Foro en Español

Reply
Contributor I

SSID IAP-VPN full tunnel con DHCP centralizado

Para dar un servicio de navegación puro a internet para empleados en centros con despliegue Instant en una VLAN plana ubicada en una DMZ, configuramos un SSID con autenticación 802.1x en un IAP con un túnel configurado a una controladora central (no split tunnel). El SSID tiene configurado que la IP de usuarios es "virtual controller assigned" con un DHCP custom de tipo L2 centralizado. Este DHCP scope está definido en la sección DHCP servers asociado a un VLAN ID definido en la controladora central. ¿Esta configuración es viable?

 

Conseguimos levantar el túnel tanto con Aruba GRE (con o sin per-AP tunnel) como con Aruba IPSec. Configurando un routing 0.0.0.0 con netmask 0.0.0.0 y siguiente salto una interfaz de la controladora central (configuración posiblemente innecesaria), el usuario es autenticado, pero la IP nunca se asigna. Los logs del IAP para la MAC del dispositivo de usuario dicen: "stm_start_acct_for_post_1xauth_user: 17266: ip not ready for sta ", pero los logs de la controladora no conocen esta MAC, como si no se tunelizara el DHCPDISCOVER a la controladora central.

Re: SSID IAP-VPN full tunnel con DHCP centralizado

Tienes el VLAN ID agregado en el controlador ?
Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Moderator

Re: SSID IAP-VPN full tunnel con DHCP centralizado

Hola

 

Esta configuración es absolutamente viable, la tengo montada en más de un cliente. Aquí van unos cuantos detalles que es importante no pasar por alto:

  • Como dice Victor, la VLAN que asignes al túnel tiene que estar creada en el controller que lo termina. Puedes comprobar que se establece el túnel L2 entre VC y controller (y que pasa la vlan) haciendo un "show iap table"
  • Cuando pones el tunel en modo "split-tunnel disable" la tabla de rutas que pongas en la parte de VPN no aplica al tráfico de esa VLAN. Todo se encamina por el túnel.
  • En modo Aruba GRE no se soporta split-tunnel, así que siempre aplica esto último.
  • En modo Aruba GRE sin per-port tunnel tienes que propagar tu vlan de navegación entre todos los AP del cluster, ya que el VC es quien levanta el túnel.
  • En modo Aruba GRE el VC establece un túnel IPSec de control contra la IP que le des al crear el túnel (probablemente una de VRRP) y túneles GRE a los controladores que terminan los túneles. Asegúrate de que no tienes un firewall cortando ninguno de estos flujos.

Saludos

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Moderator

Re: SSID IAP-VPN full tunnel con DHCP centralizado

Un comentario más. Aunque te funcione para un escenario de pruebas, yo no usaría el controller terminador de túneles como servidor DHCP en el entorno de producción. El controller no está optimizado para servir cientos de ips por segundo.

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor I

Re: SSID IAP-VPN full tunnel con DHCP centralizado

Gracias a los dos. Realmente ya había repasado todas las cuestiones que planteáis y la única comprobación que fallaba en mi escenario objetivo (Aruba GRE, per-ap tunneling, split-tunnel disable) es que en el "show iap table" el virtual controller da down (aunque el ipsec sa da como establecido con su "inner ip"), pero había interpretado que se debía a que los túneles se montan IAP por IAP, y no se centralizan en el virtual controller. Con tu explicación, si el vc siempre establece un túnel IPSec de control, y cada IAP un túnel GRE, parece que ahí tendríamos el problema. 

- Realmente el VLAN ID previsto para dejar los usuarios tunelizados Instant ya está funcionando con usuarios reales asociados a un virtual-ap configurado en controladora. La idea era reutilizar para el mismo servicio de usuario el mismo VLAN ID asociado a un rango IP /20. Por tanto, la respuesta es sí, está definido en la controladora.

 - No hay firewall

- El IAP está en la lista blanca de RAPs del controller

- La asociación de seguridad está establecida y en un "show user-table" en la controladora se ve la IP interna asociada al túnel con el rol "default-vpn-role" y perfil "default-iap"

- El default-vpn-role permite todo el tráfico y tiene asociado el pool l2tp que hemos llamado "pool-ip"

- El perfil "default-iap" es muy simple:

aaa authentication vpn "default-iap"
  radius-accounting "default"
  max-authentication-failures 3
!

- El túnel se establece contra la interfaz de la controladora dada por el comando "show controller-ip"

 

- En el virtual controller, la configuración parece correcta:

 

vpn primary 172.22.72.8 
vpn backup 172.22.72.9
vpn gre-outside
gre per-ap-tunnel
ip dhcp Internet
 server-type Centralized,L2
 server-vlan 3920
 disable-split-tunnel
wlan access-rule Internet
 index 8
 rule any any match any any any permit
wlan ssid-profile Internet
 enable
 index 1
 type employee
 essid Internet
 opmode wpa2-aes
 max-authentication-failures 0
 vlan 3920
 auth-server radius-01
 auth-server radius-02
 rf-band all
 captive-portal disable
 dtim-period 1
 broadcast-filter arp
 enforce-dhcp
 radius-accounting
 dmo-channel-utilization-threshold 90
 local-probe-req-thresh 0
 max-clients-threshold 64

 

NOTA: Para los interesados en estas configuraciones en https://ase.arubanetworks.com/solutions/id/36 aparecen definidas las diferentes opciones posibles. 

 

Contributor I

Re: SSID IAP-VPN full tunnel con DHCP centralizado

Problema solucionado.

- En la configuración de túnel del controlador virtual se ha limitado la ruta a tunelizar a la del controller-ip en DMZ

- Hemos ejecutado el comando "iap trusted-branch-db allow-all"

- Hemos reiniciado el AP

 

Con la configuración anterior todo funciona a la perfección, sirviéndose las IPs desde un servidor DHCP en DMZ.

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: