Вопрос: кто-нибудь делал это на роутере cisco?
Роутер должен редиректить всех кто не в списке доступа авторизованных на веб страницу авторизации UTM.
У меня схема такая:
client--------Fa0/0.4001 cisco Fa0/0.4-------internet
|
|
FreeBSD
dhcpd
веб страница utm
Биллинг через rsh добавляет клиентский адрес в динамический ACL на cisco. Если это новый клиент, его адреса нет в ACL и роутер должнег его перенаправить на веб страницу утм. Именно это у меня и не получается. Пытался сделать с помощью route-map но либо совсем не с того конца пытаюсь либо что-то недописал.
interface FastEthernet0/0.4
description EPL
encapsulation dot1Q 4
ip address 192.168.222.143 255.255.255.0
ip nat outside
no snmp trap link-status
!
interface FastEthernet0/0.4001
encapsulation dot1Q 4001
ip address 10.10.12.254 255.255.255.0
ip nat inside
ip policy route-map redirect-to-portal
no snmp trap link-status
!
access-list 150 remark --for route map redirecting to captive portal--
access-list 150 permit tcp any any eq www
access-list 150 permit tcp any eq www any
access-list 155 remark --for auth users--
access-list 155 dynamic hotspot permit ip any any
access-list 155 remark --permit ping to router--
access-list 155 permit icmp host 192.168.222.142 any
access-list 155 permit icmp any host 192.168.222.142
access-list 155 permit icmp any host 10.10.12.254
access-list 155 permit icmp host 10.10.12.254 any
access-list 155 remark --permit DNS resolving--
access-list 155 permit udp any host 95.154.128.3 eq domain
access-list 155 permit udp any host 95.154.128.10 eq domain
access-list 155 permit udp host 95.154.128.3 eq domain any
access-list 155 permit udp host 95.154.128.10 eq domain any
!
route-map redirect-to-portal permit 5
match ip address 155
!
route-map redirect-to-portal permit 10
description redirect-unauth-users
match ip address 150
set ip next-hop 10.10.12.253
!
!
Вот с таким конфигом у меня работает редирект, но если клиент неавторизован, то интернет-приложения у него работают все кроме браузера (ACL 150 его редиректит).