letztlich landen Sie alle in der Community .
Ich hab hier einen etwas schwierigeren Konfiguraitonstask vor mir und ich ziehe durchaus in Erwägung die LC Schulungen zum Thema LCWL1, LCWL2 und LCWLC zu besuchen, aber bevor ich die bekomme hätte ich an die Experten hier eine Frage. Bevor Sachen wie www.gidf.de kommen wollte ich erwähnen, dass ich Onkel Google schon zuhauf genervt habe und mir jetzt lieber Expertenrat einholen möchte.
Folgende Konfig:
Ich hab einen WLC4006 und ein paar APs.
Den WLC habe ich konfiguriert und mich an dem Tutoral WLAN Layer-3 Tunneling: WLAN-Controller mit Public Spot gerichtet. Die Fundamentale Funktion der APs ist gegeben, das mit dem Public Spot ist noch so eine Sache...
Folgende Herausforderung:
- - Zentraler WLAN Controller
- Mehrere APs die in verschiedenen Standorten (Bereits verbunden) stehen
- 2 SSIDs, davon eine als Public Spot
- Die "geschlossene" SSID soll vorerst als WPA2PSK laufen, wird dann über IAS abgewickelt, aber erstmal "nur" PSK
- Die "geschlossene" SSID wird direkt in die lokale Kollisionsdomäne abgeworfen
- Es werden (leider) noch keine VLANs verwendet (das kommt noch)
- Die "public spot" SSID soll via Policy Based Routing an einen Proxyserver abgeworfen werden
- Public Spot wird über den lokalen Radius des WLC abgehandelt und soll getunnelt zum Controller laufen (wie im Tutorial gezeigt) und dann eben für spezielle Fälle (HTTP/HTTPS/FTP) an einen Proxy weitergeleitet werden - die Schwierigkeit ist, dass der WLC als transparenter Proxy auftreten soll
Ich hab das Tutorial durchgemacht und auf unsere Gegenheiten angepasst. Zusätzlich habe ich die Dinge wie unter: Änderungen in der Public-Spot-Benutzerverwaltung ab der LCOS-Version 7.70 beschrieben einfließen lassen.
Das aufgespannte Gastnetzwerk wird über den DHCP des WLC versorgt - gleichzeitig habe ich 2 Firewall Regeln eingepflegt:
NAME=GUEST_ALLOWSVC; SRC=GUESTNET; SRCSVC=FTP, WEB, DNS; TGT=ANY; TGTSVC=FTP, WEB, DNS; PRIO=11
NAME=GUEST_BLOCKALL; SRC=GUESTNET; SRCSVC=ANY; TGT=ANY; TGTSVC=ANY; PRIO=10
Damit will ich erreichen, dass die "Gäste" erstmal nur WWW, FTP und DNS können und sonst NIX - das Problem ist, dass ich die Netze momentan leider nicht mit VLANs abkapseln kann.
Mein Ziel ist, dass ich alle Anfragen an die genannten Services transparent an einem Proxy (z.B. 192.168.0.100:3128) weiterleite, ohne dass andere Ziele erreicht werden können. Die "Firmenclients" sind allerdings "flach" in der jeweiligen Kollisionsdomäne und können direkt arbeiten.
Ich habe noch Schwiergikeiten das Policy Based Routing aufzusetzen, das LCOS Referenzhandbuch war hier nicht wirklich hilfreich. Hätte hier jemand Beispiele wie man sowas sauber bewerkstelligt (weil ich ja keinen "klassischen" Internetzugang bereitstellen kann).
Gleichzeitig habe ich noch Schwierigkeiten mit der Public Spot Option, die wollen einfach nicht authentifizieren. Als RADIUS habe ich hier nicht - wie im Beispiel 127.0.0.1 eingetragen, sondern die statische IP des WLC (die APs befinden sich ja unter Umständen in anderen Lokationen).
Da es sich um ein geroutetes Netzwerk handelt, gibt es was zu beachten, wenn ich die APs in andere Standorte absetze? Ich könnte mir vorstellen, dass man hier eine "virtuelle" VPN Managementverbindung aufbauen muss (ähnlich macht es ARUBA) um die APs weiterhin mit dem Controller gemanaged zu bekommen... Gibt es hier Erfahrungswerte?
Ich würde mich sehr über Feedback freuen
Grüße an alle und Dank für euere Unterstützung,
AsapHO