Система WNAM версии 1.6 поддерживает взаимодействия с сервисным шлюзом производства RDP.RU, функционирующем в режиме BRAS. Использование сервисного шлюза позволяет создать распределенную сеть Wi-Fi точек доступа (на основе контроллеров или изолированных точек на основе OpenWrt) и сосредоточить организацию услуги на одном устройстве (BRAS) без необходимости настраивать хотспоты на точках доступа или контроллерах.
Сервисный шлюз работает только в режиме L3, т.е. он ничего не знает о МАС-адресах устройств абонентов, подключенных к сети Wi-Fi. Для корректной работы системе WNAM необходима связка MAC-адреса клиента и его текущего IP-адреса. Для этого необходимо настроить централизованный DHCP-сервер на основе ISC BIND или ISC Kea, которые выдают IP-адреса абонентам и при этом информируют систему WNAM о связке "IP адрес - МАС-адрес". Важно, чтобы пространство IP-адресов абонентов было непересекающимся.
После обычной настройки ISC DHCP необходимо установить "информирующую" утилиту wnam-dhcpd-bridge в /usr/local/bin/ (взять утилиту можно по адресу: https://www.netams.com/files/wnam/misc/) и затем добавить в конфигурационный файл DHCP-сервера /etc/dhcp/dhcpd.conf обработчик событий:
group "wifi" {on commit {
set clip = binary-to-ascii(10, 8, ".", leased-address);
set clhw = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6));
set clhost = pick-first-value(host-decl-name, option fqdn.hostname, option host-name, "");
execute ("/usr/local/bin/wnam-dhcpd-bridge", "127.0.0.1", "password", "commit", "wnam", clip, clhw, clhost);
}
В таком случае уведомления работают по методу push, т.е. происходит информирование системы WNAM о каждом факте выделения адреса абонентам. Система WNAM кэширует эти сведения, и в лог-файле появится запись:
16:34:36.749 DEBUG [c.n.wnam.services.WnamApiService:154] - DHCP commit IP=10.1.0.158, MAC=00:1F:27:90:74:CA, cust_clientid='tst-sw1'
Утилита /usr/local/bin/wnam-dhcpd-bridge принимает следующие параметры:
- IP адрес сервера WNAM;
- пароль обмена (используется слово "password");
- команда;
- идентификатор сервера (не используется);
- IP-адрес;
- MAC-адрес;
- имя устройства клиента.
Если по каким-то особенным причинам требуется использовать Kea DHCP, то следует обратиться в службу технической поддержки компании ООО "Нетамс" (support@netams.com).
Как только система WNAM начнет получать информацию о МАС-адресах, можно переходить к настройке шлюза RDP. В первую очередь, необходимо сформировать конфигурацию шлюза следующего вида:
bras
{
enable
pass_multicast true
pass_routing_protocols true
pass_bgp_port true
bgp_port 179
acl none
no_shape ( )
policies
{
policy_av
{
priority 300
enable
ingress_auth off
local_ip ( 10.99.128.0/17 ) ! укажите здесь IP-подсеть с абонентами
type dynamic
auth radiusgroup_av
acct radiusgroup_av
reauthorization_timeout 180
session_timeout 1200
idle_monitor_direction both
idle_timeout 600
interim_interval 300
default ( service_open_garden_av service_fulldrop_av )
if_auth_accept ( service_basic )
if_auth_reject ( service_open_garden_av service_drop_av )
if_auth_fail ( service_open_garden_av service_drop_av )
}
}
services
{
service_drop_av
{
enable
name "service_drop_av"
action block
acl acl_any
redirect_url "https://wnam-server-name.ru/cp/rdp?sess=%c&ip=%i&vlan1=%v1&vlan2=%v2&dst=%u" ! укажите здесь верный адрес веб-интерфейса сервера WNAM
egress_speed 20000
ingress_speed 20000
egress_tos nochange
ingress_tos nochange
time_start never
time_end never
always_pass ( )
no_shape ( )
dpilists ( )
}
service_open_garden_av
{
enable
name "service_open_garden_av"
action pass
acl acl_open_garden_av
egress_speed 2000
ingress_speed 2000
egress_tos nochange
ingress_tos nochange
time_start never
time_end never
always_pass ( )
no_shape ( )
dpilists ( )
}
service_basic
{
enable
name "service_basic"
action pass
acl acl_any
egress_speed 100000
ingress_speed 100000
egress_tos nochange
ingress_tos nochange
time_start never
time_end never
always_pass ( )
no_shape ( )
dpilists ( )
}
service_fulldrop_av
{
enable
name "service_fulldrop_av"
action block
acl acl_any
redirect_url ""
egress_speed 20000
ingress_speed 20000
egress_tos nochange
ingress_tos nochange
time_start never
time_end never
always_pass ( )
no_shape ( )
dpilists ( )
}
}
Затем следует сформировать конфигурацию RADIUS-сервера (это сервер WNAM):
radius
{
request_burst_interval 1
request_burst_size 1
coa
{
enable
port 3799
secret "wnam_radius"
}
radius_groups
{
radiusgroup_av
{
type active_standby
description ""
request_max 3
request_timeout 3
dead_time_min 15
dead_time_max 300
servers ( radius_av )
}
}
radius_servers
{
radius_av
{
enable
server 10.99.1.10 ! укажите IP-адрес сервера WNAM
acct_port 1813
auth_port 1812
secret "wnam_radius"
}
}
}
}
Затем следует сформировать список доступа, разрешающий обращения абонентов к порталу авторизации и DNS до открытия доступа в сеть Интернет:
acls
{
acl_open_garden_av {
10 permit ip src any dst host 10.99.1.10
20 permit ip src any dst host 8.8.8.8
}
}
Данная конфигурация определяет следующее:
- При старте новой сессии абонента на BRAS тому присваивается два сервиса - доступ абонентов на портал (service_open_garden_av) и блокировка всего остального с редиректом (service_drop_av).
- После успешной авторизации через RADIUS Auth или CoA эти сервисы убираются, и назначается сервис с доступом в сеть Интернет (service_basic).
В свою очередь сервер WNAM настраивается традиционным образом (метод авторизации, приветствия, настройка площадки), и дополнительно настраивается запись о сервере доступа типа RDP.RU как показано на рисунке.
Параметры логин и пароль при данной настройке не используются.
Следует обратить внимание на букву "А" перед именем сервиса, данная буква обязательна.
Необходимо корректно прописать RADIUS-ключ, а также указать диапазон IP-адресов RADIUS-клиентов (т.е. самого BRAS) в разделе "Конфигурация" → "Дополнительные настройки", ключ radiusd_networks (частные сети там уже прописаны). Для определения MAC-адреса точки доступа, используемой при подключении абонента (старте его сессии) для целей СОРМ рекомендуется применять инструменты WNAM EM или WNAM Devices (за дополнительной информацией по данному вопросу можно обратиться в службу технической поддержки компании ООО "Нетамс" на support@netams.com).