Jump to content
Калькуляторы

Теория построения для WiFi Принципы построения сети и ПО

Так как Rocket M5 пока нету и будут не скоро в связи с нехваткой процессоров на заводе производители по словам поставщика, двигаемся в строну Nanostation M5 в качестве точки доступа порядка 3-5шт в кольцо для мак покрытия и клиентов Ubiquiti NanoStation Loco M5.

 

Возник вопрос, а в строну какого билинга из бесплатных версий можно в этом случае посмотреть? но судя по всему проще написать что-то небольшое своё с прикручиванием внешней системы мониторинга.

Также, как будет лучше построить сеть, использовать VPN на базе pppd или mpd, а может PPPOE, какое решение будет все таки более менее оптимальным особенно при росте числа абонентов до 500чел, ведь от правильной архитектуры сначала зависит количество гемороя потом.

 

Естественно думаю увязать это под radius с хранением в mysql и набросать какую нибудь морду для администрирования.

 

Еще интересует такой момент, как настраивать политики и где лучше в этом случае, к примеру:

чел купил инет, дальше шарит своё локальное соединение в сетке где пингуются другие челы, звонит другу и тот юзает его в качестве gateway и получает выход в инет по каналу прова. Понимаю тупая картинка, но пару раз попадал на такое.

 

В общем, поделитесь плиз опытом, куда смотреть и что копнуть.

Share this post


Link to post
Share on other sites

Есть же wpa2-enterprice режим, когда от клиента до авторизации запросы могу ходить только для авторизации на радиус сервере.

 

Авторизовался - юзай сеть, нет - даже пакеты до соседа не дойдут.

 

 

Share this post


Link to post
Share on other sites

isolated AP - если есть, юзеры будут ходить только в мир, но не друг к другу (отрежет желающих поменяться фильмами на максимальной скорости).

По поводу биллинга - возможно, свое и проще будет, если нет мегатребований по части огромного функционала. Я под чиллиспот ваял набросок, дня 3-4 заняло (радиус-сервер + простое управление акками - таблица аккаунтов, таблица с логинами-паролями на чеках, таблица с сессиями, ну и + скрипт генерации логинов-паролей в базе и вывод с управляющими символами для печати на POS принтер). Освободится время от более срочных задач - доделаю туда еще RPC, прилеплю php веб-морду к этому RPC и куда-то выложу. Собссно, первоочередная цель этого недобиллинга - обкатка решений для последующего написания полновесной биллинговой системы, в замен работающей сейчас.

Share this post


Link to post
Share on other sites

isolated AP - если есть, юзеры будут ходить только в мир, но не друг к другу (отрежет желающих поменяться фильмами на максимальной скорости).

Да, только Isolated AP работает в приделах одной точки доступа, пользователей разных точек надо будет по другому отгораживать друг от друга.

 

Есть же wpa2-enterprice режим, когда от клиента до авторизации запросы могу ходить только для авторизации на радиус сервере.

 

Авторизовался - юзай сеть, нет - даже пакеты до соседа не дойдут.

Можно еще через открытый второй SSID и автоматический http redirect сделать доступ к рекламе и инструкциям как купить/стать абонентом, проводить акции, etc.

Share this post


Link to post
Share on other sites

Доступ по PPPoE избавит от всех проблем.

Если каждую базу завести в свой влан и прокинуть до центрального сервера, клиенты между собой мимо сервера общаться не смогут. Если использовать в качестве баз микротик, то там можно зафильтровать все кроме PPPoE пакетов.

 

Так же при такой схеме удобно подключать многоквартирные дома - поставили там коммутатор за 500р, на точке доступа зарезали фильтрами все лишнее и все. Пусть они там сами у себя фильмы качают, но на сеть это не повлияет.

Share this post


Link to post
Share on other sites

В чём тут профит от пппое?

 

Оборудование и клиенты уже умеют авторизовываться на доступе.

 

 

Share this post


Link to post
Share on other sites

В чём тут профит от пппое?

 

Оборудование и клиенты уже умеют авторизовываться на доступе.

 

Обсуждалось.

Получается единая система wired/wireless.

Share this post


Link to post
Share on other sites

В чём тут профит от пппое?

 

Оборудование и клиенты уже умеют авторизовываться на доступе.

Многие Wi-Fi базовые станции (например, тот же Rocket) не умеют делать per-user нарезку скорости (по RADIUS-атрибуту), а это часто надо.

Share this post


Link to post
Share on other sites

Isolated AP работает в приделах одной точки доступа, пользователей разных точек надо будет по другому отгораживать друг от друга.

Само собой, сегментация. Ну или шейпинг на точке доступа, если ресурсы/софт позволяют.

 

Доступ по PPPoE избавит от всех проблем.

А в контексте точек доступа - еще и создаст массу новых.

Часто ли вы видели КПК/планшеты/коммуникаторы/консоли/etc с PPPoE клиентом? :) Такой способ аутентификации даже китайцам, которые специалисты рвать гланды через анус, в голову еще не приходил...

Share this post


Link to post
Share on other sites

Мимо кассы.

КПК/планшеты/коммуникаторы/консоли/etc с PPPoE клиентом?

Под это барахло абонент себе сохо раутер поставит.

Наша цель довести инет "до места", в условиях неприменимости оптики.

Share this post


Link to post
Share on other sites

Доступ по PPPoE избавит от всех проблем.

А в контексте точек доступа - еще и создаст массу новых.

Часто ли вы видели КПК/планшеты/коммуникаторы/консоли/etc с PPPoE клиентом? :) Такой способ аутентификации даже китайцам, которые специалисты рвать гланды через анус, в голову еще не приходил...

Тут вроде бы говорили о 5 ГГц, по-этому модель CPE в любом случае форсируется провайдером, в Nanostation с PPPoE на WLAN есть некоторые нюансы, но в целом схема работает.

Из того, что не нравится:

  • При отбое от RADIUS NS M5 практически без задержки отсылает следующий запрос на поднятие PPPoE-сессии: в начале месяца RADIUS зафлуживается логами, проблему можно лечить чем-то вроде sessions per-mac throttle
  • Нельзя форсировать MS-CHAPv2, если клиент зацепится на левую станцию, с него можно выцепить пароль по PAP

Edited by troyand

Share this post


Link to post
Share on other sites

В чём тут профит от пппое?

 

Оборудование и клиенты уже умеют авторизовываться на доступе.

Многие Wi-Fi базовые станции (например, тот же Rocket) не умеют делать per-user нарезку скорости (по RADIUS-атрибуту), а это часто надо.

 

Практического смысла не имеет.

Т.к. скорость режется на базе, а с ппс там не густо - загнётся сразу.

Потому ограничиваем макс. полосу на клиенте, а требуемое значение выставляем в конкретном туннеле.

Share this post


Link to post
Share on other sites

Потому ограничиваем макс. полосу на клиенте, а требуемое значение выставляем в конкретном туннеле.

А если клиент меняет тариф, какая процедура обновления параметров на CPE (особенно если учесть, что клиент может не работать в данный момент)?

И что будет, если пользователь снимет со своей CPE ограничения (или у клиентов нет доступа на CPE)?

Edited by troyand

Share this post


Link to post
Share on other sites

На CPE ограничиваем макс. полосу, чтоб не флудил.

Всё остальное - в туннеле, ну а смена тарифа - через личный кабинет, что для wired, что для wireless.

Чем и хорош PPPoE(читай VPN) - единая, мультивендорная система.

Share this post


Link to post
Share on other sites

На CPE ограничиваем макс. полосу, чтоб не флудил.

Всё остальное - в туннеле, ну а смена тарифа - через личный кабинет, что для wired, что для wireless.

Чем и хорош PPPoE(читай VPN) - единая, мультивендорная система.

Логика всё равно не до конца ясна: макс. означает, что если в линейке тарифов самый дорогой имеет ограничение в, например, 5 МБит/с, то на всех CPE при инсталляции прописывается лимит в 5 МБит/с, и эта цифра будет корректной для любого тарифа?

 

И второй вопрос состоял в следующем: может ли пара умников зайти на свою CPE и отключить у себя ограничение полосы (на рейт-лимит PPPoE-соединения это не повлияет никак, естественно), получив себе "безлимитную локалку"?

Share this post


Link to post
Share on other sites

Ок.

 

Максимальная полоса определяется не продажниками, а реальными условиями на местности.

Есть 1 база, обслуживает ~30 клиентов.

Больше 2MBps мы им дать не сможем, в реальных условиях, да и это то многовато, но пусть так.

Вот и ограничиваем на клиенте ~2.4MBps, а в туннель выдаём линейку тарифов, типа 0.25/0.5/0.75/1/1.5/2 MBps.

 

НЕТ!

Не может, т.к. управление и клиентский трафик должны быть в разных VLAN-ах.

Максимум что сможет чел, считающий себя самым умным - убить себе доступ в инет.

Share this post


Link to post
Share on other sites

Ок.

 

Максимальная полоса определяется не продажниками, а реальными условиями на местности.

Есть 1 база, обслуживает ~30 клиентов.

Больше 2MBps мы им дать не сможем, в реальных условиях, да и это то многовато, но пусть так.

Вот и ограничиваем на клиенте ~2.4MBps, а в туннель выдаём линейку тарифов, типа 0.25/0.5/0.75/1/1.5/2 MBps.

С этим прояснилось.

НЕТ!

Не может, т.к. управление и клиентский трафик должны быть в разных VLAN-ах.

Максимум что сможет чел, считающий себя самым умным - убить себе доступ в инет.

Wi-Fi CPE с management vlan - это, пожалуй, из распространенного только MikroTik, а как быть с клиентскими Nanostation?

Share this post


Link to post
Share on other sites

Вот блин! )

Там линух внутри - крути как хочешь.

А на WEB-морду - сразу забей, пока её допилят - уже не надо будет. )

Share this post


Link to post
Share on other sites

Вот блин! )

Там линух внутри - крути как хочешь.

А на WEB-морду - сразу забей, пока её допилят - уже не надо будет. )

А так, то, конечно, подпилить можно, но только не совсем понятно, как такое сдавать в эксплуатацию: подобная схема слишком подвержена "эффекту грузовика".

Share this post


Link to post
Share on other sites

Сдавать как обычно.

Есть оборудование в списке(а UBNT есть) - сдашь без проблем, нет в списке - ну придётся сдавать методом заноса.

Что за "эффект грузовика"?

Линух как линух, кто хоть раз делал софтовый раутер - разберётся.

Share this post


Link to post
Share on other sites

Сдавать как обычно.

Есть оборудование в списке(а UBNT есть) - сдашь без проблем, нет в списке - ну придётся сдавать методом заноса.

Что за "эффект грузовика"?

Линух как линух, кто хоть раз делал софтовый раутер - разберётся.

Я не про сдачу в органы (как раз на Ubiquiti, в отличие от MikroTik, есть сертификаты), а про сдачу своим коллегам, которым с этим счастьем жить потом.

 

Эффект грузовика

 

Есть такое устойчивое словосочетание «Эффект грузовика». Это ситуация, когда устройство какого-то критичного модуля знал один человек, модуль большой, разобраться в нем не просто, человек тот кодировал, как ему удобно, а не как это принято в команде. И все было ОК, т. к. он брал на себя ответственность за модуль, и все всегда работало. Пока его не переехал грузовик…

Share this post


Link to post
Share on other sites
Получается единая система wired/wireless.

Можно ссылку?

В том что я предлагал она тоже единая: все ТД умеют через радиус авторизовывать клиентов.

 

Под клиентами я подразумевал конечные абонентские устройства с WiFi, типа ноута. Вы подразумевали что клиенту отдаётся эзернет порт который дальше беспроводной?

 

 

 

Многие Wi-Fi базовые станции (например, тот же Rocket) не умеют делать per-user нарезку скорости (по RADIUS-атрибуту), а это часто надо.

И?

Юзер точно также насрёт в пппое на выход, как и без пппое, а на той стороне шейперу без разницы резать по ип или ещё и в туннель пихать.

Share this post


Link to post
Share on other sites

Абоненту отдаётся именно эзернет, как он к нему пришёл(wired/wireless) - по барабану.

В собственной заднице клиент может хоть ломом ковыряться, а нам свою надо прикрыть.

Потому - нах зоопарк дивайсов, ставим проверенные решения и исключаем всякую возможность поковыряться в настройках(от большого ума или просто от делать нех).

Биллинг же - любой, имеющий в арсенале VPN.

Share this post


Link to post
Share on other sites
Возник вопрос, а в строну какого билинга из бесплатных версий можно в этом случае посмотреть? но судя по всему проще написать что-то небольшое своё с прикручиванием внешней системы мониторинга.

Также, как будет лучше построить сеть, использовать VPN на базе pppd или mpd, а может PPPOE, какое решение будет все таки более менее оптимальным особенно при росте числа абонентов до 500чел, ведь от правильной архитектуры сначала зависит количество гемороя потом.

 

Естественно думаю увязать это под radius с хранением в mysql и набросать какую нибудь морду для администрирования.

Я как раз немного подпилил FreeNIBS, теперь он подружися с FreeRADIUS2 и MySQL 5х, собственно у этой идеи, имхо, есть потенциал но по хорошему надо переписывать всё под чистую...

Потихоньку к этому и прихожу, но в программирование не силён, так что всё движится очень медленно.

по 802.1x можно авторизировать и по проводу....

 

В качестве ТД -- пики на 5.5 уже вполне вминяемы, но очень жду динамических ВЛАНОВ, тогда с билингом попроще будет

Edited by NewUse

Share this post


Link to post
Share on other sites

резать по ип

если не садить клиента в отдельный VLAN, подвержено spoofing-атакам (так же, как и Hotspot), инструкции прилагаются.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this