Для организации провайдером услуги СМС-авторизации на основе хотспотов, подключенных через Интернет, ООО "Нетамс" рекомендует придерживаться описанной ниже схемы.
Данный сценарий подходит, если:
- вы обслуживаете значительное число небольших площадок (мест оказания услуги), подключенных через Интернет
- подключения площадок осуществляется через сеть стороннего провайдера Интернет
- вы используете в качестве хотспотов устройства, установленные непосредственно на площадках клиента - маршрутизаторы Mikrotik со встроенной точкой доступа, либо точки доступа, перепрошитые на OpenWrt или dd-wrt
Сценарий не подходит вам, если вы используете:
- профессиональное Wi-Fi оборудование, управляемое контроллером (выполняющим роль хотспота)
- вы обеспечиваете прозрачный (Layer-2) транспорт сетей с площадок клиентов, в центральный узел вашей сети, где установлен большой хотспот (маршрутизатор Mikrtik, Cisco ASR, Alcatel и т.п.)
- у вас одна площадка оказания услуги (корпоративная сеть)
Рекомендуемая схема предполагает:
- Установку маршрутизатора-хотспота на каждой площадке оказания услуги. Внешний (WAN) интерфейс хотспота подключается к местному провайдеру Интернет, внутренний (LAN) интерфейс либо не используется, либо к нему подключена локальная сеть с точками доступа
- Хотспот либо содержит в себе встроенную точку доступа, либо не содержит радио-модуля. В последнем случае Wi-Fi доступ обеспечивается подключенными к LAN-порту любыми точками доступа Wi-Fi, работающими в режиме "access point".
- Для управления радио-ресурсами (каналы, SSID и т.п.) в случае применения внешних точек доступа рекомендуется использовать Uniquity UniFi. При этом контроллер точек доступа UniFi может располагаться на сервере WNAM. На контроллере должен быть отключен "гостевой доступ"
- Для обеспечения надежности и безопасности обмена информацией между хотспотами и центральным узлом вашей сети требуется настроить VPN-туннели. В противном случае вам придется открыть доступ к порталу авторизации абонентов, и к RADIUS-серверу, для всего Интернета
- Трафик авторизации абонентов (страницы приветствия, реклама), трафик RADIUS и NetFlow будут идти до сервера WNAM в туннеле, а остальной абонентский трафик (доступ в интернет) - напрямую через локального провайдера Интернет
- В качестве VPN-сервера используется OpenVPN с парольной авторизацией
Для настройки площадок рекомендуется придерживаться непересекающейся схемы IP-адресации клиентских подсетей. Адресация - частная. В данном примере пусть:
Внешний (публичный) адрес сервера 1.2.3.4
Адрес туннельного интерфейса сервера - 10.1.0.255/24
Адреса туннельных интерфейсов клиентских хотспотов - 10.1.0.1 - 10.1.0.254/24
Адреса LAN-интерфейсов клиентских хотспотов - 10.1.1.1/24 - 10.1.254.1/24 соответственно. Таким образом, вы можете подключить 254 площадки оказания услуги, с внутренним адресом 10.1.N.1/24, диапазоном адресов для клиентов 10.1.N.2-10.1.N.255 и туннельным адресом 10.1.0.N