность.
Возможно стоит включить Override Global Config.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Wifi c cisco WLC - вопросики" +/–

Сообщение от Del on 29-Янв-17, 17:20

Для РКН делаете?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Wifi c cisco WLC - вопросики" +/–

Сообщение от ShyLion (ok) on 30-Янв-17, 07:14

> Для РКН делаете?
Не. для провайдинга сквид ИМХО не надежен и медленный.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Wifi c cisco WLC - вопросики" +/–

Сообщение от www_tank (ok) on 30-Янв-17, 12:34

> Тогда стандартно - дебаг в руки и попытаться обновиться, если есть возможность.
в журнале
2017-01-30 09:33:02    Local7.Warning    192.168.211.2    controller.air-gate-net: *webauthRedirect: Jan 30 09:33:02.176: #EMWEB-4-READ_ERROR: webauth_redirect.c:1299 Remote client closed connection (bytes read=0, errno=0).
2017-01-30 09:33:10    Local7.Warning    192.168.211.2    controller.air-gate-net: *webauthRedirect: Jan 30 09:33:10.371: #EMWEB-4-READ_ERROR: webauth_redirect.c:1299 Remote client closed connection (bytes read=0, errno=0).
2017-01-30 09:33:22    Local7.Warning    192.168.211.2    controller.air-gate-net: *webauthRedirect: Jan 30 09:33:22.532: #EMWEB-4-READ_ERROR: webauth_redirect.c:1299 Remote client closed connection (bytes read=0, errno=0).
> Возможно стоит включить Override Global Config
как раз включено, вот думаю попробовать выключить. ибо параметры выше определяются кака раз на уровне Global

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Wifi c cisco WLC - вопросики" +/–

Сообщение от www_tank (ok) on 30-Янв-17, 16:47

Как я понимаю, google.com выступает как неотключаемая прокси на телефоне Galaxy?
WLC стоит в конторе за корпоративным файрволом, соответственно куда он и кто его - все видно в логе.
настраиваю wlc на работу с прокси:
- вышеупомянутые параметры enable и 443
- на WLAN прописан Preauthentication ACL с разрешением destination UDP:53 и TCP:443
- на файрволе выпилены соответствующие дырки
в итоге теперь google.com висит дольше.
В логах файрвола видно, как он сходил спросил ДНС, а потом попер в Инет и получил ресет из-за того, что нет обратного правила
Teardown TCP connection 473813722 for outside:173.194.44.64/443 to wfguest:192.168.211.85/38089 duration 0:00:00 bytes 0 TCP Reset-I
Сдается мне, через гугль он никогда не откроет мне http:1.1.1.1
я гугле не управляю, к сожалению.
настраиваю wlc без прокси:
- вышеупомянутые параметры disable и 0
- на WLAN прописан Preauthentication ACL с разрешением
Permit UDP any any:53
Permit TCP any any:443
Permit  TCP any:443 any
- на файрволе выпилены соответствующие дырки
в итоге теперь google.com открывается сразу и плевал он на авторизацию и 1.1.1.1
если сделать гибрид
- вышеупомянутые параметры enable и 443
- на WLAN прописан Preauthentication ACL с разрешением
Permit UDP any any:53
Permit TCP any any:443
Permit  TCP any:443 any
- на файрволе выпилены соответствующие дырки
в итоге теперь google.com открывается сразу и опять нет 1.1.1.1

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Wifi c cisco WLC - вопросики" +/–

Сообщение от ShyLion (ok) on 31-Янв-17, 07:41

> Как я понимаю, google.com выступает как неотключаемая прокси на телефоне Galaxy?
Нет, гуглофоны проверяют наличие каптив-портала, делая http запрос на сервис гугла и если получают не то, что ожидают - уведомляют пользователя.
Тоже самое делают виндофоны и яблокофоны, только ломятся по другим, своим УРЛ.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Wifi c cisco WLC - вопросики" +/–

Сообщение от www_tank (ok) on 31-Янв-17, 14:06

> Нет, гуглофоны проверяют наличие каптив-портала, делая http запрос на сервис гугла и
> если получают не то, что ожидают - уведомляют пользователя.
> Тоже самое делают виндофоны и яблокофоны, только ломятся по другим, своим УРЛ.
Спасибо. по слову captive нашлись ссылки на тему CLI параметра web-auth captive-bypass disable
например https://supportforums.cisco.com/discussion/11779306/web-auth...
но играние этим параметром тоже не помогло
выложу show network summary
RF-Network Name............................. air1
Web Mode.................................... Enable
Secure Web Mode............................. Enable
Secure Web Mode Cipher-Option High.......... Disable
Secure Web Mode Cipher-Option SSLv2......... Disable
Secure Web Mode RC4 Cipher Preference....... Disable
Secure Web Mode SSL Protocol................ Disable
OCSP........................................ Disabled
OCSP responder URL..........................
Secure Shell (ssh).......................... Enable
Telnet...................................... Disable
Ethernet Multicast Forwarding............... Disable
Ethernet Broadcast Forwarding............... Disable
IPv4 AP Multicast/Broadcast Mode............ Multicast   Address : 239.0.0.0
IPv6 AP Multicast/Broadcast Mode............ Multicast   Address : ::
IGMP snooping............................... Disabled
IGMP timeout................................ 60 seconds
IGMP Query Interval......................... 20 seconds
MLD snooping................................ Disabled
MLD timeout................................. 60 seconds
MLD query interval.......................... 20 seconds
User Idle Timeout........................... 2200 seconds
ARP Idle Timeout............................ 300 seconds
Cisco AP Default Master..................... Disable
AP Join Priority............................ Disable
Mgmt Via Wireless Interface................. Enable
Mgmt Via Dynamic Interface.................. Disable
Bridge MAC filter Config.................... Enable
Bridge Security Mode........................ EAP
Mesh Full Sector DFS........................ Enable
AP Fallback ................................ Enable
Web Auth CMCC Support ...................... Disabled
Web Auth Redirect Ports .................... 80
Web Auth Proxy Redirect  ................... Disable
Web Auth Captive-Bypass   .................. Disable
Web Auth Secure Web  ....................... Enable
Web Auth Secure Redirection  ............... Disable
Fast SSID Change ........................... Disabled
AP Discovery - NAT IP Only ................. Enabled
IP/MAC Addr Binding Check .................. Enabled
Link Local Bridging Status ................. Disabled
CCX-lite status ............................ Disable
oeap-600 dual-rlan-ports ................... Disable
oeap-600 local-network ..................... Enable
oeap-600 Split Tunneling (Printers)......... Disable
WebPortal Online Client .................... 0
WebPortal NTF_LOGOUT Client ................ 0
mDNS snooping............................... Disabled
mDNS Query Interval......................... 15 minutes
Web Color Theme............................. Default
Capwap Prefer Mode.......................... IPv4
Client ip conflict detection (DHCP) ........ Disabled
show WLAN 3 (авторизация с radius)
(Cisco Controller) show>wlan 3

WLAN Identifier.................................. 3
Profile Name..................................... AIR-GROUP
Network Name (SSID).............................. AIR-GROUP
Status........................................... Enabled
MAC Filtering.................................... Disabled
Broadcast SSID................................... Enabled
AAA Policy Override.............................. Disabled
Network Admission Control
Client Profiling Status
    Radius Profiling ............................ Disabled
     DHCP ....................................... Disabled
     HTTP ....................................... Disabled
    Local Profiling ............................. Disabled
     DHCP ....................................... Disabled
     HTTP ....................................... Disabled
  Radius-NAC State............................... Disabled
  SNMP-NAC State................................. Disabled
  Quarantine VLAN................................ 0
Maximum number of Associated Clients............. 0
Maximum number of Clients per AP Radio........... 200
--More-- or (q)uit
Number of Active Clients......................... 0
Exclusionlist Timeout............................ 60 seconds
Session Timeout.................................. 1800 seconds
User Idle Timeout................................ Disabled
Sleep Client..................................... disable
Sleep Client Timeout............................. 720 minutes
User Idle Threshold.............................. 0 Bytes
NAS-identifier................................... controller.air-gate-net
CHD per WLAN..................................... Enabled
Webauth DHCP exclusion........................... Disabled
Interface........................................ management
Multicast Interface.............................. Not Configured
WLAN IPv4 ACL.................................... unconfigured
WLAN IPv6 ACL.................................... unconfigured
WLAN Layer2 ACL.................................. unconfigured
mDNS Status...................................... Enabled
mDNS Profile Name................................ default-mdns-profile
DHCP Server...................................... Default
DHCP Address Assignment Required................. Disabled
Static IP client tunneling....................... Disabled
Quality of Service............................... Silver
Per-SSID Rate Limits............................. Upstream      Downstream
Average Data Rate................................   0             0
--More-- or (q)uit
Average Realtime Data Rate.......................   0             0
Burst Data Rate..................................   0             0
Burst Realtime Data Rate.........................   0             0
Per-Client Rate Limits........................... Upstream      Downstream
Average Data Rate................................   0             0
Average Realtime Data Rate.......................   0             0
Burst Data Rate..................................   0             0
Burst Realtime Data Rate.........................   0             0
Scan Defer Priority.............................. 4,5,6
Scan Defer Time.................................. 100 milliseconds
WMM.............................................. Allowed
WMM UAPSD Compliant Client Support............... Disabled
Media Stream Multicast-direct.................... Disabled
CCX - AironetIe Support.......................... Enabled
CCX - Gratuitous ProbeResponse (GPR)............. Disabled
CCX - Diagnostics Channel Capability............. Disabled
Dot11-Phone Mode (7920).......................... Disabled
Wired Protocol................................... None
Passive Client Feature........................... Disabled
Peer-to-Peer Blocking Action..................... Disabled
Radio Policy..................................... All
DTIM period for 802.11a radio.................... 1
DTIM period for 802.11b radio.................... 1
--More-- or (q)uit
Radius Servers
   Authentication................................ 10.9.9.9 1812
   Accounting.................................... Global Servers
      Interim Update............................. Enabled
      Interim Update Interval.................... 0
      Framed IPv6 Acct AVP ...................... Prefix
   Dynamic Interface............................. Enabled
   Dynamic Interface Priority.................... wlan
Local EAP Authentication......................... Disabled
Radius NAI-Realm................................. Disabled
Security
   802.11 Authentication:........................ Open System
   FT Support.................................... Disabled
   Static WEP Keys............................... Disabled
   802.1X........................................ Disabled
   Wi-Fi Protected Access (WPA/WPA2)............. Disabled
   WAPI.......................................... Disabled
   Wi-Fi Direct policy configured................ Disabled
   EAP-Passthrough............................... Disabled
   CKIP ......................................... Disabled
   Web Based Authentication...................... Enabled
   Web Authentication Timeout.................... 300
--More-- or (q)uit
        IPv4 ACL........................................ pre-authACL
        IPv6 ACL........................................ Unconfigured
        Web-Auth Flex ACL............................... Unconfigured
        Web Authentication server precedence:
        1............................................... radius
   Web-Passthrough............................... Disabled
   Mac-auth-server............................... 0.0.0.0
   Web-portal-server............................. 0.0.0.0
   Conditional Web Redirect...................... Disabled
   Splash-Page Web Redirect...................... Disabled
   Auto Anchor................................... Disabled
   FlexConnect Local Switching................... Disabled
   FlexConnect Central Association............... Disabled
   flexconnect Central Dhcp Flag................. Disabled
   flexconnect nat-pat Flag...................... Disabled
   flexconnect Dns Override Flag................. Disabled
   flexconnect PPPoE pass-through................ Disabled
   flexconnect local-switching IP-source-guar.... Disabled
   FlexConnect Vlan based Central Switching ..... Disabled
   FlexConnect Local Authentication.............. Disabled
   FlexConnect Learn IP Address.................. Enabled
   Client MFP.................................... Optional but inactive (WPA2 not configured)
   PMF........................................... Disabled
--More-- or (q)uit
   PMF Association Comeback Time................. 1
   PMF SA Query RetryTimeout..................... 200
   Tkip MIC Countermeasure Hold-down Timer....... 60
   Eap-params.................................... Not Applicable
AVC Visibilty.................................... Disabled
AVC Profile Name................................. None
Flow Monitor Name................................ None
Split Tunnel Configuration
    Split Tunnel................................. Disabled
Call Snooping.................................... Disabled
Roamed Call Re-Anchor Policy..................... Disabled
SIP CAC Fail Send-486-Busy Policy................ Enabled
SIP CAC Fail Send Dis-Association Policy......... Disabled
KTS based CAC Policy............................. Disabled
Assisted Roaming Prediction Optimization......... Disabled
802.11k Neighbor List............................ Disabled
802.11k Neighbor List Dual Band.................. Disabled
802.11v Directed Multicast Service............... Disabled
802.11v BSS Max Idle Service..................... Enabled
DMS DB is empty
Band Select...................................... Disabled
Load Balancing................................... Disabled
Multicast Buffer................................. Disabled
--More-- or (q)uit
Universal Ap Admin............................... Disabled
Mobility Anchor List
WLAN ID     IP Address            Status
-------     ---------------       ------
802.11u........................................ Disabled
MSAP Services.................................. Disabled
Local Policy
----------------
Priority  Policy Name
--------  ---------------

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Wifi c cisco WLC - вопросики" +/–

Сообщение от www_tank (ok) on 01-Мрт-17, 11:42

Пара дней в Женеве, жажда бесплатного WiFi... и сразу как-то выяснилось, что дело было не в Android+WiFi, а в гребаном гугл-хроме, открывавшемся как браузер по дефолту.
На другом приложении все работает.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Wifi c cisco WLC - вопросики" +/–

Сообщение от ShyLion (ok) on 01-Мрт-17, 16:57

> Пара дней в Женеве, жажда бесплатного WiFi... и сразу как-то выяснилось, что
> дело было не в Android+WiFi, а в гребаном гугл-хроме, открывавшемся как
> браузер по дефолту.
> На другом приложении все работает.
хз, у нас хромой нормально работает.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	1. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от ShyLion (ok) on 26-Янв-17, 06:51
	> как Поставить шлюз с прозрачным прокси на сквиде, на нем пилить все что хочешь.
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от www_tank (ok) on 26-Янв-17, 09:46
	> Поставить шлюз с прозрачным прокси на сквиде, на нем пилить все что > хочешь. вопрос не самой в прокси. как клиентам адрес прокси вменить? или только можно дефолтовый маршрут на wlc указать на прокси? в целом ради одного списочка (авторизация-то уже реализована) поднимать целый сервер как-то роскошно. В данном сегменте сети у меня никаких серверов кроме wifi нет
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от ShyLion (ok) on 26-Янв-17, 09:58
	>> Поставить шлюз с прозрачным прокси на сквиде, на нем пилить все что >> хочешь. > вопрос не самой в прокси. как клиентам адрес прокси вменить? или только > можно дефолтовый маршрут на wlc указать на прокси? > в целом ради одного списочка (авторизация-то уже реализована) поднимать целый сервер как-то > роскошно. В данном сегменте сети у меня никаких серверов кроме wifi > нет Задача "пропускать только на huemoe.ru" в нормальном исполнении решаема только с использованием DPI решений, заглядывающих в HTTP запросы и HTTPS SNI\|server certificate. потому что все приличные сайты используют CDN решения в том или ином виде и фильтрации по IP недостаточна. Ни контроллер, ни обычные роутеры такого не умеют. Тут либо покупать что-то типа СКАТ или аналогичное решение, либо на коленке городить свое типа сквида. Я вот прямо сейчас решаю точно такую-же задачу. Поднял центос со сквидом на виртуалке, он является шлюзом по умолчанию для вилана с ограниченой сетью.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от Andrey (??) on 26-Янв-17, 12:07
	>[оверквотинг удален] > 1) при web аутентификации на некоторых устройствах (Sumsung galaxy s4 / sumsung > galaxy note) никак не открывается http:\\1.1.1.1, открывается google.com безрезультатно > ибо нет авторизации. А вот на китайском Zopo нормально сразу открывается > 1.1.1.1 > 2)при открытии 1.1.1.1 (авто или URL руками вводить) идет стандарная ругань на > сертификат. Как подложить сертификат? и можно ли самоподписанный(не покупать)? > 3)как ограничить юзеров определенным списком сайтов? можно ли списком сайтов с именами, > а не ip? (прокси не предлагать) кстати, где прокси подключать > тоже не понятно. > Благодарю отвечающих 3. Если пользователи не будут использовать сторонние DNS, то в BIND можно использовать функционал Response Policy Zone. DNS раздавать по DHCP при подключении. Запретить использование сторонних DNS (TCP&UDP 53) обычным ACL. Но эту технологию _категорически_ _не_ _стоит_ _путать_ с firewall или proxy. 1.У вас в настройках Controller->General включены опции WebAuth Proxy Redirecton Mode и WebAuth Proxy Redirecton Port? (по крайней мере на WLC-2504 с software ver.8.2.x. это включается там)
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от www_tank (ok) on 26-Янв-17, 15:07
	> 1.У вас в настройках Controller->General включены опции WebAuth Proxy Redirecton Mode и > WebAuth Proxy Redirecton Port? (по крайней мере на WLC-2504 с software > ver.8.2.x. это включается там) WebAuth Proxy Redirecton Mode сменили на enable WebAuth Proxy Redirecton Port=0, но при попытке завести 80 сказала, что на этом порту и так по дефолту работает. В результате ничего не поменялось. а на китайском meizu сразу открывается 1.1.1.1
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от Andrey (??) on 26-Янв-17, 15:44
	>> 1.У вас в настройках Controller->General включены опции WebAuth Proxy Redirecton Mode и >> WebAuth Proxy Redirecton Port? (по крайней мере на WLC-2504 с software >> ver.8.2.x. это включается там) > WebAuth Proxy Redirecton Mode сменили на enable > WebAuth Proxy Redirecton Port=0, но при попытке завести 80 сказала, что на > этом порту и так по дефолту работает. В результате ничего не > поменялось. а на китайском meizu сразу открывается 1.1.1.1 На 80 у вас работает WebAuth HTTP. WebAuth Proxy Redirection определяет доступ на WebAuth по HTTPS. HTTPS - 443 порт. Вроде можно было поменять дефолтовый порт... не помню где.. не суть... Т.к. WebAuth на этом порту у вас не слушает, то и перенаправить не может. После включения и настройки этой опции нужно перегрузить контроллер. Обычно все нормальные ссылки на google идут по https. Если Meizu экономят на вводе http вместо https в коде - ну с миру по нитке, милиардеру хорошо. Вот с Meizu и ходите на WebAuth нормально.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от www_tank (ok) on 26-Янв-17, 17:19
	>>> > На 80 у вас работает WebAuth HTTP. WebAuth Proxy Redirection определяет доступ > на WebAuth по HTTPS. HTTPS - 443 порт. WebAuth Proxy Redirecton Mode =enable WebAuth Proxy Redirection Port =443 WLC 2504 Software Version 8.0.115.0 был перегружен "не выходит каменный цветок", хотя на google действительноидет https-ом
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от ShyLion (ok) on 27-Янв-17, 15:25
	> городить свое типа сквида. Я вот прямо сейчас решаю точно такую-же > задачу. Поднял центос со сквидом на виртуалке, он является шлюзом по > умолчанию для вилана с ограниченой сетью. Если интересно: http://www.opennet.ru/openforum/vsluhforumID12/7278.html
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	9. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от Andrey (??) on 27-Янв-17, 21:16
	>>>> > На 80 у вас работает WebAuth HTTP. WebAuth Proxy Redirection определяет доступ >> на WebAuth по HTTPS. HTTPS - 443 порт. > WebAuth Proxy Redirecton Mode =enable > WebAuth Proxy Redirection Port =443 > WLC 2504 Software Version 8.0.115.0 был перегружен > "не выходит каменный цветок", хотя на google действительноидет https-ом Тогда стандартно - дебаг в руки и попытаться обновиться, если есть возможность. Возможно стоит включить Override Global Config.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от Del on 29-Янв-17, 17:20
	Для РКН делаете?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	11. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от ShyLion (ok) on 30-Янв-17, 07:14
	> Для РКН делаете? Не. для провайдинга сквид ИМХО не надежен и медленный.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от www_tank (ok) on 30-Янв-17, 12:34
	> Тогда стандартно - дебаг в руки и попытаться обновиться, если есть возможность. в журнале 2017-01-30 09:33:02 Local7.Warning 192.168.211.2 controller.air-gate-net: webauthRedirect: Jan 30 09:33:02.176: #EMWEB-4-READ_ERROR: webauth_redirect.c:1299 Remote client closed connection (bytes read=0, errno=0). 2017-01-30 09:33:10 Local7.Warning 192.168.211.2 controller.air-gate-net: webauthRedirect: Jan 30 09:33:10.371: #EMWEB-4-READ_ERROR: webauth_redirect.c:1299 Remote client closed connection (bytes read=0, errno=0). 2017-01-30 09:33:22 Local7.Warning 192.168.211.2 controller.air-gate-net: *webauthRedirect: Jan 30 09:33:22.532: #EMWEB-4-READ_ERROR: webauth_redirect.c:1299 Remote client closed connection (bytes read=0, errno=0). > Возможно стоит включить Override Global Config как раз включено, вот думаю попробовать выключить. ибо параметры выше определяются кака раз на уровне Global
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	13. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от www_tank (ok) on 30-Янв-17, 16:47
	Как я понимаю, google.com выступает как неотключаемая прокси на телефоне Galaxy? WLC стоит в конторе за корпоративным файрволом, соответственно куда он и кто его - все видно в логе. настраиваю wlc на работу с прокси: - вышеупомянутые параметры enable и 443 - на WLAN прописан Preauthentication ACL с разрешением destination UDP:53 и TCP:443 - на файрволе выпилены соответствующие дырки в итоге теперь google.com висит дольше. В логах файрвола видно, как он сходил спросил ДНС, а потом попер в Инет и получил ресет из-за того, что нет обратного правила Teardown TCP connection 473813722 for outside:173.194.44.64/443 to wfguest:192.168.211.85/38089 duration 0:00:00 bytes 0 TCP Reset-I Сдается мне, через гугль он никогда не откроет мне http:1.1.1.1 я гугле не управляю, к сожалению. настраиваю wlc без прокси: - вышеупомянутые параметры disable и 0 - на WLAN прописан Preauthentication ACL с разрешением Permit UDP any any:53 Permit TCP any any:443 Permit TCP any:443 any - на файрволе выпилены соответствующие дырки в итоге теперь google.com открывается сразу и плевал он на авторизацию и 1.1.1.1 если сделать гибрид - вышеупомянутые параметры enable и 443 - на WLAN прописан Preauthentication ACL с разрешением Permit UDP any any:53 Permit TCP any any:443 Permit TCP any:443 any - на файрволе выпилены соответствующие дырки в итоге теперь google.com открывается сразу и опять нет 1.1.1.1
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от ShyLion (ok) on 31-Янв-17, 07:41
	> Как я понимаю, google.com выступает как неотключаемая прокси на телефоне Galaxy? Нет, гуглофоны проверяют наличие каптив-портала, делая http запрос на сервис гугла и если получают не то, что ожидают - уведомляют пользователя. Тоже самое делают виндофоны и яблокофоны, только ломятся по другим, своим УРЛ.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от www_tank (ok) on 31-Янв-17, 14:06
	> Нет, гуглофоны проверяют наличие каптив-портала, делая http запрос на сервис гугла и > если получают не то, что ожидают - уведомляют пользователя. > Тоже самое делают виндофоны и яблокофоны, только ломятся по другим, своим УРЛ. Спасибо. по слову captive нашлись ссылки на тему CLI параметра web-auth captive-bypass disable например https://supportforums.cisco.com/discussion/11779306/web-auth... но играние этим параметром тоже не помогло выложу show network summary RF-Network Name............................. air1 Web Mode.................................... Enable Secure Web Mode............................. Enable Secure Web Mode Cipher-Option High.......... Disable Secure Web Mode Cipher-Option SSLv2......... Disable Secure Web Mode RC4 Cipher Preference....... Disable Secure Web Mode SSL Protocol................ Disable OCSP........................................ Disabled OCSP responder URL.......................... Secure Shell (ssh).......................... Enable Telnet...................................... Disable Ethernet Multicast Forwarding............... Disable Ethernet Broadcast Forwarding............... Disable IPv4 AP Multicast/Broadcast Mode............ Multicast Address : 239.0.0.0 IPv6 AP Multicast/Broadcast Mode............ Multicast Address : :: IGMP snooping............................... Disabled IGMP timeout................................ 60 seconds IGMP Query Interval......................... 20 seconds MLD snooping................................ Disabled MLD timeout................................. 60 seconds MLD query interval.......................... 20 seconds User Idle Timeout........................... 2200 seconds ARP Idle Timeout............................ 300 seconds Cisco AP Default Master..................... Disable AP Join Priority............................ Disable Mgmt Via Wireless Interface................. Enable Mgmt Via Dynamic Interface.................. Disable Bridge MAC filter Config.................... Enable Bridge Security Mode........................ EAP Mesh Full Sector DFS........................ Enable AP Fallback ................................ Enable Web Auth CMCC Support ...................... Disabled Web Auth Redirect Ports .................... 80 Web Auth Proxy Redirect ................... Disable Web Auth Captive-Bypass .................. Disable Web Auth Secure Web ....................... Enable Web Auth Secure Redirection ............... Disable Fast SSID Change ........................... Disabled AP Discovery - NAT IP Only ................. Enabled IP/MAC Addr Binding Check .................. Enabled Link Local Bridging Status ................. Disabled CCX-lite status ............................ Disable oeap-600 dual-rlan-ports ................... Disable oeap-600 local-network ..................... Enable oeap-600 Split Tunneling (Printers)......... Disable WebPortal Online Client .................... 0 WebPortal NTF_LOGOUT Client ................ 0 mDNS snooping............................... Disabled mDNS Query Interval......................... 15 minutes Web Color Theme............................. Default Capwap Prefer Mode.......................... IPv4 Client ip conflict detection (DHCP) ........ Disabled show WLAN 3 (авторизация с radius) (Cisco Controller) show>wlan 3 WLAN Identifier.................................. 3 Profile Name..................................... AIR-GROUP Network Name (SSID).............................. AIR-GROUP Status........................................... Enabled MAC Filtering.................................... Disabled Broadcast SSID................................... Enabled AAA Policy Override.............................. Disabled Network Admission Control Client Profiling Status Radius Profiling ............................ Disabled DHCP ....................................... Disabled HTTP ....................................... Disabled Local Profiling ............................. Disabled DHCP ....................................... Disabled HTTP ....................................... Disabled Radius-NAC State............................... Disabled SNMP-NAC State................................. Disabled Quarantine VLAN................................ 0 Maximum number of Associated Clients............. 0 Maximum number of Clients per AP Radio........... 200 --More-- or (q)uit Number of Active Clients......................... 0 Exclusionlist Timeout............................ 60 seconds Session Timeout.................................. 1800 seconds User Idle Timeout................................ Disabled Sleep Client..................................... disable Sleep Client Timeout............................. 720 minutes User Idle Threshold.............................. 0 Bytes NAS-identifier................................... controller.air-gate-net CHD per WLAN..................................... Enabled Webauth DHCP exclusion........................... Disabled Interface........................................ management Multicast Interface.............................. Not Configured WLAN IPv4 ACL.................................... unconfigured WLAN IPv6 ACL.................................... unconfigured WLAN Layer2 ACL.................................. unconfigured mDNS Status...................................... Enabled mDNS Profile Name................................ default-mdns-profile DHCP Server...................................... Default DHCP Address Assignment Required................. Disabled Static IP client tunneling....................... Disabled Quality of Service............................... Silver Per-SSID Rate Limits............................. Upstream Downstream Average Data Rate................................ 0 0 --More-- or (q)uit Average Realtime Data Rate....................... 0 0 Burst Data Rate.................................. 0 0 Burst Realtime Data Rate......................... 0 0 Per-Client Rate Limits........................... Upstream Downstream Average Data Rate................................ 0 0 Average Realtime Data Rate....................... 0 0 Burst Data Rate.................................. 0 0 Burst Realtime Data Rate......................... 0 0 Scan Defer Priority.............................. 4,5,6 Scan Defer Time.................................. 100 milliseconds WMM.............................................. Allowed WMM UAPSD Compliant Client Support............... Disabled Media Stream Multicast-direct.................... Disabled CCX - AironetIe Support.......................... Enabled CCX - Gratuitous ProbeResponse (GPR)............. Disabled CCX - Diagnostics Channel Capability............. Disabled Dot11-Phone Mode (7920).......................... Disabled Wired Protocol................................... None Passive Client Feature........................... Disabled Peer-to-Peer Blocking Action..................... Disabled Radio Policy..................................... All DTIM period for 802.11a radio.................... 1 DTIM period for 802.11b radio.................... 1 --More-- or (q)uit Radius Servers Authentication................................ 10.9.9.9 1812 Accounting.................................... Global Servers Interim Update............................. Enabled Interim Update Interval.................... 0 Framed IPv6 Acct AVP ...................... Prefix Dynamic Interface............................. Enabled Dynamic Interface Priority.................... wlan Local EAP Authentication......................... Disabled Radius NAI-Realm................................. Disabled Security 802.11 Authentication:........................ Open System FT Support.................................... Disabled Static WEP Keys............................... Disabled 802.1X........................................ Disabled Wi-Fi Protected Access (WPA/WPA2)............. Disabled WAPI.......................................... Disabled Wi-Fi Direct policy configured................ Disabled EAP-Passthrough............................... Disabled CKIP ......................................... Disabled Web Based Authentication...................... Enabled Web Authentication Timeout.................... 300 --More-- or (q)uit IPv4 ACL........................................ pre-authACL IPv6 ACL........................................ Unconfigured Web-Auth Flex ACL............................... Unconfigured Web Authentication server precedence: 1............................................... radius Web-Passthrough............................... Disabled Mac-auth-server............................... 0.0.0.0 Web-portal-server............................. 0.0.0.0 Conditional Web Redirect...................... Disabled Splash-Page Web Redirect...................... Disabled Auto Anchor................................... Disabled FlexConnect Local Switching................... Disabled FlexConnect Central Association............... Disabled flexconnect Central Dhcp Flag................. Disabled flexconnect nat-pat Flag...................... Disabled flexconnect Dns Override Flag................. Disabled flexconnect PPPoE pass-through................ Disabled flexconnect local-switching IP-source-guar.... Disabled FlexConnect Vlan based Central Switching ..... Disabled FlexConnect Local Authentication.............. Disabled FlexConnect Learn IP Address.................. Enabled Client MFP.................................... Optional but inactive (WPA2 not configured) PMF........................................... Disabled --More-- or (q)uit PMF Association Comeback Time................. 1 PMF SA Query RetryTimeout..................... 200 Tkip MIC Countermeasure Hold-down Timer....... 60 Eap-params.................................... Not Applicable AVC Visibilty.................................... Disabled AVC Profile Name................................. None Flow Monitor Name................................ None Split Tunnel Configuration Split Tunnel................................. Disabled Call Snooping.................................... Disabled Roamed Call Re-Anchor Policy..................... Disabled SIP CAC Fail Send-486-Busy Policy................ Enabled SIP CAC Fail Send Dis-Association Policy......... Disabled KTS based CAC Policy............................. Disabled Assisted Roaming Prediction Optimization......... Disabled 802.11k Neighbor List............................ Disabled 802.11k Neighbor List Dual Band.................. Disabled 802.11v Directed Multicast Service............... Disabled 802.11v BSS Max Idle Service..................... Enabled DMS DB is empty Band Select...................................... Disabled Load Balancing................................... Disabled Multicast Buffer................................. Disabled --More-- or (q)uit Universal Ap Admin............................... Disabled Mobility Anchor List WLAN ID IP Address Status ------- --------------- ------ 802.11u........................................ Disabled MSAP Services.................................. Disabled Local Policy ---------------- Priority Policy Name -------- ---------------
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от www_tank (ok) on 01-Мрт-17, 11:42
	Пара дней в Женеве, жажда бесплатного WiFi... и сразу как-то выяснилось, что дело было не в Android+WiFi, а в гребаном гугл-хроме, открывавшемся как браузер по дефолту. На другом приложении все работает.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "Wifi c cisco WLC - вопросики"	+/–
	Сообщение от ShyLion (ok) on 01-Мрт-17, 16:57
	> Пара дней в Женеве, жажда бесплатного WiFi... и сразу как-то выяснилось, что > дело было не в Android+WiFi, а в гребаном гугл-хроме, открывавшемся как > браузер по дефолту. > На другом приложении все работает. хз, у нас хромой нормально работает.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору