Anticisco
http://www.anticisco.ru/forum/

ISE Guest Portal и устройства APPLE
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11141
Страница 1 из 1

Автор:  AlexNiko [ 12 окт 2019, 15:25 ]
Заголовок сообщения:  ISE Guest Portal и устройства APPLE

Привет!
Кто нить сталкивался с подобной проблемой?
На ISE поднял гостевой портал, все устройсква при входе получают сплешскрин, а вот IOS нет. То есть сначала получал, но я включил captive bypass на контроллере и после этого любое устройство на IOS не получает сплаш скрина вообще. Гребаный CNA

Автор:  aliotru [ 14 окт 2019, 08:58 ]
Заголовок сообщения:  Re: ISE Guest Portal и устройства APPLE

так cisco же и говорит, что при включении Bypass вы обманываете cna и "The next time a device logs onto the wireless network, the user must manually open a browswer to be redirected to the captive portal."
заставьте пользователей отключать в настройках своих телефонов "автовход")

Автор:  AlexNiko [ 14 окт 2019, 09:20 ]
Заголовок сообщения:  Re: ISE Guest Portal и устройства APPLE

То есть заставить нормально работать CNA нет вариантов?

Автор:  CiscoGuy [ 14 окт 2019, 14:07 ]
Заголовок сообщения:  Re: ISE Guest Portal и устройства APPLE

CSCvr44568
BYOD TLS not working for Apple iOS 13

не оно?

Автор:  AlexNiko [ 14 окт 2019, 15:17 ]
Заголовок сообщения:  Re: ISE Guest Portal и устройства APPLE

Нет, тут как-раз нет никакого сертификата для установки и никакого BYOD, только гостевой портал

Автор:  AlexNiko [ 14 окт 2019, 15:40 ]
Заголовок сообщения:  Re: ISE Guest Portal и устройства APPLE

Когда цепляешь любой (iphone или ipad) то дебаг на контроллере ААА выдает только
Код:
*aaaQueueReader: Oct 14 12:34:49.982: Unable to find requested user entry for 8cf5a3683f94
*aaaQueueReader: Oct 14 12:34:49.982: ReProcessAuthentication previous proto 8, next proto 40000001
*aaaQueueReader: Oct 14 12:34:49.982: Request Authenticator 77:91:05:80:34:aa:f4:f6:f9:83:d1:59:89:83:14:de
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=205, vId=9)
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=33, vId=9)
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=196, vId=9)
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=38, vId=9)
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=205, vId=9)
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=33, vId=9)
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=196, vId=9)

Все, и дальше - тишина. На девайсе ошибка
hotspot login cannot open the page because it is not connected to the internet

Автор:  aliotru [ 14 окт 2019, 16:03 ]
Заголовок сообщения:  Re: ISE Guest Portal и устройства APPLE

AlexNiko писал(а):
hotspot login cannot open the page because it is not connected to the internet

так и должно - устройство пытается проверить подключено ли оно к интернету запросами к какому-нибудь адресу - captive.apple.com, ibook.info. Но у вас же нет к этому доступа у гостевой сети. Попробуйте отключить cna, вобще.
и вот https://www.cisco.com/c/en/us/support/d ... sx-00.html

Автор:  AlexNiko [ 14 окт 2019, 18:35 ]
Заголовок сообщения:  Re: ISE Guest Portal и устройства APPLE

Все оказалось проще, Apple не хочет работать с самоподписыми или же выданными внутренним CA сертификатами. А вот я запилил в него LetsEncrypt и полетело. Надо покупать конечно, но пока и таокй костыль пойдет

Автор:  CiscoGuy [ 15 окт 2019, 12:58 ]
Заголовок сообщения:  Re: ISE Guest Portal и устройства APPLE

Можно пруф? Мне в это слабо верится.

Т.к. полетит BYOD у глобал-энтерпрайза, это раз.
Два - частный СА или публичный - не имеет значения, важно проверить всю цепочку до рутогого СА.

Вероятно у тебя с этим были проблемы на яблоке. Я правда хз как верифицировать их на планшетах.

У нас впн работает на внутренних сертификатах, что логично. И яблоки последние вполне себе живут.

Автор:  AlexNiko [ 18 окт 2019, 12:59 ]
Заголовок сообщения:  Re: ISE Guest Portal и устройства APPLE

Какой именно пруф?

Есть CISCO ISE с полной цепочкой от MS CA, один сертификат на все, включая портал. CNA от эпла давал ошибку, никакие танцы не помогали. Никакой цепочки на гостевых устройствах быт не может, но даже если она и была - никакой разници, ошибка не менялась. Проверяли на 8,9 и более поздних версиях IOS - везде одно и тоже. Правило с BYOD Flow не помогало. После замены сертификата на LetsEncrypt и ручной переадресации редиректа (сертификат выдана на captive.контора.ru) все заработало. Какие ваши доказательства что ли ?

Автор:  AlexNiko [ 18 окт 2019, 13:01 ]
Заголовок сообщения:  Re: ISE Guest Portal и устройства APPLE

ВПН, 802,1X, TLS - все прекрасно работает - вопрос ТОЛЬКО в гостевом портале и CNA

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/