You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 7 Next »

 

Для корректной работы WNAM необходимо спроектировать и настроить соответствующее сетевое окружение.

Типовая схема сети приведена на рисунке. В сети вашей компании (это может быть внутренняя сеть небольшого офиса, либо отдельный сегмент большой сети, предназначенный для служебных нужд) устанавливается сервер, на котором будет работать программное обеспечение WNAM, и сопутствующие службы. Это может быть как физический сервер, так и виртуальная машина.

Также создается дополнительный сегмент беспроводных точек доступа, к которым будут подключаться ваши абоненты. Точки доступа можно использовать любые. Из соображений безопасности крайне желательно разграничить сетевые сегменты открытой (публичной части), и вашей внутренней сети. Такое разграничение можно обеспечить либо на физическом уровне, либо при помощи VLAN. В качестве маршрутизатора, обеспечивающего выход пользователей беспроводной сети в Интернет, необходимо использовать маршрутизатор Mikrotik (модели RB951Ui-2HnD, RB951G-2HnD, RB750UP, RB2011iL-IN, RB1100AHx2 и т.п.). Это устройство выполняет роль портала перехвата трафика (HotSpot), на котором производится идентификация и авторизация пользователя.

Для идентификации через SMS сервер будет отправлять команды на отправку SMS с кодом доступа через шлюз SMS-провайдера (в настоящее время поддерживаются провайдеры SMSCWebsms.By, smstraffic, отправка через локально установленный USB GSM модем (утилита gammu) или любму провайдеру по протоколу SMPP v3.4 через утилиту kannel).

Если у вас несколько площадок, где вы предоставляете доступ пользователям, вы можете установить на каждой из них по своему маршрутизатору Mikrotik. В таком случае вам необходимо настроить несколько экземпляров "серверов доступа" и "площадок" в соответствующих разделах интерфейса WNAM (внимание: количества лицензируются). Вы можете связать площадки с центральным узлом (где находится сервер) при помощи VPN (OpenVPN, VPLS, VLAN и т.п.). Вы можете также привязать несколько площадок на один маршрутизатор MikroTik (несколько экземпляров HotSpot).

Вместо маршрутизатора MikroTik можно организовать портал перехвата пользователей (HotSpot) средствами межсетевого экрана самого Linux-сервера.

Для успешной работы необходима тонкая настройка трёх компонентов: WNAM, RADIUS-сервера, портала HotSpot маршрутизатора MikroTik.

В настоящий момент существует два основных способа работы программного обеспечения WNAM: прозрачный доступ и учёт пользователей, и доступ при идентификация при помощи SMS. В каждом из них присутствуют дополнительные режимы работы после авторизации пользователя (прозрачный, редирект на внешний сайт, или показ рекламы).

Прозрачный доступ

  1. Пользователь подключает свое беспроводное устройство (ноутбук, смартфон, планшет) к беспроводной сети (без авторизации), построенной на основе UniFi или иного оборудования, получает IP-адрес от маршрутизатора (DHCP).
  2. Пользователь открывает какую-либо страницу в сети Интернет (либо его устройство само открывает страницу).
  3. Маршрутизатор MikroTik (компонент HotSpot) считает сессию пользователя "неавторизованной" и производит перенаправление сессии пользователя "на себя".
  4. HotSpot производит попытку авторизации пользователя по МАС-адресу устройства, обращаясь к внешнему RADIUS-серверу.
  5. RADIUS-сервер, получив запрос на авторизацию, через Perl-модуль wnam-freeradius-bridge.pl передает в WNAM запрос на авторизацию (MAC-адрес абонентского устройства пользователя, идентификаторы площадки, текущий IP-адрес и т.п.).
  6. WNAM авторизует любое обращение, создает в своей базе учётную запись абонента (пользователя) по МАС-адресу (если такого адреса ещё не было), возвращает ответ RADIUS-серверу
  7. RADIUS-сервер возвращает ответ маршрутизатору, тот авторизует на своем портале HotSpot сессию пользователя, открывая ему доступ в Internet. Одновременно с этим отправляет RADIUS-серверу запрос начала сессии (Accounting-Start).
  8. RADIUS-сервер транслирует запрос начала учёта сессии в WNAM, тот создаёт запись о новой сессии. Периодически получая сообщения о статусе сессии, WNAM ведет статистику о переданном абонентом трафике.

Прозрачный доступ с перенаправлением

При этом способе организации доступа портал перехвата осуществляет авторизацию не по МАС-адресу, а по логину и паролю, "зашитыми" в страницу портала перехвата, отображаемую пользователю. При этом МАС-адрес устройства ользователя также передается в WNAM и используется для идентификации. Необходимо сменить типа авторизации HotSpot с "MAC" на "HTTP PAP". Тогда:

4. Портал отображает пользователю собственную страницу авторизации rlogin.html. Указанная страница (шаблон) должны быть предварительно загружена в маршрутизатор, и в ней указана автоматическая отправка формы клиентом.

5.  Форма содержит ссылку на встроенный в WNAM веб-сервер, который осуществляет автоматическое перенаправление сессии пользователя обратно в Hotspot маршрутизатора MikroTik, но уже с подставленными логином-паролем и ссылкой на рекламный блок или внешний ресурс.

6. С точки зрения пользователя доступ в Интернет будет обеспечен только после показа рекламного блока (с переходом по ссылке рекламы, или при отказе от перехода с перенаправлением на изначально запрашиваемую пользователем страницу).

Возможно применение двух механизмов перенаправления:

  1. Перенаправление сессии пользователя по ссылке. Ссылка (общая для всех площадок) задается в параметрах WNAM (меню "Конфигурация" - "Общие настройки" - "URL перенаправления"). Не важно, на какую страницу пользователь зашел при подключении к сети - он перейдет на заданную страницу.
  2. Перенаправление сессии пользователя на рекламный блок. Для каждой площадки можно создать свой рекламный блок. Это сформированная вами по шаблону страница с рекламой, загруженная через интерфейс WNAM во встроенный веб-сервер. Учитываются показы и переходы (клики) по рекламным блокам. Подробнее смотрите в "Работа с рекламой".

Идентификация при помощи SMS

Для обеспечения более надежной идентификации пользователя производится привязка МАС-адреса абонентского устройства к номеру мобильного телефона абонента. При этом производится отправка абоненту кода подтверждения, который тот должен ввести на специальной странице. таким образом становится реальным поиск абонента, пользовавшегося вашей радио-сетью, по запросу от соответствующих органов.

Алгоритм работы становится более сложным:

  1. Пользователь подключает свое беспроводное устройство (ноутбук, смартфон, планшет) к беспроводной сети (без авторизации), построенной на основе UniFi или иного оборудования, получает IP-адрес от маршрутизатора (DHCP).
  2. Пользователь открывает какую-либо страницу в сети Интернет (либо его устройство само открывает страницу).
  3. Маршрутизатор MikroTik (компонент HotSpot) считает сессию пользователя "неавторизованной" и производит перенаправление сессии пользователя "на себя".
  4. Заранее модифицированный и загруженный в HotSpot файл шаблона перенаправления авторизации rlogin.html производит редирект сесси пользователя на встроенный веб-сервер WNAM, ссылку /cp/cp
  5. При настроенном методе доступа пользователей (меню "Конфигурация" - "Общие настройки" - "Метод доступа" - "Активация по SMS (параметры ниже)") производится отображение пользователю страницы идентификации.
  6. Шаблон страницы идентификации sms.html (настраивается) просит пользователя указать номер своего мобильного телефона
  7. При получении номера телефона WNAM генерирует случайный (4 или 6-циферный) код активации, и через шлюз SMSC отправляет его на заявленный телефон.
  8. Пользователь вводит код подтверждения, при совпадении WNAM производит редирект сессии пользователя (с вписанными параметрами MAC, login, password) в сторону HotSpot маршрутизатора.
  9. Повторяется процесс авторизации сессии и учёта трафика с участием Mikrotik, RADIUS, WNAM, описанный выше.
На один номер телефона можно привязать несколько устройств (МАС-адресов). Время жизни такой авторизации определяется в параметрах (меню "Конфигурация" - "Общие настройки" - "Параметры активации по SMS" - "Длительность авторизации телефонного номера").
При повторных подключениях того же пользователя, если с момента авторизации не прошло указанное выше время, производится безусловная (без подтверждений и СМС) авторизация сессии.
В любом случае, можно дополнительно установить возможность показа рекламных блоков, перехода по ссылке, или перехода по первоначально запрошенной абонентом ссылке, как описано выше.

В процессе работы
Когда WNAM настроен и работает, администратор имеет возможность:
  • просматривать список зарегистрированных пользователей, искать по нему (МАС-адрес), просматривать сведения о пользователе
  • просматривать список текущих сессий
  • запускать создание различных отчётов
  • модифицировать системные настройки, списки площадок, серверов доступа, методов авторизации (всё - "на лету") 
  • редактировать и загружать (меню "Конфигурация" - "Страницы портала пользователя") шаблоны страниц с рекламой и страницы портала активации доступа
Необходимо контролировать параметры работы сервера (загрузка процессора, памяти, диска), работоспособность служб RADIUS и MongoDB, осуществлять профилактику сервера и т.п.
Также будет желательным, если вы настроите мониторинг сервера, сети и маршрутизаторов доступа. рекомендуется использовать бесплатное ПО Zabbix.
  • No labels