Foro en Español

Reply
Occasional Contributor II
Posts: 17
Registered: ‎01-29-2015

Aruba instant perfil pre autenticación

Soy nuevo con los equipos Aruba así disculpad si la pregunta es redundante. Tengo en los APs instant (AP155 y AP109) equipos cableados que forman una VPN nivel 3 con una infraestructura central. En dichos equipos hago autenticación Radius con portal cautivo y tienen un rol preautenticación (se trata de telecentros para fomentar el acceso a Internet y competencias TIC en núcleos rurales). Necesito acceso desde la red central a los centros para gestión de los equipos (principalmente terminal server) pero no encuentro manera de configurar una regla en el perfil de preautenticación porque la sintaxis de las reglas existentes se basan en establecer el destino y en este caso el tráfico es hacia dentro del AP no hacia fuera.

 

Muchas gracias

Aruba Employee
Posts: 18
Registered: ‎10-17-2013

Re: Aruba instant perfil pre autenticación

Hola Carlos,

 

Lo primero, sin miedo, que a caminar se aprende caminando.

Por lo que comentas entiendo que debes estar utilizando IAP-VPN del tipo Distributed-L3.

Con esta arquitectura el tráfico es enrutado y no nateado por el VC, por tanto, podemos tener visibilidad desde la central de los equipos remotos.

Cosas a mirar:

  • Revisa que el routing esta bien definido. Aqui hay dos puntos, el routing de la VPN de Instant tiene que incluir las rutas hacia los equipos centrales y en la central tiene que haber una ruta estática para que los equipos de la central sepan que las remotas están detrás del controller.
  • El role de pre-auth tienen que permitir especificamente el tipo de tráfico que quieres habilitar.

Ya nos dirás como te ha ido.

 

Salut!

Xavi

Occasional Contributor II
Posts: 17
Registered: ‎01-29-2015

Re: Aruba instant perfil pre autenticación

Gracias Xavi, te cuento. No hay problema a nivel de routing, una vez que hay un usuario autenticado en el equipo podemos establecer sesiones de terminal server con el equipo de la sede remota porque en el rol autenticado tenemos una regla final que permite todo el tráfico no excluido explícitamente. El problema es en el perfil preautenticado, en este caso entiendo que sólo podemos crear reglas basadas en el destino pero no puedo crear una regla que permita tráfico entrante basándome en el puerto TCP o en el tipo de aplicación. La sintaxis es clara:

 

rule <dest> <mask> ....

 

¿hay manera de configurar que permita cierto tráfico entrante en los roles?

Aruba Employee
Posts: 18
Registered: ‎10-17-2013

Re: Aruba instant perfil pre autenticación

Hola Carlos,

 

Intenta poner el tráfico que quieres permitir de forma explicita antes del "Allow All", desde el punto de vista del pc remoto.

He probado con ICMP y hasta que no he permitido explicitamente en el role de pre-auth el icmp no he podico hacer ping desde la central a la remota (aunque esta la regla de "Allow All"). No lo he podido probar con un tráfico tcp pero diria que también deberia funcionar.

 

Ya me dirás.

 

Saut!

Xavi

Occasional Contributor II
Posts: 17
Registered: ‎01-29-2015

Re: Aruba instant perfil pre autenticación

Muchas gracias, hemos puesto en el rol adecuado la regla:

 

rule any any match app rdp permit

 

y funciona.

Search Airheads
Showing results for 
Search instead for 
Did you mean: