Versions Compared

Old Version 25

changes.mady.by.user Anton Vinokurov

Saved on

compared with

New Version 26

changes.mady.by.user Anton Vinokurov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • контроллер беспроводных точек доступа, который имеет соответствующие функции (называемые производителем hostspot/wispr/external captive portal и т.п.): Cisco WLC, Bluesocket vWLC, Ruckus, Zyxel NXC, Aruba, UniFi, HP MSM и т.п.
  • любая "бытовая" точка доступа с установленной прошивкой OpenWrt/dd-wrt и программным пакетом CoovaChilli
  • маршрутизатор с функцией портала перехвата hotspot, возможно со встроенной точкой доступа: Mikrotik (модели RB951Ui-2HnD, RB951G-2HnD, RB750UP, RB2011iL-IN, RB1100AHx2 модели hAP, CCR, CHR, RBxxx и т.п.)
  • сервер-маршрутизатор Linux, выполняющий роль шлюза по умолчанию для сети абонентов Wi-Fi
  • маршрутизатор на основе pfSense (клон FreeBSD) с функцией Captive Portal 
  • сервер-концентратор доступа BRAS, например Cisco 7200, Cisco ASR, Alcatel-Lucent SR7750, Juniper MX (требует дополнительной лицензии)

...

Перед настройкой сервера WNAM и хотспота на беспроводном контроллере/маршрутизаторе вы должны убедиться, что сама беспроводная сеть настроена правильно. Абоненты должны подключаться к сети, получать IP-адрес (работает DHCP), должна функционировать служба DNS, маршрутизация трафика, служба трансляции адресов (NAT). Без корректно работающей беспроводной сети в режиме "без авторизации" переходить к настойке WNAM не следует.

Для успешной работы аервиса сервиса авторизации необходима настройка трёх компонентов: WNAM-портала, WNAM-RADIUS-сервера, службы HotSpot на устройстве.

...

  1. Пользователь подключает свое беспроводное устройство (ноутбук, смартфон, планшет) к беспроводной сети (без авторизации), построенной на основе UniFi или иного радио-оборудования, получает IP-адрес от маршрутизатора (DHCP).
  2. Пользователь открывает какую-либо страницу в сети Интернет (либо его устройство само открывает страницу).
  3. Маршрутизатор или контроллер (компонент HotSpot) считает сессию пользователя "не авторизованной" и производит перенаправление сессии пользователя "на себя".
  4. HotSpot отображает пользователю собственную страницу авторизации (например, rlogin.html для Mikrotik). Указанная страница (шаблон) должны быть предварительно загружена в маршрутизатор, и в ней указана автоматическая отправка формы на внешний сервер WNAM. Производители контроллерно-управляемого радио-оборудования имеют такую функцию в настройках контроллера.
  5. Форма содержит ссылку на встроенный в WNAM веб-сервер, который показывает пользователю страницу СМС-идентификации.
  6. Пользователь вводит номер своего телефона.
  7. При получении номера телефона WNAM генерирует случайный (4 или 6-циферный) код активации, и через СМС-шлюз отправляет его на указанный телефон. Альтернативным способом является запрос пользователя отправить с этого телефона СМС на указанный вами номер - в таком случае, оплата за СМС перекладывается на абонента. 
  8. Пользователь вводит код подтверждения
  9. При совпадении WNAM производит редирект (средствами HTTP redirect) сессии пользователя в сторону HotSpot маршрутизатора, либо открывает доступ пользователю иным способом.
  10. HotSpot производит проверку МАС-адреса пользователя путём отправки RADIUS-запроса серверу WNAM
  11. RADIUS-сервер, получив запрос на авторизацию, через Perl-модуль wnam-freeradius-bridge.pl передает встроенный в WNAM запрос , обрабатывает на авторизацию (MAC-адрес абонентского устройства пользователя, идентификаторы площадки, текущий IP-адрес и т.п.).
  12. WNAM авторизует такое обращение, создает в своей базе учётную запись абонента (пользователя) по МАС-адресу (если такого адреса ещё не было), возвращает ответ RADIUS-серверу
  13. RADIUS-сервер возвращает ответ маршрутизатору
  14. Маршрутизатор авторизует на своем портале HotSpot сессию пользователя, открывая ему доступ в Internet. 
  15. Одновременно с этим отправляет RADIUS-серверу запрос начала сессии (Accounting-Start).
  16. RADIUS-сервер транслирует запрос начала учёта сессии в WNAM , тот создаёт запись о новой сессии. Периодически получая сообщения о статусе сессии, WNAM ведет статистику о переданном абонентом трафике.
  17. При настройке на маршрутизаторе или контроллере отправки детальных сведений о трафике абонента в сторону WNAM производится привязка получаемой статистики к текущей сессии абонента, и хранение её в базе данных для возможного последующего розыска абонента.
  18. По завершении сессии (тайм-аут) сессий закрывается, а пользователь, если ещё не отключился и активен, снова перенаправляется на страницу подтверждения.

...

Беспроводная сеть никак не может защититься от ситуации с подменой МАС адресов беспроводных устройств, WNAM также не сможет обеспечить такой защиты. В случае автоматической смены МАС-адреса на устройства (т.н. "рандомизация MAC-адреса") WNAM узнаёт это устройство как новое, ранее не авторизованное в сети. Это не недоработка WNAM, а издержки технологии.

...