LINUX.ORG.RU
ФорумAdmin

[подкинте идеи] wi-fi radius ldap acc


0

1

Добрый день, есть следующая задача:

есть офис, необходимо организовать удобную для администратора и для пользователя раздачу Интернет через wi-fi в офисе. Т.к. Интернет платный, нужно строить отчёты чтоб смотреть кто сколько налазил, и имея на руках объёмы траффика по протоколам показать отчёты.

Имеется: 192.168.XX.0/24 dhcp --- которая уже вся занята. Как бы организовать мою задумку.

Возможно-ли построить отдельную подсеть: 192.168.YY.0/24 dhcp по wi-fi не отделяя её на физическом уровне от того что сейчас есть?

Как примерное решение видится следующее: Ставим точки доступа с WPA2-Entreprise, поднимаем RADIUS, ему говорим чтоб искал учётные записи в ldap.

А вот как быть дальше, я пока не особо представляю... Как моём случае будет удобно вести учёт трафика по %username%? И как сделать так чтоб клиенты по wi-fi получали адреса из 192.168.YY/24 подсети?

Реализовать в точке доступа свою подсеть? Но как тогда считать траффик? Ставить софт для подсчёта на саму точку доступа? Как то уж больно сложно выходит.

Да и вообще какие точки доступа посоветуете купить чтоб были функциональными?

Какой софт посоветуете использовать?

★★★★★

Ответ на: комментарий от testuser123

Да учёт трафика не столь важен, чтоб что-то покупать. Мне достаточно на уровне ip считать на самом деле.

Я просто думаю может на dd-wrt поставить dhcp lease time скажем в месяц и каждая точка будет иметь свою подсеть. И что-то придумать, чтоб я потом смог легко сопоставить user -> ip. И на шлюзе считать просто.

Просто задача отчётов это будет очень редка, может раз в год, если придёт большой счёт на оплату, по-этому не нужно ничего такого развесестого. Чтоб просто можно было потом Васю найти и спросить с него, не более.

Как считаете, здраво?

Если юзер будет перемещаться между точками, надо просто придумать может логи dhcp дёргать как-то или логи radius?

DALDON ★★★★★ ()
Ответ на: комментарий от DALDON

Ну тогда можно считать тупо каунтерами на правилах.
А зачем дхцп пихать в сами точки, может с центрального сервака раздавать. Привязать точки например к интерфейсу и с него раздать 192.168.YY.00/24 подсеть.

testuser123 ()
Ответ на: комментарий от testuser123

Вот тут поподробнее. Сейчас сервер уже раздаёт 192.168.XX.00/24 анонимным пользователям по проводному соединению. Я боюсь что я никак не смогу его обучить раздавать беспроводным пользователям 192.168.YY.00/24, физически не разделяя сеть до точек доступа. Верно? Логическое разделение тут мне никак не поможет думаю.

А физически из подвала тащщить кабеля ради пары точек доступа не хочется.

DALDON ★★★★★ ()
Ответ на: комментарий от undertaker

Да не вопрос, всё просто.

gw internal:

dhcpd слушает eth1

eth1 (192.168.XX.1/24);

eth1:0 (192.168.WW.1/24); --- VLAN в другую серверную.

eth1:1 alias and so on;

И пошла ЛВС с eth1 и eth1:1 по офису. Я думаю что не выйдет у меня прикрутить на dhcpd eth2 пусть даже или eth1:2, ибо у меня физически только один провод тянется в офис, и сейчас анонимусы получают по dhcp адреса из 192.168.XX.

DALDON ★★★★★ ()
Ответ на: комментарий от undertaker

Вы мне подскажите годный способ как мне узнать какой User из RADIUS получил какой ip, дальше то я думаю, что смогу подсчитать трафик на gw-internal

DALDON ★★★★★ ()

Как моём случае будет удобно вести учёт трафика по %username%?

proxy. причем для основной сети - тоже.

И как сделать так чтоб клиенты по wi-fi получали адреса из 192.168.YY/24 подсети?

Привязать ip к mac'ам

Реализовать в точке доступа свою подсеть?

Зачем? Если /24 вся забита, а устройства дополнительные - меняйте маску на /23 - будет 2 раза по 254 адреса.


zgen ★★★★★ ()
Ответ на: комментарий от zgen

Да переделывать маску не хочется. От предыдущего админа досталось половину dhcp половина так... Половина эдак..

Да дело в том, что proxy он ведь на уровне http или что-то другое более высокоуровневое, а современные телефоны карты, шмарты... Я думаю что это не поверх http, и задача стоит в максимально быстром предоставлении доступа к сети, не прописывая прокси, и не выполняя настроек SOCKS и прочих вещей не клиенте.

Или можно замутить прозрачный SOCKS? И через него считать и как-то брать данные из LDAP по username?

DALDON ★★★★★ ()
Ответ на: комментарий от DALDON

От предыдущего админа досталось половину dhcp половина так... Половина эдак..

Что мешает привести в порядок? Или хотите, чтобы на ЛОРе следующий админ тоже вспоминал вас «хорошими» словами?

и задача стоит в максимально быстром предоставлении доступа к сети

За авторизацию wpa2-ent в radius вас точно так же разорвут в итоге на части - поддержка на мобильных устройствах очень разная.

Я бы на вашем месте смотрел в сторону radius+iptables, хотя все от условий задачи зависит.

zgen ★★★★★ ()
Ответ на: комментарий от zgen

В целом согласен.

За авторизацию wpa2-ent в radius вас точно так же разорвут в итоге на части - поддержка на мобильных устройствах очень разная.

Вот это ценное дополнение... Я тоже побаивался...

Так значит как посоветуете то? Есть n пользоватлей с x железками, т.е. один пользователь меняет железки как перчатки... Т.е. ручное ведение таблиц mac + address не радует... Один телефон пришёл, потом ушёл, потом через пол года я его выкидываю, потом через год он снова появляется, и начинается топанье ногами: ааа... У меня не работает ничё... Чё делать?

Момент в том что проводным устройстам по умаолчинаю Интернеты мы не даём, только беспроводынм, и только определённому кругу людей.

Как бы подсчитать их и авторизовать?

DALDON ★★★★★ ()
Ответ на: комментарий от DALDON

Все зависит от задачи. Мы сделали проще - зарезали персональный канал до относительно малых величин, выделили это все в отдельный vlan, сделали nat и wpa2-psk. Без всяких «отчетов» т.е. весь отчет, это 12h*3600s*ширину канала. = $$$

Дорого? Возможно. Зато удобно и просто. Хотите дешево? О'кей, но просто не просите.

Все это в 40 минут раскладывается на бумажке.


zgen ★★★★★ ()
Ответ на: комментарий от zgen

Вообще в целом WLAN это хорошая идея, но я не уверен, что оно у меня будет работать как надо, ибо какие свитчи в каких полотках офиса валяются известно одному Богу, при том всё это дело удалённое, и распределённое в нескольких зданиях.

Именно по этой причине мне хочется сделать с минимальными усилиями это дело.

Про VLAN и отдельный канал понял, не плохая конечно идея. Нету и споров.

DALDON ★★★★★ ()
Ответ на: комментарий от DALDON

P.S. не хочется вести таблицы ip + mac!

Вот это пожалуй главное от чего хочется избавиться... Я понимаю что, VLAN + отдельная подсеть сделают своё дело. Но уж больно я не уверен, что без большого геммороя всё получится.

DALDON ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.