Всем привет.
Появилась задача организации гостевого доступа к WIFI через одноразовый пароль.
Сейчас в наличие только контроллер CIsco и точки доступа.
Финансовое положение не позволяет сделать это на платных продуктах , по этому смотрю в сторону freeware .
Сама концепция для меня понятна, но есть вопросы к выбору ПО и связки между собой компонентов (radius , webserver , passowrd generator, email server , database и т.д. )
Если у кого есть опыт в этом направлении просьба поделиться .
Спасибо.
> Всем привет.
> Появилась задача организации гостевого доступа к WIFI через одноразовый пароль.
> Сама концепция для меня понятна, но есть вопросы к выборуКак разберетесь, сюда информацию скиньте.
Спасибо.
> Всем привет.
> Появилась задача организации гостевого доступа к WIFI через одноразовый пароль.
> Сейчас в наличие только контроллер CIsco и точки доступа.
> Финансовое положение не позволяет сделать это на платных продуктах , по этому
> смотрю в сторону freeware .
> Сама концепция для меня понятна, но есть вопросы к выбору ПО и
> связки между собой компонентов (radius , webserver , passowrd generator, email
> server , database и т.д. )
> Если у кого есть опыт в этом направлении просьба поделиться .
> Спасибо.А зачем радиус, включите веб-авторизацию и пусть пользователь авторизуется на ней.
> А зачем радиус, включите веб-авторизацию и пусть пользователь авторизуется на ней.А одноразовые пароли SMSить кто будет? Контроллер?
>> А зачем радиус, включите веб-авторизацию и пусть пользователь авторизуется на ней.
> А одноразовые пароли SMSить кто будет? Контроллер?Север на котором страница авторизации будет лежать. Все просто и без радиуса. Клиент идет на страницу->WLC перенаправляет на web-авторизацию, где два поля (номер телефона и ключ доступа)->Сервер шлет СМС на номер пользователя с ключом доступа->Пользователь вводит ключ в соотвествующее поле и все, дальше его авторизует.
>>> А зачем радиус, включите веб-авторизацию и пусть пользователь авторизуется на ней.
>> А одноразовые пароли SMSить кто будет? Контроллер?
> Север на котором страница авторизации будет лежать. Все просто и без радиуса.
> Клиент идет на страницу->WLC перенаправляет на web-авторизацию, где два поля (номер
> телефона и ключ доступа)->Сервер шлет СМС на номер пользователя с ключом
> доступа->Пользователь вводит ключ в соотвествующее поле и все, дальше его авторизует.http://www.cisco.com/c/en/us/support/docs/wireless-mobility/...
Это имеешь в виду?
>>>> А зачем радиус, включите веб-авторизацию и пусть пользователь авторизуется на ней.
>>> А одноразовые пароли SMSить кто будет? Контроллер?
>> Север на котором страница авторизации будет лежать. Все просто и без радиуса.
>> Клиент идет на страницу->WLC перенаправляет на web-авторизацию, где два поля (номер
>> телефона и ключ доступа)->Сервер шлет СМС на номер пользователя с ключом
>> доступа->Пользователь вводит ключ в соотвествующее поле и все, дальше его авторизует.
> http://www.cisco.com/c/en/us/support/docs/wireless-mobility/...
> Это имеешь в виду?Да
>>>>> А зачем радиус, включите веб-авторизацию и пусть пользователь авторизуется на ней.
>>>> А одноразовые пароли SMSить кто будет? Контроллер?
>>> Север на котором страница авторизации будет лежать. Все просто и без радиуса.
>>> Клиент идет на страницу->WLC перенаправляет на web-авторизацию, где два поля (номер
>>> телефона и ключ доступа)->Сервер шлет СМС на номер пользователя с ключом
>>> доступа->Пользователь вводит ключ в соотвествующее поле и все, дальше его авторизует.
>> http://www.cisco.com/c/en/us/support/docs/wireless-mobility/...
>> Это имеешь в виду?
> Дая, если честно, не совсем понял, каким образом веб-сервер извещает WLC об авторизации.
>[оверквотинг удален]
>>>>> А одноразовые пароли SMSить кто будет? Контроллер?
>>>> Север на котором страница авторизации будет лежать. Все просто и без радиуса.
>>>> Клиент идет на страницу->WLC перенаправляет на web-авторизацию, где два поля (номер
>>>> телефона и ключ доступа)->Сервер шлет СМС на номер пользователя с ключом
>>>> доступа->Пользователь вводит ключ в соотвествующее поле и все, дальше его авторизует.
>>> http://www.cisco.com/c/en/us/support/docs/wireless-mobility/...
>>> Это имеешь в виду?
>> Да
> я, если честно, не совсем понял, каким образом веб-сервер извещает WLC об
> авторизации.А он просто перенаправляет данные пользователя (логин/пасс) на внутреннюю авторизацию контроллера.
> А он просто перенаправляет данные пользователя (логин/пасс) на внутреннюю авторизацию
> контроллера.Как именно? GET запрос делает на локальный интерфейс WLC? Пользователь эти логин/пасс видит?
>> А он просто перенаправляет данные пользователя (логин/пасс) на внутреннюю авторизацию
>> контроллера.
> Как именно? GET запрос делает на локальный интерфейс WLC? Пользователь эти логин/пасс
> видит?Там POST, пользователь может посмотреть логин и пасс в хайден полях, если полезет в исходники.
>>> А он просто перенаправляет данные пользователя (логин/пасс) на внутреннюю авторизацию
>>> контроллера.
>> Как именно? GET запрос делает на локальный интерфейс WLC? Пользователь эти логин/пасс
>> видит?
> Там POST, пользователь может посмотреть логин и пасс в хайден полях, если
> полезет в исходники.Т.е. POST делает браузер самого клиента в итоге? И если подсмотреть пароль и подделать заголовки можно спокойно ходить "мимо" странички?
>>>> А он просто перенаправляет данные пользователя (логин/пасс) на внутреннюю авторизацию
>>>> контроллера.
>>> Как именно? GET запрос делает на локальный интерфейс WLC? Пользователь эти логин/пасс
>>> видит?
>> Там POST, пользователь может посмотреть логин и пасс в хайден полях, если
>> полезет в исходники.
> Т.е. POST делает браузер самого клиента в итоге? И если подсмотреть пароль
> и подделать заголовки можно спокойно ходить "мимо" странички?Ну да, это может.
Сервак с freeradius и далее как фантазия позволяет.1. пользователь подключается к гостевой сети. Там большими буквами предложение отправить SMS на номер вашего портала, который должен быть на том-же сервере размещен или должен иметь доступ к базе авторизции.
2. пользователь шлет СМС, портал генерит логин-пароль, добавляет его в базу, с ограничением срока действия или срока активации или и того и другого. СМСит логин/пароль обратно пользователю.
3. пользователь вводит полученые учетные данные, контроллер на радиусе авторизует, назначает максимальную длительность сеанса и т.п.
4. опционально. на радиусе выполняется привязка логина к МАК, устанавливаются сроки действия и т.п.СМС сервис скорее всего бесплатно получить не получится, особенно если нужен надежный с большими объемами. Только если сами не оператор.
Городить СМС-шлюз аппаратный с модемом с СИМ-картой только если очень малые объемы, ибо скорость работы ИМХО невысокая будет.Ну попрограммировать придется, как без этого.
В своей конторе я сделал на фрирадиусе и перловом скрипте, но логины/пароли генерятся по служебке через вебморду ИТ персоналом, выслать готовый логин/пароль СМСкой можно, для этого используем платный сервис (сервис в основном используется для других производственных задач, вифи тут просто паровозом). Сам гость самостоятельно сварганить себе учетку не может, не было такой задачи да и нефиг.
При первом входе учетка привязывается к МАКу устройства, устанавливается ограниченый срок действия.
Потом меня достала кривая реализация сертификатной системы и я на базе того-же скрипта прикрутил еще и корпоративных пользователей, с привязкой устройства к сочетанию логина/пароля.
Работает как в режиме гостевой сети, так и с авторизацией EAP-PEAP. В режиме гостевой сети нельзя только вилан сменить.
>[оверквотинг удален]
> можно, для этого используем платный сервис (сервис в основном используется для
> других производственных задач, вифи тут просто паровозом). Сам гость самостоятельно сварганить
> себе учетку не может, не было такой задачи да и нефиг.
> При первом входе учетка привязывается к МАКу устройства, устанавливается ограниченый срок
> действия.
> Потом меня достала кривая реализация сертификатной системы и я на базе того-же
> скрипта прикрутил еще и корпоративных пользователей, с привязкой устройства к сочетанию
> логина/пароля.
> Работает как в режиме гостевой сети, так и с авторизацией EAP-PEAP. В
> режиме гостевой сети нельзя только вилан сменить.В Вашем случае я бы использовал Lobby админа без каких либо радиусов.
>> Работает как в режиме гостевой сети, так и с авторизацией EAP-PEAP. В
>> режиме гостевой сети нельзя только вилан сменить.
> В Вашем случае я бы использовал Lobby админа без каких либо радиусов.Эээ, в моем случае я сам себе погромист и меня все устраивает ;)
> Сервак с freeradius и далее как фантазия позволяет.мысль хороша,но явно избыточная,достаточно -пользователь шлет sms с желаемым логином и паролем на указанный номер,полученная sms обрабатывается радиусом и создается соответствующий пользователь на среднестатистическое время.
по идее, при наличии некоторых познаний, можно даже без радиуса,просто использовать роутер с usb портом куда подключать gsm модем, парсить приходящие sms и создавать на их основе новых пользователей. Так как в большинстве дешевых wifi роутеров ограничение в 255 пользователей, то каждый новый будет вымещать первого согласно FIFO.
Впринципе чуть додумать и можно будет для тех же кафе барыжить роутерами с такой прошивкой.
Всем привет.
На самом деле хочу сделать сеть похожую на гостевой WiFi в московском метро.
т.е. алгоритм следующий
1. клиент подключается к открытой сети
2. при попытке зайти на любую web страницу в интернет его перенаправляют на страницу с просьбой указать номер телефона (External WEB Auth )
3. после ввода номера телефона и нажатия клавиши ОК , WEB сервер передаёт номер телефона как логин на FreeRadius , который проверяет наличие такого логина в своей базе или в сторонней базе (к примеру MySQL ) , в случае наличия пускает , в случае отсутствия передаёт номер телефона системе генерации пароля .
4. Система генерации пароля создаёт пароль и отправляется электронным письмом на сторонний адрес ( в данном случае email адрес может быть адресом SMS сервиса который будет рассылать SMS ) и при этом должен записать в базу сгенерированный пароль .
5. После этого , Web сервер перенаправляет на другую страницу для ввода пароля полученного по SMS .
6. клиент вводит пароль и проходит аутентификацию .В любом случае без Radius сервера нам на обойтись так как нужно будет связывать многие сервисы и базы между собой .
Как это сделать в рамках только оборудования Cisco мне известно , а вот что касается сторонних производителей - беда .
Пока не нашёл ничего приемлемого для решения данного вопроса.
> Пока не нашёл ничего приемлемого для решения данного вопроса.Тебе уже вроде все разжевали, два разных способа. Или теперь Cisco WLC из уравнения исключен?
Добрый день, ознакомится с тем что уже сделано можно тут https://hotspot-online.ruВ данный момент только подготавливаем инструкцию, если сами не разберетесь в системе пишите в личку либо на support@hotspot-online.ru
Работает на данный момент только с оборудованием вендора Микротик. SMS приходит в течении минуты, над ускорением доставки в данный момент работает, на дизайн тоже пока особо не обращайте внимания :-)
Прошу принять активное участие с обратной связью (баги, замечания, предложения)
Необходимо скачать архив (https://hotspot-online.ru/hotspot.zip) и распаковать его в микротик, после настройки конфигуратором.
> Добрый день, ознакомится с тем что уже сделано можно тут https://hotspot-online.ru
> В данный момент только подготавливаем инструкцию, если сами не разберетесь в системе
> пишите в личку либо на support@hotspot-online.ru
> Работает на данный момент только с оборудованием вендора Микротик. SMS приходит в
> течении минуты, над ускорением доставки в данный момент работает, на дизайн
> тоже пока особо не обращайте внимания :-)
> Прошу принять активное участие с обратной связью (баги, замечания, предложения)
> Необходимо скачать архив (https://hotspot-online.ru/hotspot.zip) и распаковать его
> в микротик, после настройки конфигуратором.Только не некротик, чур меня, чур.
http://forum.nag.ru/forum/index.php?showtopic=107905
Я пользуюсь вот этой системой http://accessnetwork.ru/ все отлично работает, смс бесплатные, повторных регистраций пользователей нет, т.к. повторное подключение производится полностью автоматически. А то у других надо или заново регаться или надо браузер открывать чтоб интернет появился, не удобно если пользуешься приложением.
> Я пользуюсь вот этой системой http://accessnetwork.ru/ все отлично работает, смс бесплатные,
> повторных регистраций пользователей нет, т.к. повторное подключение производится полностью
> автоматически. А то у других надо или заново регаться или надо
> браузер открывать чтоб интернет появился, не удобно если пользуешься приложением.Спасибо.
А мы сделали на Ubiquiti Unifi, там можно перенаправлять на внешний портал авторизации. А там 20 строчек на php + свисток gsm-модема.
> А мы сделали на Ubiquiti Unifi, там можно перенаправлять на внешний портал
> авторизации. А там 20 строчек на php + свисток gsm-модема.Ну это только если у вас заходи мало человек одновременно.
Попробуйте "WiFi System"
http://wifisystem.ru/?d=194263
Широкий список подходящего оборудования.
Безлимитные смс и бесплатные звонки.
Возможность настройки страницы авторизации "Под себя"
Удобный личный кабинет с широким выбором настроек и подробной статистикой.
Адекватная и быстрая помощь по возникающим вопросам.