Public Spot von Tunnel auf VLAN

[smxko01]

Moin,

ich versuche gerade, unseren Public Spot WLC-Tunnel auf ein Gast-VLAN umzuziehen. Gäste können sich nach Einverständniserklärung per Captive Portal anmelden. Im WLC-Tunnel funktioniert das auch alles, aber ich möchte das nun auf ein Gäste-VLAN umziehen. Habe soweit alles eingerichtet, VLANs getagged und das Profil konfiguriert, allerdings erscheint die Captive Portal Seite nicht am Client. Der Client wird ohne Captive Portal ins WLAN (aber schon in das neue, richtige) eingebucht und erhält einen DHCP-Lease. Ich habe die SSID vom funktionierenden Tunnel kopiert und statt "Verbinden mit > WLC-Tunnel" nun "Verbinden mit > LAN am AP (tagged, Gast-VLAN-ID)" eingestellt.

In den Public Spot Einstellungen (LCOS > Public-Spot > Server > Betriebseinstellungen > VLAN-Tabelle) habe ich die VLAN-ID des Gast-Netzes eingetragen. Bei "Interfaces" habe ich LAN1 auf "Benutzer-Anmeldung aktiv" gesetzt. Allerdings weiß ich aktuell nicht, ob das die richtigen Settings für meine beabsichtigte Konfiguration ist.

Es gibt im Prinzip 3 VLANs:
- Management-VLAN: Jeweils untagged am WLC und den APs
- Internes WLAN (VLAN): Jeweils tagged am WLC und an den APs
- Gast-WLAN (VLAN): Jeweils tagged am WLC und an den APs

DHCP und L3-GW übernimmt in den Client-Netzen jeweils ein externer Router, das soll im Gegensatz zum WLC-Tunnel auch nicht mehr der WLC übernehmen.

Weiß jemand, wo hier noch die entscheidende Config geändert werden muss?

Danke und Gruß

[Dr.Einstein]

Hab ich das richtig verstanden, dass du via DHCP als Gateway nicht den WLC mit seiner Hotspot Option gibst, sondern ein externes Gateway? Dann gehen doch alle Clientanfragen an den WLC vorbei direkt an den externen Router. Somit kommt auch kein Portal zum Einloggen.

[smxko01]

Hab ich das richtig verstanden, dass du via DHCP als Gateway nicht den WLC mit seiner Hotspot Option gibst, sondern ein externes Gateway? Dann gehen doch alle Clientanfragen an den WLC vorbei direkt an den externen Router. Somit kommt auch kein Portal zum Einloggen.

Ja, der AP verbindet den Client nur mit dem Gast-VLAN. In dem VLAN übernimmt DHCP und Gateway dann die Fortigate. Mir war die Technik hinter dem Captive Portal nicht genau bekannt, aber ich hatte angenommen, dass einem das Portal vom AP aus angezeigt wird, bevor man mit dem VLAN verbunden wird. Wenn das alles im selben Netz passieren muss, geht's wohl nicht anders, als L3 komplett über den WLC abzubilden?

[Dr.Einstein]

Bei der Cloud kann man den Public Spot auch z.B. über einen AP erzwingen. Im klassischen WLC Betrieb wäre mir das außer mittels WLC-Tunneln nicht bekannt.

Was du brauchst, ist ein erzwungenes Routing über den WLC, und dann vorgeschaltet ein Transfernetz zu deinem eigentlichen Gateway.