Перейти к содержимому
Калькуляторы

Теория построения для WiFi Принципы построения сети и ПО

Так как Rocket M5 пока нету и будут не скоро в связи с нехваткой процессоров на заводе производители по словам поставщика, двигаемся в строну Nanostation M5 в качестве точки доступа порядка 3-5шт в кольцо для мак покрытия и клиентов Ubiquiti NanoStation Loco M5.

 

Возник вопрос, а в строну какого билинга из бесплатных версий можно в этом случае посмотреть? но судя по всему проще написать что-то небольшое своё с прикручиванием внешней системы мониторинга.

Также, как будет лучше построить сеть, использовать VPN на базе pppd или mpd, а может PPPOE, какое решение будет все таки более менее оптимальным особенно при росте числа абонентов до 500чел, ведь от правильной архитектуры сначала зависит количество гемороя потом.

 

Естественно думаю увязать это под radius с хранением в mysql и набросать какую нибудь морду для администрирования.

 

Еще интересует такой момент, как настраивать политики и где лучше в этом случае, к примеру:

чел купил инет, дальше шарит своё локальное соединение в сетке где пингуются другие челы, звонит другу и тот юзает его в качестве gateway и получает выход в инет по каналу прова. Понимаю тупая картинка, но пару раз попадал на такое.

 

В общем, поделитесь плиз опытом, куда смотреть и что копнуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть же wpa2-enterprice режим, когда от клиента до авторизации запросы могу ходить только для авторизации на радиус сервере.

 

Авторизовался - юзай сеть, нет - даже пакеты до соседа не дойдут.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

isolated AP - если есть, юзеры будут ходить только в мир, но не друг к другу (отрежет желающих поменяться фильмами на максимальной скорости).

По поводу биллинга - возможно, свое и проще будет, если нет мегатребований по части огромного функционала. Я под чиллиспот ваял набросок, дня 3-4 заняло (радиус-сервер + простое управление акками - таблица аккаунтов, таблица с логинами-паролями на чеках, таблица с сессиями, ну и + скрипт генерации логинов-паролей в базе и вывод с управляющими символами для печати на POS принтер). Освободится время от более срочных задач - доделаю туда еще RPC, прилеплю php веб-морду к этому RPC и куда-то выложу. Собссно, первоочередная цель этого недобиллинга - обкатка решений для последующего написания полновесной биллинговой системы, в замен работающей сейчас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

isolated AP - если есть, юзеры будут ходить только в мир, но не друг к другу (отрежет желающих поменяться фильмами на максимальной скорости).

Да, только Isolated AP работает в приделах одной точки доступа, пользователей разных точек надо будет по другому отгораживать друг от друга.

 

Есть же wpa2-enterprice режим, когда от клиента до авторизации запросы могу ходить только для авторизации на радиус сервере.

 

Авторизовался - юзай сеть, нет - даже пакеты до соседа не дойдут.

Можно еще через открытый второй SSID и автоматический http redirect сделать доступ к рекламе и инструкциям как купить/стать абонентом, проводить акции, etc.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доступ по PPPoE избавит от всех проблем.

Если каждую базу завести в свой влан и прокинуть до центрального сервера, клиенты между собой мимо сервера общаться не смогут. Если использовать в качестве баз микротик, то там можно зафильтровать все кроме PPPoE пакетов.

 

Так же при такой схеме удобно подключать многоквартирные дома - поставили там коммутатор за 500р, на точке доступа зарезали фильтрами все лишнее и все. Пусть они там сами у себя фильмы качают, но на сеть это не повлияет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В чём тут профит от пппое?

 

Оборудование и клиенты уже умеют авторизовываться на доступе.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В чём тут профит от пппое?

 

Оборудование и клиенты уже умеют авторизовываться на доступе.

 

Обсуждалось.

Получается единая система wired/wireless.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В чём тут профит от пппое?

 

Оборудование и клиенты уже умеют авторизовываться на доступе.

Многие Wi-Fi базовые станции (например, тот же Rocket) не умеют делать per-user нарезку скорости (по RADIUS-атрибуту), а это часто надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Isolated AP работает в приделах одной точки доступа, пользователей разных точек надо будет по другому отгораживать друг от друга.

Само собой, сегментация. Ну или шейпинг на точке доступа, если ресурсы/софт позволяют.

 

Доступ по PPPoE избавит от всех проблем.

А в контексте точек доступа - еще и создаст массу новых.

Часто ли вы видели КПК/планшеты/коммуникаторы/консоли/etc с PPPoE клиентом? :) Такой способ аутентификации даже китайцам, которые специалисты рвать гланды через анус, в голову еще не приходил...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мимо кассы.

КПК/планшеты/коммуникаторы/консоли/etc с PPPoE клиентом?

Под это барахло абонент себе сохо раутер поставит.

Наша цель довести инет "до места", в условиях неприменимости оптики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доступ по PPPoE избавит от всех проблем.

А в контексте точек доступа - еще и создаст массу новых.

Часто ли вы видели КПК/планшеты/коммуникаторы/консоли/etc с PPPoE клиентом? :) Такой способ аутентификации даже китайцам, которые специалисты рвать гланды через анус, в голову еще не приходил...

Тут вроде бы говорили о 5 ГГц, по-этому модель CPE в любом случае форсируется провайдером, в Nanostation с PPPoE на WLAN есть некоторые нюансы, но в целом схема работает.

Из того, что не нравится:

  • При отбое от RADIUS NS M5 практически без задержки отсылает следующий запрос на поднятие PPPoE-сессии: в начале месяца RADIUS зафлуживается логами, проблему можно лечить чем-то вроде sessions per-mac throttle
  • Нельзя форсировать MS-CHAPv2, если клиент зацепится на левую станцию, с него можно выцепить пароль по PAP

Изменено пользователем troyand

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В чём тут профит от пппое?

 

Оборудование и клиенты уже умеют авторизовываться на доступе.

Многие Wi-Fi базовые станции (например, тот же Rocket) не умеют делать per-user нарезку скорости (по RADIUS-атрибуту), а это часто надо.

 

Практического смысла не имеет.

Т.к. скорость режется на базе, а с ппс там не густо - загнётся сразу.

Потому ограничиваем макс. полосу на клиенте, а требуемое значение выставляем в конкретном туннеле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Потому ограничиваем макс. полосу на клиенте, а требуемое значение выставляем в конкретном туннеле.

А если клиент меняет тариф, какая процедура обновления параметров на CPE (особенно если учесть, что клиент может не работать в данный момент)?

И что будет, если пользователь снимет со своей CPE ограничения (или у клиентов нет доступа на CPE)?

Изменено пользователем troyand

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На CPE ограничиваем макс. полосу, чтоб не флудил.

Всё остальное - в туннеле, ну а смена тарифа - через личный кабинет, что для wired, что для wireless.

Чем и хорош PPPoE(читай VPN) - единая, мультивендорная система.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На CPE ограничиваем макс. полосу, чтоб не флудил.

Всё остальное - в туннеле, ну а смена тарифа - через личный кабинет, что для wired, что для wireless.

Чем и хорош PPPoE(читай VPN) - единая, мультивендорная система.

Логика всё равно не до конца ясна: макс. означает, что если в линейке тарифов самый дорогой имеет ограничение в, например, 5 МБит/с, то на всех CPE при инсталляции прописывается лимит в 5 МБит/с, и эта цифра будет корректной для любого тарифа?

 

И второй вопрос состоял в следующем: может ли пара умников зайти на свою CPE и отключить у себя ограничение полосы (на рейт-лимит PPPoE-соединения это не повлияет никак, естественно), получив себе "безлимитную локалку"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ок.

 

Максимальная полоса определяется не продажниками, а реальными условиями на местности.

Есть 1 база, обслуживает ~30 клиентов.

Больше 2MBps мы им дать не сможем, в реальных условиях, да и это то многовато, но пусть так.

Вот и ограничиваем на клиенте ~2.4MBps, а в туннель выдаём линейку тарифов, типа 0.25/0.5/0.75/1/1.5/2 MBps.

 

НЕТ!

Не может, т.к. управление и клиентский трафик должны быть в разных VLAN-ах.

Максимум что сможет чел, считающий себя самым умным - убить себе доступ в инет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ок.

 

Максимальная полоса определяется не продажниками, а реальными условиями на местности.

Есть 1 база, обслуживает ~30 клиентов.

Больше 2MBps мы им дать не сможем, в реальных условиях, да и это то многовато, но пусть так.

Вот и ограничиваем на клиенте ~2.4MBps, а в туннель выдаём линейку тарифов, типа 0.25/0.5/0.75/1/1.5/2 MBps.

С этим прояснилось.

НЕТ!

Не может, т.к. управление и клиентский трафик должны быть в разных VLAN-ах.

Максимум что сможет чел, считающий себя самым умным - убить себе доступ в инет.

Wi-Fi CPE с management vlan - это, пожалуй, из распространенного только MikroTik, а как быть с клиентскими Nanostation?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот блин! )

Там линух внутри - крути как хочешь.

А на WEB-морду - сразу забей, пока её допилят - уже не надо будет. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот блин! )

Там линух внутри - крути как хочешь.

А на WEB-морду - сразу забей, пока её допилят - уже не надо будет. )

А так, то, конечно, подпилить можно, но только не совсем понятно, как такое сдавать в эксплуатацию: подобная схема слишком подвержена "эффекту грузовика".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сдавать как обычно.

Есть оборудование в списке(а UBNT есть) - сдашь без проблем, нет в списке - ну придётся сдавать методом заноса.

Что за "эффект грузовика"?

Линух как линух, кто хоть раз делал софтовый раутер - разберётся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сдавать как обычно.

Есть оборудование в списке(а UBNT есть) - сдашь без проблем, нет в списке - ну придётся сдавать методом заноса.

Что за "эффект грузовика"?

Линух как линух, кто хоть раз делал софтовый раутер - разберётся.

Я не про сдачу в органы (как раз на Ubiquiti, в отличие от MikroTik, есть сертификаты), а про сдачу своим коллегам, которым с этим счастьем жить потом.

 

Эффект грузовика

 

Есть такое устойчивое словосочетание «Эффект грузовика». Это ситуация, когда устройство какого-то критичного модуля знал один человек, модуль большой, разобраться в нем не просто, человек тот кодировал, как ему удобно, а не как это принято в команде. И все было ОК, т. к. он брал на себя ответственность за модуль, и все всегда работало. Пока его не переехал грузовик…

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Получается единая система wired/wireless.

Можно ссылку?

В том что я предлагал она тоже единая: все ТД умеют через радиус авторизовывать клиентов.

 

Под клиентами я подразумевал конечные абонентские устройства с WiFi, типа ноута. Вы подразумевали что клиенту отдаётся эзернет порт который дальше беспроводной?

 

 

 

Многие Wi-Fi базовые станции (например, тот же Rocket) не умеют делать per-user нарезку скорости (по RADIUS-атрибуту), а это часто надо.

И?

Юзер точно также насрёт в пппое на выход, как и без пппое, а на той стороне шейперу без разницы резать по ип или ещё и в туннель пихать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Абоненту отдаётся именно эзернет, как он к нему пришёл(wired/wireless) - по барабану.

В собственной заднице клиент может хоть ломом ковыряться, а нам свою надо прикрыть.

Потому - нах зоопарк дивайсов, ставим проверенные решения и исключаем всякую возможность поковыряться в настройках(от большого ума или просто от делать нех).

Биллинг же - любой, имеющий в арсенале VPN.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возник вопрос, а в строну какого билинга из бесплатных версий можно в этом случае посмотреть? но судя по всему проще написать что-то небольшое своё с прикручиванием внешней системы мониторинга.

Также, как будет лучше построить сеть, использовать VPN на базе pppd или mpd, а может PPPOE, какое решение будет все таки более менее оптимальным особенно при росте числа абонентов до 500чел, ведь от правильной архитектуры сначала зависит количество гемороя потом.

 

Естественно думаю увязать это под radius с хранением в mysql и набросать какую нибудь морду для администрирования.

Я как раз немного подпилил FreeNIBS, теперь он подружися с FreeRADIUS2 и MySQL 5х, собственно у этой идеи, имхо, есть потенциал но по хорошему надо переписывать всё под чистую...

Потихоньку к этому и прихожу, но в программирование не силён, так что всё движится очень медленно.

по 802.1x можно авторизировать и по проводу....

 

В качестве ТД -- пики на 5.5 уже вполне вминяемы, но очень жду динамических ВЛАНОВ, тогда с билингом попроще будет

Изменено пользователем NewUse

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

резать по ип

если не садить клиента в отдельный VLAN, подвержено spoofing-атакам (так же, как и Hotspot), инструкции прилагаются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.