ISE guest portal
: 10 wrz 2021, 17:17
Witam,
Mam kilka lokalizacji, ktore maja lokalny VRF dla guest Wifi, ma on dostęp tylko do Internetu. Obecnie guest portal jest prezentowany przez WLC, w związku z tym, że zrobiliśmy ISE deployment chcemy przerzucić Guest WiFI na ISE, by to ISE prezentował portal. ISE PSN, który hostuje Guest Portal jest w korporacyjnym DMZ.
I tutaj pojawia się problem, kiedy użytkownik podłączy się do Guest Wifi i otrzyma URL redirection do Guest portal, który jest w korporacyjnym DMZ to nie może się do niego dostać z prostego powdou bo nie ma routing z Guest VRF do DMZ. Sprawę routing można rozwiązać na kilka sposobów i to nie jest problem. Założenie jest takie by guest miał jak najbardziej ograniczony dostęp do zasobów wewnętrznych.
Myslalem nad takim rozwiązaniem, gdzie ISE wysyła URL redirection do klienta z FQDN np. guest.jakasdomena.com (1.1.1.1), w takiej sytuacji klient, by dostać się do guest portal wychodzi do Internet wpada do naszego DMZ gdzie jest ISE akceptuje UAP i otrzymuje full access.
Przy takim podejściu nie musiałbym robić nic z routingiem pomiędzy guest VRF w każdej z lokalizacji a naszym DMZ. Jeśli musiałbym bawić się routingiem, trzeba by zrobić wiele zmian a tego chciałbym uniknąć.
Czy, ktoś wdrażał takie rozwiazanie dla guest portal, przy wykorzystaniu publicznych IP oraz DNS? Jedyny problem jaki tutaj widzę, to że wystawiamy swojego ISE do internetu gdzie może być skanowany itd. Oczywiscie, dostęp do niego na publicznym IP będzie ograniczony tylko do guest portal, ale jest to jakies zagrozenie w przypadku jakiejś dziury na ISE.
Pozdro,
Mam kilka lokalizacji, ktore maja lokalny VRF dla guest Wifi, ma on dostęp tylko do Internetu. Obecnie guest portal jest prezentowany przez WLC, w związku z tym, że zrobiliśmy ISE deployment chcemy przerzucić Guest WiFI na ISE, by to ISE prezentował portal. ISE PSN, który hostuje Guest Portal jest w korporacyjnym DMZ.
I tutaj pojawia się problem, kiedy użytkownik podłączy się do Guest Wifi i otrzyma URL redirection do Guest portal, który jest w korporacyjnym DMZ to nie może się do niego dostać z prostego powdou bo nie ma routing z Guest VRF do DMZ. Sprawę routing można rozwiązać na kilka sposobów i to nie jest problem. Założenie jest takie by guest miał jak najbardziej ograniczony dostęp do zasobów wewnętrznych.
Myslalem nad takim rozwiązaniem, gdzie ISE wysyła URL redirection do klienta z FQDN np. guest.jakasdomena.com (1.1.1.1), w takiej sytuacji klient, by dostać się do guest portal wychodzi do Internet wpada do naszego DMZ gdzie jest ISE akceptuje UAP i otrzymuje full access.
Przy takim podejściu nie musiałbym robić nic z routingiem pomiędzy guest VRF w każdej z lokalizacji a naszym DMZ. Jeśli musiałbym bawić się routingiem, trzeba by zrobić wiele zmian a tego chciałbym uniknąć.
Czy, ktoś wdrażał takie rozwiazanie dla guest portal, przy wykorzystaniu publicznych IP oraz DNS? Jedyny problem jaki tutaj widzę, to że wystawiamy swojego ISE do internetu gdzie może być skanowany itd. Oczywiscie, dostęp do niego na publicznym IP będzie ograniczony tylko do guest portal, ale jest to jakies zagrozenie w przypadku jakiejś dziury na ISE.
Pozdro,