Controller Based WLANs

How to redirect client traffic to CPPM server when the client Gateway in uplink switch and cannot communicate to CPPM server

by on ‎04-09-2015 04:33 AM

This can be implemented on the setup where CPPM is used for the captive portal authentication of the clients connecting to AOS controller/AP

 

Environment : This is tested on Aruba 7220/AP-225.

 

Network Topology : 

rtaImage (1).png

 

1. Create a captive portal profile with the CPPM login page URL with IP as controller interface IP which is routable to the CPPM server

  • (Aruba) (config) #aaa authentication captive-portal CPPM-REDIRECT
  • (Aruba) (Captive Portal Authentication Profile "CPPM-REDIRECT") #login-page  https://10.17.32.246/guest/cppm.php_browser=1

2. Add an ACL to dst nat the user traffic initiated for controller to CPPM server and map the acl in the initial role 

  • (Aruba) (config) # ip access-list session cppm
  • (Aruba) (config-sess-cppm)#user host 10.17.32.246 tcp 443  dst-nat ip 10.162.114.94 443

We connected a client and it got the captive portal page and can authenticate, even though the client's gateway is uplink switch , which could not reach CPPM server

 

 

 

(Aruba) #show user-table

Users
-----
    IP             MAC            Name     Role      Age(d:h:m)  Auth  VPN link  AP name            Roaming   Essid/Bssid/Phy                 Profile  Forward mode  Type    Host Name
----------    ------------       ------    ----      ----------  ----  --------  -------            -------   ---------------                 -------  ------------  ----    ---------
10.17.34.10  88:1f:a1:67:e3:c5            Logon   00:00:00                    9c:1c:12:c0:a2:e4  Wireless  cppm-redirect/9c:1c:12:8a:2e:52/a-HT  cppm-redirect  tunnel        iPhone

User Entries: 2/2
Curr/Cum Alloc:3/16 Free:0/13 Dyn:3 AllocErr:0 FreeErr:0

(Aruba) #show rights Logon

Derived Role = 'Logon'
Up BW:No Limit   Down BW:No Limit
L2TP Pool = default-l2tp-pool
PPTP Pool = default-pptp-pool
Periodic reauthentication: Disabled
ACL Number = 2/0
Max Sessions = 65535

Check CP Profile for Accounting = TRUE
Captive Portal profile = CPPM-REDIRECT

access-list List
----------------
Position  Name           Type     Location
--------  ----           ----     --------
1         logon-control  session
2         cppm           session
3         captiveportal  session

logon-control
-------------
Priority  Source  Destination              Service   Action  TimeRange  Log  Expired  Queue  TOS  8021P  Blacklist  Mirror  DisScan  ClassifyMedia  IPv4/6
--------  ------  -----------              -------   ------  ---------  ---  -------  -----  ---  -----  ---------  ------  -------  -------------  ------
1         user    any                      udp 68    deny                             Low                                                           4
2         any     any                      svc-icmp  permit                           Low                                                           4
3         any     any                      svc-dns   permit                           Low                                                           4
4         any     any                      svc-dhcp  permit                           Low                                                           4
5         any     any                      svc-natt  permit                           Low                                                           4
6         any     169.254.0.0 255.255.0.0  any       deny                             Low                                                           4
7         any     240.0.0.0 240.0.0.0      any       deny                             Low                                                           4
cppm
-----
Priority  Source  Destination   Service  Action                        TimeRange  Log  Expired  Queue  TOS  8021P  Blacklist  Mirror  DisScan  ClassifyMedia  IPv4/6
--------  ------  -----------   -------  ------                        ---------  ---  -------  -----  ---  -----  ---------  ------  -------  -------------  ------
1         user    10.17.32.246  tcp 443  dst-nat ip 10.162.114.94 443                           Low                                                           4
captiveportal
-------------
Priority  Source  Destination  Service          Action        TimeRange  Log  Expired  Queue  TOS  8021P  Blacklist  Mirror  DisScan  ClassifyMedia  IPv4/6
--------  ------  -----------  -------          ------        ---------  ---  -------  -----  ---  -----  ---------  ------  -------  -------------  ------
1         user    controller   svc-https        dst-nat 8081                           Low                                                           4
2         user    any          svc-http         dst-nat 8080                           Low                                                           4
3         user    any          svc-https        dst-nat 8081                           Low                                                           4
4         user    any          svc-http-proxy1  dst-nat 8088                           Low                                                           4
5         user    any          svc-http-proxy2  dst-nat 8088                           Low                                                           4
6         user    any          svc-http-proxy3  dst-nat 8088                           Low                                                           4

Expired Policies (due to time constraints) = 0

(Aruba) #show ip interface brief

Interface                   IP Address / IP Netmask        Admin   Protocol
vlan 32                   10.17.32.246 / 255.255.255.0     up      up
vlan 34                   10.17.34.247 / 255.255.255.0     up      up
loopback                    unassigned / unassigned        up      up

(Aruba) #show ip cp-redirect-address

Captive Portal IPv4 redirect Address ... 10.17.32.246
Captive Portal IPv6 redirect Address ... ::1

(Aruba) #show user

Users
-----
    IP             MAC            Name     Role      Age(d:h:m)  Auth  VPN link  AP name            Roaming   Essid/Bssid/Phy                 Profile  Forward mode  Type    Host Name
----------    ------------       ------    ----      ----------  ----  --------  -------            -------   ---------------                 -------  ------------  ----    ---------
10.17.34.10  88:1f:a1:67:e3:c5  a@a       guest     00:00:01    Web             9c:1c:12:c0:a2:e4  Wireless  cppm-redirect/9c:1c:12:8a:2e:52/a-HT  cppm-redirect  tunnel        iPhone

Search Airheads
Showing results for 
Search instead for 
Did you mean: 
Is this a frequent problem?

Request an official Aruba knowledge base article to be written by our experts.