Bienvenido a la Comunidad UBNT

VLAN de "Invitados" no es redirigida al Portal Cautivo (Solucionado)

evialaeviala 10 Puntos
editado septiembre 2017 en UniFi Wireless
Buenas tardes,

después de darle muchas vueltas os expongo mi caso a ver si podéis ayudarme (más abajo añado capturas del controlador para que veáis mi configuración)

Tengo instalada una red con 4 equipos y creadas 4 Vlan's de las cuales  "_Exp" y "Expendedor" no las tengo físicamente conectadas al switch por facilitar el escenario que os planteo. Mi problema es que lo usuarios que se conectan a la red de Invitados (SSID: "_INVITADOS_") no son redirigidos al portal cautivo (que está en la misma ip que el controlador: 192.168.0.100)

Observaciones:
- Todos los puertos de switch permiten el paso de todas las Vlan's ("All"). 
- Si deshabilito la opción "Apply Guest Policies", los clientes invitados que se conectan a los AP's SÍ que son redirigidos al portal siempre y cuando les dé una IP estatica en el rango 172.16.0.X nunca por DHCP (que sí lo tengo configurado tanto en la vlan Nativa como en la de Invitados pero no funciona)



Espero que podáis ayudarme. Si os hace falta más información no dudéis en pedírmela.

Gracias de antemano.

Un saludo.


IMG_20170922_183758
IMG_20170922_183855
IMG_20170922_183907
IMG_20170922_183923
IMG_20170922_184010
IMG_20170922_184026
IMG_20170922_184038
IMG_20170922_185549

Comentarios

  • Buenas tardes eviala,

    Parece evidente que el problema se radica en la parte de Networking.
    Necesitaría saber que IP y "Gateway" tiene tu controlador y que router estás utilizando. Pues facilitármelo para completar tu estructura de red?
    Parece que, aunque permites el acceso a la IP del portal cautivo, no se llega a lograr esta conexión, pese a que lo tienes habilitado en el "Pre Access Control".
    Puede venir de VLAN o puede venir de rutas, según mi parecer.
    Por otro lado, yo te aconsejaría que le pusieras DNS manuales al DHCP de la red Guest.

    Saludos
  • Gracias por contestar garroyo. Voy a ver si puedo aclarar mi problema.

    LA IP del del controlador es 192.168.0.100 y la del gateway/router (USG-PRO-4) es la 192.168.0.1. Accedo a internet sin problema con el navegador del PC (Ubuntu 16.04) en donde tengo instalado el controlador. La red 192.168.0.X es la red LAN (nativa) donde tengo configurado estáticamente la IP del router, del switch y de los 2 AP's. Te copio la configuración de red de estos 4 dispositivos:

    ROUTER: 
    LAN1: 192.168.0.1 / 24
    WAN2: 192.168.1.2 /24 (tengo un router de Movistar detrás del USG-PRO-4 que me establece esa IP por DHCP y que me da la salida a Internet)
    SWITCH: 192.168.0.10 / 24
    DNS: 8.8.8.8
    Gateway: 192.168.0.1
    AP1: 192.168.0.11 / 24
    DNS: 8.8.8.8
    Gateway: 192.168.0.1
    AP2: 192.168.0.12 / 24
    DNS: 8.8.8.8
    Gateway: 192.168.0.1

    El tema que me trae de cabeza, como comentaba en mi anterior mensaje, es que si deshabilito la opción "Apply guest policies" en la Red WiFi  "_INVITADOS_",  los invitados que se conectan a esta red WiFi son redirigidos al portal cautivo y pueden loguearse sin problema accediendo a  internet.... SIEMPRE q a estos dispositivos les configure previamente una ip estática en el rango 172.16.0.X ya que no la reciben su ip por DHCP (aunque sí esté configurado de esta forma en la red de Invitados 172.16.0.X). 

    Observaciones:

    - Los DNS de la VLAN "Invitados" los he puesto en manual tal y como me has aconsejado (8.8.8.8) pero no hay cambios.

    - No tengo ninguna ruta estática configurada. 

    - En el  Firewall están configuradas las reglas que automáticamente genera el controlador. Manualmente no he generado ninguna.

    - En cualquiera de los 2 casos, habilitando y deshabilitando la opción "Apply guest policies", sino establezco una IP estática en los "dispositivos invitados", reciben una ip en el rango 169.254.X.X / 16 estando, como te he comentado anteriormente, el DHCP habilitado para la red de Invitados (172.16.0.X - VLAN 50). Por lo q creo q "algo" bloquea las respuestas DHCP del router a las peticiones de los AP's y empiezo a sospechar que ese "algo" esté relacionado con el bloqueo al portal cautivo de los invitados cuando la opción "Apply guest policies" esta habilitada. Es una teoría que no sé demostrar.

    - Los 4 puertos que estoy usando del Switch (192.168.0.10) están configurados en "All" para que "deje pasar" cualquier VLAN:
    Puerto 2: puerto de Uplink que conecta el switch con el router (la salida de la red  hacia el router)
    Puerto 4: puerto que conecta al PC donde está el controlador (192.168.0.100)
    Puerto 22: puerto POE donde tengo uno de los dos AP (192.168.0.11)
    Puerto 24: puerto POE donde tengo el otro AP (192.168.0.12)


    Espero que puedas aconsejarme qué pruebas hacer. Si necesitas más información no dudes en pedírmela.

    Gracias de nuevo.

    Un saludo!



    garroyo dijo:

    Buenas tardes eviala,


    Parece evidente que el problema se radica en la parte de Networking.
    Necesitaría saber que IP y "Gateway" tiene tu controlador y que router estás utilizando. Pues facilitármelo para completar tu estructura de red?
    Parece que, aunque permites el acceso a la IP del portal cautivo, no se llega a lograr esta conexión, pese a que lo tienes habilitado en el "Pre Access Control".
    Puede venir de VLAN o puede venir de rutas, según mi parecer.
    Por otro lado, yo te aconsejaría que le pusieras DNS manuales al DHCP de la red Guest.

    Saludos

  • Buenas tardes,

    Vamos a intentar solventar problemas uno por uno, porque parece que hay varios.
    Haz primero lo siguiente:

    - Deshabilita todas las funciones de HotSpot y Guest Policy, creo que antes hay que solucionar el DHCP.
    - Habilita una VLAN de gestión para todo tu equipamiento, es decir VLAN10 por ejemplo para las IPs 192.168.0.0/24, no las dejes     
      sobre el interface nativo, create una VLAN Corporate, donde pongas el DHCP de los APs y Switch.
    - Crea en la parte "Configuration" de tu Switch, una nueva Network/VLAN, ponle el nombre que quieras, y añade dentro la VLAN 10 
       como nativa y la VLAN 50 como Tagged Network.
    - Esta nueva Network/VLAN, en la parte de "Ports" de tu switch, seleccionala en los puertos donde tengas los APs y el PC controller, 
      en lugar de "ALL" y prueba que te da DHCP en la red "Invitados"
    - El USG déjalo en un puerto con "ALL"

    Si esto funciona, prueba a habilitar las opciones de HotSpot y Guest Policy, pero habilitando el Pre-Access Control a las IP´s 192.168.0.1, 192.168.0.100 (aunque no creo que esta sea necesaria) y a la 172.16.0.1 (que realmente es el gateway de la red de invitados)

    Dime los resultados de estas pruebas.

    Saludos
  • Buenas tardes,

    he estado fuera hasta ahora y acabo de leerte. Me pongo ahora con tus recomendaciones y te digo los resultados .

    Te agradezco de nuevo tu interés.

    Un saludo!
  • Buenas tardes,

    ya lo tengo solucionado. Tuve que resetear de fábrica el USG porque no daba DHCP de ninguna de las formas (no sé la razón) y ahora tengo:

     - el USG y los switches en la red 192.168.1.0/24 con el DHCP deshabilitado 
    - los AP's en la VLAN 192.168.100.0/24 con DHCP habilitado
    - los Invitados en la VLAN 172.16.1.0/24 con DHCP habilitado

    Los invitados son redirigidos al portal cautivo sin problema y no tienen acceso a ninguna red privada (ni entre ellos) una vez han sido autorizados (en este caso mediante voucher).

    Ahora me surge una duda:  en la sección de Control de Invitados en "Pre-Authorizacion Access" tengo configurada la IP del controlador (192.168.1.100/32) para que los invitados puedan ser redirigidos al portal nada más se conecten a la red wifi, sé que esto es necesario (corrígeme si me equivoco) pero... ¿¿también es necesario poner la IP del router (192.168.1.1/32)?? 

    En la sección "Post-Authorizacion Restrictions" si que tengo configuradas todas las redes para que una vez un invitado sea autorizado no tenga acceso a ninguna red solo a Internet.

    Gracias de nuevo!

    Un saludo!



Este hilo ha sido cerrado.