Configurar Cisco WLC y Aruba Clearpass para Guest con Mac Caching

-

Hola, 

Este es mi primer blog, y mi primera entrada. No creo que me hubiera lanzado nunca si no fuera por mis amigos Ferney Muñoz y Ulises Cázares que me animaron. 

En cualquier caso, comenzamos:

 

En este escenario, Clearpass tendrá dos puertos, uno de management, y el Data Port que será por el que exista un direccionamiento accesible para los Guests:


En cuanto a la WLC, tendrá su management en la misma VLAN que Clearpass, y tendrá una interface para los guest en el mismo direccionamiento que el Data Port de Clearpass, y por último la IP virtual.

 Para que funcione correctamente el portal cautivo necesitamos 3 cosas:

  1. Configuración en Clearpass
  2. Configuración en la WLC Cisco
  3. Correcta resolución de FQDN de los equipos anteriores.

Comenzamos precisamente por verificar el último punto

 

En mi servidor de DNS he configurado una entrada para el Data Port de Clearpass, y otra entrada para la IP Virtual de mi WLC. Tanto en la WLC como en el Clearpass he cargado un certificado Wildcard válido, por lo que no tendremos alertas por este en ningún equipo que resuelva las direcciones mediante mi DNS.

 

CONFIGURACION DE CLEARPASS

No voy a detallar todos los pasos, porque hay muchos blogs y vídeos que explican el paso a paso. En este blog solo trataremos las particularidades de configuración cuando usamos una WLC de Cisco.

 

CLEARPASS - POLICY MANAGER

Habilitaremos el diccionario de Radius de Airespace:


Tras haber dado de alta a nuestra controladora, con ayuda del service templates "Guest Authentication with MAC Caching"


crearemos los servicios de MAC Authentication, y User Authentication with MAC Caching

Estos dos servicios debemos adecuarlos para que funcionen con Cisco WLC, utilizando las opciones que nos aparecen tras haber habilitado el diccionario de Radius de Airespace

En el servicio de MAC Authentication, sustituiremos los parámetros de Radius de Aruba por lo de Airespace, y en cuanto a la SSID la sustituiremos por la WLAN ID de la SSID de Guest que hayamos configurado (en mi caso es la 4)

 Para el servicio de User Authentication with MAC Caching, haremos la misma modificación:

 

CLEARPASS - GUEST

Al crear la página de autoregistro, en "NAS Vendor Settings" debemos seleccionar lo resaltado

 Es muy importante que en la dirección IP resaltada en amarillo, se añada la IP virtual de la WLC si esa dirección está definida al generar el certificado, o, si usamos un certificado wildcard, como es mi caso, ese FQDN tenga una entrada en el DNS. Al principio del blog podéis ver que la entrada wlc.**********.es está vinculada a la ip Virtual 192.0.2.1

 

 CONFIGURACIÓN WLC

La configuración de la WLC está magnificamente explicada en el blog de Ulises:

https://wifi-networking-and-more.blogspot.com/2022/03/aruba-clearpass-how-to-configure-cisco.html


La principal diferencia, es que mi caso el certificado de WebAuth es un wildcard firmado por una CA pública y que mis APs están en modo Local, en vez de en Flexconnect.


Precisamente haciendo pruebas conjuntas con Ulises, descubrimos que el comportamiento era diferente entre esos dos modos. Mientras con la SSID en FlexConnect Local Switching y el AP en Flexconnect todo parecía funcionar fluído y sin problemas, al poner los APs en modo Local, nos encontrábamos que los clientes se comportaban de formas distintas. El problema principal que encontrábamos es que ciertos clientes, tras el access-reject enviado por Clearpass como parte del proceso inicial de MAC authentication, no se asociaban a la WiFi en ningún momento. Básicamente, nunca ocurría el "On MAC Filter failure"

 

Nos quedó claro que debía tratarse de algún temporizador y me dediqué a buscar en la WLC dónde y cómo modificar esos timers hasta que encontré este post de la comunidad de Airheads:

https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=36351


La solución llevaba años publicada, pero por algún motivo parece que es complicado encontrarlo facilmente:


El temporizador no se debía modificar en la WLC, sino en Clearpass. Modificando ese valor a 0, todos mis clientes han comenzado a funcionar perfectamente independientemente de que los APs estén en modo Local o en modo Flexconnect.


Muchísimas gracias a la comunidad de Tesos de WiFi y en especial a Ulises por su ayuda y dedicarme toda una tarde (mañana para él) haciendo troubleshooting de esta configuración.


Espero que os sea de ayuda

Comentarios

  1. Ulises Cazares13 de abril de 2022, 23:59

    Hey, que bueno que ya te funcionó y gracias por dejar la solución para la psoteridad.


    Saludos

    ResponderEliminar
  2. Ferney Munoz14 de abril de 2022, 0:42

    No sabías cómo llamar tu blog? Yo lo llamaría: las tonterías de David. Vaya blog tío!!!! Estupenda forma de empezar a bloguear. Felicitaciones!!! Y muchas gracias por compartir.

    ResponderEliminar
    Respuestas
    1. David14 de abril de 2022, 16:08

      Pues ese fue uno de los nombres que se me pasaron por la cabeza, jajaja. El nombre que he puesto suena a gran corporación, lo cual me viene bien para cuando sea mil millonario, jajaja

      Eliminar
  3. Esaú15 de abril de 2022, 2:23

    Hola David, también estoy en el grupo de tesos, soy de México, ultimamente me he conectado poco, pero tu blog y el de Ulises me andan motivando a iniciar uno también, todo lo mejor y esperamos mas de estos post.

    ResponderEliminar
    Respuestas
    1. David16 de abril de 2022, 18:32

      Pues Esaú sería genial que también te animaras a tener tu blog, cuando lo comiences ya cuentas con un seguidor!!

      Eliminar

Publicar un comentario

Entradas populares de este blog

Captura de paquetes desde el móvil con ANALITI

-
Imagen
  Hola, en el blog de hoy, tan solo una pequeña tontería que espero pueda servir de ayuda. Hace unos días, el compañero Luis Giménez del grupo de Tesos de Ferney Muñoz comentó las virtudes de una APP llamada ANALITI Tiene características muy interesantes, y entre ellas que puedes crear un flujo en "tiempo real" de capturas de paquetes a wireshark o cloudshark, la cual, además puede ser utilizada en programas como WiFiExplorer de Adrián Granados , o, si siguiera activo, en mi añorado WinFi . En cualquier caso, aquí tan solo nos centramos en la recepción remota de paquetes desde el dispositivo que tiene instalado Analiti, que en mi caso, es mi movil. Para ello, solo tienes que ir a la pantalla "Redes" y al seleccionar el simbolo de la aleta de tiburón nos lleva a ajustes y seleccionamos "Enable Real Time PCAPng Streaming" y ahí mismo nos indicará que debemos crear un pipe con el siguiente formato:  TCP@[IP del dispositivo donde tengas Analiti]:19000  Post
Leer más

Captura de paquetes con Switches y WLCs Cisco series 9000

-
Imagen
Hoy comparto una guía muy sencilla de como realizar capturas de paquetes en un switch o WLC Cisco de las series 9000. Realmente se trata del mismo proceso que en equipos algo más antiguos, pero con el nuevo UI de Cisco se simplifica mucho. Preparar una captura básica: Si queremos capturar todo el tráfico en uno o varios interfaces sin un filtrado complejo, directamente haremos: Ir a Troubleshoot → Packet Capture Definimos un nombre para la captura De la lista desplegable, seleccionamos no filtrar (any) o un filtro muy básico basado en IPv4 o IPv6 Definiremos un tamaño de buffer Y seleccionaremos las interfaces en las que queremos hacer capturas Preparar una captura definiendo origenes, destinos y puertos específicos: Accediendo mediante SSH al switch, definiremos una ACL con los parámetros necesarios (en el ejemplo, solo se han definido IP de origen y destino) Definimos un nombre para la captura De la lista desplegable, seleccionamos ALC, y nos aparecerá un desplegable con las ALC disp
Leer más