Поддержка оборудования точек доступа Juniper Mist впервые реализована в WNAM версии 1.6.2672 (март 2021 года).
Интеграционная проверка проводилась с точкой доступа модели AP43, хотя по всей видимости всё также будет работать с точками других моделей, поддерживающих современные прошивки.
Важно: убедитесь, что на точке работает самая последняя версия программного обеспечения (в примере - 0.8.21301).
Точки доступа Mist управляются через американский облачный сервис, но с абонентами и платформой авторизации взаимодействуют непосредственно, без облака. В связи с выбранной вендором схемой важно, чтобы между всеми точками доступа, и платформой авторизации WNAM существовала прямая маршрутизация трафика (UDP port 1812, 1813, 1700) без применения NAT.
На стороне портала управления Mist в настройках параметра гостевой сети, Network - WLANs, вы должны указать:
MAC address authentication by RADIUS lookup: включено
Guest Access with Mac Authentication Bypass: включено
RadSec: выключено
RADIUS Authentication Servers: указать IP адрес сервера WNAM, порт 1812, секретный ключ
RADIUS Accounting Servers: указать IP адрес сервера WNAM, порт 1813, секретный ключ
Enable Interim Accounting: включено, интервал - например 120 или 300 секунд
NAS IP Address: не указывать, в этом случае адресом будет адрес самой точки доступа
CoA/DM Server: указать IP адрес сервера WNAM, порт 1700, секретный ключ
Event-Timestamp: optional
Guest Portal: No portal (go directly to internet)
Эти настройки отображены на скриншоте. В примере - сервер WNAM имеет адрес 172.16.131.5, секретный ключ wnam_radius. Точка доступа, и абоненты, находятся в той же сети.
Для того, чтобы сервер WNAM мог работать со всеми точками Mist в вашей сети как с одним устройством, т.е. без необходимости настройки объекта "сервер доступа" для каждой точки, применен следующий подход: вы должны создать один объект "сервер доступа" типа "Mist", и в качестве параметра NAS-IP-Address указать всю подсеть, в которой у вас эти точки находятся. В таком режиме обеспечится как RADIUS Auth/Acct взаимодействие точек и платформы, так и RADIUS CoA взаимодействие в обратную сторону (от платформы к точкам).
Вы должны создать сервер доступа со следующими настройками:
На второй вкладке настроек укажите URL до вашего сервера WNAM:
В вашем случае URL может быть в виде, например:
cisco-avpair=url-redirect=https://wnam.provider.ru/cp/mist?%URL%
Также включите MAC-авторизацию и введите секретный RADIUS-ключ для CoA-взаимодействия.
В настройках площадки желательно указать и адрес сети с абонентами, и имя сети (SSID):
Поскольку RADIUS-запросы на сервер WNAM будут поступать независимо от каждой точки доступа, убедитесь, что этот трафик разрешен на сервере правилами iptables, а сеть присутствует в настройках параметра radiusd_networks ("Конфигурация - Дополнительные настройки"):
Вы также можете настроить (раздел "Ограничения") правило прозрачного повторного допуска абонента в сеть (по завершении предыдущей сессии, без дополнительных всплывающих окон).
Если вы все настроили верно, при подключении абонента в логе WNAM (/home/wnam/logs/wnam.log) появятся записи такого рода:
15:42:41.360 DEBUG [c.n.wnam.services.WnamCmdService:1169] - Mist MAB AUTH MAC=34:9E:DF:6C:AF:21, NAS_IP=172.16.131.197, CUST=existing, site_id=310
15:42:41.400 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Start new session ID=897D8F5E7C9FA85C, MAC=34:9E:DF:6C:AF:21, IP=null, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=310
15:42:41.418 DEBUG [c.n.w.s.c.ConnectionInfoCache:303] - cached mac: 34:9E:DF:6C:AF:21, session_id: 897D8F5E7C9FA85C, nas: 172.16.131.197 MIST [N]
15:42:42.722 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Interim-Update new session ID=897D8F5E7C9FA85C, MAC=34:9E:DF:6C:AF:21, IP=172.16.131.199, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=310
15:42:45.743 DEBUG [c.n.w.services.vendors.MistService:189] - CP mist redirect: mac=34:9E:DF:6C:AF:21, ip=172.16.131.199, ap_mac=d4:20:b0:e7:93:61, server=172.16.131.197, domain=897D8F5E7C9FA85C
15:42:45.786 DEBUG [com.netams.wnam.web.cp.PageGenerator:643] - processAuthRequest MIST: username=34:9E:DF:6C:AF:21, ip=172.16.131.199, server=172.16.131.197, site_id=310, domain_id=897D8F5E7C9FA85C, dst='http://bash.im' adv curr/max=1/1
15:42:45.789 DEBUG [com.netams.wnam.web.cp.PageGenerator:381] - processRedirectRequestCi mac=34:9E:DF:6C:AF:21, method=FORM, formName=58bdc4965e4df6273ac60210, redirectUrl=http://bash.im, key=a6c7d153-2af7-4faa-9971-cdff6e1d058a
15:42:51.980 DEBUG [c.n.w.web.cp.CaptivePortalController:2095] - webLoginCi: site_id=310, username=34:9E:DF:6C:AF:21, dst='http://bash.im', dst_extra='http://bash.im'
15:42:51.982 DEBUG [com.netams.wnam.web.cp.PageGenerator:771] - loginAtNasCi MIST mac=34:9E:DF:6C:AF:21, ip=172.16.131.199, server=172.16.131.197, dst='http://bash.im'
15:42:51.990 DEBUG [c.n.w.services.vendors.MistService:158] - Mist login: key=a6c7d153-2af7-4faa-9971-cdff6e1d058a, mac=34:9E:DF:6C:AF:21, server=172.16.131.197, ip=172.16.131.199, site_id=310, phone=79666555221, smscode=null, 897D8F5E7C9FA85C
15:42:52.022 DEBUG [c.n.w.services.vendors.MistService:148] - backToMistMab CoA status=true, response=CoA-ACK, MAC=34:9E:DF:6C:AF:21, AP_IP=172.16.131.197, dst='http://bash.im'
15:42:52.055 DEBUG [c.n.wnam.services.WnamCmdService:1304] - AUTH for new session ID=897D8F5E7C9FA85C, request MAC=34:9E:DF:6C:AF:21, IP=172.16.131.199, cust_clientid=null, site_id=310
15:43:41.845 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Interim-Update existing session ID=897D8F5E7C9FA85C, duration=00:00:49, MAC=34:9E:DF:6C:AF:21, IP=172.16.131.199, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=310
15:45:41.726 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Interim-Update existing session ID=897D8F5E7C9FA85C, duration=00:02:49, MAC=34:9E:DF:6C:AF:21, IP=172.16.131.199, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=310
15:47:41.602 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Interim-Update existing session ID=897D8F5E7C9FA85C, duration=00:04:49, MAC=34:9E:DF:6C:AF:21, IP=172.16.131.199, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=310
15:49:41.619 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Interim-Update existing session ID=897D8F5E7C9FA85C, duration=00:06:49, MAC=34:9E:DF:6C:AF:21, IP=172.16.131.199, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=310
15:49:56.247 DEBUG [c.n.wnam.services.WnamCmdService:567] - ACCT Stop existing session ID=897D8F5E7C9FA85C, duration=00:07:04, MAC=34:9E:DF:6C:AF:21, IP=null, User=349edf6caf21, NAS_IP=172.16.131.197, site_id=310