Система WNAM версии 1.6 поддерживает взаимодействия с сервисным шлюзом производства RDP.RU, функционирующем в режиме BRAS.Использование сервисного шлюза позволяет Использование сервисного шлюза позволяет создать распределенную сеть Wi-Fi точек доступа (на основе контроллеров , или изолированных точек на основе OpenWrt) , и сосредоточить организацию услуги на одном устройстве (BRAS) , без необходимости настраивать хотспоты на точках доступа или контроллерах.
Важно, что этот сервисный шлюз работает Сервисный шлюз работает только в режиме L3, т.е. он ничего не знает о МАС-адресах абонентских устройств абонентов, подключенных к сети Wi-Fi. Для корректной работы системе работы системе WNAM необходима связка MAC-адреса клиента , и его текущего IP-адреса. Для этого вам необходимо настроить централизованный DHCP-сервер на основе ISC BIND или ISC Kea, которые выдают IP-адреса абонентам , и при этом информируют систему WNAM о связке "IP адрес - МАС-адрес". Важно также, чтобы пространство IP-адресов абонентов было непересекающимся.
После обычной настройки ISC DHCP вам необходимо установить "информирующую" утилиту wnam-dhcpd-bridge в в /usr/local/bin/ (взяв её здесь: взять утилиту можно по адресу: https://www.netams.com/files/wnam/misc/) , и затем добавив добавить в конфигурационный файл DHCP-сервера , /etc/dhcp/dhcpd.conf , обработчик событий:
group "wifi" {on commit {
set clip = binary-to-ascii(10, 8, ".", leased-address);
set clhw = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6));
set clhost = pick-first-value(host-decl-name, option fqdn.hostname, option host-name, "");
execute ("/usr/local/bin/wnam-dhcpd-bridge", "127.0.0.1", "password", "commit", "wnam", clip, clhw, clhost);
}
В таком случае уведомления работают по методу push, т.е. происходит информирование системы WNAM о каждом факте выделения адреса абонентыабонентам. Система WNAM кэширует эти сведения, и в лог-файле появляется появится запись:
16:34:36.749 DEBUG [c.n.wnam.services.WnamApiService:154] - DHCP commit IP=10.1.0.158, MAC=00:1F:27:90:74:CA, cust_clientid='tst-sw1'Утилита /usr/local/bin/wnam-dhcpd-bridge принимает следующие параметры:
- IP адрес сервера WNAM;
- пароль обмена (используется слово "password");
- команда;
- идентификатор сервера (не используется);
- IP-адрес;
- MAC-адрес;
- имя устройства клиента.
Если вы по каким-то особенным причинам хотите требуется использовать Kea DHCP, обратитесь в Kea DHCP, то следует обратиться в службу технической поддержки компании ООО "Нетамс" (support@netams.com).
Как только система WNAM начнет получать информацию о МАС-адресах, можно переходить к настройке шлюза RDP.Вам В первую очередь, необходимо сформировать конфигурацию шлюза следующего вида:
bras
{
enable
pass_multicast true
pass_routing_protocols true
pass_bgp_port true
bgp_port 179
acl none
no_shape ( )
policies
{
policy_av
{
priority 300
enable
ingress_auth off
local_ip ( 10.99.128.0/17 ) ! укажите здесь IP-подсеть с абонентами
type dynamic
auth radiusgroup_av
acct radiusgroup_av
reauthorization_timeout 180
session_timeout 1200
idle_monitor_direction both
idle_timeout 600
interim_interval 300
default ( service_open_garden_av service_fulldrop_av )
if_auth_accept ( service_basic )
if_auth_reject ( service_open_garden_av service_drop_av )
if_auth_fail ( service_open_garden_av service_drop_av )
}
}
services
{
service_drop_av
{
enable
name "service_drop_av"
action block
acl acl_any
redirect_url "https://wnam-server-name.ru/cp/rdp?sess=%c&ip=%i&vlan1=%v1&vlan2=%v2&dst=%u" ! укажите здесь верный адрес веб-интерфейса сервера WNAM
egress_speed 20000
ingress_speed 20000
egress_tos nochange
ingress_tos nochange
time_start never
time_end never
always_pass ( )
no_shape ( )
dpilists ( )
}
service_open_garden_av
{
enable
name "service_open_garden_av"
action pass
acl acl_open_garden_av
egress_speed 2000
ingress_speed 2000
egress_tos nochange
ingress_tos nochange
time_start never
time_end never
always_pass ( )
no_shape ( )
dpilists ( )
}
service_basic
{
enable
name "service_basic"
action pass
acl acl_any
egress_speed 100000
ingress_speed 100000
egress_tos nochange
ingress_tos nochange
time_start never
time_end never
always_pass ( )
no_shape ( )
dpilists ( )
}
service_fulldrop_av
{
enable
name "service_fulldrop_av"
action block
acl acl_any
redirect_url ""
egress_speed 20000
ingress_speed 20000
egress_tos nochange
ingress_tos nochange
time_start never
time_end never
always_pass ( )
no_shape ( )
dpilists ( )
}
}
Конфигурация Затем следует сформировать конфигурацию RADIUS-сервера (это сервер WNAM):
radius
{
request_burst_interval 1
request_burst_size 1
coa
{
enable
port 3799
secret "wnam_radius"
}
radius_groups
{
radiusgroup_av
{
type active_standby
description ""
request_max 3
request_timeout 3
dead_time_min 15
dead_time_max 300
servers ( radius_av )
}
}
radius_servers
{
radius_av
{
enable
server 10.99.1.10 ! укажите IP-адрес сервера WNAM
acct_port 1813
auth_port 1812
secret "wnam_radius"
}
}
}
}
Список Затем следует сформировать список доступа, разрешающий обращения абонентов к порталу авторизации и DNS до открытия доступа в сеть Интернет:
acls
{
acl_open_garden_av {
10 permit ip src any dst host 10.99.1.10
20 permit ip src any dst host 8.8.8.8
}
}
Данная конфигурация определяет следующее:
- При старте новой сессии абонента на BRAS тому присваивается два сервиса - доступ абонентов на портал (service_open_garden_av)
...
- и блокировка всего остального с редиректом (service_drop_av).
- После успешной авторизации через RADIUS Auth или CoA эти сервисы убираются, и назначается сервис с доступом в сеть Интернет (service_basic).
В свою очередь сервер WNAM настраивается традиционным образом (метод авторизации, приветствия, настройка площадки), и дополнительно настраивается запись о сервере доступа типа RDP.RU :
как показано на рисунке.
Параметры (параметры логин и пароль по факту при данной настройке не используются).
(обратите Следует обратить внимание на букву "А" перед именем сервиса. она , данная буква обязательна).
Не забудьте Необходимо корректно прописать RADIUS-ключ, а также указать диапазон IP-адресов RADIUS-клиентов (т.е. самого BRAS) в разделе "Конфигурация-" → "Дополнительные настройки", ключ radiusd_networks (частные сети там уже прописаны).Для Для определения MAC-адреса точки доступа, используемой при подключении абонента (старте его сессии) для целей СОРМ желательно рекомендуется применять инструменты WNAM EM или WNAM Devices (обратитесь за дополнительной информацией по данному вопросу можно обратиться в службу технической поддержки компании ООО "Нетамс" на support@netams.com).