Разрешить фреймы PPPoE на хотспоте с Captive Portal

alibek

Опубликовано 18 ноября, 2014 · Жалоба

Есть хотспот с включенным порталом авторизации.

Теперь хочу добавить в него возможность авторизации по PPPoE.

То есть в итоге хотспот должен выглядеть так — гости получают доступ в интернет с помощью PIN-кода (активировав его на портале), а постоянные пользователи устанавливают PPPoE-подключение.

Если в настройках сети отключаю Captive Portal, то все работает. Если включаю, то PPPoE-соединение не проходит.

Точки содержат следующие правила в ebtables:

-t nat -N GUESTIN -P DROP
-t nat -N GUESTOUT -P ACCEPT
-t nat -A PREROUTING --in-interface ath0 -j mark --set-mark 16 --mark-target CONTINUE
-t nat -A POSTROUTING --out-interface ath0 -j mark --mark-or 16 --mark-target CONTINUE
-t nat -A PREROUTING --in-interface ath0 -j GUESTIN
-t nat -A POSTROUTING --out-interface ath0 -j GUESTOUT
-t nat -A PREROUTING --in-interface ath1 -j mark --set-mark 32 --mark-target CONTINUE
-t nat -A POSTROUTING --out-interface ath1 -j mark --mark-or 32 --mark-target CONTINUE
-t nat -A PREROUTING --in-interface ath1 --proto 0x888e -j ACCEPT
-t nat -A GUESTIN -p 0x800 --pkttype-type broadcast --ip-proto 17 --ip-sport 68 --ip-dport 67 -j ACCEPT
-t nat -A GUESTIN -p 0x86dd -j DROP
-t nat -A GUESTOUT -p 0x86dd -j DROP
-t nat -A GUESTIN -p 0x800 --ip-proto 17 --ip-dport 5353 -j DROP
-t nat -A GUESTOUT -p 0x800 --ip-proto 17 --ip-dport 5353 -j DROP
-t nat -A GUESTIN -p 0x800 --ip-proto 17 --ip-dport 53 -j ACCEPT
-t nat -A GUESTIN -p 0x806 -j ACCEPT
-t nat -A GUESTIN -p 0x800 --ip-proto 6 --ip-dport 80 --ip-dst 10.10.0.250 -j ACCEPT
-t nat -A GUESTIN -p 0x800 --ip-proto 6 --ip-dport 443 --ip-dst 10.10.0.250 -j ACCEPT
-t nat -N CAPTIVE_PORTAL -P RETURN
-t nat -A GUESTIN -p 0x800 --ip-proto 6 --ip-dport 443 -j CAPTIVE_PORTAL
-t nat -I GUESTIN -p 0x800 --ip-dst 10.10.0.250/32 -j ACCEPT
-t nat -I GUESTOUT -p 0x800 --ip-src 10.10.0.250/32 -j ACCEPT
-t nat -I GUESTIN -p 0x800 --ip-dst 239.0.0.0/16 -j ACCEPT
-t nat -I GUESTOUT -p 0x800 --ip-src 239.0.0.0/16 -j ACCEPT
-t nat -I GUESTIN -p 0x800 --ip-dst 239.195.0.0/16 -j ACCEPT
-t nat -I GUESTOUT -p 0x800 --ip-src 239.195.0.0/16 -j ACCEPT
-t nat -A GUESTIN -p 0x800 --ip-dst 224.0.0.0/4 -j DROP
-t nat -A GUESTIN -p 0x800 --ip-dst 192.168.0.0/16 -j DROP
-t nat -A GUESTIN -p 0x800 --ip-dst 172.16.0.0/12 -j DROP
-t nat -A GUESTIN -p 0x800 --ip-dst 10.0.0.0/8 -j DROP
-t nat -N REDIRECT_HTTP
-t nat -A REDIRECT_HTTP -j mark --mark-or 0x00500000 --mark-target CONTINUE
-t nat -A REDIRECT_HTTP -j redirect
-t nat -N REDIRECT_HTTPS
-t nat -A REDIRECT_HTTPS -j mark --mark-or 0x01BB0000 --mark-target CONTINUE
-t nat -A REDIRECT_HTTPS -j redirect
-t nat -N AUTHORIZED_GUESTS -P RETURN
-t nat -A GUESTIN -p 0x800 --pkttype-type otherhost -j AUTHORIZED_GUESTS
-t nat -A GUESTIN -p 0x800 --ip-proto 6 --ip-dport 80 -j REDIRECT_HTTP
-t nat -A GUESTIN -p 0x800 --ip-proto 6 --ip-dport 443 -j REDIRECT_HTTPS

Я так понимаю, что мне нужно в начале цепочек GUESTIN и GUESTOUT (а вернее, перед -t nat -N CAPTIVE_PORTAL) разрешить PPPoE.

Но через GUI такое не предусмотрено.

Не посоветуете, как с минимальными хлопотами разрешить PPPoE?

Мне по сути нужно изменить data/devices/ap/<mac>/system.cfg и затем отправить обновленный конфиг на точку.

Войти

alibek

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Join the conversation