Поддержка оборудования точек доступа Juniper Mist впервые реализована в системе WNAM версии 1.6.2672 (март 2021 года). Интеграционная проверка проводилась с точкой доступа модели AP43, но с большой вероятностью всё также будет работать с точками других моделей, поддерживающих современные прошивки.
В первую очередь, следует убедиться, что на точке работает самая последняя версия ПО (в примере используется - 0.8.21301).
Точки доступа Mist управляются через американский облачный сервис, но с абонентами и платформой авторизации взаимодействуют непосредственно, без облака. В связи с выбранной вендором схемой важно, чтобы между всеми точками доступа и платформой авторизации WNAM существовала прямая маршрутизация трафика (UDP port 1812, 1813, 1700) без применения NAT. На стороне портала управления Mist в настройках параметра гостевой сети, Network - WLANs необходимо указать:
MAC address authentication by RADIUS lookup: включено
Guest Access with Mac Authentication Bypass: включено
RadSec: выключено
RADIUS Authentication Servers: указать IP адрес сервера WNAM, порт 1812, секретный ключ
RADIUS Accounting Servers: указать IP адрес сервера WNAM, порт 1813, секретный ключ
Enable Interim Accounting: включено, интервал - например 120 или 300 секунд
NAS IP Address: не указывать, в этом случае адресом будет адрес самой точки доступа
CoA/DM Server: указать IP адрес сервера WNAM, порт 1700, секретный ключ
Event-Timestamp: optional
Guest Portal: No portal (go directly to internet)
Данные настройки отображены на рисунке ниже.
В примере используются следующие начальные данных:
- сервер WNAM имеет адрес 172.16.131.5;
- секретный ключ wnam_radius;
- точка доступа и абоненты находятся в той же сети.
Для того, чтобы сервер WNAM мог работать со всеми точками Mist в сети как с одним устройством, т.е. без необходимости настройки объекта "Сервер доступа" для каждой точки, применен следующий подход: необходимо создать один объект "Сервер доступа" типа "Mist" и в качестве параметра "NAS-IP-Address" указать всю подсеть, в которой эти точки находятся. В таком режиме обеспечится как RADIUS Auth/Acct взаимодействие точек и платформы, так и RADIUS CoA взаимодействие в обратную сторону (от платформы к точкам).
В системе WNAM в разделе "Конфигурация" → "Сервера доступа" необходимо создать сервер доступа с настройками, представленными на рисунке.
Во вкладке "RADIUS" настроек следует указать URL до сервера WNAM.
URL может быть в виде, например:
cisco-avpair=url-redirect=https://wnam.provider.ru/cp/mist?%URL%
Также необходимо включить MAC-авторизацию и ввести секретный RADIUS-ключ для CoA-взаимодействия. В настройках площадки (раздел "Конфигурация" → "Площадки") желательно указать адрес сети с абонентами и имя сети (SSID).
Поскольку RADIUS-запросы на сервер WNAM будут поступать независимо от каждой точки доступа, необходимо убедиться что этот трафик разрешен на сервере правилами iptables, а сеть присутствует в настройках параметра "radiusd_networks" (раздел "Конфигурация" → "Дополнительные настройки").
Также можно настроить в разделе "Ограничения" правило прозрачного повторного допуска абонента в сеть (по завершении предыдущей сессии, без дополнительных всплывающих окон). Если все настроики выполнены верно, при подключении абонента в логе системы WNAM (/home/wnam/logs/wnam.log) появятся записи вида:
15:42:41.360 DEBUG [c.n.wnam.services.WnamCmdService:1169] - Mist MAB AUTH MAC=34:9E:DF:6C:AF:21, NAS_IP=172.16.131.197, CUST=existing, site_id=310
15:42:41.400 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Start new session ID=897D8F5E7C9FA85C, MAC=34:9E:DF:6C:AF:21, IP=null, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=310
15:42:41.418 DEBUG [c.n.w.s.c.ConnectionInfoCache:303] - cached mac: 34:9E:DF:6C:AF:21, session_id: 897D8F5E7C9FA85C, nas: 172.16.131.197 MIST [N]
15:42:42.722 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Interim-Update new session ID=897D8F5E7C9FA85C, MAC=34:9E:DF:6C:AF:21, IP=172.16.131.199, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=31015:42:45.743 DEBUG [c.n.w.services.vendors.MistService:189] - CP mist redirect: mac=34:9E:DF:6C:AF:21, ip=172.16.131.199, ap_mac=d4:20:b0:e7:93:61, server=172.16.131.197, domain=897D8F5E7C9FA85C
15:42:45.786 DEBUG [com.netams.wnam.web.cp.PageGenerator:643] - processAuthRequest MIST: username=34:9E:DF:6C:AF:21, ip=172.16.131.199, server=172.16.131.197, site_id=310, domain_id=897D8F5E7C9FA85C, dst='http://bash.im' adv curr/max=1/1
15:42:45.789 DEBUG [com.netams.wnam.web.cp.PageGenerator:381] - processRedirectRequestCi mac=34:9E:DF:6C:AF:21, method=FORM, formName=58bdc4965e4df6273ac60210, redirectUrl=http://bash.im, key=a6c7d153-2af7-4faa-9971-cdff6e1d058a
15:42:51.980 DEBUG [c.n.w.web.cp.CaptivePortalController:2095] - webLoginCi: site_id=310, username=34:9E:DF:6C:AF:21, dst='http://bash.im', dst_extra='http://bash.im'
15:42:51.982 DEBUG [com.netams.wnam.web.cp.PageGenerator:771] - loginAtNasCi MIST mac=34:9E:DF:6C:AF:21, ip=172.16.131.199, server=172.16.131.197, dst='http://bash.im'
15:42:51.990 DEBUG [c.n.w.services.vendors.MistService:158] - Mist login: key=a6c7d153-2af7-4faa-9971-cdff6e1d058a, mac=34:9E:DF:6C:AF:21, server=172.16.131.197, ip=172.16.131.199, site_id=310, phone=79666555221, smscode=null, 897D8F5E7C9FA85C
15:42:52.022 DEBUG [c.n.w.services.vendors.MistService:148] - backToMistMab CoA status=true, response=CoA-ACK, MAC=34:9E:DF:6C:AF:21, AP_IP=172.16.131.197, dst='http://bash.im'15:42:52.055 DEBUG [c.n.wnam.services.WnamCmdService:1304] - AUTH for new session ID=897D8F5E7C9FA85C, request MAC=34:9E:DF:6C:AF:21, IP=172.16.131.199, cust_clientid=null, site_id=310
15:43:41.845 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Interim-Update existing session ID=897D8F5E7C9FA85C, duration=00:00:49, MAC=34:9E:DF:6C:AF:21, IP=172.16.131.199, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=310
15:45:41.726 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Interim-Update existing session ID=897D8F5E7C9FA85C, duration=00:02:49, MAC=34:9E:DF:6C:AF:21, IP=172.16.131.199, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=310
15:47:41.602 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Interim-Update existing session ID=897D8F5E7C9FA85C, duration=00:04:49, MAC=34:9E:DF:6C:AF:21, IP=172.16.131.199, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=310
15:49:41.619 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Interim-Update existing session ID=897D8F5E7C9FA85C, duration=00:06:49, MAC=34:9E:DF:6C:AF:21, IP=172.16.131.199, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=310
15:49:56.247 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Stop existing session ID=897D8F5E7C9FA85C, duration=00:07:04, MAC=34:9E:DF:6C:AF:21, IP=null, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=310