[Korvet_068]

Добрый день.

Имеем роутер Cisco 7206VXR с ISG-функционалом.

Она направляет клиентов на портал авторизации при попытке выхода на сайты.

 

Вот полиси и аксесс-лист, отвечающий за редирект:

 

ip access-list extended ACL_L4REDIRECT
deny   ip any 60.147.0.112 0.0.0.15
deny   ip any 10.1.1.0 0.0.0.255
permit tcp any any eq www

 

!
policy-map type control TEST_POLICY_RULE
class type control IP_UNAUTH_COND event timed-policy-expiry
 10 service disconnect
!
class type control always event session-start
 20 service-policy type service name TEST_L4REDIRECT
 30 service-policy type service name OPENGARDEN_SERVICE
 40 set-timer IP_UNAUTH_TIMER 60
!
class type control always event session-restart
 20 service-policy type service name TEST_L4REDIRECT
 30 service-policy type service name OPENGARDEN_SERVICE
 40 set-timer IP_UNAUTH_TIMER 60
!
class type control always event account-logon
 10 authenticate aaa list IP_AUTHEN_LIST 
 20 service-policy type service unapply name TEST_L4REDIRECT
!
class type control always event service-start
 10 service-policy type service identifier service-name
!
class type control always event service-stop
 1 service-policy type service unapply identifier service-name
 10 service-policy type service unapply identifier service-name
!
class type control always event account-logoff
 1 service disconnect delay 3
!

 

Попытки дописать в конец аксесс-листа строчки вида

permit tcp any any eq 443

не помогают, тогда https-сайты (Яндекс, Лента, Хабр) не открываются вообще.

Кто-то сталкивался с этим?

[mikezzzz]

все сталкивались, "нельзя взять и так просто завернуть https"

[Korvet_068]

Мне вот советуют перенести функционал редиректа на контроллер точек доступа, он это умеет делать.

Не пробовал никто?

[MrNv]

и кошка умеет это делать, просто вы делаете редирект https на http, надо https на https

[Korvet_068]

То есть надо запустить и https версию портала авторизации?

Интересно, тогда надо политику редиректа переписывать, чтобы она в зависимости от трафика (http или https редиректила на разные порталы)?

Edited August 26, 2016 by Korvet_068

[MrNv]

да, только вы же в курсе, что сайт все равно не откроется, будет предупреждение "Ваше подключение не защищено" (такое)?

[Korvet_068]

policy-map type control HTTPS_POLICY_RULE
class type control IP_UNAUTH_COND event timed-policy-expiry
 10 service disconnect
!
class type control always event session-start
 20 service-policy type service name SRV_L4REDIRECT
 25 service-policy type service name SRV_HTTPS_REDIRECT
 30 service-policy type service name OPENGARDEN_SERVICE
 40 set-timer IP_UNAUTH_TIMER 60
!
class type control always event session-restart
 20 service-policy type service name SRV_L4REDIRECT
 25 service-policy type service name SRV_HTTPS_REDIRECT
 30 service-policy type service name OPENGARDEN_SERVICE
 40 set-timer IP_UNAUTH_TIMER 60
!
class type control always event account-logon
 10 authenticate aaa list IP_AUTHEN_LIST 
 20 service-policy type service unapply name SRV_L4REDIRECT
 25 service-policy type service unapply name SRV_HTTPS_REDIRECT
!
class type control always event service-start
 10 service-policy type service identifier service-name
!
class type control always event service-stop
 1 service-policy type service unapply identifier service-name
 10 service-policy type service unapply identifier service-name
!
class type control always event account-logoff
 1 service disconnect delay 3

 

Вот такую политику сочинил.

Работает она неоднозначно.

Суть в том что service name SRV_L4REDIRECT направляет трафик http на портал на порт 3400.

А service name SRV_HTTPS_REDIRECT направляет https трафик на портал авторизации на порт 3401.

 

Можете на пальцах объяснить, пункты в policy-map обрабатываются до первого совпадения, как в аксесс-листе?

Edited August 26, 2016 by Korvet_068