Jump to content
Калькуляторы

WISP пара вопросов по азам

Так сложилось, что нужно развернуть WLAN и настроить шлюз в Интернет, с авторизацией и разграничением по доступу (по сути задача ISP). Имеется несколько беспроводных клиентов и точек доступа (имеется 6хPicoStation2HP, планирую использовать одну ТД в режиме AP а остальные как Repeater к ней, но пока не понял, сможет ли работать схема AP Client--Repeater 1--Repeater2 -- AP), нужно для "гостей" организовать открытую беспроводную сеть с доступом к локальным ресурсам, а для "пользователей" предоставить постоянный доступ к локальным ресурсам и регулируемый доступ к сети Интернет.

 

Как подступаться к решению подобных задач я, к сожалению не знаю, никогда не администрировал серьёзные сети (только одноранговые без всякой сетевой авторизации).

 

По решению данной задачи предполагаю следующее:

0)Поднять шлюз на FreeBSD (Имеется небольшой опыт работы с FreeBSD, на ней как раз реализован домашний роутер, т.е. база для шлюза готова).

1)Создать две WiFi сети: гостевую без пароля, и для рядовых пользователей с аутонтификацией на Радиусе, как описано в статье:

http://www.opennet.ru/base/modem/radius_st.txt.html

не знаю, то ли это, что мне нужно, но похоже

2)Необходимо разделить Интернет от локалки, не знаю, как это сделать, но Очень надеюсь на Радиус

3)Регулировать доступ к интернет для пользователей, не самый лучший, но самый простой, как мне кажется способ: через MAC-адресса и фаерволл на шлюзе (ipfw)

 

 

Уважаемые гуру, какие более правильные пути решения существуют?

С уважением, NewUse.

Edited by NewUse

Share this post


Link to post
Share on other sites

То, что Вы описали возможно будет работать.

На мой взгляд, если есть желание максимально упростить схему, можно применить решение на подобие ChilliSpot:

- Пускаете и гостей и пользователей в сеть без пароля, раздаете всем dhcp,

- Для пользователей заводите учетки на радиус-сервере, куда будет стучаться chilli,

- При попытке доступа (через web) к ip адресу за пределами выделенной абоненту ip-подсети, запросы будут уходить на шлюз, где должен крутиться chilli, который в свое время перекинет пользователя на страницу авторизации и после этого "разрешит" гонять трафик через шлюз.

Все очень просто, использовать можно как freeradius так и любой биллинг с поддержкой radius-протокола.

Из минусов можно выделить возможность снифить гостями трафик остальных пользователей.

Share this post


Link to post
Share on other sites
Из минусов можно выделить возможность снифить гостями трафик остальных пользователей.
спасибо, думаю это не страшно....

 

То, что Вы описали возможно будет работать.
спасибо, даже не ожидал....

А не подскажите, как снизить нагрузку "основную" точку:

например, если в схеме Repeater1--Repeater2--AP--Шлюз есть пара клиентов, подключенных к Repeater1 и Repeater2, можно ли, и как, чтоб трафик не ходил через AP при связи между ними?

 

Спасибо,

С уважением, NewUse.

 

Share this post


Link to post
Share on other sites

Если надо обеспечивать безопасный трафик авторизованным пользователям, я бы предложил беспроводку оставить открытой, а пользователей авторизовать и давать им выход в интернет через OpenVPN.

Там авторизация по x.509 и криптостойкое шифрование трафика. На FreeBSD поднять OpenVPN сервер. Авторизованным пользователям выдавать инсталл OpenVPN, конфиг и сертификаты. С некоторыми экзотическими вариантами ОС возможно будут проблемы, зато проблемы, что кто-то из гостей сможет что-то проснифить у авторизованного пользователя Вас волновать не будут. Опять же управления пользователями через конфиг одной программы и нет привязки к мак адресам, т.е. нет лимитирования пользователя. Да и подделать x.509 куда как сложнее :) чем мак адрес.

 

 

Share this post


Link to post
Share on other sites
А не подскажите, как снизить нагрузку "основную" точку:

например, если в схеме Repeater1--Repeater2--AP--Шлюз есть пара клиентов, подключенных к Repeater1 и Repeater2, можно ли, и как, чтоб трафик не ходил через AP при связи между ними?

Это если между repeater1-2-ap будет 802.11s (MESH)

тогда трафик будет ходить по оптимальному маршруту.

Но это подразумевает нестандартные прошивки однозначно.

Та же FreeBSD на AP, repeater это может делать почти из коробки (nanobsd, tinybsd) версий 8.0, 8.1 и 9-current

8.1 на данный момент наиболее стабильный вариант.

точки можно собрать на базе alix 3d2, avila (если еще они есть в продаже), NSLU и т.п.

на базе аликс точка с двумя радио+антенны+корпус промышленный обойдется в сотни 2 долларов или дешевле. 80 мбит трафик держит отлично. может и шейпить и фильтровать - тот же ipfw/dummynet итп.

 

 

Share this post


Link to post
Share on other sites
Если надо обеспечивать безопасный трафик авторизованным пользователям, я бы предложил беспроводку оставить открытой, а пользователей авторизовать и давать им выход в интернет через OpenVPN.
Спасибо, но такой задачи не стоит, тем более любой VPN увеличит нагрузку и на без того дохлую сеть...

 

на базе аликс точка с двумя радио+антенны+корпус промышленный обойдется в сотни 2 долларов или дешевле. 80 мбит трафик держит отлично. может и шейпить и фильтровать - тот же ipfw/dummynet итп.
дорого :((, к тому же точки заказаны (уже едут из Китая, по 100 баксов за шт.), но как я понимаю, внутрях AirOS ядро пингвина, т.е. если захотеть её можно научить, всему, что угодно, ну или ОпенВРТ влить, хотя крайне не хотелось бы :(((

 

Это если между repeater1-2-ap будет 802.11s (MESH)
спасибо, погуглю

 

может и шейпить и фильтровать - тот же ipfw/dummynet итп.
очень надеюсь, что и в AirOS есть QoS
Edited by NewUse

Share this post


Link to post
Share on other sites

Внутрях понятно линукс. СДК есть. Только не надо забывать, что это 7141 SoC у которого производительность скажем так - существенно отличается от того же Geode LX-800, который стоит в аликсе, особенно что касается процессороемких операций. Да и меш на линуксе куда более древняя реализация и совершенно не факт, что совместимая с AirOS патчами. А тулить OpenVPN вовнутрь такой железки у которой нет криптоакселератора нормального - то там точно проиводительность упадет раз в 10. OpenWRT можно использовать как базовый слой для своей сборки, но платформу всеж таки лучше выбирать более производительную чем Atheros 7141 (7х4х).

Если надо вписаться в сотку - можно RS взять и 2хCM9 от той же UBNT, но там будет 7161 уже.

 

Share this post


Link to post
Share on other sites
А не подскажите, как снизить нагрузку "основную" точку:

например, если в схеме Repeater1--Repeater2--AP--Шлюз есть пара клиентов, подключенных к Repeater1 и Repeater2, можно ли, и как, чтоб трафик не ходил через AP при связи между ними?

Не совсем понятно, что вы имели в виду, кто с кем связан? Смотрите в сторону WDS.

Share this post


Link to post
Share on other sites

Когда клиенты, прикреплённые к одной точке связываются между собой, чтоб трафик не шёл через другие точки....

Share this post


Link to post
Share on other sites

Когда клиенты, прикреплённые к одной точке связываются между собой, чтоб трафик не шёл через другие точки....

Если вы раздадите всем клиентам адреса из одной подсети и просто настроите wireless bridge, клиенты будут обмениваться данными через ближайшую(шие) точку(и) доступа. Даже если вы будете использовать какую-либо VPN-технологию для постоянных клиентов, через туннель должен ходить только трафик, адресованный за пределы сети.

Edited by svetlov

Share this post


Link to post
Share on other sites
через туннель должен ходить только трафик, адресованный за пределы сети.
На первых парах это будет 90% всего трафика :( Вспоминаю печальный опыт местной локалки с PPtP -- по мимо того, что клиентские роутеры не тянули, сервак постоянно отваливался.... Нет у меня доверия ко всяким тоннелям... Но может попробую, на тестовый период...

Спасибо.

А в режиме wireless bridge возможно использовать шифрование и авторизацию?

Edited by NewUse

Share this post


Link to post
Share on other sites

Шифрование средствами вайфая можно, почему нет. Авторизация только по мак, ну либо индивидуальные ssid/wpa-psk/wpa2-PEAP-RADIUS если клиентов немного. При этом правда весь трафик на L3 будет форвардиться через точку доступа, т.е. снизит производительность несколько. Либо просто WPA2-PEAP-RADIUS. Не все точки опятьже это поддерживают. Те, что для WISP разработаны - те будут нормально. Но цена тоже будет не 100 баксов.

 

Share this post


Link to post
Share on other sites

К сожалению, в моём распоряжении только PicoM2HP, как я понимаю, это клиентские ТД, которые мне предстоит превратить в операторские ...

 

Хотел делать WPA2-PEAP-RADIUS но вот не совсем понимаю:

1)Какой режим в этом случае надо использовать:

а)Как соединить ТД между собой по WiFi (ибо нет возможности прокинуть провод)

б)Как при этом будет идти трафик между двумя пользователями, подсоединёнными к одной ТД, через RADIUS или на прямую?

в)можно ли по такой схеме настроить PicoM2HP на AirOS?

2)Как будет маршрутизоваться трафик через ТД?

3)Возможно ли на AirOS организовать QoS штатными средствами? И возможно ли дать ограниченный приоритет на проходящий траффик?

Edited by NewUse

Share this post


Link to post
Share on other sites
К сожалению, в моём распоряжении только PicoM2HP, как я понимаю, это клиентские ТД, которые мне предстоит превратить в операторские ...
Очень плохой выбор для ТД.

 

Работать будет глючно с простыми b\g клиентами, имеет плохую чувствительность, и еще есть вероятность что быстро сдохнет от исбыточной мощи.

Share this post


Link to post
Share on other sites
К сожалению, в моём распоряжении только PicoM2HP, как я понимаю, это клиентские ТД, которые мне предстоит превратить в операторские ...

 

Хотел делать WPA2-PEAP-RADIUS но вот не совсем понимаю:

1)Какой режим в этом случае надо использовать:

а)Как соединить ТД между собой по WiFi (ибо нет возможности прокинуть провод)

б)Как при этом будет идти трафик между двумя пользователями, подсоединёнными к одной ТД, через RADIUS или на прямую?

в)можно ли по такой схеме настроить PicoM2HP на AirOS?

2)Как будет маршрутизоваться трафик через ТД?

3)Возможно ли на AirOS организовать QoS штатными средствами? И возможно ли дать ограниченный приоритет на проходящий траффик?

The smallest outdoor AP in the world is also the most powerful. With up to 600mW of output power, the PicoStation family of outdoor WiFi AP's can provide unprecedented range coverage.

PicoStation M2-HP ships standard with the powerful and intuitive AirOS by Ubiquiti Networks. It also is supported by a Linux SDK to encourage open source development.

 

In addition to the LSDK support, PicoStation M2-HP ships with 32MB RAM and 8MB Flash to encourage developers to customize Pico Firmware to create their own applications such as Hot-Zone deployments, mesh networking, and metering applications.

 

Features Include:

 

Processor Specs: Atheros MIPS 24KC, 400MHz

Memory Information: 32MB SDRAM, 8MB Flash

Networking Interface: 1 x 10/100 BASE-TX (Cat. 5, RJ-45) Ethernet Interface

Approvals: FCC Part 15.247, IC RS210, CE

RoHS Compliance: YES

Power Method: Passive Power over Ethernet (pairs 4,5+; 7,8 return)

Operating Temperature: -20C to +70C

Power supply: 110-240VAC 15VDC 0.8A US-style plug

 

 

Думаю таки надо меш поднимать, на изкоробочном аиросе из них только наполнитель для заливки септика можно сделать.

при наличии сдк и рук - можно чет сделать. ресурсов мало, соответственно руки нужны очень прямые.

 

Share this post


Link to post
Share on other sites

http://www.ubnt.com/forum/showthread.php?t=22125

как я понял рекомендуют использовать некий backhaul

к сожалению, я не смог найти более подробного описания, и реализации данного метода :(

Или я туплю и это какой нить PtMP?

 

Вопрос по режиму WDS PtMP:

Как он работает, вернее можно ли в нём настроить статическую маршрутизацию между точками:

если одна AP "видит" две соседние, то можно ли в ручную указать, чтоб при обращении к одному диапазону адресов обращения шли через одну AP, а для всех других -- через другую, и так для каждой AP системы, при этом будет ли возможна WPA2-PEAP-RADIUS (+ привязка по мак) авторизация?

А также, реально ли "резать" трафик:

например, не пускать на одну из соседних AP суммарный поток более 5мбит/с?

 

Edited by NewUse

Share this post


Link to post
Share on other sites

чисто перевод с аглицкого в ответ на вопрос типа как построить меш для стриминг видео:

"better off to use dedicated backhauls per AP like a typical wisp would "

смысловой перевод -

"типа, чувак, да оно те надо вообще? поставь выделенные магистрали на каждую базу как нормальный провайдер и не парь моск."

backhaul - магистраль (обычно точка-точка на отдельном оборудовании).

в целом это реальный ответ на любой вопрос как из UBNT сделать че-то полезное для оператора.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this