[sfstudio]

Начиная с 3.6 ветки в состав прошивки включены nodogsplash и чиллиспот.

 

1) Nodogsplash - простой standalone каптив прортал. По нему рассказывать особенно нечего, просто включите и попробуйте.

2) CoovaChilli - полноценный access controller for captive portal. Позволяющий работать с внешними сервисами авторизации (например для организации авторизации через SMS и ведения необходимой отчётности).

 

На текущий момент проверена работоспособность и добавлены профили настроек для hotspotsystem, mywifi, sai-wifi (предложения по добавлению необходимых профилей адресуйте на support@nag.ru).

 

Настройка на примере mywifi https://www.mywifi.com/manuals/71

Так же coova chilli может быть прикручен к фактически любой биллинговой системе, пример привязки к abils http://abills.net.ua/forum/viewtopic.php?t=6952

 

[sfstudio]

При настройке хотспота так же крайне желательно включить опции Clients Isolated, Broadcast Isolated что отфильтрует p2p трафик между клиентами.

Можно дополнительно изолировать клиентов выставив в dhcp маску /32 (255.255.255.255), причём актуально только для nodogsplash т.к. coova-chilli сразу работает в таком режиме. При этом клиенты не смогут общаться между собой,а смогут ходить до единственного адреса - адреса шлюза в вашей сети.

 

Так же при использовании nodogsplash имеет смысл уменьшить lease time до ~10 минут дабы экономить диапазон и не держать мёртвые записи слишком долго.

[sfstudio]

Текущий набор профилей:

1) http://www.hotspotsystem.com

2) http://www.mywifi.com

3) http://saiwifi.ru

4) http://wifisystem.ru

5) http://hotspot.ots-net.ru

 

3,4 подходят для решения проблемы авторизации по SMS и предоставления отчётности.

 

Так же в ручном режиме может быть настроен любой сервис авторизации использующий coova-chilli, или прикрутить к биллинговой системе с использованием radius.

[vurd]

Каким образом происходит авторизация на UAM портале?

Я полагаю, что после успешной сверки реквизитов пользователя нужно отдать Access-Accept в радиус auth-e. Но я не вижу ни одного пакета на порт 1812, вместо него сыпется куча "аккаунтинг он" на 1813. Какая логика авторизации как таковой?

[sfstudio]

Вам сюда https://coova.github.io ибо я не автор чиллиспота и у меня нет нужды разворачивать собственный сервис авторизации - читай разбираться в нюансах реализации оного.

[vurd]

Я понял, что мне "туда". Вы клиентскую часть где-то брали либо разрабатывали. Я же реализую серверную сторону и мне не понятно как работает механизм авторизации со стороны клиента. Логично, что я задаю вопрос?

[dini]

Я понял, что мне "туда". Вы клиентскую часть где-то брали либо разрабатывали. Я же реализую серверную сторону и мне не понятно как работает механизм авторизации со стороны клиента. Логично, что я задаю вопрос?

Может и странно, но не логично. Развёртывание серверной части расписано в интернетах на всех языках и для людей с разным уровнем подготовки. Лично разворачивал на Mageia(freeradius+mariadb+apache) и Ubuntu(freeradius+mysql+nginx).

[sfstudio]

Я понял, что мне "туда". Вы клиентскую часть где-то брали либо разрабатывали. Я же реализую серверную сторону и мне не понятно как работает механизм авторизации со стороны клиента. Логично, что я задаю вопрос?

 

Вы его не туда задаёте, я вам сказал где живут разработчики клиентской части, вот задавайте вопросы им. Если я решу реализовать серверную часть, я воспользуюсь гуглом, почитаю доки в комплекте с сырцами, почитаю сырцы, если не пойму то напишу собсно разработчикам клиента (выше указывал куда) и т.д. и т.п.

 

Сложно понять, что человек собирая автомобиль может понятия не иметь даже о протоколах взаимодействия внутри его бортового ПК. Это свободной стороннее приложение, одно из многих использованных при разработке дистрибутива Wive-NG. И детально раскуривать протоколы и даже понимать как работает его серверная часть (досконально) у меня задачи нет, ибо я не собираюсь реализовывать серверную часть.

 

Инфы в инете на эту тему валом. Как и готовые реализации работают по всему миру.

 

P.S. Вынесу в оффтоп этот флуд.

[vurd]

Можно я еще раз рискну задать "не тот вопрос" и "не туда"?

Я понял каким образом заставить роутер послать мне access-request на мой сторонний радиус-сервер.

Я даже научился с него отвечать и даже присылать:

vurd    Auth-Type := Accept
       Reply-Message = "Hello, %{User-Name}",
       ChilliSpot-Bandwidth-Max-Up = 128,
       ChilliSpot-Bandwidth-Max-Down = 128,
       WISPr-Bandwidth-Max-Up = 128,
       WISPr-Bandwidth-Max-Down = 128,

 

Однако ожидаемого ограничения скорости в 128 кбит\с я не наблюдаю. Мне с этим куда? :)

[sfstudio]

Шейпинг в chillispot отключен по дефолту при сборке. Там убогая юзерспэйс реализация больше похожая на полисер при включении которой CPU не хватит и на пару десятков мегабит без дропов. Увы и ах. Умел бы он юзать ядерный net_sched вопросов бы не было, но увы, даже не планируется.

 

Если сильно хочется поэксперементировать в /opt/Wive-MT/user/chillispot/Makefile заменить --disable-leakybucket на --enable-leakybucket, но я не планирую включать его по дефолту. Черезчур прожорливо и потенциально проблемно, а нужно в 0.001% случаев (из наших клиентов не нужно никому).

[NewUse]

Я не смотрел код прошивки, но, думаю, там стоит hostapd, а в него можно добавить конфиг того же net_sched по приходу тех же WISPr-Bandwidth аттрибутов, да, будет не оптимально, зато, ИМХО, эффективнее чем через ChilliSpot...

 

ИМХО, функционал полезен для WISP-ов, но на сколько я понимаю, в линейке SNR пока нет outdoor устройств....

Edited September 12, 2016 by NewUse

[sfstudio]

Я не смотрел код прошивки, но, думаю, там стоит hostapd

В следующий раз смотрите, нет у нас никакого hostapd, всё делает драйвер.

 

Более того, в чилли оно завязано на радиус для клиентов, даже в вашей схеме придётся городить городушки. С тем же успехом можно в чилли влючить chilliscript и накрутить net_sched, но придётся вырубить весь оффлоад. А значит эффективность будет примерно такая же как сейчас юзерспэйсная реализация с оффлоадом.

 

Чилли весь трафик гонит через tun в юзерспэйс и назад. Отсюда такая прожорливость даже без шейпера. Под OpenWRT на том же железе чиллиспот вообще при 30Мбит сдувается без всяких шейперов. У нас сотку полудуплекса дует с процом под завязку на том же кейзе. Без оффлоада будет примерно полтинник-60, без оффлоада и с примитивным HTB привет проц в полку при 20-30Мбит.

 

Не забывайте, тут 580МГц MIPS24KC без L2 кэша.

 

WISP`ы прекрасно на шлюзе своём шейпят в хвост и в гриву, там обычно что-то на x86 и ресурсов до жопы, да и чиллиспота никакого нет или он всё так же на шлюзе, а не на AP, тем более что в режиме AP он работать и не будет.

 

P.S. Что бы просто порезать скорость и не дать выжрать всё одному клиенту есть SimpleShaper достаточно простой набор очередей HTB и настраивается из рожи. Плюшка использования встроенного в чилли полисера в том, что можно при авторизации хоть поклиентно, хоть потарифно порезать. При этом пофигу в чьей сети живёт роутер. Чилли в wive вообще не для провайдеров, оно сугубо для всяких кафушек и прочих что бы соответствовать законодательству и только. WISP реализуется по другим схемам там на AP нафиг никакой шейпинг не нужен, как и NAT с роутингом.

[sfstudio]

Начиная с 4.7.4 будет доступен профиль для нового сервиса http://hotspot.ots-net.ru. Надеюсь владельцы сервиса повесят линк на наше железо у себя ;)

[neokolyan]

Есть необходимость приобрести пару-тройку точек доступа в кафе, построить на них беспроводную сеть для клиентов. Естественно в почти необслуживаемом режиме.

И есть Федеральный закон о wifi в общественных местах. Который обязывает в таких заведениях авторизовывать пользователей и хранить о них инфу какое-то время.

В описании прошивки обсуждаемых точек есть упоминание про похожий функционал. Можно ли поподробнее?..

Например, смогу ли я купить эти точки и настроить авторизацию силами прошивки + внешним провайдером СМС? Чтобы платить только за смс-трафик, а данные хранить локально.

 

Конечно, сейчас на рынке хватает предложений по обеспечению требований этого ФЗ. Но там как правило абонентка + нужно усложнять сеть, вклинивая дополнительные роутеры. Да еще нередко доступные тарифы подразумевают втюхивание чужой рекламы-(

[sfstudio]

У нас точно так же поддерживается работа с внешними операторами предоставляющими услуги SMS авторизации и ведения всего этого дела. На данный момент интегрированы профили myWIFI/SAIWiFi/Wi-Fi System/hotspot.ots-net.ru.

 

Насколько я помню никто из них доп рекламу не вкорячивает и цены весьма демократичные (точно дешевле чем нужный пакет SMS у опсоса для средненького по посещаемости кафе мест на 40, они же стопкой берут). На КРОС использовали Wi-Fi System - нареканий на их сервис у меня нет.

 

Если нужна схема с несколькими АП то в любом случае придётся поставить роутер (хоть тот же W4N) на котором включить ChilliSpot а в него уже воткнуть нужное число AP.