Вы можете ознакомиться с механизмом работы Captive-портала, в том числе при использовании различного оборудования, в статье.

Часто встречающиеся проблемы

Перед началом детальной диагностики рекомендуется проверить типовые ошибки, которые часто встречаются на практике.

1. Неуспешная авторизация через Active Directory. 
   Возможные причины: истек срок действия пароля, учетная запись Active Directory отключена или перемещена в другой контейнер LDAP. Для проверки перейдите на вкладку Конфигурация → Политики и контроль доступа → Источник аутентификации → <ваш доменный источник> → Основное, а затем рядом с полем Пароль нажмите кнопку Тест.
2. Портал не отображается у клиента. 
   Проверьте сетевую связность по всем портам, указанным в разделе базовых проверок.
3. Бесконечное перенаправление на портал на оборудовании Huawei.
   Проверьте сетевую связность по порту UDP 2000 между NAS и AxelNAC.
4. Бесконечное перенаправление на портал на оборудовании Cisco.
   Проверьте сетевую связность по порту CoA или DM 3799 (или иному используемому порту) между NAS и AxelNAC.
   Убедитесь, что механизмы CoA или DM корректно отрабатывают.

Базовые проверки

Если проблема не относится к часто встречающимся проблемам, следующим шагом следует выполнить базовые проверки конфигурации и сетевой связности. На этом этапе выявляется большинство ошибок, связанных с настройками ролей, VLAN, перенаправления и доступности служб.

1. Проверьте, что портал включен в настройках нужного сетевого интерфейса AxelNAC (Конфигурация → Сетевое взаимодействие → Интерфейсы).
2. Проверьте сетевую связность:
   • от NAS в сторону AxelNAC по портам UDP 1812 и 1813;
   • от AxelNAC в сторону NAS по порту UDP 3799 (или иному порту для CoA или DM);
   • от клиента в сторону AxelNAC по портам TCP 80 и 443 в VLAN регистрации.
      

     Для оборудования Huawei при использовании портального протокола дополнительно проверьте сетевую связность в обе стороны по порту UDP 2000 между NAS и AxelNAC.

3. Проверьте, что в используемом в данном сценарии профиле подключения AxelNAC деактивирован параметр Регистрировать устройства автоматически, и/или в настройках сетевого устройства (Конфигурация → Политики и контроль доступа → Сетевые устройства → <ваше сетевое устройство> → Роли → Назначение URL веб-аутентификации) назначается роль, содержащая redirect URL.
4. Проверьте, что в настройках сетевого устройства AxelNAC:
   • активирован параметр Обеспечение работы внешнего портала;
   • на вкладке Роли активирован параметр Назначение URL веб-аутентификации, а также указан корректный адрес профиля устройства.
5. Проверьте, что клиент получает IP-адрес, адрес DNS-сервера и адрес шлюза по DHCP перед перенаправлением на портал, то есть:
   • VLAN-регистрация назначается корректно;
   • сетевые доступы в VLAN-регистрации настроены правильно.
6. Если браузер не запускается автоматически при перенаправлении на портал, откройте его вручную и перейдите на любой HTTP-адрес. При корректной работе механизма перенаправления вы должны быть перенаправлены на портал.
7. Если при переходе на портал отображается ошибка "Your computer was not found in database", проверьте, что маршрутизация к веб-порталу выполняется через тот же интерфейс, на котором работает 802.1x или MAB.
8. Убедитесь, что служба портала запущена на всех узлах кластера и что порты 80 и 443 доступны.

Настройка журналирования в AxelNAC

Если базовые проверки не позволили определить причину проблемы, перейдите к анализу журналов. В данном разделе приведен порядок просмотра журналов, необходимых для диагностики процессов перенаправления и авторизации.

Поскольку авторизация на портале не отображается на странице Журналы аудита RADIUS, используйте страницу Журналы в реальном времени. Для этого:

1. Перейдите в Аудит → Журналы в реальном времени.
2. Выберите все журналы.
3. В поле Фильтр укажите MAC-адрес клиента в формате XX:XX:XX:XX:XX:XX.

В первую очередь проанализируйте вывод службы httpd.portal, однако журналы других сервисов также могут быть полезны.

При выполнении авторизации проверьте, что:

• пакеты от клиентского MAC-адреса появляются в журналах AxelNAC;
• продуктивная роль рассчитывается корректно;
• отсутствуют ошибки, связанные с данным MAC-адресом, например ошибки LDAP-сервера при аутентификации по MSCHAPv2.

Повышение уровня журналирования службы портала

В отдельных случаях стандартного уровня журналирования может быть недостаточно для выявления причины ошибки. В этом разделе описан порядок временного включения расширенного уровня журналирования и правила возврата к стандартным настройкам после завершения диагностики.

1. Откройте файл на всех узлах кластера, для этого используйте команду:

   nano /usr/local/pf/conf/log.conf.d/httpd.portal.conf
   

2. В открывшемся файле измените строку:

   log4perl.rootLogger = INFO, HTTPD_PORTAL
   

   на следующую:

   log4perl.rootLogger = DEBUG, HTTPD_PORTAL
   

3. Сохраните изменения.
4. Перезагрузите службу httpd.portal на всех узлах кластера через веб-интерфейс AxelNAC, для этого перейдите на страницу Статус → Службы → portal и нажмите Перезапустить все.

Настройка просмотра трафика

Еще одним методом поиска и устранения неисправностей может быть переход к захвату и анализу сетевого трафика. В данном разделе приведены рекомендации по просмотру пакетов между основными участниками процесса.

Для анализа сетевого взаимодействия рекомендуется настроить параллельный захват трафика в двух SSH-сессиях на каждом узле кластера.

1. Между NAS и AxelNAC (взаимодействие по протоколу RADIUS), используя команду:

   tcpdump -v host <ip-адрес NAS>
   

2. Между клиентом и порталом AxelNAC (взаимодействие по протоколу HTTP или HTTPS), используя команду:

   tcpdump -v host <ip-адрес клиента>
   

Запустите процесс авторизации и проверьте корректность прохождения пакетов между всеми участниками процесса.

Правильные сценарии обмена пакетами зависят от типа используемого оборудования (NAS) и указаны в статье Captive-портал.