You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Next »

Для организации провайдером услуги СМС-авторизации на основе хотспотов, подключенных через Интернет, ООО "Нетамс" рекомендует придерживаться описанной ниже схемы.

Данный сценарий подходит, если:

  • вы обслуживаете значительное число небольших площадок (мест оказания услуги), подключенных через Интернет
  • подключения площадок осуществляется через сеть стороннего провайдера Интернет
  • вы используете в качестве хотспотов устройства, установленные непосредственно на площадках клиента - маршрутизаторы Mikrotik со встроенной точкой доступа, либо точки доступа, перепрошитые на OpenWrt или dd-wrt

Сценарий не подходит вам, если вы используете:

  • профессиональное Wi-Fi оборудование, управляемое контроллером (выполняющим роль хотспота)
  • вы обеспечиваете прозрачный (Layer-2) транспорт сетей с площадок клиентов, в центральный узел вашей сети, где установлен большой хотспот (маршрутизатор Mikrotik, Cisco ASR, Alcatel и т.п.)
  • у вас одна площадка оказания услуги (корпоративная сеть)

Рекомендуемая схема предполагает:

  1. Установку маршрутизатора-хотспота на каждой площадке оказания услуги. Внешний (WAN) интерфейс хотспота подключается к местному провайдеру Интернет, внутренний (LAN) интерфейс либо не используется, либо к нему подключена локальная сеть с точками доступа
  2. Хотспот либо содержит в себе встроенную точку доступа, либо не содержит радио-модуля. В последнем случае Wi-Fi доступ обеспечивается подключенными к LAN-порту любыми точками доступа Wi-Fi, работающими в режиме "access point".
  3. Для управления радио-ресурсами (каналы, SSID и т.п.) в случае применения внешних точек доступа рекомендуется использовать Uniquity UniFi. При этом контроллер точек доступа UniFi может располагаться на сервере WNAM. На контроллере должен быть отключен "гостевой доступ"
  4. Для обеспечения надежности и безопасности обмена информацией между хотспотами и центральным узлом вашей сети требуется настроить VPN-туннели. В противном случае вам придется открыть доступ к порталу авторизации абонентов, и к RADIUS-серверу, для всего Интернета
  5. Трафик авторизации абонентов (страницы приветствия, реклама), трафик RADIUS и NetFlow будут идти до сервера WNAM в туннеле, а остальной абонентский трафик (доступ в интернет) - напрямую через локального провайдера Интернет
  6. В качестве VPN-сервера используется OpenVPN с парольной авторизацией
Для настройки площадок рекомендуется придерживаться непересекающейся схемы IP-адресации клиентских подсетей. Адресация - частная. В данном примере пусть:
Внешний (публичный) адрес сервера 1.2.3.4
Имя сервера wnam.provider.ru, резолвится в 1.2.3.4
Адрес туннельного интерфейса сервера - 10.1.0.255/24, также будет задействован служебный адрес 10.1.0.254
Адреса туннельных интерфейсов клиентских хотспотов - 10.1.0.1 - 10.1.0.253/24
Адреса LAN-интерфейсов клиентских хотспотов - 10.1.1.1/24 - 10.1.253.1/24 соответственно. Таким образом, вы можете подключить 253 площадки оказания услуги, с внутренним адресом 10.1.N.1/24, диапазоном адресов для клиентов 10.1.N.2-10.1.N.254 и туннельным адресом 10.1.0.N

  1. Конфигурация интерфейсов на сервере
    eth0: 1.2.3.4
    tun0: 10.1.0.255
  2. Конфигурация OpenVPN сервиса на сервере
    Установите пакет openvpn:
    apt-get install openvpn easy-rsa
    Создайте сертификат
    Отредактируйте файл /etc/openvpn/server.conf

    mode server

    dev tun
    proto tcp-server
    tls-server
    port 1194
    topology subnet

    ca keys/ca.crt
    cert keys/wnam.hotelchat.ru.crt
    key keys/wnam.hotelchat.ru.key
    dh keys/dh2048.pem

    cipher AES-128-CBC
    auth md5

    keepalive 10 120
    status /var/log/openvpn-status.log
    log /var/log/openvpn.log
    user nobody
    group nogroup

    persist-key
    persist-tun

    ifconfig 10.1.0.255 10.1.0.254
    ifconfig-pool 10.1.0.1 10.1.0.253
    route 10.1.0.0 255.255.0.0
    push "route 10.1.0.255"
    ifconfig-pool-persist ipp.txt 0

    auth-user-pass-verify /etc/openvpn/verify.sh via-file
    script-security 2
    client-cert-not-required
    username-as-common-name

    verb 2

     

     

  3. Конфигурация интерфейсов на хотспоте
  4. Конфигурация OpenVPN клиента на хотспоте
  5. Конфигурация хотспота

 

 

  • No labels