Перенаправление во внешний портал USG

Перенаправление во внешний портал USG, UniFi Network

vinoda

Guest

05.08.2015 19:47:00

Добрый день! Мой внешний портал USG не перенаправляет пользователей на страницу внешнего портала при подключении через проводное соединение. USG подключён к управляемому коммутатору с соответствующими VLAN. Я получаю правильный IP-адрес в зависимости от назначенного VLAN и вижу, что клиент не авторизован контроллером. Если я вручную авторизую клиента через PHP-скрипт внешнего портала, доступ в интернет появляется.

Моя настройка:
- в разделе networks создана новая сеть с назначением guest и назначен vlan2 для подсети 192.168.10.1/24;
- затем в guest control включён гостевой портал с аутентификацией через внешний портал и указан пользовательский IP-адрес портала (192.168.1.6);
- заблокированные подсети: 192.168.10.0/16;
- разрешённые подсети: 192.168.1.6/32.

Контроллер и внешний портал расположены на одном и том же ПК (192.168.1.6).

Буду признателен за любые советы и рекомендации по решению этой проблемы. Спасибо!

Uberseehandel Guest	#2 29.01.2016 16:40:00 Я заметил, что в сохранённых конфигурациях могут быть синтаксические ошибки, я их проверяю, чтобы не пропустить ни одной. Эти ошибки могут вызывать псевдослучайные сбои. R+C

UI-Team Guest	#3 29.01.2016 16:38:00 Пожалуйста. Не переживай, спасибо за предоставленные детали, рад слышать, что всё работает как нужно. Удачи, Майк

lti-dan

Guest

29.01.2016 15:53:00

Да, всё работает. Попытаюсь собрать некоторые мысли и теории на всякий случай, если у кого-то ещё что-то похожее случится. Это была установка в публичной библиотеке, и мы настраивали проводные компьютеры с публичным доступом, где гости могут прийти, сесть и выйти в интернет. Ранее мы уже занимались их Wi-Fi. Пострадавший ПК был первым проводным клиентом, который мы подключили к коммутатору (US48). Сначала мы частично построили сеть как гостевую с редиректом на портал контроллера для простой политики подтверждения, а потом я решил всё переделать и поместить его в отдельную VLAN от клиентов публичного Wi-Fi (чтобы случайные Wi-Fi клиенты не оказались в одной широковещательной области с проводными ПК). Когда мы всё перестроили, пострадавший ПК мог получить IP, но весь трафик на порт 80 постоянно перенаправлялся на IP контроллера, порт 8882. Контроллер на этом порту не отвечал, поэтому браузер на ПК выдавал ошибку “не удаётся подключиться к хосту”. Перезагрузка USG3, похоже, окончательно решила проблему. Думаю, в конфигурации накопился какой-то мусор. Я быстро просмотрел её, ничего подозрительного не заметил, но я не настолько хорошо разбираюсь, чтобы исключить, что что-то не спряталось там, возможно, в разделе фаервола. Конфигурацию я перед перезагрузкой не экспортировал. Спасибо за обратную связь, но, судя по всему, наша проблема исчезла. Жаль, что у меня нет более детального анализа.

UI-Team Guest	#5 29.01.2016 15:18:00 Интересно. Извини, что так долго не отвечал, большую часть недели болел. Всё ещё работает как положено после перезагрузки? С уважением, Майк

lti-dan Guest	#6 22.01.2016 17:46:00 Ну, перезагрузка USG3, похоже, решила эту проблему для меня. Вот это... Обнадеживает.

lti-dan Guest	#7 21.01.2016 18:14:00 Привет, воскресаю, потому что, похоже, вижу те же симптомы. У меня стоит контроллер 4.7.6 на Ubuntu 64-бит. USG3 работает на версии 4.2.11.4796630, а US24 — на 3.3.11.3850. Есть проводной Windows-клиент, который не может подключиться — пытается попасть на порт контроллера 8882 через редирект, но контроллер на этот порт не слушает: root@unifi:~# netstat -an \| grep 88 tcp6 0 0 :::8843 :::* LISTEN tcp6 0 0 :::8880 :::* LISTEN Порты у меня по умолчанию. iptables ничего не блокирует: #Thu Jan 21 17:59:29 UTC 2016 debug.device=warn debug.mgmt=warn debug.system=warn download_timeframe=-1 is_default=false portal.redirector.port.wired=8882 unifi.https.ciphers=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA unifi.https.sslEnabledProtocols=TLSv1.2 ... Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Проблемная сеть — это «корпоративная» сеть на VLAN 2, которая корректно настроена на коммутаторе US24, и я получаю правильный IP. Пинг проходит без проблем. Интересно, что редиректор USG3, кажется, перенаправляет только http:// URL, а https:// пропускает без проблем, думаю, об этом стоит поговорить отдельно. У клиента статический IP, настроенный через DHCP (конфигурируется из панели управления unifi): service { dhcp-server { disabled false hostfile-update enable shared-network-name lan_network_192.168.2.0-24 { authoritative enable description vlan2 subnet 192.168.2.0/24 { default-router 192.168.2.1 dns-server 192.168.2.1 lease 86400 start 192.168.2.100 { stop 192.168.2.199 } static-mapping f8-bc-12-59-74-9a { ip-address 192.168.2.2 mac-address f8:bc:12:59:74:9a } ... Процесс DHCP RELEASE/RENEW выглядит корректно, без подозрительных опций для клиента. Я указал этого клиента в группе «default», а не «automatic». Не до конца понимаю, что это значит для проводных клиентов, но я на следующей неделе иду на обучение unifi, тогда спрошу. Насколько я понимаю, политика группы «default» отвечает только за ограничение пропускной способности, но интересно, не влияет ли это как-то на обработку этого клиента. Отключил файрвол на Windows-клиенте — результата нет. Перезагружал контроллер — тоже без изменений. Хотелось бы понять, что вообще происходит и почему, буду благодарен за любые идеи. Похоже, контроллер должен слушать порт 8882, но не слушает.

Читают тему (гостей: 1)