Теория построения для WiFi

[Megas]

Так как Rocket M5 пока нету и будут не скоро в связи с нехваткой процессоров на заводе производители по словам поставщика, двигаемся в строну Nanostation M5 в качестве точки доступа порядка 3-5шт в кольцо для мак покрытия и клиентов Ubiquiti NanoStation Loco M5.

 

Возник вопрос, а в строну какого билинга из бесплатных версий можно в этом случае посмотреть? но судя по всему проще написать что-то небольшое своё с прикручиванием внешней системы мониторинга.

Также, как будет лучше построить сеть, использовать VPN на базе pppd или mpd, а может PPPOE, какое решение будет все таки более менее оптимальным особенно при росте числа абонентов до 500чел, ведь от правильной архитектуры сначала зависит количество гемороя потом.

 

Естественно думаю увязать это под radius с хранением в mysql и набросать какую нибудь морду для администрирования.

 

Еще интересует такой момент, как настраивать политики и где лучше в этом случае, к примеру:

чел купил инет, дальше шарит своё локальное соединение в сетке где пингуются другие челы, звонит другу и тот юзает его в качестве gateway и получает выход в инет по каналу прова. Понимаю тупая картинка, но пару раз попадал на такое.

 

В общем, поделитесь плиз опытом, куда смотреть и что копнуть.

[Ivan_83]

Есть же wpa2-enterprice режим, когда от клиента до авторизации запросы могу ходить только для авторизации на радиус сервере.

 

Авторизовался - юзай сеть, нет - даже пакеты до соседа не дойдут.

 

 

[NiTr0]

isolated AP - если есть, юзеры будут ходить только в мир, но не друг к другу (отрежет желающих поменяться фильмами на максимальной скорости).

По поводу биллинга - возможно, свое и проще будет, если нет мегатребований по части огромного функционала. Я под чиллиспот ваял набросок, дня 3-4 заняло (радиус-сервер + простое управление акками - таблица аккаунтов, таблица с логинами-паролями на чеках, таблица с сессиями, ну и + скрипт генерации логинов-паролей в базе и вывод с управляющими символами для печати на POS принтер). Освободится время от более срочных задач - доделаю туда еще RPC, прилеплю php веб-морду к этому RPC и куда-то выложу. Собссно, первоочередная цель этого недобиллинга - обкатка решений для последующего написания полновесной биллинговой системы, в замен работающей сейчас.

[qwertzy]

isolated AP - если есть, юзеры будут ходить только в мир, но не друг к другу (отрежет желающих поменяться фильмами на максимальной скорости).

Да, только Isolated AP работает в приделах одной точки доступа, пользователей разных точек надо будет по другому отгораживать друг от друга.

 

Есть же wpa2-enterprice режим, когда от клиента до авторизации запросы могу ходить только для авторизации на радиус сервере.

 

Авторизовался - юзай сеть, нет - даже пакеты до соседа не дойдут.

Можно еще через открытый второй SSID и автоматический http redirect сделать доступ к рекламе и инструкциям как купить/стать абонентом, проводить акции, etc.

[Saab95]

Доступ по PPPoE избавит от всех проблем.

Если каждую базу завести в свой влан и прокинуть до центрального сервера, клиенты между собой мимо сервера общаться не смогут. Если использовать в качестве баз микротик, то там можно зафильтровать все кроме PPPoE пакетов.

 

Так же при такой схеме удобно подключать многоквартирные дома - поставили там коммутатор за 500р, на точке доступа зарезали фильтрами все лишнее и все. Пусть они там сами у себя фильмы качают, но на сеть это не повлияет.

[Ivan_83]

В чём тут профит от пппое?

 

Оборудование и клиенты уже умеют авторизовываться на доступе.

 

 

[Deac]

В чём тут профит от пппое?

 

Оборудование и клиенты уже умеют авторизовываться на доступе.

 

Обсуждалось.

Получается единая система wired/wireless.

[troyand]

В чём тут профит от пппое?

 

Оборудование и клиенты уже умеют авторизовываться на доступе.

Многие Wi-Fi базовые станции (например, тот же Rocket) не умеют делать per-user нарезку скорости (по RADIUS-атрибуту), а это часто надо.

[NiTr0]

Isolated AP работает в приделах одной точки доступа, пользователей разных точек надо будет по другому отгораживать друг от друга.

Само собой, сегментация. Ну или шейпинг на точке доступа, если ресурсы/софт позволяют.

 

Доступ по PPPoE избавит от всех проблем.

А в контексте точек доступа - еще и создаст массу новых.

Часто ли вы видели КПК/планшеты/коммуникаторы/консоли/etc с PPPoE клиентом? :) Такой способ аутентификации даже китайцам, которые специалисты рвать гланды через анус, в голову еще не приходил...

[Deac]

Мимо кассы.

КПК/планшеты/коммуникаторы/консоли/etc с PPPoE клиентом?

Под это барахло абонент себе сохо раутер поставит.

Наша цель довести инет "до места", в условиях неприменимости оптики.

[troyand]

Доступ по PPPoE избавит от всех проблем.

А в контексте точек доступа - еще и создаст массу новых.

Часто ли вы видели КПК/планшеты/коммуникаторы/консоли/etc с PPPoE клиентом? :) Такой способ аутентификации даже китайцам, которые специалисты рвать гланды через анус, в голову еще не приходил...

Тут вроде бы говорили о 5 ГГц, по-этому модель CPE в любом случае форсируется провайдером, в Nanostation с PPPoE на WLAN есть некоторые нюансы, но в целом схема работает.

Из того, что не нравится:

• При отбое от RADIUS NS M5 практически без задержки отсылает следующий запрос на поднятие PPPoE-сессии: в начале месяца RADIUS зафлуживается логами, проблему можно лечить чем-то вроде sessions per-mac throttle
  
• Нельзя форсировать MS-CHAPv2, если клиент зацепится на левую станцию, с него можно выцепить пароль по PAP
  

Edited July 6, 2011 by troyand

[Deac]

В чём тут профит от пппое?

 

Оборудование и клиенты уже умеют авторизовываться на доступе.

Многие Wi-Fi базовые станции (например, тот же Rocket) не умеют делать per-user нарезку скорости (по RADIUS-атрибуту), а это часто надо.

 

Практического смысла не имеет.

Т.к. скорость режется на базе, а с ппс там не густо - загнётся сразу.

Потому ограничиваем макс. полосу на клиенте, а требуемое значение выставляем в конкретном туннеле.

[troyand]

Потому ограничиваем макс. полосу на клиенте, а требуемое значение выставляем в конкретном туннеле.

А если клиент меняет тариф, какая процедура обновления параметров на CPE (особенно если учесть, что клиент может не работать в данный момент)?

И что будет, если пользователь снимет со своей CPE ограничения (или у клиентов нет доступа на CPE)?

Edited July 6, 2011 by troyand

[Deac]

На CPE ограничиваем макс. полосу, чтоб не флудил.

Всё остальное - в туннеле, ну а смена тарифа - через личный кабинет, что для wired, что для wireless.

Чем и хорош PPPoE(читай VPN) - единая, мультивендорная система.

[troyand]

На CPE ограничиваем макс. полосу, чтоб не флудил.

Всё остальное - в туннеле, ну а смена тарифа - через личный кабинет, что для wired, что для wireless.

Чем и хорош PPPoE(читай VPN) - единая, мультивендорная система.

Логика всё равно не до конца ясна: макс. означает, что если в линейке тарифов самый дорогой имеет ограничение в, например, 5 МБит/с, то на всех CPE при инсталляции прописывается лимит в 5 МБит/с, и эта цифра будет корректной для любого тарифа?

 

И второй вопрос состоял в следующем: может ли пара умников зайти на свою CPE и отключить у себя ограничение полосы (на рейт-лимит PPPoE-соединения это не повлияет никак, естественно), получив себе "безлимитную локалку"?

[Deac]

Ок.

 

Максимальная полоса определяется не продажниками, а реальными условиями на местности.

Есть 1 база, обслуживает ~30 клиентов.

Больше 2MBps мы им дать не сможем, в реальных условиях, да и это то многовато, но пусть так.

Вот и ограничиваем на клиенте ~2.4MBps, а в туннель выдаём линейку тарифов, типа 0.25/0.5/0.75/1/1.5/2 MBps.

 

НЕТ!

Не может, т.к. управление и клиентский трафик должны быть в разных VLAN-ах.

Максимум что сможет чел, считающий себя самым умным - убить себе доступ в инет.

[troyand]

Ок.

 

Максимальная полоса определяется не продажниками, а реальными условиями на местности.

Есть 1 база, обслуживает ~30 клиентов.

Больше 2MBps мы им дать не сможем, в реальных условиях, да и это то многовато, но пусть так.

Вот и ограничиваем на клиенте ~2.4MBps, а в туннель выдаём линейку тарифов, типа 0.25/0.5/0.75/1/1.5/2 MBps.

С этим прояснилось.

НЕТ!

Не может, т.к. управление и клиентский трафик должны быть в разных VLAN-ах.

Максимум что сможет чел, считающий себя самым умным - убить себе доступ в инет.

Wi-Fi CPE с management vlan - это, пожалуй, из распространенного только MikroTik, а как быть с клиентскими Nanostation?

[Deac]

Вот блин! )

Там линух внутри - крути как хочешь.

А на WEB-морду - сразу забей, пока её допилят - уже не надо будет. )

[troyand]

Вот блин! )

Там линух внутри - крути как хочешь.

А на WEB-морду - сразу забей, пока её допилят - уже не надо будет. )

А так, то, конечно, подпилить можно, но только не совсем понятно, как такое сдавать в эксплуатацию: подобная схема слишком подвержена "эффекту грузовика".

[Deac]

Сдавать как обычно.

Есть оборудование в списке(а UBNT есть) - сдашь без проблем, нет в списке - ну придётся сдавать методом заноса.

Что за "эффект грузовика"?

Линух как линух, кто хоть раз делал софтовый раутер - разберётся.

[troyand]

Сдавать как обычно.

Есть оборудование в списке(а UBNT есть) - сдашь без проблем, нет в списке - ну придётся сдавать методом заноса.

Что за "эффект грузовика"?

Линух как линух, кто хоть раз делал софтовый раутер - разберётся.

Я не про сдачу в органы (как раз на Ubiquiti, в отличие от MikroTik, есть сертификаты), а про сдачу своим коллегам, которым с этим счастьем жить потом.

 

Эффект грузовика

 

Есть такое устойчивое словосочетание «Эффект грузовика». Это ситуация, когда устройство какого-то критичного модуля знал один человек, модуль большой, разобраться в нем не просто, человек тот кодировал, как ему удобно, а не как это принято в команде. И все было ОК, т. к. он брал на себя ответственность за модуль, и все всегда работало. Пока его не переехал грузовик…

[Ivan_83]

Получается единая система wired/wireless.

Можно ссылку?

В том что я предлагал она тоже единая: все ТД умеют через радиус авторизовывать клиентов.

 

Под клиентами я подразумевал конечные абонентские устройства с WiFi, типа ноута. Вы подразумевали что клиенту отдаётся эзернет порт который дальше беспроводной?

 

 

 

Многие Wi-Fi базовые станции (например, тот же Rocket) не умеют делать per-user нарезку скорости (по RADIUS-атрибуту), а это часто надо.

И?

Юзер точно также насрёт в пппое на выход, как и без пппое, а на той стороне шейперу без разницы резать по ип или ещё и в туннель пихать.

[Deac]

Абоненту отдаётся именно эзернет, как он к нему пришёл(wired/wireless) - по барабану.

В собственной заднице клиент может хоть ломом ковыряться, а нам свою надо прикрыть.

Потому - нах зоопарк дивайсов, ставим проверенные решения и исключаем всякую возможность поковыряться в настройках(от большого ума или просто от делать нех).

Биллинг же - любой, имеющий в арсенале VPN.

[NewUse]

Возник вопрос, а в строну какого билинга из бесплатных версий можно в этом случае посмотреть? но судя по всему проще написать что-то небольшое своё с прикручиванием внешней системы мониторинга.

Также, как будет лучше построить сеть, использовать VPN на базе pppd или mpd, а может PPPOE, какое решение будет все таки более менее оптимальным особенно при росте числа абонентов до 500чел, ведь от правильной архитектуры сначала зависит количество гемороя потом.

 

Естественно думаю увязать это под radius с хранением в mysql и набросать какую нибудь морду для администрирования.

Я как раз немного подпилил FreeNIBS, теперь он подружися с FreeRADIUS2 и MySQL 5х, собственно у этой идеи, имхо, есть потенциал но по хорошему надо переписывать всё под чистую...

Потихоньку к этому и прихожу, но в программирование не силён, так что всё движится очень медленно.

по 802.1x можно авторизировать и по проводу....

 

В качестве ТД -- пики на 5.5 уже вполне вминяемы, но очень жду динамических ВЛАНОВ, тогда с билингом попроще будет

Edited July 6, 2011 by NewUse

[troyand]

резать по ип

если не садить клиента в отдельный VLAN, подвержено spoofing-атакам (так же, как и Hotspot), инструкции прилагаются.