https://www.opennet.ru/openforum/vsluhforumID6/2111.html Надо настроить сабж для клиентов 3х типов: свои юзеры с полным доступом, свои с доступом к некоторым сайтам, гости с разовыми паролями. Соответсвенно, это у меня три WLAN с разными SSID.<br>Удалось настроить lobby гостям через локальную авторизацию и аутентификацию своих юзеров через LDAP(AD). все работает, Инет у клиентов есть. но:<br>1) при web аутентификации на некоторых устройствах (Sumsung galaxy s4 / sumsung galaxy note) никак не открывается http:\\1.1.1.1, открывается google.com безрезультатно ибо нет авторизации. А вот на китайском Zopo нормально сразу открывается 1.1.1.1<br><br>2)при открытии 1.1.1.1 (авто или URL руками вводить) идет стандарная ругань на сертификат. Как подложить сертификат? и можно ли самоподписанный(не покупать)?<br><br>3)как ограничить юзеров определенным списком сайтов? можно ли списком сайтов с именами, а не ip? (прокси не предлагать) кстати, где прокси подключать тоже не понятно.<br>Благодарю отвечающих<br> https://www.opennet.ru/openforum/vsluhforumID6/2111.html#17 Wed, 01 Mar 2017 13:57:10 GMT &gt; Пара дней в Женеве, жажда бесплатного WiFi... и сразу как-то выяснилось, что <br>&gt; дело было не в Android+WiFi, а в гребаном гугл-хроме, открывавшемся как <br>&gt; браузер по дефолту.<br>&gt; На другом приложении все работает.<br><br>хз, у нас хромой нормально работает.<br> https://www.opennet.ru/openforum/vsluhforumID6/2111.html#16 Wed, 01 Mar 2017 08:42:02 GMT Пара дней в Женеве, жажда бесплатного WiFi... и сразу как-то выяснилось, что дело было не в Android+WiFi, а в гребаном гугл-хроме, открывавшемся как браузер по дефолту.<br>На другом приложении все работает.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/2111.html#15 Tue, 31 Jan 2017 11:06:12 GMT &gt; Нет, гуглофоны проверяют наличие каптив-портала, делая http запрос на сервис гугла и <br>&gt; если получают не то, что ожидают - уведомляют пользователя.<br>&gt; Тоже самое делают виндофоны и яблокофоны, только ломятся по другим, своим УРЛ. <br><br> Спасибо. по слову captive нашлись ссылки на тему CLI параметра web-auth captive-bypass disable <br>например https://supportforums.cisco.com/discussion/11779306/web-auth-not-working-apple-ios-devices<br>но играние этим параметром тоже не помогло<br>выложу show network summary<br>RF-Network Name............................. air1<br>Web Mode.................................... Enable<br>Secure Web Mode............................. Enable<br>Secure Web Mode Cipher-Option High.......... Disable<br>Secure Web Mode Cipher-Option SSLv2......... Disable<br>Secure Web Mode RC4 Cipher Preference....... Disable<br>Secure Web Mode SSL Protocol................ Disable<br>OCSP........................................ Disabled<br>OCSP responder URL.......................... <br>Secure Shell (ssh)....................... https://www.opennet.ru/openforum/vsluhforumID6/2111.html#14 Tue, 31 Jan 2017 04:41:42 GMT &gt; Как я понимаю, google.com выступает как неотключаемая прокси на телефоне Galaxy?<br><br>Нет, гуглофоны проверяют наличие каптив-портала, делая http запрос на сервис гугла и если получают не то, что ожидают - уведомляют пользователя.<br>Тоже самое делают виндофоны и яблокофоны, только ломятся по другим, своим УРЛ.<br> https://www.opennet.ru/openforum/vsluhforumID6/2111.html#13 Mon, 30 Jan 2017 13:47:32 GMT Как я понимаю, google.com выступает как неотключаемая прокси на телефоне Galaxy?<br>WLC стоит в конторе за корпоративным файрволом, соответственно куда он и кто его - все видно в логе.<br><br>настраиваю wlc на работу с прокси:<br>- вышеупомянутые параметры enable и 443<br>- на WLAN прописан Preauthentication ACL с разрешением destination UDP:53 и TCP:443 <br>- на файрволе выпилены соответствующие дырки<br>в итоге теперь google.com висит дольше.<br>В логах файрвола видно, как он сходил спросил ДНС, а потом попер в Инет и получил ресет из-за того, что нет обратного правила<br>Teardown TCP connection 473813722 for outside:173.194.44.64/443 to wfguest:192.168.211.85/38089 duration 0:00:00 bytes 0 TCP Reset-I<br>Сдается мне, через гугль он никогда не откроет мне http:1.1.1.1 <br>я гугле не управляю, к сожалению.<br><br>настраиваю wlc без прокси:<br>- вышеупомянутые параметры disable и 0<br>- на WLAN прописан Preauthentication ACL с разрешением <br>Permit UDP any any:53<br>Permit TCP any any:443<br>Permit TCP any:443 any<br>- на файрволе выпилены соот https://www.opennet.ru/openforum/vsluhforumID6/2111.html#12 Mon, 30 Jan 2017 09:34:55 GMT &gt; Тогда стандартно - дебаг в руки и попытаться обновиться, если есть возможность. <br><br>в журнале <br>2017-01-30 09:33:02Local7.Warning192.168.211.2controller.air-gate-net: *webauthRedirect: Jan 30 09:33:02.176: #EMWEB-4-READ_ERROR: webauth_redirect.c:1299 Remote client closed connection (bytes read=0, errno=0).<br>2017-01-30 09:33:10Local7.Warning192.168.211.2controller.air-gate-net: *webauthRedirect: Jan 30 09:33:10.371: #EMWEB-4-READ_ERROR: webauth_redirect.c:1299 Remote client closed connection (bytes read=0, errno=0).<br>2017-01-30 09:33:22Local7.Warning192.168.211.2controller.air-gate-net: *webauthRedirect: Jan 30 09:33:22.532: #EMWEB-4-READ_ERROR: webauth_redirect.c:1299 Remote client closed connection (bytes read=0, errno=0).<br>&gt; Возможно стоит включить Override Global Config<br><br>как раз включено, вот думаю попробовать выключить. ибо параметры выше определяются кака раз на уровне Global<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/2111.html#11 Mon, 30 Jan 2017 04:14:48 GMT &gt; Для РКН делаете?<br><br>Не. для провайдинга сквид ИМХО не надежен и медленный.<br> https://www.opennet.ru/openforum/vsluhforumID6/2111.html#10 Sun, 29 Jan 2017 14:20:55 GMT Для РКН делаете?<br> https://www.opennet.ru/openforum/vsluhforumID6/2111.html#9 Fri, 27 Jan 2017 18:16:35 GMT &gt;&gt;&gt;&gt; &gt; На 80 у вас работает WebAuth HTTP. WebAuth Proxy Redirection определяет доступ <br>&gt;&gt; на WebAuth по HTTPS. HTTPS - 443 порт.<br>&gt; WebAuth Proxy Redirecton Mode =enable <br>&gt; WebAuth Proxy Redirection Port =443 <br>&gt; WLC 2504 Software Version 8.0.115.0 был перегружен <br>&gt; "не выходит каменный цветок", хотя на google действительноидет https-ом <br><br>Тогда стандартно - дебаг в руки и попытаться обновиться, если есть возможность.<br>Возможно стоит включить Override Global Config. <br>