Witam,
Mam kilka lokalizacji, ktore maja lokalny VRF dla guest Wifi, ma on dostęp tylko do Internetu. Obecnie guest portal jest prezentowany przez WLC, w związku z tym, że zrobiliśmy ISE deployment chcemy przerzucić Guest WiFI na ISE, by to ISE prezentował portal. ISE PSN, który hostuje Guest Portal jest w korporacyjnym DMZ.
I tutaj pojawia się problem, kiedy użytkownik podłączy się do Guest Wifi i otrzyma URL redirection do Guest portal, który jest w korporacyjnym DMZ to nie może się do niego dostać z prostego powdou bo nie ma routing z Guest VRF do DMZ. Sprawę routing można rozwiązać na kilka sposobów i to nie jest problem. Założenie jest takie by guest miał jak najbardziej ograniczony dostęp do zasobów wewnętrznych.
Myslalem nad takim rozwiązaniem, gdzie ISE wysyła URL redirection do klienta z FQDN np. guest.jakasdomena.com (1.1.1.1), w takiej sytuacji klient, by dostać się do guest portal wychodzi do Internet wpada do naszego DMZ gdzie jest ISE akceptuje UAP i otrzymuje full access.
Przy takim podejściu nie musiałbym robić nic z routingiem pomiędzy guest VRF w każdej z lokalizacji a naszym DMZ. Jeśli musiałbym bawić się routingiem, trzeba by zrobić wiele zmian a tego chciałbym uniknąć.
Czy, ktoś wdrażał takie rozwiazanie dla guest portal, przy wykorzystaniu publicznych IP oraz DNS? Jedyny problem jaki tutaj widzę, to że wystawiamy swojego ISE do internetu gdzie może być skanowany itd. Oczywiscie, dostęp do niego na publicznym IP będzie ograniczony tylko do guest portal, ale jest to jakies zagrozenie w przypadku jakiejś dziury na ISE.
Pozdro,
ISE guest portal
Re: ISE guest portal
Witam
Mozna zrobic two-legged ISE, interface w DMZ + Guest jesli 'security' zgryzie orzech lub osoby ISE dla guest , jesli jest budzet.
Exposure dla interface w Guest zawsze mniejsze niz dla internetu, chyba ze wszystkie publiczne IP sa statyczne i na tym mozna zrobic zewnetrzna ACL dla ISE.
Mozna zrobic two-legged ISE, interface w DMZ + Guest jesli 'security' zgryzie orzech lub osoby ISE dla guest , jesli jest budzet.
Exposure dla interface w Guest zawsze mniejsze niz dla internetu, chyba ze wszystkie publiczne IP sa statyczne i na tym mozna zrobic zewnetrzna ACL dla ISE.
Re: ISE guest portal
Ale tak jak ty wlasnie opisales jest przewaznie robione z tego co widzialem u roznych klientow - portal z guest jest na jakiejs publicznej domenie z publicznym ip i natowane to z powrotem do DMZ.