Foro en Español

Reply
Occasional Contributor II

Usuarios no se validan en Aruba Central

Hola!!!

Estamos implementando una red con varios SSID. Uno de ellos como metodo de seguridad se ha creado un portal de invitado en la nube.

Para hacer las pruebas de conexion, creamos usuarios de forma manual, y en las pruebas no nos funciona. 

 

Exactamente, el error que sale es "Login error. Please retry." Es decir, como que las peticiones no se reciben desde/ Aruba Central.

Hasta Aruba Central llegan porque si el usuario se mete de forma erronea, el mensaje cambia a "usuario invalido".

 

La conexion desde la lan es atraves de VPN con Firewall interno y otro perimetral. Hemos abierto en el firewall "todo" para el direccionamiento tanto de gestion wifi, como de los ssid. Hemos obtenido capturas de los firewall y no vemos exactamente ni que se corte trafico, ni puertos,... 

 

En el ap VC, hemos ejecutado los comandos de test hacia los radius y la respuesta es:

 
TM30-AP-A-PL1-02# sh ap debug radius-statistics

RADIUS Statistics
-----------------
Statistics InternalServer AS2_#guest#_ AS1_#guest#_
---------- -------------- ------------ ------------
In Service: Management Auth Not used Not used Not used
In Service: prueba Not used Up 432s(Up 432s) Down 284s Dead time 300s(Down 284s Dead time 300s)
In Service: test Up 800441s(Not used) Not used Not used
Accounting Requests 0 0 0
Raw Requests 0 0 0
PAP Requests 1 6 27
CHAP Requests 0 0 0
MS-CHAP Requests 0 0 0
MS-CHAPv2 Requests 0 0 0
Mismatch Response 0 0 0
Invalid Secret 0 0 0
Access-Accept 0 0 0
Access-Reject 1 0 0
Accounting-Response 0 0 0
Access-Challenge 0 0 0
Unknown Response code 0 0 0
Timeouts 0 0 0
AvgRespTime (ms) 1005 0 0
Total Requests 1 6 27
Total Response 1 0 0
Read Error 0 0 0
Outstanding Auths 0 0 0
Outstanding Requests 0 0 0
Acc-RTTS Rq 0 0 0
Acc-RTTS Rsp 0 0 0
SEQ first/last/free 0/0/0 0/0/0 0/0/0
SEQ total/free 255/255 0/0 0/0
TM30-AP-A-PL1-02# aaa test-server AS1_#guest#_ username test password test auth-type pap
Radius server AS1_#guest#_ timeout


TM30-AP-A-PL1-02# aaa test-server AS2_#guest#_ username test password test auth-type pap
Radius server AS2_#guest#_ timeout

TM30-AP-A-PL1-02# aaa test-server AS2_#guest#_ username test password test auth-type pap
Radius server AS2_#guest#_ timeout

TM30-AP-A-PL1-02# aaa test-server AS2_#guest#_ username test password test auth-type pap
Radius server AS2_#guest#_ timeout

TM30-AP-A-PL1-02# aaa test-server AS2_#guest#_ username test password test auth-type pap
Radius server AS2_#guest#_ timeout

TM30-AP-A-PL1-02# aaa test-server AS2_#guest#_ username test password test auth-type pap
Radius server AS2_#guest#_ timeout

TM30-AP-A-PL1-02# aaa test-server AS2_#guest#_ username test password test auth-type pap
Radius server AS2_#guest#_ timeout

 

En el Clarity se ven intentos con time-out contra varias ips como 35.156.96.76 o 18.196.4.167 que estan permitidos en el fw, pero no conseguimos validar a los usuarios.

 

¿A alguien se le ocurre cual es el trafico que se puede estar cortando?

 

Gracias de antemano

 

MVP Expert

Re: Usuarios no se validan en Aruba Central

Hola Eva,

¿podrías adjuntar por favor algunas capturas del error que le aparece al usuario y de la configuración del SSID y del portal configurado?


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Occasional Contributor II

Re: Usuarios no se validan en Aruba Central

Hola Rafa;

a ver si con esto te sirve:fallo usuario.pngssid sfmadrid1.PNGssid sfmadrid2.PNGssid sfmadrid3.PNGssid sfmadrid4.PNGssid sfmadrid5.PNGssid sfmadrid7.PNGssid sfmadrid6.PNG

 

Saludos

MVP Expert

Re: Usuarios no se validan en Aruba Central

Cosas que probaría:
Usar el servidor dhcp interno, no uno externo
Dejar el CN por defecto, no meter el securelogin.hpe.com que viene en la captura

Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Occasional Contributor II

Re: Usuarios no se validan en Aruba Central

Buenas Rafa, 

he hecho el cambio del CN y he probado a ver si accedia la radius, sin exito. Te mando captura. 

 

ssid sfmadrid8.PNG

Con respecto al dhcp: el server está otra sede, es decir que la peticion atraviesa 2 router. Mañana intento esa prueba si la crees necesaria, pero cuando el usuario se conecta al ssid abierto, ya recibe una direccion ip valida dentro del rango: 10.5.0.5, mascara, gateway, etc. Lo unico que como no valida el usuario, no puedo hacer ping al gateway (que en este caso es el router macrolan).

 

Saludos

 

 

MVP Expert

Re: Usuarios no se validan en Aruba Central

A priori tengo la impresión de que se está cortando tráfico y no está llegando la solicitud RADIUS hasta Central desde el IAP.

¿Es uno o varios IAPs?

¿tienes habilitado el proxy-radius?

Las reglas del firewall, ¿están abiertas para todos los APs o solo para el VC?


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Occasional Contributor II

Re: Usuarios no se validan en Aruba Central

Hola Rafa, la prueba la hemos realizado en 2 IAP de una planta, pero tambien hemos probado en otros por si acaso. 

 

Las reglas del fw están abiertas para el direccionamiento de gestion wifi y los 3 SSID que se publican. 

 

El proxy-radius no está habilitado. Lo he habilitado en el grupo, a ver si consigo ver algo nuevo. 

 

En el IAP que es VC me sale esto, a ver si ayuda para saber qué se puede estar cortando en el firewall o dónde:

 

TM30-AP-A-PL1-02# show ap debug cloud-server                                                                                                                                              
                                                                                                                                                                                          
IAP mgmt mode  :athena-mgmt                                                                                                                                                   
cloud config recved        :TRUE                                                                                                                                                          
autojoin mode              :disable                                                                                                                                                       
state diff                 :disable                                                                                                                                                       
Device Cert status         :SUCCESS                                                                                                                                                       
Device info send           :SUCCESS                                                                                                                                                       
Aruba Central server               :device-telefonica.central.arubanetworks.com                                                                                                           
Aruba Central server path          :/ws                                                                                                                                                   
Aruba Central proxy server         :None                                                                                                                                                  
Aruba Central redirect from        :device-telefonica.central.arubanetworks.com                                                                                                           
Aruba Central Protocol             :WSS                                                                                                                                                   
Aruba Central uptimes              :23h:51m:57s                                                                                                                                           
Aruba Central status               :Login_done                                                                                                                                            
                                                                                                                                                                                          
Cloud Debug Statistics                                                                                                                                                                    
-----------------------                                                                                                                                                                   
Key                        Value                                                                                                                                                          
---                        -----                                                                                                                                                          
Connect establish success  1(1)                                                                                                                                                           
Login done times           1(1)                                                                                                                                                           
Connect retry times        1(1)                                                                                                                                                           
clarity send               277(277)                                                                                                                                                       
Device Info send           1(1)                                                                                                                                                           
Domain list receive        1(1)                                                                                                                                                           
Domain response send       1(1)                                                                                                                                                           
                                                                                                                                                                                          
Cloud Last connect status                                                                                                                                                                 
-------------------------                                                                                                                                                                 
Last connect ID        :1                                                                                                                                                                 
Last connect time      :2019-10-11 17:54:45                                                                                                                                               
Last connect trigger   :athena redirect                                                                                                                                                   
                                                                                                                                                                                          
Cloud Last login done status                                                                                                                                                              
-------------------------                                                                                                                                                                 
Last connect done      :2019-10-11 17:54:46                                                                                                                                               
TM30-AP-A-PL1-02# show ap debug cloud-config-received                                                                                                                                     
No configuration received from Central yet                                                                                                                                                

 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: