sfstudio Опубликовано 12 ноября, 2015 · Жалоба С 4.7.7 доступен из коробки и настраивается из webui http://forum.nag.ru/forum/index.php?showtopic=110269&view=findpost&p=1198743 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 12 ноября, 2015 · Жалоба Настраиваем точку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 11 октября, 2016 · Жалоба Начиная с версии 4.7.7 в прошивку добавлен радиус сервер (использован free radius). Это позволяет без особых усилий развернуть сеть с централизованной аутентификацией на базе 802.1x EAP-TTLS-PEAP-MSCHAPv2 с прозрачным роумингом внутри сети и индивидуальными парами логин/пароль для каждого пользователя. Конфигурация не нуждается в коментариях (см скриншот). Стоит отметить лишь что Shared Secret в настройках радиус сервера и в настройках Wireless-Security должны совпадать. Настройка AP приведена на скриншоте выше. Одним из примеров использования может являться, разбиравшийся недавно на форуме, пример с гостинницей. При заселении клиента, администратор на ресепшн заводит пользователь учётную запись, например "office_N" с паролем "васяпупкин". После чего Вася Пупкин получает доступ к сети. В момент выписки, администратор удаляет запись или меняет пароль. Тем самым время жизни доступа = времени проживания клиента. Нет открытой сети - нет проблемы с законодательством. И т.д. и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 11 октября, 2016 · Жалоба Настройка клиентов... Под андроид всё просто и ясно. Ткнули на сеть, ввели логин и пароль - заработало. Под линукс в нетворк менеджере в свежих версиях так же выбираем сеть, выбираем WPA2 Enterprise, TTLS, MSCHAPv2. Если система старенькая или по какой-то причине настроить не удаётся, то достаточно будет отредактировать нужную секцию в /etc/wpa_supplicant.conf по аналогии: network={ mode=0 scan_ssid=1 ssid="Wive-NG-MTEAP" priority=1 key_mgmt=WPA-EAP IEEE8021X eap=PEAP identity="test1" password="test1" proactive_key_caching=1 } С windows как всегда всё через Ж. Там нужно вручную создать подключение через "центр управления сетями и общим доступом" начиная с ввода SSID руками... Собсно скриншоты по шагам: Как оно в MacOS ХЗ. Но скорее всего как и в андроиде. Просьба попробовать у кого есть под рукой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kirill Vasilyev Опубликовано 12 октября, 2016 · Жалоба на apple аналогично android'ам, ввести имя пользователя/пароль и принять сертификат от сервера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 20 июня, 2017 · Жалоба Одним из примеров использования может являться, разбиравшийся недавно на форуме, пример с гостиницей. радиус можно использовать только в роли выключателя? (пользователь может залогиниться/нет)или возможно иметь какие-то индивидуальные настройки на пользователя? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 20 июня, 2017 · Жалоба О встроенном фрирадиусе речь? Только авторизация. О каких настройках речь-то идёт? Ну в будущем будет время экаунтинг добавлю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 20 июня, 2017 · Жалоба нет, о стороннем. о каких настройках? ну, скажем, кому-то дать доступ в локальную сеть, а кому-то нет. или зашейпить по-разному. или ещё что. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 20 июня, 2017 · Жалоба Какой шейпинг на уровне простого бриджа? =))) Какое ограничение доступа? =) Я вам подскажу как это правильно сделать: 1) wifi в отдельную подсеть со своим DHCP и т.д. 2) ограничение все абсолютно на уровне шлюза из wifi сети во всё остальное включая шейперы и прочее Не надо пытаться на АП навешивать подобный функционал. Во первых дорого с точки зрения CPU, во вторых бессмысленно, ибо один фиг надо отделять мух от котлет (провод/беспровод) на L3. И там уже можно лимитировать кого и как удобно. Ну и радису развернуть. В точку радиус встроен исключительно что бы быстро развернуть доступ к сети с индивидуальными парами логин/пароль. Нет ну с дури и на АП нагородить можно. Вот только цена вам сильно не понравиться. Как и предсказуемость решения в разы упадёт вместе с гибкостью (в целом). =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 20 июня, 2017 · Жалоба 2) ограничение все абсолютно на уровне шлюза из wifi сети во всё остальное включая шейперы и прочее разумеется вопрос был: может ли шлюз как-то идентифировать клиента? скажем, выдавать разным клиентам ip из разных диапазонов. или вообще в отдельные vlan разных клиентов. или дёргать скрипты по подключению/отключению клиентов, которые будут правила iptables править. или ешё что. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 20 июня, 2017 · Жалоба По MAC, источнику репорта и паре логин/пароль. На L2 других данных нет. А там уже как настроите шлюз и взаимодействия радиуса и прочего на нём. Т.е. мы на уровне радиуса чётко можем видеть с какой АП и какой клиент пришёл. Остальное вопрос автоматизации на шлюзе (я ж не в курсе что вы в качестве оного юзаете). Там может вообще биллинг какой навороченный. Или может самонастроенный *nix с freeradius и самописной обвязкой. От логики на АП это уже никак не зависит. Можно накрутить хотспот в виде chillispot там данных и возможностей несколько больше. Но и ресурсов он жрёт в разы больше на AP. Тут вопрос скорее надо ставить как "а что требуется реализовать?" и исходя из этого уже решать что использовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 20 июня, 2017 · Жалоба в общем понятно, надо копать в сторону freeraduis, его интеграции с dhcp и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 20 июня, 2017 · Жалоба или вообще в отдельные vlan разных клиентов. Такого варианта нет и точно не предвидиться. Слишком дофига архитектурно менять придётся, ради кейза который нужен в 99% только WISP куда мы даже не планируем метить. У нас indoor однако. И если и будет outdoor то до массового прихода 802.11ax мы не будем планировать лезть в WISP. в общем понятно, надо копать в сторону freeraduis, его интеграции с dhcp и т.п. Да не обязательно FreeRadius. Просто это одна из самых навороченных реализаций при этом открытая. А так да. Свзяка радиус dhcp возможно управление оттуда же свитчами если уж сильно наворочено хочется. Тут всё от полёта фантазии админа зависит. Ну и на текущих скоростях шейпить не влетая в CPU при любом pps надо точно не на оконечном железе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 19 июля, 2017 · Жалоба 11 удалённо эксплуатируемых уязвимостей free radius http://www.opennet.ru/opennews/art.shtml?num=46870 .... Некоторые касаются и нас. Всем кто ипользует радиус встроенный в прошивку, при этом не лимитирует доступ к нему - обновляемся до 6.2.9 без раздумья. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mar7 Опубликовано 23 мая, 2020 · Жалоба возможно ли добавить ещё accounting, как это сделано например в dd-wrd и ubnt (nanostation)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...