[удобно и по уму] Wi-fi

0

1

Дано:

wi-fi dd-wrt роутер.
FreeBSD шлюз с dhcp сервером.
ldap с именами пользователей и паролем.

Задача:

Добиться следующего: Пользователь находит открытый wi-fi, подключается.

Открывает браузер.
Попадает на страницу где вводит логин/пароль. - ldap
Получает полный NAT Интернет доступ.
Администратор может посмотреть кто сколько из пользователей насидел. - не надо деления на протоколы, просто смотреть статистику в мегабайтах.

Пока на уме что-то такое: Chillispot, freeradius с модулем ldap.

Я правильно понимаю что должно всё выглядить примерно так:

Пользователь подключается к wi-fi, запускается браузер, его перекидывает на страницу (какую только? Самописную чтоль?) Где присутствует поле логин/пароль. Он его вводит, и выполняется некий скрипт который откроет полный доступ.

Чем и как и где считать трафик? На шлюзе я думаю, но вот как?

В общем трафик лимитирован, нужно просто подсчитать уметь, да чтоб кто попало не лазил... - Подскажите как. Сейчас ведём руками таблицы мак + адрес... Но кол-во беспроводных устройств уже большое, и хочется чего-то более удобного.

Ссылка

←	Embedded Linux. Как добавить SSH ?

[pfsense]DMZ

→

1) Точка подключается к radius, который подключен к ldap, пользователь находит wifi (wpa2ent), подключается к нему и вводит свой l/p из ldap, подключается к прокси, которая получает от него пароль и к которой прикручена считалка трафа, например sams

2) Открытый wifi и доступ исключительно к прокси, прицепленный к ldap. С basic авторизацией. Или ntlm, если домен. И опять же sams

~~zgen~~ ★★★★★
(22.06.11 18:05:16 MSK)

ipcad? При условии что каждому устройству уникальный ip.

true_admin ★★★★★
(22.06.11 18:42:45 MSK)

Ссылка

Может примерно такое подойдет:

1. AP c EAP аутентификацией
2. freeradius с модулем eap + ldap
3. для статистики используем значения octets_in, octets_out из радиус пакетов от AP

ates ★
(22.06.11 19:19:43 MSK)

Ссылка

Ответ на: комментарий от zgen 22.06.11 18:05:16 MSK

Дело в том, что соврмененные телефоны насколько я понимаю не сколько в web нуждаются, сколько в других видах траффика, и у нас их используют тоже вовсе не для web, ибо для этого есть нормальные ПК.

А современные телефоны подключаются приемущественно для обновления карт, для обновления ПО, перепрошивки ОС, ну и др. Есть у нас там «умельцы» которые только и делают что любят ковырять это УГ.

По-этому sams, SOCKS не подходят.

Также как и не подходит WPA2-ENT, ибо ковыряться с сертификатами (да ещё и на каком-нибудь android прости Господи, или на ещё каком телефоне, или навигаторе) и прочие дела - придётся IT отделу, это тогда проще руками ip+mac сопровождать...

Может проще самому всё через bash реализовать? К примеру: в dhcp есть у нас пул адресов анонимных, а есть пул зарезервированных. Выдался адрес из анонимного пула - не важно в общем проводное или безпроводное устройство - как-то это дело надо проследить, и принудительно через firewall направить на страницу авторизации, ввёл пользователь данные, если «ок», то имя пользователя которое было на web странице привязывается к этому ip и счёт трафика суммируется к пользователю. Кончились lease time в dhcp, снова пользователь попадает в анонимные вводит, получает ну положим и другой ip снова всё повторяем и суммируем трафик?

Полное УГ думаете?

DALDON ★★★★★
(22.06.11 21:18:40 MSK) автор топика

если LDAP не является критичной фичей, то - Abills+Chillispot твоё все.

Pinkbyte ★★★★★
(22.06.11 21:29:45 MSK)

Ссылка

Ответ на: комментарий от DALDON 22.06.11 21:18:40 MSK

Также как и не подходит WPA2-ENT, ибо ковыряться с сертификатами

Почему сразу с сертификатами? У меня по login/pass в wifi авторизация.

без прокси - см. http://www.linux.org.ru/jump-message.jsp?msgid=6413460&cid=6414183, дело говорят.

~~zgen~~ ★★★★★
(22.06.11 21:46:33 MSK)

Ответ на: комментарий от zgen 22.06.11 21:46:33 MSK

Хм... Буду курить авторизацю по логин паролю в WPA2 ent, пока не получилось в dd-wrt. Может не очень вкурил... В общем надо как можно проще. Чтоб один раз ввёл пароль и всё, и как можно большее кол-во устройств поддерживало это дело.

DALDON ★★★★★
(22.06.11 22:32:26 MSK) автор топика

Ответ на: комментарий от DALDON 22.06.11 22:32:26 MSK

Курите. Надо было еще месяц назад курить начинать :)

~~zgen~~ ★★★★★
(22.06.11 22:41:04 MSK)

Ответ на: комментарий от zgen 22.06.11 22:41:04 MSK

Хм... Интересно.

Думается, мне что это реально что нужно.

Ещё раз для идиотов:

Я правильно понимаю, что мне необходим EAP-md5, чтобы без сертификатов? На dd-wrt оно как?

Т.е. я правильно понимаю что:

dd-wrt с поддержкой EAP-md5 (Нужно wpa2-enterprice и указать radius сервер)
freeradius eap-md5 + ldap

В этом случае я при подключении получу окно логин/пароль заполня которые можно будет получить доступ?

Т.е. без сертификатов? На WinXP (SP2), 7, Linux, Android, китайских навигаторах?... etc.

DALDON ★★★★★
(23.06.11 12:54:41 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Embedded Linux. Как добавить SSH ?

Admin

[pfsense]DMZ

→

Похожие темы