Versions Compared

Old Version 2

changes.mady.by.user Anton Vinokurov

Saved on

compared with

New Version Current

changes.mady.by.user Anton Vinokurov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Info

Контроллеры UniFi не используют протокол RADIUS в работе с гостевой авторизацией, не применяют MAC авторизацию, динамическую передачу ссылок редиректа, открытие доступа по CoA или его аналогу, а также RADIUS Accounting. Почему так происходит, вопрос на совести разработчиков контроллера. Данные обстоятельства делают работу с гостевой авторизацией через UniFi не удобной и не такой надежной, как при использовании беспроводных систем всех других производителей. 

При использовании WNAM 2 (и любой другой системы авторизации) в работе с точками доступа/контроллерами UniFi в режиме гостевого доступа не следует ожидать чудес. Корпоративная авторизация и MAC Bypass режимы у UniFi работают нормально.

В данном примере контроллер работает на адресе 172.16.130.13, а сервер WNAM 2 на адресе 172.16.133.12

Для настройки контроллера необходимо выполнить несколько действий.

  1. Создание служебного пользователя (например с логином wnam) для работы по API. Возможно, для его активации вам понадобится указать настройки почтового релея. Проверьте, что под этим логином и паролем можно зайти в веб-интерфейс контроллера Unifi.
  2. Image Added
  3. Создайте гостевой профиль SSID, в режиме Open, без портальной авторизации. Проверьте клиентские подключения в нём. Убедитесь, что всё (DHCP, DNS, маршрутизация, NAT) полностью работают.
  4. Включите на этом профиле SSID функцию гостевого портала (Captive portal)
  5. Image Added
  6. В свойствах портала (раздел Insights) справа выберите такие настройки:
  7. Image Added
  8. Image Added
  9. Image Added


На стороне сервера системы WNAM 2 необходимо убедиться, что конфигурационный файл nginx (/etc/nginx/sites-available/wnam2) содержит строки:

  location /portal {
    root /var/www;
    index index.html;
    try_files $uri /portal/index.html;
  }

  location /guest/s/ {
    rewrite ^/guest/s/(.*)$ /portal?site=$1 redirect;
  }

  location /portal/api/auth {
    proxy_pass http://127.0.0.1:8080/api/2.0/portal/auth;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_read_timeout 120;
    proxy_connect_timeout 120;
    proxy_intercept_errors on; 
    error_page 502 503 504 /api/proxy_error.html; 
  }

и в каталоге /var/www/portal/ развернуто приложение (index.html и другие файлы).


В веб-интерфейсе WNAM 2 настройте работу с гостевым доступом, в разделе NAC. Выберите необходимые способы, добавьте логотип, исправьте тексты сообщений,

Укажите логин и пароль служебного пользователя в настройках API для сетевого устройства - вашего контроллера Unifi.

Обратите внимание, что вам следует в поле NAS IP указать подсеть с точками доступа (для работы методов авторизации, основанных на RADIUS), а адрес самого контроллера - в поле "Внешнего IP адреса".

Image Added

Тепреь можно пробовать подключение к SSID. Браузер клиентского устройства должен пере-направиться на гостевой портал. Там необходимо пройти авторизацию выбранным методом, и продолжить с переходом в Интернет. Последнее будет сопровождаться командой от WNAM 2 по API в сторону контроллера, на открытие доступа клиентскому устройству.