WNAM версии 1.6 поддерживает работу с контроллерами TP-LINK Omada. В настоящее время такие контроллеры предпочтительнее "автономных" устаревших CAP/EAP контроллеров и точек доступа. Поддерживается работа только с 5й версией Omada (тестировалось на 5.12.7).
В нижеследующем примере сервер системы WNAM имеет адрес 172.16.130.5 (порт 8080 для портала, порты 1812 и 1813 для RADIUS), связанный с ним контроллер Omada: 172.16.130.11, точка доступа EAP-615w: 172.16.130.43. Беспроводные клиенты находятся в сети 172.16.130.0/24.
В настройках контроллера создаём запись о RADIUS-сервере (Create New RADIUS profile):
и настраиваем сервер:
Затем создаем профиль беспроводной сети, режим Guest Network не включаем, остальные настройки в профиле делаем по необходимости.:
Включаем МАС-авторизацию, с её использованием точка доступа сначала производит RADIUS-запрос в сторону системы WNAM, а при отсутствии ответа или отказе-перенаправление на веб-авторизацию (Fallback-режим).
Создаём портальный профиль:
и настраиваем его:
в качестве ссылки редиректа необходимо указать http://172.16.130.5:8080/cp/omada5
В вашем случае ссылка может быть другая, например https://wnam.provider.ru/cp/omada5 , но она должна обязательно заканчиваться на /cp/omada5 - это специальный эндпоинт для редиректа на стороне сервера WNAM.
Наконец, настраиваем безусловный доступ к внутренним ресурсам до авторизации, как минимум к самому серверу WNAM:
На этом настройка контроллера закончена, и необходимо настраивать сервер WNAM.
Внимание! Контроллер Omada обеспечивает управление точками и некоторые функции авторизации. Редирект пользовательского трафика на гостевой портал, RADIUS-запросы идут непосредственно с самих точек доступа. Поэтому WNAM будет взаимодействовать (в части RADIUS-протокола как с контроллером, так и с точками доступа).
Необходимо создать один объект "Сервер доступа" типа TP-Link EAP/CAP, который будет выполнять роль "контроллера":
и ещё один похожий объект, в котором указана вся сеть с точками доступа:
(если и контроллер, и точки доступа расположены в одной сети, первый (контроллера) объект можно не создавать).
В любом случае сервер доступа - это RADIUS-клиент для системы WNAM. Не забудьте во второй вкладке его настроек прописать секретный ключ (secret в примере).
Теперь создайте площадку оказания услуги 0 - клиентскую подсеть. Очень желательно указать имя сети (SSID) в её настройках.
Также настройте параметры авторизации, приветствия, и ограничений (для площадки, или по умолчанию для всей системы в целом).
Если у вас установлена лицензия корпоративной авторизации WNAM, возможно вам понадобится поправить соответствующие правила аутентификации и авторизации.
На этом настройка закончена, и можно проверять подключение. Обратите внимание, что МАС-авторизация проводится точкой, а запрос доступа после завершения портальной авторизации - самим контроллером.
18:38:28.530 DEBUG [WnamRadiusService.java:557] - handleRadiusPacket AUTH as=172.16.130.43, secret_len=6, attrs=[User-Name: 3A-D5-10-A9-F4-01, NAS-IP-Address: 172.16.130.43, NAS-Port: 1, Framed-IP-Address: 0.0.0.0, Called-Station-Id: 34-60-F9-DC-B5-86:OmadaTest, Calling-Station-Id: 3A-D5-10-A9-F4-01, NAS-Identifier: Tp-LinkOmada, Acct-Session-Id: 3460F9DCB5863AD510A9F4012A0D7BD20000000C, NAS-Port-Type: Wireless-802.11, NAS-Port-Id: 00000001, User-Password: <stripped out>, Service-Type: Login-User, Message-Authenticator: 0x...]
18:38:33.541 DEBUG [TplinkService.java:249] - CP tplink OMADA redirect: cid=3A:D5:10:A9:F4:01, ip=172.16.130.142, ap='34:60:F9:DC:B5:86', controller=172.16.130.11
18:38:33.693 DEBUG [PageGenerator.java:677] - processAuthRequest TPLINK: username=3A:D5:10:A9:F4:01, ip=172.16.130.142, server=172.16.130.11, site_id=600, domain_id=0, dst='http://aaa.ru' adv curr/max=1/1
18:38:33.695 DEBUG [PageGenerator.java:1262] - captive portal redirected to SMS page, username=3A:D5:10:A9:F4:01, cust=new, form='5f21574af572b1641811b819'
18:38:42.875 DEBUG [CaptivePortalController.java:2008] - webLoginCi: site_id=600, username=3A:D5:10:A9:F4:01, dst='http://aaa.ru', dst_extra='http://aaa.ru'
18:38:42.875 DEBUG [PageGenerator.java:811] - loginAtNasCi TPLINK mac=3A:D5:10:A9:F4:01, ip=172.16.130.142, server=172.16.130.11, dst='http://aaa.ru'
18:38:42.879 DEBUG [TplinkService.java:170] - backToTpLink OMADA login len=817, server='172.16.130.11', username=3A:D5:10:A9:F4:01
18:38:42.917 DEBUG [WnamRadiusService.java:557] - handleRadiusPacket AUTH as=172.16.130.11, secret_len=6, attrs=[User-Name: 3A:D5:10:A9:F4:01, Service-Type: Callback-Framed-User, NAS-IP-Address: 172.16.130.11, Framed-IP-Address: 172.16.130.142, Called-Station-Id: 34-60-F9-DC-B5-86:OmadaTest, Calling-Station-Id: 3A-D5-10-A9-F4-01, NAS-Identifier: TP-LinkOmada, Acct-Session-Id: 7384a39884be4a6c9638787adfee4027, NAS-Port-Type: Wireless-802.11, NAS-Port: 1, NAS-Port-Id: 00000001, Vendor-Specific: 0x, User-Password: <stripped out>, Message-Authenticator: 0x...]
18:39:01.299 DEBUG [WnamRadiusService.java:557] - handleRadiusPacket ACCT as=172.16.130.11, secret_len=6, attrs=[User-Name: 3A:D5:10:A9:F4:01, Acct-Status-Type: Start, Acct-Session-Id: 7384a39884be4a6c9638787adfee4027, Event-Timestamp: 1704469141, Acct-Delay-Time: 18, NAS-Port-Type: Wireless-802.11, NAS-Port: 1, NAS-Port-Id: 00000001, Framed-IP-Address: 172.16.130.142, NAS-IP-Address: 172.16.130.11, NAS-Identifier: TP-LinkOmada, Called-Station-Id: 34-60-F9-DC-B5-86:OmadaTest, Calling-Station-Id: 3A-D5-10-A9-F4-01, Vendor-Specific: 0x]