Сообщения без ответов | Активные темы Текущее время: 14 ноя 2019, 12:07



Ответить на тему  [ Сообщений: 11 ] 
ISE Guest Portal и устройства APPLE 
Автор Сообщение

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Привет!
Кто нить сталкивался с подобной проблемой?
На ISE поднял гостевой портал, все устройсква при входе получают сплешскрин, а вот IOS нет. То есть сначала получал, но я включил captive bypass на контроллере и после этого любое устройство на IOS не получает сплаш скрина вообще. Гребаный CNA


12 окт 2019, 15:25
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 829
так cisco же и говорит, что при включении Bypass вы обманываете cna и "The next time a device logs onto the wireless network, the user must manually open a browswer to be redirected to the captive portal."
заставьте пользователей отключать в настройках своих телефонов "автовход")


14 окт 2019, 08:58
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
То есть заставить нормально работать CNA нет вариантов?


14 окт 2019, 09:20
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 77
Откуда: Default City
CSCvr44568
BYOD TLS not working for Apple iOS 13

не оно?

_________________
@k@ fantik


14 окт 2019, 14:07
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Нет, тут как-раз нет никакого сертификата для установки и никакого BYOD, только гостевой портал


14 окт 2019, 15:17
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Когда цепляешь любой (iphone или ipad) то дебаг на контроллере ААА выдает только
Код:
*aaaQueueReader: Oct 14 12:34:49.982: Unable to find requested user entry for 8cf5a3683f94
*aaaQueueReader: Oct 14 12:34:49.982: ReProcessAuthentication previous proto 8, next proto 40000001
*aaaQueueReader: Oct 14 12:34:49.982: Request Authenticator 77:91:05:80:34:aa:f4:f6:f9:83:d1:59:89:83:14:de
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=205, vId=9)
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=33, vId=9)
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=196, vId=9)
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=38, vId=9)
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=205, vId=9)
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=33, vId=9)
*radiusTransportThread: Oct 14 12:34:50.007: Vendor Specif Radius Attribute(code=26, avp_len=196, vId=9)

Все, и дальше - тишина. На девайсе ошибка
hotspot login cannot open the page because it is not connected to the internet


14 окт 2019, 15:40
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 829
AlexNiko писал(а):
hotspot login cannot open the page because it is not connected to the internet

так и должно - устройство пытается проверить подключено ли оно к интернету запросами к какому-нибудь адресу - captive.apple.com, ibook.info. Но у вас же нет к этому доступа у гостевой сети. Попробуйте отключить cna, вобще.
и вот https://www.cisco.com/c/en/us/support/d ... sx-00.html


14 окт 2019, 16:03
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Все оказалось проще, Apple не хочет работать с самоподписыми или же выданными внутренним CA сертификатами. А вот я запилил в него LetsEncrypt и полетело. Надо покупать конечно, но пока и таокй костыль пойдет


14 окт 2019, 18:35
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 77
Откуда: Default City
Можно пруф? Мне в это слабо верится.

Т.к. полетит BYOD у глобал-энтерпрайза, это раз.
Два - частный СА или публичный - не имеет значения, важно проверить всю цепочку до рутогого СА.

Вероятно у тебя с этим были проблемы на яблоке. Я правда хз как верифицировать их на планшетах.

У нас впн работает на внутренних сертификатах, что логично. И яблоки последние вполне себе живут.

_________________
@k@ fantik


15 окт 2019, 12:58
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Какой именно пруф?

Есть CISCO ISE с полной цепочкой от MS CA, один сертификат на все, включая портал. CNA от эпла давал ошибку, никакие танцы не помогали. Никакой цепочки на гостевых устройствах быт не может, но даже если она и была - никакой разници, ошибка не менялась. Проверяли на 8,9 и более поздних версиях IOS - везде одно и тоже. Правило с BYOD Flow не помогало. После замены сертификата на LetsEncrypt и ручной переадресации редиректа (сертификат выдана на captive.контора.ru) все заработало. Какие ваши доказательства что ли ?


18 окт 2019, 12:59
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
ВПН, 802,1X, TLS - все прекрасно работает - вопрос ТОЛЬКО в гостевом портале и CNA


18 окт 2019, 13:01
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 11 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 28


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB