Jump to content
Калькуляторы

Разрешить фреймы PPPoE на хотспоте с Captive Portal

Есть хотспот с включенным порталом авторизации.

Теперь хочу добавить в него возможность авторизации по PPPoE.

То есть в итоге хотспот должен выглядеть так — гости получают доступ в интернет с помощью PIN-кода (активировав его на портале), а постоянные пользователи устанавливают PPPoE-подключение.

Если в настройках сети отключаю Captive Portal, то все работает. Если включаю, то PPPoE-соединение не проходит.

Точки содержат следующие правила в ebtables:

-t nat -N GUESTIN -P DROP
-t nat -N GUESTOUT -P ACCEPT
-t nat -A PREROUTING --in-interface ath0 -j mark --set-mark 16 --mark-target CONTINUE
-t nat -A POSTROUTING --out-interface ath0 -j mark --mark-or 16 --mark-target CONTINUE
-t nat -A PREROUTING --in-interface ath0 -j GUESTIN
-t nat -A POSTROUTING --out-interface ath0 -j GUESTOUT
-t nat -A PREROUTING --in-interface ath1 -j mark --set-mark 32 --mark-target CONTINUE
-t nat -A POSTROUTING --out-interface ath1 -j mark --mark-or 32 --mark-target CONTINUE
-t nat -A PREROUTING --in-interface ath1 --proto 0x888e -j ACCEPT
-t nat -A GUESTIN -p 0x800 --pkttype-type broadcast --ip-proto 17 --ip-sport 68 --ip-dport 67 -j ACCEPT
-t nat -A GUESTIN -p 0x86dd -j DROP
-t nat -A GUESTOUT -p 0x86dd -j DROP
-t nat -A GUESTIN -p 0x800 --ip-proto 17 --ip-dport 5353 -j DROP
-t nat -A GUESTOUT -p 0x800 --ip-proto 17 --ip-dport 5353 -j DROP
-t nat -A GUESTIN -p 0x800 --ip-proto 17 --ip-dport 53 -j ACCEPT
-t nat -A GUESTIN -p 0x806 -j ACCEPT
-t nat -A GUESTIN -p 0x800 --ip-proto 6 --ip-dport 80 --ip-dst 10.10.0.250 -j ACCEPT
-t nat -A GUESTIN -p 0x800 --ip-proto 6 --ip-dport 443 --ip-dst 10.10.0.250 -j ACCEPT
-t nat -N CAPTIVE_PORTAL -P RETURN
-t nat -A GUESTIN -p 0x800 --ip-proto 6 --ip-dport 443 -j CAPTIVE_PORTAL
-t nat -I GUESTIN -p 0x800 --ip-dst 10.10.0.250/32 -j ACCEPT
-t nat -I GUESTOUT -p 0x800 --ip-src 10.10.0.250/32 -j ACCEPT
-t nat -I GUESTIN -p 0x800 --ip-dst 239.0.0.0/16 -j ACCEPT
-t nat -I GUESTOUT -p 0x800 --ip-src 239.0.0.0/16 -j ACCEPT
-t nat -I GUESTIN -p 0x800 --ip-dst 239.195.0.0/16 -j ACCEPT
-t nat -I GUESTOUT -p 0x800 --ip-src 239.195.0.0/16 -j ACCEPT
-t nat -A GUESTIN -p 0x800 --ip-dst 224.0.0.0/4 -j DROP
-t nat -A GUESTIN -p 0x800 --ip-dst 192.168.0.0/16 -j DROP
-t nat -A GUESTIN -p 0x800 --ip-dst 172.16.0.0/12 -j DROP
-t nat -A GUESTIN -p 0x800 --ip-dst 10.0.0.0/8 -j DROP
-t nat -N REDIRECT_HTTP
-t nat -A REDIRECT_HTTP -j mark --mark-or 0x00500000 --mark-target CONTINUE
-t nat -A REDIRECT_HTTP -j redirect
-t nat -N REDIRECT_HTTPS
-t nat -A REDIRECT_HTTPS -j mark --mark-or 0x01BB0000 --mark-target CONTINUE
-t nat -A REDIRECT_HTTPS -j redirect
-t nat -N AUTHORIZED_GUESTS -P RETURN
-t nat -A GUESTIN -p 0x800 --pkttype-type otherhost -j AUTHORIZED_GUESTS
-t nat -A GUESTIN -p 0x800 --ip-proto 6 --ip-dport 80 -j REDIRECT_HTTP
-t nat -A GUESTIN -p 0x800 --ip-proto 6 --ip-dport 443 -j REDIRECT_HTTPS

Я так понимаю, что мне нужно в начале цепочек GUESTIN и GUESTOUT (а вернее, перед -t nat -N CAPTIVE_PORTAL) разрешить PPPoE.

Но через GUI такое не предусмотрено.

Не посоветуете, как с минимальными хлопотами разрешить PPPoE?

Мне по сути нужно изменить data/devices/ap/<mac>/system.cfg и затем отправить обновленный конфиг на точку.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.