Wireless Access

안녕하세요.

자동으로 특정 웹페이지로의 redirection이 되지 않습니다.

사용자는 기본적으로 무선 네트워크 사용을 위하여 무선 사용 방법을 안내하는 Captive portal 인증을 사용하는데, 6.4.4.17 version으로 upgrade하고 나서부터 익스플로러/크롬 등 여러 가지 브라우저에서 자동으로 안내 페이지로 redirection이 되지 않고, 브라우저 주소창에 안내 페이지 주소를 입력해야만 페이지가 열립니다.

자동으로 redirection하는 기능에 문제가 있는 것인지요?

Captive portal profile에서 https를 쓰지 않고, "Use HTTP for authentication" enable되어 있습니다.

[ENG]

Hi all,

It does not automatically redirection to a specific web page.

The user basically uses captive portal authentication to guide wireless usage method for wireless network use. Since upgrading to version 6.4.4.17, redirection is not automatically made to guide page in various browsers such as explorer / chrome, The page will open only when you enter the address of the guide page in the address bar.

Is there a problem with the automatic redirection feature?

Captive portal profile does not use https and "Use HTTP for authentication" is enabled.

Controller 7210

version 6.4.4.17

AP: AP-225 & AP-215

안녕하세요.

혹시 Captive Profile 내에  하단에

Bypass Apple Captive Network Assistant 옵션이 체크 되어있는지요?

이 옵션은 Default로 체크 해제 되어있습니다만,

저게 체크되어있을경우 Web View가 호출이 되지 않고.

브라우저에서 주소를 입력했을때만 웹포탈 페이지로 Redirect 되는 것으로

알고있습니다. 

만약 아니라면 다른 부분도 더 봐야할 것 같네요.

답변 감사드립니다.

해당 내역을 확인을 해 봤습니다만, 해제가 되어 있습니다.

다른 문제가 있는 것 같은데, 좀더 확인을 해 보아야 할 것 같아요..

설정은 아래와 같습니다.

---------------------------------------------------------------------------------------------

!

aaa profile "Cap"
enforce-dhcp

!

aaa authentication captive-portal "Cap"
redirect-pause 1
no logout-popup-window
login-page "http://x.x.x.x/wifi_guide.html"

!

web-server profile
switch-cert "imsi_Cert"
captive-portal-cert "imsi_Cert"

---------------------------------------------------------------------------------------------

혹시 위의 aaa profile의 enforce-dhcp가 enable되어 있어서 그런 것일까요? 이 기능은 dhcp ip만을 받은 사용자가 들어올 수 있도록 하는 설정으로 알고 있습니다.

또한, Controller에 cert 인증서와 관련해서 Controller 접속이 되질 않아 Open-SSL로 예전에 web-server profile을 넣었는데, 혹시  이것  때문일까요?

[ENG]

Thank you for your reply.

I tried to check the details, but it is disabled.

I think there is another problem, I think I should try to confirm it more.

The settings are as follows.

-------------------------------------------------- -------------------------------------------

!

aaa profile "Cap"
enforce-dhcp

!

aaa authentication captive-portal "Cap"
redirect-pause 1
no logout-popup-window
login-page "http: //x.x.x.x/wifi_guide.html"

!

web-server profile
switch-cert "imsi_Cert"
captive-portal-cert "imsi_Cert"

-------------------------------------------------- -------------------------------------------

Is it because enforce-dhcp of the above aaa profile is enabled? I know this is a setting that allows users who only receive dhcp ip to come in.

Also, since I can not connect Controller to Controller in relation to cert certificate, I used web-server profile with Open-SSL before. Is this because of this?

안녕하세요.

확인해 보셨을 수도 있지만 혹시 captive portal policy에서 http 트래픽을 허용해 주셨나요?

안녕하세요,

Captive Portal Policy 내에서 https를 사용하지 않고 http를 사용하도록 하셨다는거 같구요.

혹시 다른쪽의 Captive User Role쪽 이슈도 아닐것 같습니다.

컨트롤러 내의  Captive Portal Role (Default) 는 

http와 https 트래픽을 컨트롤러 8080, 8081로 Redirect하도록 설정되어

있을겁니다. 혹시 이 설정이 변경되었을리는 없을거라고 보는데..

허용이 안되어 있다면 아예 처리 자체가 안될 것을 보입니다.

웹 브라우저에서는 된다고 말씀 하셨으니 이 문제는 아닐 것으로 생각 됩니다.

답변 감사드립니다.

말씀하신 것과 같이 모든 설정은 default profile을 기반으로 했기 때문에 특별히 문제가 없을 것이라고 생각합니다. 하지만, web page redirection이 되지 않습니다. Captive Portal Config를 아래와 같습니다. 혹시 문제가 있는지 확인 부탁드립니다.

-------------------------------------------------------------------------------------------------

ip access-list session logon-control
user any udp 68 deny
any any svc-icmp permit
any any svc-dns permit
any any svc-dhcp permit
any any svc-natt permit
any network 169.254.0.0 255.255.0.0 any deny
any network 240.0.0.0 240.0.0.0 any deny
!
ip access-list session captiveportal
user host master-controller(IP) svc-https dst-nat 8081
user host Local-controller(IP) svc-https dst-nat 8081
user alias controller svc-https dst-nat 8081
user any svc-http dst-nat 8080
user any svc-https dst-nat 8081
user any svc-http-proxy1 dst-nat 8088
user any svc-http-proxy2 dst-nat 8088
user any svc-http-proxy3 dst-nat 8088
!
ip access-list session CP-Page
any host x.x.x.x svc-http permit
any host x.x.x.x svc-https permit
!
user-role CP-guide
captive-portal "Cap"
dpi disable
web-cc disable
access-list session global-sacl
access-list session apprf-CP-guide-sacl
access-list session CP-Page
access-list session logon-control
access-list session captiveportal
!
aaa authentication captive-portal "Cap"
server-group "internal"
redirect-pause 1
no logout-popup-window
login-page "http://x.x.x.x/wifi_guide.html"

-------------------------------------------------------------------------------------------------

[ENG]

Thank you for your reply.

As you said, I think that all settings are based on the default profile, so there will be no problems in particular. However, web page redirection does not work. Captive Portal Config is shown below. Please check if there is a problem.

-------------------------------------------------------------------------------------------------

ip access-list session logon-control
user any udp 68 deny 
any any svc-icmp permit 
any any svc-dns permit 
any any svc-dhcp permit 
any any svc-natt permit 
any network 169.254.0.0 255.255.0.0 any deny 
any network 240.0.0.0 240.0.0.0 any deny
!
ip access-list session captiveportal
user host master-controller(IP) svc-https dst-nat 8081 
user host Local-controller(IP) svc-https dst-nat 8081 
user alias controller svc-https dst-nat 8081 
user any svc-http dst-nat 8080 
user any svc-https dst-nat 8081 
user any svc-http-proxy1 dst-nat 8088 
user any svc-http-proxy2 dst-nat 8088 
user any svc-http-proxy3 dst-nat 8088 
!
ip access-list session CP-Page
any host x.x.x.x svc-http permit 
any host x.x.x.x svc-https permit 
!
user-role CP-guide
captive-portal "Cap"
dpi disable
web-cc disable
access-list session global-sacl
access-list session apprf-CP-guide-sacl
access-list session CP-Page
access-list session logon-control
access-list session captiveportal
!
aaa authentication captive-portal "Cap"
server-group "internal"
redirect-pause 1
no logout-popup-window
login-page "http://x.x.x.x/wifi_guide.html"

-------------------------------------------------------------------------------------------------

안녕하세요,

혹시 초기 웹포탈 인증 페이지는 뜨고

웹포탈 인증 후 별도의 URL로 Redirect가 안되는 증상인가요?

초기 인증페이지 자체가 뜨지 않는 문제입니다.

초기 인증페이지(Login page)가 안내 페이지 역할을 합니다.

Login Page 자체가 뜨지 않으니 더 문제가 있는 것 같습니다.

위의 설명에서와 마찬 가지로 브라우저를 뛰어서 Login page 주소를 입력하면 열리기는 합니다.

-------------------------------------------------------------------------------------------------

[ENG]

The initial authentication page itself does not pop up.

The initial authentication page (Login page) serves as a guide page.

Login Page itself does not pop up, so it seems to be more problematic.

As in the description above, you can open the browser by running the Login page address.

default captivepotal을 사용하여 설정하였나요?

logon role의 설정에 해당 captivepotal 설정을 하였는지 확인 해봐야 할것 같네요

혹시 redirection 시 사용자가 받는 네트워크 대역은 외부 통신이 가능한 대역인가요?

외부 통신은 인증을 받지 않았기 때문에 통신은 되지 않습니다.

다만, Policy에서 해당 연동 Page를 permit해 놓았습니다. redirection이 되지 않지만 브라우저에서 해당 Page의 IP 주소를 넣으면 열립니다.

-------------------------------------------------------------------------------------------------

[ENG]

External communication is not authenticated, so communication is not possible.

However, you have enabled the corresponding linked page in the policy. It will not redirection but it will open when you put the IP address of the Page in your browser.

안녕하세요,

설정에 보면 Server-Group이 Internal 로 되어있는데

웹포탈 및 Radius 서버를 컨트롤러 내에서 제공하도록 구성되어있나요?

외부 서버 연동 없이?

사용자의 IP에 DNS 설정을 컨트롤러 interface ip로 설정을 하고 테스트를 해보면 될듯 합니다. 캡티브포탈이 웹을 이용한 인증이기때문에 DNS를 참조합니다. 인터넷이 되지 않은 환경에서 페이지를 띄위기 위해서는 컨트롤러가 DNS 역활을 해야 합니다.

캡티브포털 동작이 DNS 쿼리를 통해서 동작하는 것으로 알고 있습니다.

외부통신이 가능한 네트워크 대역이  초기 롤로 인해서 외부 통신이 차단된 상태여야 자동적으로 redirection 되어진다고 알고 있습니다.

애초에 외부통신이 안되는 네트워크 대역이면, 사용자가 받는 DNS 및 게이트웨이가 컨트롤러의 IP로 설정되어 있어야 할 것입니다.

감사합니다.

답변 감사드립니다.

여러 가지 유선 네트워크까지 확인한 결과, Captive Portal이 L3 인증이라는 사실을 간과하였던 것 같습니다. Profile이나 AAA와 관련하 사항은 하등의 문제가 없었습니다. 다만, Controller에서 해당 VLAN에 대한 Interface가 없어서 Captive Portal Page가 뜨지 않았습니다. 해당 VLAN에 대한 Interface는 상단의 Backbone 장비가 가지고 있고, DHCP IP도 Backbone에서 할당하는데, Controller는 VLAN만 가지고 있어서 L3 인증이 진행되지 않았습니다. Captive Portal을 사용할 때는 반드시 Controller에 해당 VLAN의 Interface가 생성되어야 Page가 뜹니다.

여러 분들의 답변 감사드립니다.