Captive Portal
Гостевая сеть по закону.
Или вообще по вашим правилам
На любой модели Keenetic всего в несколько кликов можно создать хотспот или публичную зону Wi-Fi c обязательной авторизацией пользователей.
Зачем нужен Captive Portal?
Существует несколько сценариев, где эта функция обязательна или востребована. Начнем с того, что, в, например, соответствии с законом «О связи» РФ, все выходы в интернет должны быть авторизованы. Это значит, что клиентам, подключенным по Wi-Fi и сетевому кабелю к хотспоту, нужно пройти обязательную аутентификацию. Кроме того, Captive Portal может служить для сбора открытых данных о клиентах заведения при авторизации через социальные сети. Еще один популярный вариант — размещение рекламы и опроса посетителей на оформленной под заведение стартовой странице авторизации.
Где обычно развертывают Captive portal?
Этой функцией пользуются гостиницы, автомойки, рестораны, торговые центры, общественный транспорт, вокзалы, фитнес-клубы, университеты, парковые зоны, музеи.
Как работает Captive Portal?
Интернет-центр перехватывает весь трафик http/https подключенных к нему пользователей как по проводным портам LAN так и по Wi-Fi. Далее трафик перенаправляется на выделенный веб-сервер и после авторизации (SMS или телефонный звонок) пользователю предоставляется доступ в Интернет. Авторизация привязывается к MAC-адресу абонентского устройства.
Что нужно для подключения Captive portal, к примеру, владельцу ресторана?
Требуется купить в магазине любую модель Keenetic, подключить интернет по любому каналу связи: Ethernet, xDSL или 4G. Выбрать поставщика сервиса Captive Portal (Мегафон, WiFi Systems, WiFly и др.) по подходящему тарифу и настроить интернет-центр. Captive Portal работает во всех моделях Keenetic, на которые можно установить версию операционной системы 2.10 и новее.
Чем Captive Portal в Keenetic лучше конкурентов?
Профили ведущих поставщиков сервиса добавлены в веб-интерфейс. Достаточно ввести параметры учетной записи из личного кабинета поставщика сервиса. Конкуренты либо не поддерживают профили, либо единичный пример профиля в каждом ПО. Как правило, на роутеры конкурентов устанавливают прошивки open-wrt или dd-wrt, и далее пользователь остаётся сам со своими проблемами, не получая поддержку ни от автора прошивки, ни от производителя роутера. Вас ждут многостраничные инструкции с десятками нетривиальных действий либо, в лучшем случае, подготовленные скрипты для упрощенной настройки, но только какого-то одного сервиса.
Интернет-центры Keenetic рекомендованы большинством поставщиков сервиса авторизации. Все профили интегрированы после успешных тестов.
Captive Portal поддерживается во всей текущей линейке Keenetic и по умолчанию будет поддерживаться в будущих моделях.
Достаточно одного интернет-центра Keenetic для развертывания хотспота, к примеру, в небольшом кафе. У ряда конкурентов приходится устанавливать контроллер с функцией хотспота и к нему дополнительно точки доступа.
Источник
Captive Portal¶
Traffic Inspector Next Generation реализует функционал Captive Portal.
Captive Portal — веб-портал, на который попадает пользователь после подключения к сети учреждения.
Страница, показываемая пользователю, может содержать информацию об учреждении, информацию о правилах использования Интернет-доступа в учреждении, рекламу учреждения, форму для идентификации пользователя. Визуальные характеристики страницы определяются шаблоном, который можно скачать и отредактировать по своему вкусу.
Captive Portal поддерживает следующие типы аутентификации:
Аутентификация по локальной базе пользователей
Аутентификация через LDAP в Active Directory
Аутентификация через RADIUS
Аутентификация по ваучерам / картам
Аутентификация по IP-адресам
Двухфакторная аутентификация по локальной базе пользователей
Аутентификация по СМС
После прохождения идентификации, пользователь получает доступ в Интернет.
При этом, устройство TING настраивается таким образом, что гостевые пользователи будут находиться в отдельном LAN-сегменте, из которого ограничен доступ на само устройство TING и не разрешен доступ в другие LAN-сегменты, подключенные к устройству TING.
На устройстве TING также настраивается DHCP-сервер для обеспечения гостевых пользователей базовыми TCP/IP-настройками.
При настройке доступа по ваучерам, внутреняя сеть может быть построена как на базе проводной (Ethernet), так и беспроводной (Wi-Fi) технологии. Если делается выбор в пользу Wi-Fi сети, она может быть настроена в открытом или закрытом режиме.
При настройке SMS-идентификации, внутреняя сеть, как правило, построена на базе беспроводной (Wi-Fi) технологии, а пользователи обращаются в Интернет со своих мобильных устройств (например, смартфонов).
Captive Portal распознает клиентские устройства, прошедшие идентификацию, по их MAC-адресам. Это означает, что клиентские устройства и гостевой LAN-адаптер устройства TING должны находиться в одном широковещательном LAN-сегменте. Другими словами, между клиентскими устройствами и устройством TING не должны находиться маршрутизаторы.
Общие настройки¶
Описываемые в данном разделе настройки являются базовыми. Их нужно осуществлять в независимости от того, собираетесь ли Вы настраивать Captive Portal с доступом по ваучерам или Captive Portal для SMS-идентификации.
Настройка гостевого интерфейса¶
Устройство TING подключается в гостевой сегмент посредством сетевого адаптера GUESTNET.
Данное имя GUESTNET используется в качестве примера и вы можете использовать любое другое, удобное для вас имя.
Для начала настройки, пройдите в раздел Интерфейсы -> Назначения портов и кликните на значок + для добавления в систему нового, еще неиспользуемого интерфейса. По умолчанию, данный интерфейс называется OPT1. Позже мы переименуем его. Нажмите Сохранить.
Новый интерфейс OPT1 отобразится как подраздел раздела Интерфейсы. Кликните по нему, чтобы перейти на страницу редактирования настроек интерфейса.
Установите флаг Включить интерфейс и настройте следующие параметры (поля, которые явно не указаны остаются по умолчанию):
Источник
Настройка сервиса авторизации гостевой Wi-Fi сети
Поводом для написания этой статьи стало два фактора.
Первое: необходимость соблюдения для публичных (гостевых) Wi-Fi сетей постановления Правительства РФ №758 от 31 июля 2014 года и №801 от 12 августа 2014 года (размеры штрафов за несоблюдение постановлений).
Второе: комплекс эмоций, которые испытаны, в процессе реализации всего этого. С этими постановлениями всё понятно, нужно соблюдать, но была другая неприятная проблема, вылезшая в процессе эксплуатации сервисов авторизации.
Если нет времени или желания читать как и почему выбирался сервис, тогда переходим к настройкам тут.
Кто я? Меня зовут Александр. 16 лет профессионально занимаюсь СКС и сетевым оборудованием. Больше времени провожу с СКС (монтаж), чем с настройкой сетевого оборудования, поэтому на настройки времени особо нет, но получил много опыта работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в телеграме — @NSanchez13, так что, если будут вопросы, комментарии, мнения – милости прошу.
Начну с того, что 3 года работали с разными сервисами (4 шт.), ни один не устраивал. Проблемы такие:
CNA (минибраузер) не выскакивает у устройств Apple или с ошибками работал;
Apple с устаревшими прошивками отключаются от Wi-Fi при блокировке экрана и подключаются к Wi-Fi при разблокировке экрана;
дизайн страницы авторизации не продуман, часть кнопок не помещалась на маленьком экране;
мало сервисов с безлимитными SMS. Актуально для Xiaomi, у которых CNA исчезает после звонка.
Самое страшное, что на созданные мною тикеты в техподдержке никто ничего не хотел исправлять, одни обещания или игнор.
Про Xiaomi и Apple
ПРИМЕЧАНИЕ: Xiaomi закрывают CNA при переключении на другое приложение, например, приложение набора номера. Поэтому после набора номера не получается обратно вернуться в CNA. Он исчезает и в диспетчере задач его нет!
Apple в сетях с Captive Portal корректно работают только с последними версиями iOS!
Проблемы известные, проявляются абсолютно одинаково на всех сервисах авторизаций и на оборудовании разных вендоров. Поэтому гостям на Xiaomi настоятельно рекомендуется проходить авторизацию по смс или ваучерам, а Apple обновлять до последних версий.
Про Apple планируется отдельная публикация.
Встречают по одёжке, провожают по уму
Сервис авторизации — самый заметный момент в гостевом Wi-Fi, фактически лицо всего Wi-Fi или заведения, куда гость пришёл. С него начинается первый выход в интернет, если что-то не так пойдёт, в зависимости от ситуации и настроения гостя, претензии польются на царя/админа/заведение или вендора. Вендор то при чём? Captive Portal отработал, ожидает действий гостя, а он по вине оператора сервиса никак не может попасть на CNA или не те кнопки нажал. До начала конференции остаётся пара минут, гости нервничают, плохо разбираясь в ИТ, сразу винят установленное оборудование и то, на чём крутится сервис, но только не свой телефон и себя. Дома же всё отлично работает на запароленном Wi-Fi.
Гостей можно понять, они с гаджетами на ВЫ, их любые мелочи пугают, нервничают и не могут пройти авторизацию.
Предупреждение на iPhone
Примером была одна и та же картина у устройств Apple. После подключения к Wi-Fi не выскочил CNA, далее гость идёт в браузер, нажимает на любую страницу в «Избранное», получает предупреждение и не редиректит на страницу авторизации.
Следовательно, гости с Apple постоянно были в такой ситуации и VIP-персоны тоже, а жёстко критиковать они умеют.
Гости Wi-Fi при отсутствии CNA
Поэтому было критично, чтобы CNA корректно на всех устройствах выскакивал, там предупреждений нет.
Админ тоже виноват, плохой сервис выбрал. Надо исправлять ситуацию
К счастью, руководство выручило. В поисках интернет-провайдера в поисковике случайно нашло сервис авторизации у интернет-провайдера КубТел. Судя по их карте, провайдер не крупный, присутствует только в больших городах Краснодарского края. Помимо интернета, много других услуг предоставляют, но нас интересовал только интернет и сервис авторизации.
После переговоров они согласились настроить свой сервис для нашего шлюза Zyxel UAG5100 с последующим тестированием. К нашему удивлению, они блестяще справились с задачей без нытья. CNA наконец-то выскакивал на всех Apple, процесс прохождения авторизации в CNA отрабатывался отлично на всех устройствах (кроме Xiaomi по звонку). Дизайн страницы авторизации грамотно составлен и кнопки не уезжали на маленьких телефонах диагональю до 4 дюймов с увеличённым масштабом для слабовидящих. Личный кабинет оформлен приятно, информативно и красиво.
Гости очень довольны, претензии по авторизации прекратились (кроме Xiaomi), но таких гостей просим на смс перейти.
Вы энтузиаст и любите самостоятельно настраивать?
Давайте рассмотрим на шлюзе Zyxel VPN300 самостоятельную настройку сервиса авторизации оператора КубТел по смс, звонку и паспорту (ваучеру) для иностранцев.
Обратимся к КубТел за получением (или покупкой) сервиса. В принципе, они могут сами всё настроить, но нам тоже можно.
два IP-адреса №1 и №2 (для пункта 1 и 4);
ключ (для пункта 1);
идентификатор NAS (для пункта 1);
URL авторизации (для пункта 6).
Пример настройки сервиса производился на Zyxel VPN300 с версией прошивки V5.02(ABFC.0). Рекомендуется, чтобы шлюз был готов к подключению к интернету.
КОНФИГУРАЦИЯ -> Объект -> Сервер аутентификации -> вкладка «RADIUS».
Добавляете профиль и заполняете все поля (рис.1):
Рис 1. Добавление профиля RADIUS.
КОНФИГУРАЦИЯ -> Объект -> Метод аутентификации -> вкладка «Метод аутентификации».
Добавляете метод аутентификации (рис.2). Заполняете имя и удаляете дефолтный профиль «local / ZyWALL» ИЛИ если пользуетесь функционалом «Биллинг» (КОНФИГУРАЦИЯ -> Хотспот -> Биллинг), профиль «local / ZyWALL» НЕ удаляем. Сразу переходим к следующему скриншоту (рис.3).
Рис 2. Добавление метода аутентификации.
Добавляете (рис.3) и выбираете профиль (созданный в п.1, рис.1)«KubTel_radius / RADIUS».
Рис 3. Добавление профиля сервера.
ПРИМЕЧАНИЕ: Если точно и действительно пользуетесь биллингом (встроенный сервис авторизации) и планируете добавить внешний сервис авторизации, тогда в методе аутентификации «Kubtel_metod» добавляете два профиля: «local / ZyWALL» и «KubTel_radius». Это даст возможность авторизовать различные группы гостей сервисом КубТел и встроенным биллингом.
КОНФИГУРАЦИЯ -> Система -> WWW. Вкладка «Доступ».
В методе аутентификации (рис.4) выбираете профиль (созданный в п.2, рис.2-3) «KubTel_metod».
Рис 4. Выбор метода аутентификации.
КОНФИГУРАЦИЯ -> Объект -> Адреса/Гео-IP. Вкладка «IP-адрес».
Добавляете, заполняете имя профиля и вносите IP-адрес №1 (рис.5).
Рис.5. Добавление адреса №1.
Ещё раз добавляете, заполняете второе имя и вносите IP-адрес №2 (рис.6).
Рис 6. Добавление адреса №2.
КОНФИГУРАЦИЯ -> Объект -> Адреса/Гео-IP. Вкладка «Группа адресов».
Объединяете ранее созданные профили с IP-адресами (созданные в п.4) в одну группу «KubTel_avtor» (рис.7).
Рис 7. Добавление группы адресов.
КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Аутентификация».
Добавляете новый тип аутентификации, заполняете имя профиля и полученный URL авторизации вносите в поле «URL авторизации» (рис.8).
В URL приветствия вводите желаемую страницу приветствия вашего заведения.
Рис 8. Добавление типа аутентификации.
КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация».
Добавляете новую политику, заполняете имя профиля и выставляете указанные стрелкой параметры, если гостевая сеть подключена к входящему интерфейсу ge4 (рис.9). Этой политикой шлюз требует авторизацию у всех, кто подключён к ge4, по профилю KubTel (созданный в п.6, рис.8).
Рис 9. Добавление политики аутентификации, требующую авторизацию.
КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация».
Добавляете повторно новую политику, заполняете имя профиля и выставляете указанные стрелкой параметры, если гостевая сеть подключена к входящему интерфейсу ge4 (рис.10). Этой политикой шлюз НЕ требует авторизацию для гостей, подключающихся к серверам авторизации. IP серверов авторизации ранее вносили в группу адресов в п.5, рис.7.
Рис 10. Добавление политики аутентификации, НЕ требующую авторизацию.
КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация».
Проверяете наличие галочки в глобальной настройке и расположение профилей (рис.11).
Насчёт галочки «Включить страницу сеанса», по ней гость может узнать оставшееся время работы в интернете, продлить время аренды или самостоятельно завершить авторизацию (рис.14).
Рис 11. Проверка наличия галочек и расположения правил.
КОНФИГУРАЦИЯ -> Хотспот -> Ресурсы без аутентификации. Вкладка «База URL».
Добавляете ссылку (http://kubtel.ru/about/personsdata) (рис.12), доступную гостям без аутентификации. По этой ссылке находится соглашение на обработку персональных данных, которая будет на странице авторизации в виде ссылки в самом низу.
Рис 12. Добавление URL, доступных без аутентификации.
КОНФИГУРАЦИЯ -> Объект -> Пользователи/группы. Вкладка «Пользователь».
Устанавливаете желаемое время аренды и период повторной аутентификации (рис.13).
Рис 13. Редактирование времени и периода.
ПРИМЕЧАНИЕ: На момент написания статьи время аренды автоматически не продлевается при активном сёрфинге гостя из группы External RADIUS Users. Возможно только ручное продление аренды (гостю необходимо зайти на http://6.6.6.6, переключить браузер смартфона в режим «Версия для компьютера» и нажать “Renew” (рис.14)).
ПРИМЕЧАНИЕ: Создал 2 заявки в техподдержку, ответили:
Первую заявку приняли, зафиксировали отсутствие кнопки в мобильной версии. Кнопку RENEW для мобильной версии добавят в 2022 году.
Вторую заявку приняли, проблема зафиксирована, разбираются с устранением проблемы, просят подождать.
Работаю 10 лет с продукцией Zyxel и заявки такого типа успешно выполняли. Молодцы. Ценю.
Если всё правильно настроили, на гостевом устройстве выскочит страница авторизации КубТела, на которой будет предложено пройти авторизацию (рис.15 и 16).
Рис.15. Способ авторизации по SMS. Рис.16. Способ авторизации по звонку.
Тут и тут альтернативный сервис авторизации. Личный кабинет не проверял, процесс авторизации у Zyxel UAG5100 на всех устройствах хорошо работал, но в логах шлюза пишет об ошибках паролей. Нужно обратиться к их разработчику и оставить тикет на устранение ошибок в логах шлюза.
Не стал повторно создавать заявку, тк их сервис не закупали, не хотелось бесплатно лишний раз дёргать разработчика .
И дизайн страницы авторизации не всем гостям нравится, но в целом, тоже хороший сервис.
Контентную фильтрацию включить не забудьте!
Федеральный закон от 29.12.2010 г. № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию».
Источник
