How to redirect client traffic to CPPM server when the client Gateway in uplink switch and cannot communicate to CPPM server

Aruba Employee

This can be implemented on the setup where CPPM is used for the captive portal authentication of the clients connecting to AOS controller/AP

 

Environment : This is tested on Aruba 7220/AP-225.

 

Network Topology : 

rtaImage (1).png

 

1. Create a captive portal profile with the CPPM login page URL with IP as controller interface IP which is routable to the CPPM server

  • (Aruba) (config) #aaa authentication captive-portal CPPM-REDIRECT
  • (Aruba) (Captive Portal Authentication Profile "CPPM-REDIRECT") #login-page  https://10.17.32.246/guest/cppm.php_browser=1

2. Add an ACL to dst nat the user traffic initiated for controller to CPPM server and map the acl in the initial role 

  • (Aruba) (config) # ip access-list session cppm
  • (Aruba) (config-sess-cppm)#user host 10.17.32.246 tcp 443  dst-nat ip 10.162.114.94 443

We connected a client and it got the captive portal page and can authenticate, even though the client's gateway is uplink switch , which could not reach CPPM server

 

 

 

(Aruba) #show user-table

Users
-----
    IP             MAC            Name     Role      Age(d:h:m)  Auth  VPN link  AP name            Roaming   Essid/Bssid/Phy                 Profile  Forward mode  Type    Host Name
----------    ------------       ------    ----      ----------  ----  --------  -------            -------   ---------------                 -------  ------------  ----    ---------
10.17.34.10  88:1f:a1:67:e3:c5            Logon   00:00:00                    9c:1c:12:c0:a2:e4  Wireless  cppm-redirect/9c:1c:12:8a:2e:52/a-HT  cppm-redirect  tunnel        iPhone

User Entries: 2/2
Curr/Cum Alloc:3/16 Free:0/13 Dyn:3 AllocErr:0 FreeErr:0

(Aruba) #show rights Logon

Derived Role = 'Logon'
Up BW:No Limit   Down BW:No Limit
L2TP Pool = default-l2tp-pool
PPTP Pool = default-pptp-pool
Periodic reauthentication: Disabled
ACL Number = 2/0
Max Sessions = 65535

Check CP Profile for Accounting = TRUE
Captive Portal profile = CPPM-REDIRECT

access-list List
----------------
Position  Name           Type     Location
--------  ----           ----     --------
1         logon-control  session
2         cppm           session
3         captiveportal  session

logon-control
-------------
Priority  Source  Destination              Service   Action  TimeRange  Log  Expired  Queue  TOS  8021P  Blacklist  Mirror  DisScan  ClassifyMedia  IPv4/6
--------  ------  -----------              -------   ------  ---------  ---  -------  -----  ---  -----  ---------  ------  -------  -------------  ------
1         user    any                      udp 68    deny                             Low                                                           4
2         any     any                      svc-icmp  permit                           Low                                                           4
3         any     any                      svc-dns   permit                           Low                                                           4
4         any     any                      svc-dhcp  permit                           Low                                                           4
5         any     any                      svc-natt  permit                           Low                                                           4
6         any     169.254.0.0 255.255.0.0  any       deny                             Low                                                           4
7         any     240.0.0.0 240.0.0.0      any       deny                             Low                                                           4
cppm
-----
Priority  Source  Destination   Service  Action                        TimeRange  Log  Expired  Queue  TOS  8021P  Blacklist  Mirror  DisScan  ClassifyMedia  IPv4/6
--------  ------  -----------   -------  ------                        ---------  ---  -------  -----  ---  -----  ---------  ------  -------  -------------  ------
1         user    10.17.32.246  tcp 443  dst-nat ip 10.162.114.94 443                           Low                                                           4
captiveportal
-------------
Priority  Source  Destination  Service          Action        TimeRange  Log  Expired  Queue  TOS  8021P  Blacklist  Mirror  DisScan  ClassifyMedia  IPv4/6
--------  ------  -----------  -------          ------        ---------  ---  -------  -----  ---  -----  ---------  ------  -------  -------------  ------
1         user    controller   svc-https        dst-nat 8081                           Low                                                           4
2         user    any          svc-http         dst-nat 8080                           Low                                                           4
3         user    any          svc-https        dst-nat 8081                           Low                                                           4
4         user    any          svc-http-proxy1  dst-nat 8088                           Low                                                           4
5         user    any          svc-http-proxy2  dst-nat 8088                           Low                                                           4
6         user    any          svc-http-proxy3  dst-nat 8088                           Low                                                           4

Expired Policies (due to time constraints) = 0

(Aruba) #show ip interface brief

Interface                   IP Address / IP Netmask        Admin   Protocol
vlan 32                   10.17.32.246 / 255.255.255.0     up      up
vlan 34                   10.17.34.247 / 255.255.255.0     up      up
loopback                    unassigned / unassigned        up      up

(Aruba) #show ip cp-redirect-address

Captive Portal IPv4 redirect Address ... 10.17.32.246
Captive Portal IPv6 redirect Address ... ::1

(Aruba) #show user

Users
-----
    IP             MAC            Name     Role      Age(d:h:m)  Auth  VPN link  AP name            Roaming   Essid/Bssid/Phy                 Profile  Forward mode  Type    Host Name
----------    ------------       ------    ----      ----------  ----  --------  -------            -------   ---------------                 -------  ------------  ----    ---------
10.17.34.10  88:1f:a1:67:e3:c5  a@a       guest     00:00:01    Web             9c:1c:12:c0:a2:e4  Wireless  cppm-redirect/9c:1c:12:8a:2e:52/a-HT  cppm-redirect  tunnel        iPhone

Version history
Revision #:
1 of 1
Last update:
‎04-09-2015 04:33 AM
Updated by:
 
Labels (1)
Contributors
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: