Foro en Español

Reply
Moderator
Posts: 867
Registered: ‎07-29-2010

Redirección a portal de invitados desde una VLAN aislada (ADSL de invitados)

Hola

 

Vemos con bastante frecuencia despliegues donde la vlan de invitados/byod termina en un ADSL aparte. En ese tipo de entornos hacer que los invitados puedan llegar al Clearpass para poder autenticarse puede resultar un reto.

 

Os cuento lo que hemos hecho en un par de clientes, a ver qué os parece:

 

  • Redirigir a los invitados/byod a un portal en https://<IPdelcontrollerEnVlanInvitados>/guest/guestportal.php
  • En el rol de preautenticación, crear una regla de dst que redirige el tráfico https entrante a la IP del clearpass

 La configuración tendría esta pinta:

 

!
user-role BYOD-Provision
 vlan invitados
 captive-portal "Clearpass-Onboard"
 access-list session global-sacl
 access-list session apprf-BYOD-Provision-sacl
 access-list session logon-control
 access-list session Clearpass-NATnew
 access-list session captiveportal
!
!
aaa authentication captive-portal "Clearpass-Onboard"
   server-group "Clearpass"
   redirect-pause 1
   no logout-popup-window
   protocol-http
   login-page "http://<IPcontroller>/guest/guest_register.php"
   no enable-welcome-page
   switchip-in-redirection-url
   white-list "google"
!
!
ip access-list session Clearpass-NATnew
  any host <IPcontroller> svc-http  dst-nat ip <IPClearpass>
!
netdestination google
  name android.clients.google.com
  name ggpht.com
!
 

 

Echadle un vistazo y me contáis qué os parece

 

Saludos

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Moderator
Posts: 867
Registered: ‎07-29-2010

Re: Redirección a portal de invitados desde una VLAN aislada (ADSL de invitados)

Hola

 

Hace unos días probé a hacer esto mismo de otra manera (utilizando dual-nat) y me funcionó a las mil maravillas. Probadlo y contadnos qué tal os ha ido:

 

!

ip nat pool DUALNAT <IPcontroller> <IPcontroller>

!
user-role guest-preauth
 vlan invitados
 captive-portal "Clearpass-Guest"
 access-list session global-sacl
 access-list session apprf-BYOD-Provision-sacl
 access-list session logon-control
 access-list session Clearpass-DualNAT
 access-list session captiveportal
!
!
aaa authentication captive-portal "Clearpass-Guest"
   server-group "Clearpass"
   redirect-pause 1
   no logout-popup-window
   protocol-http
   login-page "http://<IPclearpass>/guest/guest_register.php"
   no enable-welcome-page
   switchip-in-redirection-url
!
!
ip access-list session Clearpass-DualNAT
  any host <IPclearpass> svc-http  dual-nat pool DUALNAT
!

 

Un saludo!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: