Korvet_068 Опубликовано 25 августа, 2016 · Жалоба Добрый день. Имеем роутер Cisco 7206VXR с ISG-функционалом. Она направляет клиентов на портал авторизации при попытке выхода на сайты. Вот полиси и аксесс-лист, отвечающий за редирект: ip access-list extended ACL_L4REDIRECT deny ip any 60.147.0.112 0.0.0.15 deny ip any 10.1.1.0 0.0.0.255 permit tcp any any eq www ! policy-map type control TEST_POLICY_RULE class type control IP_UNAUTH_COND event timed-policy-expiry 10 service disconnect ! class type control always event session-start 20 service-policy type service name TEST_L4REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 60 ! class type control always event session-restart 20 service-policy type service name TEST_L4REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 60 ! class type control always event account-logon 10 authenticate aaa list IP_AUTHEN_LIST 20 service-policy type service unapply name TEST_L4REDIRECT ! class type control always event service-start 10 service-policy type service identifier service-name ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 service-policy type service unapply identifier service-name ! class type control always event account-logoff 1 service disconnect delay 3 ! Попытки дописать в конец аксесс-листа строчки вида permit tcp any any eq 443 не помогают, тогда https-сайты (Яндекс, Лента, Хабр) не открываются вообще. Кто-то сталкивался с этим? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikezzzz Опубликовано 26 августа, 2016 · Жалоба все сталкивались, "нельзя взять и так просто завернуть https" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Korvet_068 Опубликовано 26 августа, 2016 · Жалоба Мне вот советуют перенести функционал редиректа на контроллер точек доступа, он это умеет делать. Не пробовал никто? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 26 августа, 2016 · Жалоба и кошка умеет это делать, просто вы делаете редирект https на http, надо https на https Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Korvet_068 Опубликовано 26 августа, 2016 (изменено) · Жалоба То есть надо запустить и https версию портала авторизации? Интересно, тогда надо политику редиректа переписывать, чтобы она в зависимости от трафика (http или https редиректила на разные порталы)? Изменено 26 августа, 2016 пользователем Korvet_068 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 26 августа, 2016 · Жалоба да, только вы же в курсе, что сайт все равно не откроется, будет предупреждение "Ваше подключение не защищено" (такое)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Korvet_068 Опубликовано 26 августа, 2016 (изменено) · Жалоба policy-map type control HTTPS_POLICY_RULE class type control IP_UNAUTH_COND event timed-policy-expiry 10 service disconnect ! class type control always event session-start 20 service-policy type service name SRV_L4REDIRECT 25 service-policy type service name SRV_HTTPS_REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 60 ! class type control always event session-restart 20 service-policy type service name SRV_L4REDIRECT 25 service-policy type service name SRV_HTTPS_REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 60 ! class type control always event account-logon 10 authenticate aaa list IP_AUTHEN_LIST 20 service-policy type service unapply name SRV_L4REDIRECT 25 service-policy type service unapply name SRV_HTTPS_REDIRECT ! class type control always event service-start 10 service-policy type service identifier service-name ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 service-policy type service unapply identifier service-name ! class type control always event account-logoff 1 service disconnect delay 3 Вот такую политику сочинил. Работает она неоднозначно. Суть в том что service name SRV_L4REDIRECT направляет трафик http на портал на порт 3400. А service name SRV_HTTPS_REDIRECT направляет https трафик на портал авторизации на порт 3401. Можете на пальцах объяснить, пункты в policy-map обрабатываются до первого совпадения, как в аксесс-листе? Изменено 26 августа, 2016 пользователем Korvet_068 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...