AC弹不出重定向页面的排错分享
  

萌大爷 Lv5发表于 2017-4-6 11:28

重定向页面弹不出排错

(包括web认证页面、禁止上网的重定向页面等)

在AC上配置了WEB认证,禁止上网等功能后,客户端访问后,会出现一个重定向的页面(如认证成功/失败后返回给用户的页面,不能上网时返回给用户的页面),本文分析重定向页面弹不出来的可能原因和解决方法。

一、快速排错步骤
通用排查:
a)找几台机器测试认证页面重定向,如果重定向成功,说明是个别现象,如果重定向失败,说明是普遍现象,请执行下一步骤排查。
b)检查设备是否在线运行:通过在PC上ping设备地址检查网络连通性、登陆设备控制台检查设备是否运行。

web认证页面弹不出:
a)在弹不出页面的终端,打开浏览器输入https://ip(控制台界面)和http://ip(认证界面),测试终端是否能访问设备管理界面和是否能访问认证界面。(设备控制台ip一般是桥IP/DMZ口IP/LAN口IP)
b)设置禁止上网的策略,测试终端上网时能否重定向页面。

重定向页面弹不出:
a)设置密码认证策略,看是否能弹出认证界面。
b)直接访问认证页面,看是否能访问。
3、快速排错步奏主要是远程处理时,快速排除路由、端口连通性、重定向设置错误等问题。

二、web认证页面弹不出排错2.1 基础检查

2.1.1 网络相关配置检查
a)网关模式部署,如果是三层环境,检查到达内网的回包路由是否正确设置;
b)网桥模式部署,设备网关配置指向前置设备;内网如有三层环境,添加到达内网的静态路由并且下一跳指向下面的三层交换机,同时注意设备管理IP是设在网桥上还是DMZ口上,根据所在网段设置网关。
c)多网桥模式下,建议用DMZ口作为管理口,利用管理口来重定向,同时设置好到达内网的回包路由。
e)检查是否接反线了,并勾选了wan>lan连接不认证。

2.1.2 线路连通性相关配置检查
有线用户检查
a)检查交换机和AC之间是否有安全设备,安全设备是否对访问AC和对AC的80、443端口有封堵情况。
b)检查交换机配置,是否做ACL或者相关过滤,禁止了AC和用户端之间的互访,例如是否把AC的80、443端口过滤了。
无线用户检查
a)检查无线的认证方式,用户是否在认证黑名单里或者无线认证不成功导致上不到网。
b)同样检查是否中间有安全设备或者交换机安全过滤配置导致用户无法访问AC和80、443端口。

2.1.3 网络连通性测试
a)检查AC设备本身能否上网:通过登陆AC命令控制台执行“ping 任意网站(如www.baidu.com)”、“telnet 任意网站(如www.baidu.com) 80”等命令检查设备本身能否上网,如果设备不能上网,请解决,否则用户的认证页面将无法被重定向。
b)从AC命令控制台上ping认证用户的ip和ip段网关,测试是否能ping通(认证用户pc要关闭防火墙)。
c)认证用户pc/手机/pad浏览器访问http://acip检查PC是否能打开认证界面;或者访问https://acip检查能否范围web控制台界面。
d)认证用户ping AC设备的ip,检查网络是否可达。
e)无线环境下,认证用户的认证策略改为免认证同时开启数据直通看看是否能上网。
f)检查无线认证服务器是否在AC外面,AC禁止了无线认证相关数据。

2.2 AC配置检查2.2.1 认证相关配置检查
a)检查设备认证策略配置是否正确:是否对内网用户网段启用密码认证;

b)检查【用户认证与管理】—【认证高级选项】—【认证选项】“未认证或者被冻结时允许访问DNS服务”是否勾选。
小Q截图-20170405144739.png

c)【AC 6.1或以下版本】如果内网打开网页通过非80端口,如内网通过代理服务器上网,此里需要启用【用户与认证策略】—【认证选项】—【其它认证选项】“未通过认证的用户可以访问基本服务(根组权限,HTTP除外)”。
小Q截图-20170405145037.png

d)测试密码认证看是打开的https网站还是http网站,如果打http网站可以重定向认证页面,而打开https无法跳转认证页面,则需要开启如下功能(默认是关闭的):未通过认证的https请求,重定向到认证页面
小Q截图-20170405145442.png

2.2.2 AC其他相关配置检查
a)根组关联的上网策略不能拒绝dns应用,上网权限策略里要把dns放通。

小Q截图-20170405145631.png

b)检查新用户是否具备上网权限:如果新用户所在组没有上网权限,将导致用户访问网站时不会重定向到认证页面。新用户所在组可到“用户与策略管理-用户认证-认证策略”查看“新用户选项”对应的组,默认为根组。
c)检查设备是否对内网所有ip或代理服务器地址开启直通或全局排除地址;
d)AC防火墙规则不能拒绝80和53端口。
e)检查SG设备地址是否和内网设备ip冲突。

2.2.3 AC重定向配置检查
a)网桥模式下:查看高级配置里的重定向配置,默认情况下是没有勾选根据路由重定向的,所以是通过虚拟IP1.1.1.2重定向,检查此IP是否有被更改成设备LAN口或DMZ口同一网段地址,(注:虚拟IP不能和内网任何一个网段有冲突。)

小Q截图-20170405151057.png

b)网桥模式下:如果勾选了强制根据目的地址路由重定向发包,则需要检查网络配置-静态路由是否有到电脑网段的回包路由;
如果勾选了“启用DMZ口重定向”,检查默认网关或者回包路由是否指向dmz口网段的网关。检查DMZ口是否插上网线。

小Q截图-20170405150943.png

2.3 PC检查
a)检查客户端电脑检查网关和DNS设置是否正确,能否解析出域名;
b)是否开启了防火墙,关闭防火墙测试是否能弹出认证页面;
b)检查安装了其他安全软件,关闭安全软件测试是否能弹出认证页面。

2.4 抓包排错
a)shell登录AC后台,抓取PC访问网页的包,取数据包下来分析看AC是否有发重定向认证页面的包。
抓包条件:tcpdump -i ethx(内网口) host PCIP and port 80 -nnX -s 0 -w /tmp/pc.cap
如果上述抓包条件未抓完整抓所有网口的包
          tcpdump -i any host PCIP and port 80 -nnX -s 0 -w /tmp/1.cap   

小Q截图-20170406113515.png

b)在pc上抓包,检查pc是否请求了重定向的认证页面。
c)如果PC收到了重定向页面,而没请求页面,那就是PC或者浏览器问题了。
d)如果PC收到了,并且也请求认证页面了,那就看设备是否收到,是否回包。

2.5弹不出密码认证页面但是可以上网
如果认证策略设置的密码认证,但是没有弹出来密码认证页面PC即可上网。
a)PC上网未经过设备
b)AC开了直通或者开启了全局排除。
c)中间有nat设备,nat成其他ip了。
d)认证策略里认证范围是mac地址但是设备是跨三层环境无法获取mac地址。

三、重定向排错

重定向页面无法弹出,也无法上网情况:
a)设置密码认证策略,看是否能弹出认证界面。
b)如果弹不出认证界面,可参考web认证界面弹不出的排错步奏。
c)在【策略管理】-【策略高级选项】-【策略控制选项】,检查是否勾选了“关闭禁止访问页面”。

小Q截图-20170406113254.png


重定向页面无法弹出,但是可以上网的情况:
a)查看设备的上网权限策略,查看是否关联了错误的用户。
b)PC上网未经过设备
c)AC开了直通或者开启了全局排除。
d)中间有nat设备,nat成其他ip了。

最后,关于页面重定向的问题,你是否也遇到过呢?最后怎么解决的,欢迎讨论!

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

Sangfor_闪电回_朱丽 发表于 2017-4-6 15:32
  
楼主威武,这个总结,全了~~~
赶紧收藏!
饕餮2018 Lv2发表于 2017-4-7 23:06
  
学习了
andy_AAAAA Lv7发表于 2017-4-10 09:57
  
qinpeng Lv9发表于 2017-4-10 09:59
  
如果能搞个pdf留存就好了
nrsheng Lv5发表于 2017-4-12 16:08
  
学习了   学习了
夏虫语冰 Lv8发表于 2017-4-13 08:21
  
学习了,学习了