You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 4 Next »

 

Для корректной работы WNAM необходимо спроектировать и настроить соответствующее сетевое окружение.

Типовая схема сети приведена на рисунке. В сети вашей компании (это может быть внутренняя сеть небольшого офиса, либо отдельный сегмент большой сети, предназначенный для служебных нужд) устанавливается сервер, на котором будет работать программное обеспечение WNAM, и сопутствующие службы. Это может быть как физический сервер, так и виртуальная машина.

Также создается дополнительный сегмент беспроводных точек доступа, к которым будут подключаться ваши абоненты. Точки доступа можно использовать любые. Из соображений безопасности крайне желательно разграничить сетевые сегменты открытой (публичной части), и вашей внутренней сети. Такое разграничение можно обеспечить либо на физическом уровне, либо при помощи VLAN. В качестве маршрутизатора, обеспечивающего выход пользователей беспроводной сети в Интернет, необходимо использовать маршрутизатор Mikrotik (модели RB951Ui-2HnD, RB951G-2HnD, RB750UP, RB2011iL-IN, RB1100AHx2 и т.п.). Это устройство выполняет роль портала перехвата трафика (HotSpot), на котором производится идентификация и авторизация пользователя.

Для идентификации через SMS сервер будет отправлять команды на отправку SMS с кодом доступа через шлюз SMS-провайдера (в настоящее время поддерживается провайдер SMSC).

Если у вас несколько площадок, где вы предоставляете доступ пользователям, вы можете установить на каждой из них по своему маршрутизатору Mikrotik. В таком случае вам необходимо настроить несколько экземпляров "серверов доступа" и "площадок" в соответствующих разделах интерфейса WNAM (внимание: количества лицензируются). Вы можете связать площадки с центральным узлом (где находится сервер) при помощи VPN (OpenVPN, VPLS, VLAN и т.п.). Вы можете также привязать насколько площадок на один маршрутизатор MikroTik (несколько экземпляров HotSpot).

Вместо маршрутизатора MikroTik можно организовать портал перехвата пользователей (HotSpot) средствами межсетевого экрана самого сервера (документация появится позже).

Для успешной работы необходима тонкая настройка трёх компонентов: WNAM, RADIUS-сервера, портала HotSpot маршрутизатора MikroTik.

В настоящий момент существует два основных способа работы программного обеспечения WNAM: прозрачный доступ и учёт пользователей, и доступ при идентификация при помощи SMS. В каждом из них присутствуют дополнительные режимы работы (редирект на ссылку и/или показ рекламы).

Прозрачный доступ

  1. Пользователь подключает свое беспроводное устройство (ноутбук, смартфон, планшет) к беспроводной сети (без авторизации), построенной на основе UniFi или иного оборудования, получает IP-адрес от маршрутизатора (DHCP).
  2. Пользователь открывает какую-либо страницу в сети Интернет (либо его устройство само открывает страницу).
  3. Маршрутизатор MikroTik (компонент HotSpot) считает сессию пользователя "неавторизованной" и производит перенаправление сессии пользователя "на себя".
  4. HotSpot производит попытку авторизации пользователя по МАС-адресу устройства, обращаясь к внешнему RADIUS-серверу.
  5. RADIUS-сервер, получив запрос на авторизацию, через Perl-модуль wnam-freeradius-bridge.pl передает в WNAM запрос на авторизацию (MAC-адрес абонентского устройства пользователя, идентификаторы площадки, текущий IP-адрес и т.п.).
  6. WNAM авторизует любое обращение, создает в своей базе учётную запись абонента (пользователя) по МАС-адресу (если такого адреса ещё не было), возвращает ответ RADIUS-серверу
  7. RADIUS-сервер возвращает ответ маршрутизатору, тот авторизует на своем портале HotSpot сессию пользователя, открывая ему доступ в Internet. Одновременно с этим отправляет RADIUS-серверу запрос начала сессии (Accounting-Start).
  8. RADIUS-сервер транслирует запрос начала учёта сессии в WNAM, тот создаёт запись о новой сессии. Периодически получая сообщения о статусе сессии, WNAM ведет статистику о переданном абонентом трафике.

Прозрачный доступ с перенаправлением

При этом способе организации доступа портал перехвата осуществляет авторизацию не по МАС-адресу, а по логину и паролю, "зашитыми" в страницу портала перехвата, отображаемую пользователю. При этом МАС-адрес устройства ользователя также передается в WNAM и используется для идентификации. Необходимо сменить типа авторизации HotSpot с "MAC" на "HTTP PAP". Тогда:

4. Портал отображает пользователю собственную страницу авторизации rlogin.html. Указанная страница (шаблон) должны быть предварительно загружена в маршрутизатор, и в ней указана автоматическая отправка формы клиентом.

5.  Форма содержит ссылку на встроенный в WNAMПри отправке формы в сторону WNAM 

  • No labels