Helen 发表于 2024-8-3 09:34
  
感谢楼主的精彩分享,有助工作。
guafeng00 发表于 2024-11-11 08:12
  
总结描述很全面,感谢分享~
AC弹不出重定向页面的排错分享
  

萌大爷 327676人觉得有帮助

{{ttag.title}}
重定向页面弹不出排错

(包括web认证页面、禁止上网的重定向页面等)

在AC上配置了WEB认证,禁止上网等功能后,客户端访问后,会出现一个重定向的页面(如认证成功/失败后返回给用户的页面,不能上网时返回给用户的页面),本文分析重定向页面弹不出来的可能原因和解决方法。

一、快速排错步骤
通用排查:
a)找几台机器测试认证页面重定向,如果重定向成功,说明是个别现象,如果重定向失败,说明是普遍现象,请执行下一步骤排查。
b)检查设备是否在线运行:通过在PC上ping设备地址检查网络连通性、登陆设备控制台检查设备是否运行。

web认证页面弹不出:
a)在弹不出页面的终端,打开浏览器输入https://ip(控制台界面)和http://ip(认证界面),测试终端是否能访问设备管理界面和是否能访问认证界面。(设备控制台ip一般是桥IP/DMZ口IP/LAN口IP)
b)设置禁止上网的策略,测试终端上网时能否重定向页面。

重定向页面弹不出:
a)设置密码认证策略,看是否能弹出认证界面。
b)直接访问认证页面,看是否能访问。
3、快速排错步奏主要是远程处理时,快速排除路由、端口连通性、重定向设置错误等问题。

二、web认证页面弹不出排错
2.1 基础检查

2.1.1 网络相关配置检查
a)网关模式部署,如果是三层环境,检查到达内网的回包路由是否正确设置;
b)网桥模式部署,设备网关配置指向前置设备;内网如有三层环境,添加到达内网的静态路由并且下一跳指向下面的三层交换机,同时注意设备管理IP是设在网桥上还是DMZ口上,根据所在网段设置网关。
c)多网桥模式下,建议用DMZ口作为管理口,利用管理口来重定向,同时设置好到达内网的回包路由。
e)检查是否接反线了,并勾选了wan>lan连接不认证。

2.1.2 线路连通性相关配置检查
有线用户检查
a)检查交换机和AC之间是否有安全设备,安全设备是否对访问AC和对AC的80、443端口有封堵情况。
b)检查交换机配置,是否做ACL或者相关过滤,禁止了AC和用户端之间的互访,例如是否把AC的80、443端口过滤了。

无线用户检查
a)检查无线的认证方式,用户是否在认证黑名单里或者无线认证不成功导致上不到网。
b)同样检查是否中间有安全设备或者交换机安全过滤配置导致用户无法访问AC和80、443端口。

2.1.3 网络连通性测试
a)检查AC设备本身能否上网:通过登陆AC命令控制台执行“ping 任意网站(如www.baidu.com)”、“telnet 任意网站(如www.baidu.com) 80”等命令检查设备本身能否上网,如果设备不能上网,请解决,否则用户的认证页面将无法被重定向。
b)从AC命令控制台上ping认证用户的ip和ip段网关,测试是否能ping通(认证用户pc要关闭防火墙)。
c)认证用户pc/手机/pad浏览器访问http://acip检查PC是否能打开认证界面;或者访问https://acip检查能否范围web控制台界面。
d)认证用户ping AC设备的ip,检查网络是否可达。
e)无线环境下,认证用户的认证策略改为免认证同时开启数据直通看看是否能上网。
f)检查无线认证服务器是否在AC外面,AC禁止了无线认证相关数据。

2.2 AC配置检查
2.2.1 认证相关配置检查
a)检查设备认证策略配置是否正确:是否对内网用户网段启用密码认证;

b)检查【用户认证与管理】—【认证高级选项】—【认证选项】“未认证或者被冻结时允许访问DNS服务”是否勾选。

c)【AC 6.1或以下版本】如果内网打开网页通过非80端口,如内网通过代理服务器上网,此里需要启用【用户与认证策略】—【认证选项】—【其它认证选项】“未通过认证的用户可以访问基本服务(根组权限,HTTP除外)”。

d)测试密码认证看是打开的https网站还是http网站,如果打http网站可以重定向认证页面,而打开https无法跳转认证页面,则需要开启如下功能(默认是关闭的):未通过认证的https请求,重定向到认证页面

2.2.2 AC其他相关配置检查
a)根组关联的上网策略不能拒绝dns应用,上网权限策略里要把dns放通。


b)检查新用户是否具备上网权限:如果新用户所在组没有上网权限,将导致用户访问网站时不会重定向到认证页面。新用户所在组可到“用户与策略管理-用户认证-认证策略”查看“新用户选项”对应的组,默认为根组。
c)检查设备是否对内网所有ip或代理服务器地址开启直通或全局排除地址;
d)AC防火墙规则不能拒绝80和53端口。
e)检查SG设备地址是否和内网设备ip冲突。

2.2.3 AC重定向配置检查
a)网桥模式下:查看高级配置里的重定向配置,默认情况下是没有勾选根据路由重定向的,所以是通过虚拟IP1.1.1.2重定向,检查此IP是否有被更改成设备LAN口或DMZ口同一网段地址,(注:虚拟IP不能和内网任何一个网段有冲突。)


b)网桥模式下:如果勾选了强制根据目的地址路由重定向发包,则需要检查网络配置-静态路由是否有到电脑网段的回包路由;
如果勾选了“启用DMZ口重定向”,检查默认网关或者回包路由是否指向dmz口网段的网关。检查DMZ口是否插上网线。


2.3 PC检查
a)检查客户端电脑检查网关和DNS设置是否正确,能否解析出域名;
b)是否开启了防火墙,关闭防火墙测试是否能弹出认证页面;
b)检查安装了其他安全软件,关闭安全软件测试是否能弹出认证页面。

2.4 抓包排错
a)shell登录AC后台,抓取PC访问网页的包,取数据包下来分析看AC是否有发重定向认证页面的包。
抓包条件:tcpdump -i ethx(内网口) host PCIP and port 80 -nnX -s 0 -w /tmp/pc.cap
如果上述抓包条件未抓完整抓所有网口的包
          tcpdump -i any host PCIP and port 80 -nnX -s 0 -w /tmp/1.cap   


b)在pc上抓包,检查pc是否请求了重定向的认证页面。
c)如果PC收到了重定向页面,而没请求页面,那就是PC或者浏览器问题了。
d)如果PC收到了,并且也请求认证页面了,那就看设备是否收到,是否回包。

2.5 弹不出密码认证页面但是可以上网
如果认证策略设置的密码认证,但是没有弹出来密码认证页面PC即可上网。
a)PC上网未经过设备
b)AC开了直通或者开启了全局排除。
c)中间有nat设备,nat成其他ip了。
d)认证策略里认证范围是mac地址但是设备是跨三层环境无法获取mac地址。

三、重定向排错

重定向页面无法弹出,也无法上网情况:
a)设置密码认证策略,看是否能弹出认证界面。
b)如果弹不出认证界面,可参考web认证界面弹不出的排错步奏。
c)在【策略管理】-【策略高级选项】-【策略控制选项】,检查是否勾选了“关闭禁止访问页面”。



重定向页面无法弹出,但是可以上网的情况:
a)查看设备的上网权限策略,查看是否关联了错误的用户。
b)PC上网未经过设备
c)AC开了直通或者开启了全局排除。
d)中间有nat设备,nat成其他ip了。

最后,关于页面重定向的问题,你是否也遇到过呢?最后怎么解决的,欢迎讨论!

打赏鼓励作者,期待更多好文!

打赏
23人已打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
标准化排查
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
314
351

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人