Foro en Español

Reply
Frequent Contributor I

AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Estamos desplegando redes para invitados wired/wireless con ClearPass y Aruba AOS8, estás redes deben terminar en una vlan de la controladora, la cual debe sacar el tráfico a internet de los usuarios a través de un segundo gateway específico para este uso.

La controladora será el gateway para los usuarios invitados de esa red en una vlan donde existe IP-helper para remitir la solicitud DHCP. A los usuarios se les ofrece una red en esa vlan que será enrutada a través de la controladora hacia internet.
El cliente requiere enrutar la red para que el usuario llegue con la IP de esa red de invitados al gateway de salida de Internet, por lo que NO podemos hacer NAT en la vlan de la controladoras.
Además el cliente requiere que la salida a Internet para invitados sea a través de un gateway específico y diferente al default gateway de la controladora, donde está ClearPass y el resto de servicios corporativos como el DHCP, el DNS, etc

Para que el usuario tenga acceso al portal es necesario que la red de invitados tenga visibilidad de ClearPass, esto es correcto porque la controladora enruta y tiene visibilidad del mismo.

Primero hemos realizado pruebas para que la salida se realice a través de la controladora y a través de su default gateway, funcionando correctamente con NAT en la vlan de invitados.

Sí NO habilitamos NAT, el portal se muestra, el usuario se válida en ClearPass, pero la vuelta hacia “securelogin.arubanetworks.com” se queda como en “bucle” sin que el usuario pueda salir a Internet.
Hemos revisado rutas en la red y entre los invitados, la red corporativa y controladora hay visibilidad.

El segundo problema, es como sacar el tráfico por el segundo gateway, el específico de Invitados:
- Hemos probado a crear ACL con destination-NAT en el role de usuario autenticado y no es viable, o eso creemos.
- Pensamos en usar PBR de AOS8 y aunque funciona, enviando el tráfico de salida red por el segundo gateway, no nos vale por:
1) Aplica NAT automáticamente y saca a los usuarios con la IP de la controladora en esa segunda red de salida a internet de invitados.
2) el PBR se aplica desde el principio por lo que tanto al usuario autenticado como al que no, le saca directamente por esa segunda red de salida a internet, que no tiene visibilidad de los servicios corporativos y no vemos el portal y demás.

Lo bueno sería poder aplicar PBR solo al usuario a autenticado y que además el portal funcionará sin NAT

Ideas? Soluciones?

Siento no subir un esquema, gracias

Ricardo Luis Cañavate García - ACMP / ACCA / ACCP / ACDX#972

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Tienes un diagrama de como tienes todo interconectado?


Get Outlook for iOS
Thank you

Victor Fabian
Lead Mobility Architect @WEI
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Hola Ricardo,

Respecto al tema de securelogin: ¿Qué DNS le estás dando al usuario?

Respecto al tema de enrutado:

  • Te recomiendo dejar el NAT de salida del usuario, para ello puede poner "nat outside" en la VLAN de salida de internet. Si no, es probable y dependiendo de cómo tengas tu red, que no pueda saber el tráfico de vuelta el gateway que está en el segundo enlace de salida a internet
  • Para invitados puedes hacer dos roles:
    • Role logon (pre-auth) -> Le permite llegar al CPPM
    • Role guest (usuario autenticado) -> Le aplicas un PBR solo para ese role.

Creas un next-hop para el segundo enlace:

ip nexthop-list ftth
ip dhcp vlan 450
!

Creas un ACL de tipo route para que salga el tráfico una vez autenticado:

ip access-list route invitados
any any any route next-hop-list ftth
!

Aplicas el PBR al rol de usuarios autenticado:

routing-policy-map role invitados access-list invitados

 


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
New Contributor

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Buenas Rafa soy un Raul un compañero de Ricardo.

 

Como DNS de los usuarios estamos usando la propia controladora.

 

Saludos

Frequent Contributor I

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Gracias, Victor y Rafa, por la ayuda.

 

Ya dimos con la solucion y funciona como esperabamos, nos faltaba el PBR en el role de usuario, el resto era lo configurado desde inicio.

 

¡Vendito CLI! 


Ricardo Luis Cañavate García - ACMP / ACCA / ACCP / ACDX#972
Moderator

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Te iba a dar kudos hasta que he visto la última línea...


Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Frequent Contributor I

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

:))

 

que majo eres Samu,..

 

Gracias.


Ricardo Luis Cañavate García - ACMP / ACCA / ACCP / ACDX#972
Frequent Contributor I

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Buenas,
Tenemos nuevo reto, conseguimos hacer el PBR en central y va perfecto.

Queremos hacer lo mismo en un despliegue con Branch a través de VPNC, donde una vez que el usuario se valide, aplique PBR al role y el nexthop sea el gateway específico de la salida a Internet para este tipo de usuario.

Se nos ocurre y hemos validado dos opciones:
1) llevar la vlan de pre-auth por GRE a la remota, siendo una configuración similar en centro y en remoto,
2) llevar la vlan de post-auth por GRE a la remota, donde la vlan de pre-auth será local y evitaremos “extender” el broadcast de esta red de inicio, segmentando también las redes de cada una de estas sedes

Cual de las opciones os parece mejor? Hay alguna otra?
Podríamos hacer un PBR en la Branch, similar al que hacemos en central, que de alguna manera después de validar el usuario enrute el tráfico a ese GW de Internet en la central? O no es viable?

Gracias

Ricardo Luis Cañavate García - ACMP / ACCA / ACCP / ACDX#972
Moderator

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

A ver si he entendido bien lo que estás intentando hacer...

Por lo que recuerdo de otras preguntas, para el tráfico de los usuarios corporativos has establecido un túnel L2 entre las sedes remotas y tu VPNC.

 

Para el caso de los invitados, si quieres dejar el tráfico en local lo suyo sería que los enrutases directamente en la propia delegación. Para ello tendrías que hacer lo siguiente:

  1. Anuncia la VLAN de invitados hacia el VPNC con el comando "crypto-local isakmp route ..." que ya expliqué en el post sobre establecimiento automático de túneles sobre AOS8.
  2. Crea una RACL que envíe por el túnel el tráfico destinado a ClearPass y deje todo lo demás en local (tengo que escribir un tutorial sobre PBR...).
  3. Tanto para el role de pre-auth como para el de guest, añade al final la RACL que fuerza todo el tráfico por el gateway local salvo lo que vaya a ClearPass.

Espero que esto te sirva.

 

Saludos!!!

 

 

 


Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Frequent Contributor I

Re: AOS8 y ClearPass - Invitados enrutados a través de Controller por Segundo GateWay

Gracias Samu por la respuesta, aunque correcta para lo que describes, no es el caso. La verdad que creo me explique mal.

 

La realidad es que el cliente requiere centralizar la salida de los usuarios invitados de todas las sedes por una red especifica conectada en el VPNC.

Los usuarios invitados tienen un role de pre-auth y otro de guest como dices posterior a la validación, pero siempre con la misma IP del inicio en una red diferente. Lo que hacemos es asociar PBR al role de guest posterior a la validación. Los roles de pre-auth disponen de acceso a ClearPass y otros servicios para la validación y demás.

En central es sencillo y funciona, pero para hacer esto mismo en la remota no terminamos de ver la manera de tener una "red externa" de invitados, asociada al role guest como PBR posterior a la validación, que enrute con la "red externa" de invitados de la central.

Quizá sea importante conocer que el GW por defecto de la remota NO está en una red "interna". Para hacer el PBR a la "red externa" de invitados de central solo se nos ocurre llevarla por vía GRE a la remota.

 

Gracias.


Ricardo Luis Cañavate García - ACMP / ACCA / ACCP / ACDX#972
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: