Introduzione
Questo documento descrive la funzionalità di rilevamento di un portale captive di Cisco AnyConnect Mobility Client e i requisiti per il suo corretto funzionamento.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza di Cisco AnyConnect Secure Mobility Client.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software:
- AnyConnect versione 4.7
- Cisco Adaptive Security Appliance (ASA) versione 9.10
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Molti hotspot wireless in hotel, ristoranti, aeroporti e altri luoghi pubblici utilizzano portali in cattività per bloccare l'accesso degli utenti a Internet. Reindirizzano le richieste HTTP ai propri siti Web che richiedono agli utenti di immettere le proprie credenziali o di confermare i termini e le condizioni dell'host dell'hotspot.
Panoramica
Molte strutture che offrono la connessione Wi-Fi e l'accesso cablato, come aeroporti, Internet café e hotel, richiedono agli utenti di pagare prima di ottenere l'accesso, accettano di attenersi a una policy sull'utilizzo accettabile, o entrambe. Queste strutture utilizzano una tecnica denominata portale captive per impedire l'accesso alle applicazioni finché gli utenti non aprono un browser e non accettano le condizioni di accesso.
Requisiti per la risoluzione dei portali vincolati
Il supporto per il rilevamento e il monitoraggio e l'aggiornamento dei portali vincolati richiede una delle seguenti licenze:
- AnyConnect Premium (Secure Sockets Layer (SSL) VPN Edition)
- Cisco AnyConnect Secure Mobility
È possibile usare una licenza Cisco AnyConnect Secure Mobility per fornire supporto per il rilevamento e il ripristino di portali vincolati in combinazione con una licenza AnyConnect Essentials o AnyConnect Premium.
Nota: il rilevamento e l'aggiornamento dei portali vincolati sono supportati dai sistemi operativi Microsoft Windows e Macintosh OS X supportati dalla versione di AnyConnect in uso.
Nota: la VPN Always-ON non supporta la connessione tramite proxy
Rilevamento hotspot del portale vincolato
AnyConnect visualizza il messaggio di errore "Unable to contact VPN server" (Impossibile contattare il server VPN) sull'interfaccia utente se non è possibile connettersi, indipendentemente dalla causa. Il server VPN specifica il gateway sicuro. Se Always-on è abilitato e non è presente un portale vincolato, il client continua a tentare di connettersi alla VPN e aggiorna di conseguenza il messaggio di stato.
Se la VPN sempre attiva è abilitata, il criterio dell'errore di connessione è chiuso, il monitoraggio e aggiornamento del portale captive è disabilitato e AnyConnect rileva la presenza di un portale captive, l'interfaccia utente di AnyConnect visualizza questo messaggio una volta per ciascuna connessione e una volta per ciascuna riconnessione:
The service provider in your current location is restricting access to the internet.
The AnyConnect protection settings must be lowered for you to log on with the service
provider. Your current enterprise security policy does not allow this.
Se AnyConnect rileva la presenza di un portale captive e la configurazione di AnyConnect è diversa da quella descritta precedentemente, l'interfaccia utente di AnyConnect visualizza questo messaggio una volta per ciascuna connessione e una volta per ciascuna riconnessione:
The service provider in your current location is restricting access to the internet.
You need to log on with the service provider before you can establish a VPN session.
You can try this by visiting any website with your browser.
Attenzione: il rilevamento del portale vincolato è abilitato per impostazione predefinita e non è configurabile. AnyConnect non modifica le impostazioni di configurazione del browser durante il rilevamento del portale vincolato.
Correzione hotspot Captive Portal
La risoluzione dei problemi del portale vincolato è il processo in cui si soddisfano i requisiti di un hotspot del portale vincolato per ottenere l'accesso alla rete.
AnyConnect non corregge il portale vincolato; si basa sull'utente finale per eseguire il ripristino.
Per eseguire la correzione del portale vincolato, l'utente finale soddisfa i requisiti del provider di hotspot. Questi requisiti possono includere il pagamento di una tariffa di accesso alla rete, una firma su una policy per un utilizzo accettabile, entrambi, o altri requisiti definiti dal provider.
Se AnyConnect Always-on è abilitato e il criterio di errore della connessione è impostato su Closed, la risoluzione dei problemi del portale vincolato deve essere consentita esplicitamente in un profilo del client VPN AnyConnect. Se l'opzione Always-on è abilitata e il criterio Connessione non riuscita è impostato su Open, non è necessario consentire esplicitamente il monitoraggio e l'aggiornamento dei portali in un profilo AnyConnect VPN Client perché all'utente non è limitato l'accesso alla rete.
Rilevamento Portale Captive Falso
AnyConnect può presumere erroneamente che si trovi in un portale vincolato nelle seguenti situazioni:
- Se AnyConnect tenta di contattare un'ASA con un certificato contenente un nome di server (CN) non corretto, il client AnyConnect lo considera come ambiente di portale vincolato.
Per evitare questo problema, verificare che il certificato ASA sia configurato correttamente. Il valore CN nel certificato deve corrispondere al nome del server ASA nel profilo del client VPN.
- Se prima dell'appliance ASA vi è un altro dispositivo in rete che risponde quando l'utente tenta di contattare un'appliance ASA a causa del blocco dell'accesso HTTPS all'appliance ASA, il client AnyConnect lo considera come ambiente di portale vincolato. Questa situazione può verificarsi quando un utente si trova su una rete interna e si connette tramite un firewall per connettersi all'appliance ASA.
Se è necessario limitare l'accesso all'appliance ASA dall'interno dell'azienda, configurare il firewall in modo che il traffico HTTP e HTTPS verso l'indirizzo ASA non restituisca uno stato HTTP. L'accesso HTTP/HTTPS all'appliance ASA è consentito o completamente bloccato (noto anche come black-holed) per garantire che le richieste HTTP/HTTPS inviate all'appliance ASA non restituiscano una risposta imprevista.
Comportamento di AnyConnect
In questa sezione viene descritto il comportamento di AnyConnect.
- AnyConnect prova una sonda HTTPS per il nome di dominio completo (FQDN) definito nel profilo XML.
- Se si verifica un errore di certificato (FQDN non attendibile/errato), AnyConnect tenta di eseguire una sonda HTTP all'FQDN definito nel profilo XML. Se esiste una risposta diversa da HTTP 302, funziona come se fosse dietro un portale vincolato.
Portale vincolato non rilevato correttamente con IKEv2
Quando si tenta di stabilire una connessione Internet Key Exchange versione 2 (IKEv2) a un'ASA con l'autenticazione SSL disabilitata, che esegue il portale ASDM (Adaptive Security Device Manager) sulla porta 443, la sonda HTTPS eseguita per il rilevamento dei portali vincolati determina il reindirizzamento al portale ASDM (/admin/public/index.html). Poiché non è previsto dal client, viene visualizzato come reindirizzamento del portale vincolato e il tentativo di connessione viene impedito perché è necessario eseguire il monitoraggio e l'aggiornamento del portale vincolato.
Soluzioni
Se si verifica questo problema, sono disponibili alcune soluzioni:
- Rimuovere i comandi HTTP dall'interfaccia in modo che l'ASA non sia in grado di ascoltare le connessioni HTTP sull'interfaccia.
- Rimuovere il trust point SSL sull'interfaccia.
- Abilitare i servizi client IKEV2.
- Abilitare WebVPN sull'interfaccia.
Attenzione: lo stesso problema si verifica per i router Cisco IOS®. Se il server http ip è abilitato su Cisco IOS, condizione necessaria se si utilizza la stessa casella del server PKI, AnyConnect rileva erroneamente il portale vincolato. Per risolvere il problema, usare ip http access-class per interrompere le risposte alle richieste HTTP AnyConnect, anziché una richiesta di autenticazione.
Disattiva la funzionalità Portale vincolato
È possibile disabilitare la funzione Captive Portal nel client AnyConnect versione 4.2.0096 e successive. L'amministratore può determinare se l'opzione può essere configurabile dall'utente o disattivata. Questa opzione è disponibile nella sezione Preferenze (Parte 1) dell'editor dei profili. L'amministratore può selezionare Disabilita rilevamento portale vincolato o Controllabile dall'utente, come mostrato nell'acquisizione dello schermo dell'editor di profili:
Se è selezionata l'opzione Controllabile dall'utente, la casella di controllo viene visualizzata nella scheda Preferenze dell'interfaccia utente di AnyConnect Secure Mobility Client, come mostrato di seguito: