LINUX.ORG.RU
ФорумAdmin

[удобно и по уму] Wi-fi


0

1

Дано:

  • wi-fi dd-wrt роутер.
  • FreeBSD шлюз с dhcp сервером.
  • ldap с именами пользователей и паролем.

Задача:

Добиться следующего: Пользователь находит открытый wi-fi, подключается.

  • Открывает браузер.
  • Попадает на страницу где вводит логин/пароль. - ldap
  • Получает полный NAT Интернет доступ.
  • Администратор может посмотреть кто сколько из пользователей насидел. - не надо деления на протоколы, просто смотреть статистику в мегабайтах.

Пока на уме что-то такое: Chillispot, freeradius с модулем ldap.

Я правильно понимаю что должно всё выглядить примерно так:

Пользователь подключается к wi-fi, запускается браузер, его перекидывает на страницу (какую только? Самописную чтоль?) Где присутствует поле логин/пароль. Он его вводит, и выполняется некий скрипт который откроет полный доступ.

Чем и как и где считать трафик? На шлюзе я думаю, но вот как?

В общем трафик лимитирован, нужно просто подсчитать уметь, да чтоб кто попало не лазил... - Подскажите как. Сейчас ведём руками таблицы мак + адрес... Но кол-во беспроводных устройств уже большое, и хочется чего-то более удобного.

★★★★★

1) Точка подключается к radius, который подключен к ldap, пользователь находит wifi (wpa2ent), подключается к нему и вводит свой l/p из ldap, подключается к прокси, которая получает от него пароль и к которой прикручена считалка трафа, например sams

2) Открытый wifi и доступ исключительно к прокси, прицепленный к ldap. С basic авторизацией. Или ntlm, если домен. И опять же sams

zgen ★★★★★ ()

ipcad? При условии что каждому устройству уникальный ip.

true_admin ★★★★★ ()

Может примерно такое подойдет:

1. AP c EAP аутентификацией
2. freeradius с модулем eap + ldap
3. для статистики используем значения octets_in, octets_out из радиус пакетов от AP

ates ()
Ответ на: комментарий от zgen

Дело в том, что соврмененные телефоны насколько я понимаю не сколько в web нуждаются, сколько в других видах траффика, и у нас их используют тоже вовсе не для web, ибо для этого есть нормальные ПК.

А современные телефоны подключаются приемущественно для обновления карт, для обновления ПО, перепрошивки ОС, ну и др. Есть у нас там «умельцы» которые только и делают что любят ковырять это УГ.

По-этому sams, SOCKS не подходят.

Также как и не подходит WPA2-ENT, ибо ковыряться с сертификатами (да ещё и на каком-нибудь android прости Господи, или на ещё каком телефоне, или навигаторе) и прочие дела - придётся IT отделу, это тогда проще руками ip+mac сопровождать...

Может проще самому всё через bash реализовать? К примеру: в dhcp есть у нас пул адресов анонимных, а есть пул зарезервированных. Выдался адрес из анонимного пула - не важно в общем проводное или безпроводное устройство - как-то это дело надо проследить, и принудительно через firewall направить на страницу авторизации, ввёл пользователь данные, если «ок», то имя пользователя которое было на web странице привязывается к этому ip и счёт трафика суммируется к пользователю. Кончились lease time в dhcp, снова пользователь попадает в анонимные вводит, получает ну положим и другой ip снова всё повторяем и суммируем трафик?

Полное УГ думаете?

DALDON ★★★★★ ()

если LDAP не является критичной фичей, то - Abills+Chillispot твоё все.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от DALDON

Также как и не подходит WPA2-ENT, ибо ковыряться с сертификатами

Почему сразу с сертификатами? У меня по login/pass в wifi авторизация.

без прокси - см. http://www.linux.org.ru/jump-message.jsp?msgid=6413460&cid=6414183, дело говорят.

zgen ★★★★★ ()
Ответ на: комментарий от zgen

Хм... Буду курить авторизацю по логин паролю в WPA2 ent, пока не получилось в dd-wrt. Может не очень вкурил... В общем надо как можно проще. Чтоб один раз ввёл пароль и всё, и как можно большее кол-во устройств поддерживало это дело.

DALDON ★★★★★ ()
Ответ на: комментарий от zgen

Хм... Интересно.

Думается, мне что это реально что нужно.

Ещё раз для идиотов:

Я правильно понимаю, что мне необходим EAP-md5, чтобы без сертификатов? На dd-wrt оно как?

Т.е. я правильно понимаю что:

  • dd-wrt с поддержкой EAP-md5 (Нужно wpa2-enterprice и указать radius сервер)
  • freeradius eap-md5 + ldap

В этом случае я при подключении получу окно логин/пароль заполня которые можно будет получить доступ?

Т.е. без сертификатов? На WinXP (SP2), 7, Linux, Android, китайских навигаторах?... etc.

DALDON ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.