...
- контроллер беспроводных точек доступа, который имеет соответствующие функции (называемые производителем hostspot/wispr/external captive portal и т.п.): Cisco WLC, Bluesocket vWLC, Ruckus, Zyxel NXC, Aruba, UniFi, HP MSM и т.п.
- любая "бытовая" точка доступа с установленной прошивкой OpenWrt/dd-wrt и программным пакетом CoovaChilli
- маршрутизатор с функцией портала перехвата hotspot, возможно со встроенной точкой доступа: Mikrotik (модели RB951Ui-2HnD, RB951G-2HnD, RB750UP, RB2011iL-IN, RB1100AHx2 модели hAP, CCR, CHR, RBxxx и т.п.)
- сервер-маршрутизатор Linux, выполняющий роль шлюза по умолчанию для сети абонентов Wi-Fi
- маршрутизатор на основе pfSense (клон FreeBSD) с функцией Captive Portal
- сервер-концентратор доступа BRAS, например Cisco 7200, Cisco ASR, Alcatel-Lucent SR7750, Juniper MX (требует дополнительной лицензии)
...
Перед настройкой сервера WNAM и хотспота на беспроводном контроллере/маршрутизаторе вы должны убедиться, что сама беспроводная сеть настроена правильно. Абоненты должны подключаться к сети, получать IP-адрес (работает DHCP), должна функционировать служба DNS, маршрутизация трафика, служба трансляции адресов (NAT). Без корректно работающей беспроводной сети в режиме "без авторизации" переходить к настойке WNAM не следует.
Для успешной работы аервиса сервиса авторизации необходима настройка трёх компонентов: WNAM-портала, WNAM-RADIUS-сервера, службы HotSpot на устройстве.
...
- Пользователь подключает свое беспроводное устройство (ноутбук, смартфон, планшет) к беспроводной сети (без авторизации), построенной на основе UniFi или иного радио-оборудования, получает IP-адрес от маршрутизатора (DHCP).
- Пользователь открывает какую-либо страницу в сети Интернет (либо его устройство само открывает страницу).
- Маршрутизатор или контроллер (компонент HotSpot) считает сессию пользователя "не авторизованной" и производит перенаправление сессии пользователя "на себя".
- HotSpot отображает пользователю собственную страницу авторизации (например, rlogin.html для Mikrotik). Указанная страница (шаблон) должны быть предварительно загружена в маршрутизатор, и в ней указана автоматическая отправка формы на внешний сервер WNAM. Производители контроллерно-управляемого радио-оборудования имеют такую функцию в настройках контроллера.
- Форма содержит ссылку на встроенный в WNAM веб-сервер, который показывает пользователю страницу СМС-идентификации.
- Пользователь вводит номер своего телефона.
- При получении номера телефона WNAM генерирует случайный (4 или 6-циферный) код активации, и через СМС-шлюз отправляет его на указанный телефон. Альтернативным способом является запрос пользователя отправить с этого телефона СМС на указанный вами номер - в таком случае, оплата за СМС перекладывается на абонента.
- Пользователь вводит код подтверждения
- При совпадении WNAM производит редирект (средствами HTTP redirect) сессии пользователя в сторону HotSpot маршрутизатора, либо открывает доступ пользователю иным способом.
- HotSpot производит проверку МАС-адреса пользователя путём отправки RADIUS-запроса серверу WNAM
- RADIUS-сервер, получив запрос на авторизацию, через Perl-модуль wnam-freeradius-bridge.pl передает встроенный в WNAM запрос , обрабатывает на авторизацию (MAC-адрес абонентского устройства пользователя, идентификаторы площадки, текущий IP-адрес и т.п.).
- WNAM авторизует такое обращение, создает в своей базе учётную запись абонента (пользователя) по МАС-адресу (если такого адреса ещё не было), возвращает ответ RADIUS-серверу
- RADIUS-сервер возвращает ответ маршрутизатору
- Маршрутизатор авторизует на своем портале HotSpot сессию пользователя, открывая ему доступ в Internet.
- Одновременно с этим отправляет RADIUS-серверу запрос начала сессии (Accounting-Start).
- RADIUS-сервер транслирует запрос начала учёта сессии в WNAM , тот создаёт запись о новой сессии. Периодически получая сообщения о статусе сессии, WNAM ведет статистику о переданном абонентом трафике.
- При настройке на маршрутизаторе или контроллере отправки детальных сведений о трафике абонента в сторону WNAM производится привязка получаемой статистики к текущей сессии абонента, и хранение её в базе данных для возможного последующего розыска абонента.
- По завершении сессии (тайм-аут) сессий закрывается, а пользователь, если ещё не отключился и активен, снова перенаправляется на страницу подтверждения.
...
Беспроводная сеть никак не может защититься от ситуации с подменой МАС адресов беспроводных устройств, WNAM также не сможет обеспечить такой защиты. В случае автоматической смены МАС-адреса на устройства (т.н. "рандомизация MAC-адреса") WNAM узнаёт это устройство как новое, ранее не авторизованное в сети. Это не недоработка WNAM, а издержки технологии.
...