Foro en Español

Reply
New Contributor

Problema tag vlan RAP modo split-tunneling

Buenas a todos,

 

Tengo un RAP en modo split-tunneling y quiero que el tráfico se quede todo en local menos el de autenticación.

 

He configurado la política y aplicado al VAP:

any any route

De este modo no consigo obtener DHCP del servidor local de la sede remota.

 

Si configuro

any service-dhcp permit

any any route

Consigo obtener IP de la VLAN del SSID al que me conecto, pero del servidor dhcp central del "Head quarter"

Al lanzar tráfico hacia internet, éste llega al firewall de la sede remota con la IP del usuario del SSID pero por el interfaz de Management del AP al que está conectado.

 

Sniffer en el firewall:     

MGMT APs es la interfaz de la vlan de los APs de la sede (10.1.31.0/24) y la interfaz vlan del SSID es la SSID_CORPORATIVO (10.1.33.0/22).

 

Como puede verse, al firewall llega la ip del usuario pero por la interfaz de la red de los APs.                                                                                     

27.890508 MGMT APs in 10.1.33.245 -> 8.9.8.9: icmp: echo request

 

El puerto del AP está en modo acceso y el wired profile está tambien en modo acceso.

 

¿En ARUBA es posible en modo split tunnel que ese tráfico llege al interfaz vlan del ssid? Entiendo que el dhcp no funciona en local porque el relay de dhcp está en la interfaz SSID_CORPORATIVO del firewall y el broadcast estará llegando al de MGMT_AP

 

Muchas gracias de antemano!

MVP

Re: Problema tag vlan RAP modo split-tunneling

Hola

No es posible obtener DHCP de un servidor local con split tunneling.

Por eso solo obtienes una IP cuando el break out es en el controller.
Regards,
Borja
ACMX #567 //ACCP//CWNA//CWAP
New Contributor

Re: Problema tag vlan RAP modo split-tunneling

Muchas gracias por tu respuesta Borja,

 

Entonces tiene pinta que no puedo cumplir todas las necesidades con un solo modo de despliegue...

 

De momento dejaré el dhcp centralizado por la controladora.

 

En cuanto al tema del tag de vlan... no entiendo muy bien la lógica que se aplica:

 

Si hago un:

any any src nat

El tráfico me llega al firewall con la IP del AP pero a la interfaz de nivel3 del SSID:

 

31.383651 SSID CORP(interfaz firewall) in 10.1.31.10(AP) -> 8.9.9.8: icmp: echo request

 

Y si hago un:

any any route

 

El tráfico me llega al firewall con la IP del usuario pero a la interfaz de nivel3 del AP:

 

27.890508 MGMT APs(interfaz firewall) in 10.1.33.245(ip del usuario) -> 8.9.8.9: icmp: echo request

 

 

No se si se me escapa algún concepto pero encuentro el origen de este comportamiento.

 

Gracias!

 

Moderator

Re: Problema tag vlan RAP modo split-tunneling

Un poco más de detalle sobre lo que ha comentado Borja:

 

En el modo "split tunnel" el cliente está, a nivel 2, en una de las VLANs del controlador.  Para salir hacia Internet o hacia recursos locales, lo que hace el AP es un "src-nat" del tráfico unicast y lo saca con su propia dirección IP como origen. Siendo esto así, el broadcast (petición de DHCP) originado por el cliente nunca llegará al servidor DHCP local.

 

Sin conocer nada de vuestro despliegue, quizá os interese echar un ojo a la VRD de instant. Es posible que IAP-VPN se adapte mejor a lo que estáis buscando que el modo RAP.

 

Saludos!

 

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
New Contributor

Re: Problema tag vlan RAP modo split-tunneling

¡Muchas gracias por vuestra ayuda!

 

Al final el DHCP estará centralizado por detrás de la controladora.

 

Tenemos el firewall con las interfaces de L3 de los SSIDs y la interfaz L3 de gestion de APs.

 

Con las pruebas que hemos realizado llegamos a la conclusión  de que el tráfico, en modo split tunnel, no puede llegar al firewall con la IP del cliente y a la interfaz L3 del SSID correspondiente. Para ello  debemos usar Campus mode + tunnel mode o utilizar IAPs.

 

En modo route:

El tráfico del cliente siempre llegará con la IP del cliente pero al interfaz L3 gestión de APs en el firewall. En este modo el firewall bloqueará el tráfico ya que lo detecta como spoofing (le viene tráfico de la vlan del SSID por la interfaz de mgmt de los APs)

 

En modo src nat:

El tráfico llega nateado con la IP del Ap al interfaz L3 del SSID del cliente. También un poco raro.

 

No se si tenéis alguna documentación, a parte de la guía VRD de RAP, que explique bien el data flow de los clientes en los diferentes modos de despliegue.

 

Gracias de nuevo.

Saludos.

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: