Foro en Español

Reply
Occasional Contributor II
Posts: 18
Registered: ‎02-25-2015

Clearpass y Aruba Instant Access Point (IAP)

Hola,

Estamos integrando una red con Aruba Instant Access Point (IAP) que está en producción con un nuevo ClearPass para que uin determinado SSID sirva de acceso a invitados y muestre un portal cautivo de auto registro situeado en el ClearPass. En el IAP hemos configurado como Radius el CPPM y en el CPPM hemos hecho lo propio con la IP Virtual del IAP, pero el caso es que el usuario se conecta a la red y luego no sale el portal ni en el Access Tracker del CPPM aparece registro.

Una cosa que hay en la guia de configuracion es que en lel IAP Settings habilita el Dynamic RADIUS proxy para que todas las peticiones vayan con la Virtual IP del IAP y así solo dar de alta esta IP en el CPPM. Pero si no se habilita, entonces los APs van al Radius directamente con su IP? En este caso entiendo que habría que dar de alta todos los APs en el CPPM, no?

El caso es que lo tienen deshabilitado y como este wifi está en producción  y ademas tienen otro Radius que estçan usando para otro SSID no queremos tocar parámetros para que no afecte a lo actual..

MVP
Posts: 4,081
Registered: ‎07-20-2011

Re: Clearpass y Aruba Instant Access Point (IAP)

Lo que indicas es correcto , sino utilizas el dynamic radius proxy tendrás que agregar el IP de cada IAP en CPPM .

Me imagino que eso mismo estas haciendo en el otro radius server?
Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Occasional Contributor II
Posts: 18
Registered: ‎02-25-2015

Re: Clearpass y Aruba Instant Access Point (IAP)

Gracias Victor, así lo hare.

Del otro Radius no se decirte ya que el IAP  ya estaba configurado y no sabemos como esta (tampoco el cliente).

Entonces se supone que debían estar llegando peticiones al ClearPass que no eran atendidas por este. Esto hay alguno forma de verlo en algún log del ClearPass?

MVP
Posts: 4,081
Registered: ‎07-20-2011

Re: Clearpass y Aruba Instant Access Point (IAP)

Puedes ver estos logs en monitoring > event viewer (no estoy 100% de el nombre te lo estoy diciendo de memoria)
Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Occasional Contributor II
Posts: 18
Registered: ‎02-25-2015

Re: Clearpass y Aruba Instant Access Point (IAP)

Ese ya lo estube revisando por si nos daba una pista cuando no nos funcionaba, pero no decía nada salvo otras cosas que ya habíamos hecho como el tema de registrar el CPPM y otros, pero sobre equipos intentando registrarse no vimos nada.

Moderator
Posts: 880
Registered: ‎07-29-2010

Re: Clearpass y Aruba Instant Access Point (IAP)

Sí, puedes verlo en Monitoring > Event Viewer

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor II
Posts: 10
Registered: ‎02-25-2015

Re: Clearpass y Aruba Instant Access Point (IAP)

Buenos dias,

 

Soy compañero de Kerman

Hemos dado de alta las IPs de todos los AP Aruba ya que no tenemos la opcion de Habilitar la opcion Dynamic Radius Proxy pero seguimos sin ver ningun trafico en el Access Traker.

Supongo que sera necesario permitir el trafico en el FW entre la VLAN de Wifi y la VLAN donde tenemos el Clearpass.

Aqui es donde nos aperece otro problema. El cliente no quiere dar acceso desde la red Wifi a la red de servidores donde esta el Clearpass.

¿Alguna idea o alternativa de como hacerlo?

 

Si alguien pudiera postear aqui su experiencia en algun caso similar....

 

Muchas gracias

 

Frequent Contributor II
Posts: 119
Registered: ‎01-14-2013

Re: Clearpass y Aruba Instant Access Point (IAP)

Hola,

 

Mínimo necesitarás comunicacion RADIUS entre los IAPs y el CPPM

 

  • UDP 3799 For RFC 3576 to work.
  • UDP 1812 RADIUS
  • UDP 1813 RADIUS Accounting Server

Y si necesitas usar el portal cautivo,  tienes que habilitar los puertos:

 

  • TCP 80 HTTP
  • TCP 443 HTTPS

Saludos!

Occasional Contributor II
Posts: 10
Registered: ‎02-25-2015

Re: Clearpass y Aruba Instant Access Point (IAP)

Muchas gracias por la respuesta Carlos,

 

El cliente nos ha abierto las conexiones en el FW y ya nos aparece la pagina de login.

 

EL problema es que el cliente no quiere que su red de servidores (donde esta el CPPM) sea accesible desde la WIfI Publica.

 

¿En estos casos como se suele proceder? ¿Incluyendo el CPPM en una DMZ ?

 

No se si alguien nos podria comentar su experiencia y como lo ha hecho

 

Saludos

Ivan

Frequent Contributor II
Posts: 119
Registered: ‎01-14-2013

Re: Clearpass y Aruba Instant Access Point (IAP)

Me temo que sí,  es lo más idoneo. Además lo ideal también es tener una VLAN o un segmento de red en esa DMZ , Consigues que tanto el CPPM como los clientes conectados están en una DMZ controlada o securizada entre FW. ( asilado de la red corp).

 

Si usáis trunks en los IAPs podéis extender la Vlan de invitados hasta un segmento de un FW, creas una interface o subinterface VLAN de nivel 3 para esa VLAN de capa 2 , con un direccionamiento asilado etc y usas esa IP como gateway de los invitados ( el FW debe tener o enrutar ese segmento de red hacia internet como default gateway.  y el CPPM en otra VLAN que puedas securizar y permitir las peticion de RADIUS de los IAPs mediante reglas de acceso .

 

El diseño hay que verlo con detenemiento porque cada empresa es un mundo.  Hay que ver muy bien las capas2 si se pueden extender, donde.. y el routing de capa 3.

 

Posiblemente alguien del foro tenga una idea más o menos estructurada de cómo implementarlo. A ver si dan ideas!

 

¿tenéis la VLAN de invitados extendida? o usáis las que viene por defecto en los IAPs?

 

Saludos!

 

 

Search Airheads
Showing results for 
Search instead for 
Did you mean: