Организация нескольких хотспотов
Организация нескольких хотспотов
Один радиус, много чилиспотов. Перенёс контроллер доступа Chillispot непосредственно в сам маршрутизатор, по инструкции темы http://wifi-hotspot.zp.ua/wp/2011/10/co ... ne-hotspot . Столкнулся с несколькими проблемами-
1-- При подключении клиенета его не видно в разделе "Подключены к интернету", хотя в протоколе авторизации клиентов они появляются.
2-- В разделе "Уже имеющиеся клиенты с оплатой по счету" счётчик использованного трафика стоит на нуле, при том, что уже сутки клиенты смотрят фильмы.
3-- Из-под покрытия такого роутера, будь то вайфай или лан подключение- вход непосредственно на сервер по айпи адресу к некоторым функциям происходит без запроса страницы авторизации (например в папку 82.207.120.*/easyhotspot я вошёл сразу как только подключился к споту, не встречая преград, и запустив программу NX Client for Windows я к удивлению обнаружил что программа вошла на сервер, при этом повторюсь, как клиент я не авторизировался), что наводит на мысль слишком большой уязвимости системы ... Конечно, как только я попытался перейти на гугл мне предложили ввести логин и пароль, в этом плане всё стабильно. Но ощущения открытой задницы остались..
Подскажте пожалуйста что можно сделать в данных случаях.
1-- При подключении клиенета его не видно в разделе "Подключены к интернету", хотя в протоколе авторизации клиентов они появляются.
2-- В разделе "Уже имеющиеся клиенты с оплатой по счету" счётчик использованного трафика стоит на нуле, при том, что уже сутки клиенты смотрят фильмы.
3-- Из-под покрытия такого роутера, будь то вайфай или лан подключение- вход непосредственно на сервер по айпи адресу к некоторым функциям происходит без запроса страницы авторизации (например в папку 82.207.120.*/easyhotspot я вошёл сразу как только подключился к споту, не встречая преград, и запустив программу NX Client for Windows я к удивлению обнаружил что программа вошла на сервер, при этом повторюсь, как клиент я не авторизировался), что наводит на мысль слишком большой уязвимости системы ... Конечно, как только я попытался перейти на гугл мне предложили ввести логин и пароль, в этом плане всё стабильно. Но ощущения открытой задницы остались..
Подскажте пожалуйста что можно сделать в данных случаях.
- Dmitry
- Администратор
- Сообщения: 1073
- Зарегистрирован: 25 май 2011, 09:14
- Откуда: г. Запорожье, Украина
- Контактная информация:
Re: Организация нескольких хотспотов
по пунктам 1 и 2 - даже не знаю, что сказать. Сколько раз проверялось разнесенное использование - всегда с учетом было все нормально. А проверялось:
- у меня сервер на котором радиус, плюс роутер длинк с чиллиспотом
- на старом сервере wifi-hotspot.zp.ua - радиус-сервер, а у меня дома что роутер длинк с чиллиспотом, что просто комп с чиллиспотом
- на моем домашнем сервеке - радиус, а у людей из Луцка - роутер с чиллиспотом....
Во всех случаях с подсчетом все было нормально. Но могу лишь высказать предположение, и оно - ниже....
по пункту 3.
Так сделан уж чиллиспот, что у него uamserver "автоматом" попадает в uamallowed. А с другой стороны, если в uamallowed попал айпишник, то доступно ВСЁ с этого айпишника (речь не про файерволы, а про ресурсы "ниже рангом") Т.е. например, если рассматривать вебсервер, то разрешенной будет не только "корневая" страница, но все (абсолютно) страницы в корневой папке, а также в любых подпапках, и на любых "виртуал-хостах" этого сервера.
В итоге, все что попало под адрес uamallowed, автоматом становится доступным БЕЗ авторизации. А при работе чиллиспота в роутере страница авторизации расположена на сервере биллинга. Вот автоматом тебе и стало возможным попасть в тот же easyhotspot без авторизации на самом хотспоте.
А теперь про мое предположение - если я правильно помню, твои фильмы, которые, как ты пишешь народ смотрит без учета трафика, вроде как лежали на том самом сервере, где и хотспот. Так? В таком случае, они, благодаря тому, что я выше расписал про uamallowed становятся доступными .... без авторизации. Вот и смотрит их народ без учета.
- у меня сервер на котором радиус, плюс роутер длинк с чиллиспотом
- на старом сервере wifi-hotspot.zp.ua - радиус-сервер, а у меня дома что роутер длинк с чиллиспотом, что просто комп с чиллиспотом
- на моем домашнем сервеке - радиус, а у людей из Луцка - роутер с чиллиспотом....
Во всех случаях с подсчетом все было нормально. Но могу лишь высказать предположение, и оно - ниже....
по пункту 3.
Так сделан уж чиллиспот, что у него uamserver "автоматом" попадает в uamallowed. А с другой стороны, если в uamallowed попал айпишник, то доступно ВСЁ с этого айпишника (речь не про файерволы, а про ресурсы "ниже рангом") Т.е. например, если рассматривать вебсервер, то разрешенной будет не только "корневая" страница, но все (абсолютно) страницы в корневой папке, а также в любых подпапках, и на любых "виртуал-хостах" этого сервера.
В итоге, все что попало под адрес uamallowed, автоматом становится доступным БЕЗ авторизации. А при работе чиллиспота в роутере страница авторизации расположена на сервере биллинга. Вот автоматом тебе и стало возможным попасть в тот же easyhotspot без авторизации на самом хотспоте.
А теперь про мое предположение - если я правильно помню, твои фильмы, которые, как ты пишешь народ смотрит без учета трафика, вроде как лежали на том самом сервере, где и хотспот. Так? В таком случае, они, благодаря тому, что я выше расписал про uamallowed становятся доступными .... без авторизации. Вот и смотрит их народ без учета.
Re: Организация нескольких хотспотов
Хорошо. По пункту 3- будем усложнять пароли..
Всё работает хорошо, но как узнать почему чилиспот не даёт информации о подключившихся клиентах? Например статистику трафика, и состояние клиента- подключён или нет. Я его в логах вижу что он подключён, а отключить не могу. Все обращения трафика идут на внешние сервера. Нужен Ваш пинок в нужную сторону- искать в прошитом роутере, или в настройках радиуса?
Может ли повлиять запись в роутере в форме http://192.168.1.1/cgi-bin/hotspotlogin.cgi, по протоколу https не подключается?
Всё работает хорошо, но как узнать почему чилиспот не даёт информации о подключившихся клиентах? Например статистику трафика, и состояние клиента- подключён или нет. Я его в логах вижу что он подключён, а отключить не могу. Все обращения трафика идут на внешние сервера. Нужен Ваш пинок в нужную сторону- искать в прошитом роутере, или в настройках радиуса?
Может ли повлиять запись в роутере в форме http://192.168.1.1/cgi-bin/hotspotlogin.cgi, по протоколу https не подключается?
- Dmitry
- Администратор
- Сообщения: 1073
- Зарегистрирован: 25 май 2011, 09:14
- Откуда: г. Запорожье, Украина
- Контактная информация:
Re: Организация нескольких хотспотов
вспонимл еще одно обстоятельство:
как вариант - у радиуса разделены порты авторизации и учета.
UDP 1812 - порт для авторизации
UDP 1813 - порт для учета
Может быть второй не открыт?
http или https протокол используется при авторизации - не суть важно. тем более не должно влиять на учет. Использование шифрованного подключения позволит обезопасить от подслушивания логина и пароля, используемых при авторизации
как вариант - у радиуса разделены порты авторизации и учета.
UDP 1812 - порт для авторизации
UDP 1813 - порт для учета
Может быть второй не открыт?
http или https протокол используется при авторизации - не суть важно. тем более не должно влиять на учет. Использование шифрованного подключения позволит обезопасить от подслушивания логина и пароля, используемых при авторизации
Re: Организация нескольких хотспотов
Спасибо! Странно как оно вообще работает, я ведь открыл порты только на одном из маршрутизаторов.. -)
Re: Организация нескольких хотспотов
привет! К вопросу о организации хотспотов. Слышал что микротик справляется с этим неплохо, НО не знаю есть ли в них функционал позволяющий использовать мой сервер и базу клиентов? И вопрос 2- имеется чистый компьютер с 2 сетевыми карточками и линуксом, что на него ставить и как настроить для работы с моим сервером?
- Dmitry
- Администратор
- Сообщения: 1073
- Зарегистрирован: 25 май 2011, 09:14
- Откуда: г. Запорожье, Украина
- Контактная информация:
Re: Организация нескольких хотспотов
По подготовке самого сервера с Easyhotspot - в инструкции стр. 89 - 91. То есть, вкратце, создаем для сервера RADIUS "клиентов" и открываем в файерволе порты 1812 и 1813.
По микротикам - сам я их не использовал. Но вот страница с ихнего вики
http://wiki.mikrotik.com/wiki/How_to_se ... _By_Ramona
С этой страницы, интересует вторая половина - раздел "Getting the Mikrotik RouterOS Box to Work with the RADIUS Server". То есть, вы активируете в нем хотспот, и настраиваете его на работу с внешним радиусом.
По компьютерам с двумя платами.
Ставите голую ось. По большому счету, графика там не нужна. Можно тогда поставить например Ubuntu-server. С учетом того, что Chillispot будет установлен на этом компьютере, версия ОС ДОЛЖНА БЫТЬ 32-битной! Нужно настроить подключение к интернету. Затем установить Chillispot. Настроить его (но при этом учесть, что сервер RADIUS - внешний, и прописать в настройках именно его параметры). Настроить файервол. Собственно, все это описано в инструкции по "ручной" установке сервера хотспота в разделах:
http://wifi-hotspot.zp.ua/forum/viewtopic.php?f=9&t=30
По микротикам - сам я их не использовал. Но вот страница с ихнего вики
http://wiki.mikrotik.com/wiki/How_to_se ... _By_Ramona
С этой страницы, интересует вторая половина - раздел "Getting the Mikrotik RouterOS Box to Work with the RADIUS Server". То есть, вы активируете в нем хотспот, и настраиваете его на работу с внешним радиусом.
По компьютерам с двумя платами.
Ставите голую ось. По большому счету, графика там не нужна. Можно тогда поставить например Ubuntu-server. С учетом того, что Chillispot будет установлен на этом компьютере, версия ОС ДОЛЖНА БЫТЬ 32-битной! Нужно настроить подключение к интернету. Затем установить Chillispot. Настроить его (но при этом учесть, что сервер RADIUS - внешний, и прописать в настройках именно его параметры). Настроить файервол. Собственно, все это описано в инструкции по "ручной" установке сервера хотспота в разделах:
- Непосредственная настройка подключения сервера к сети интернет
- Включение портфорвардинга
- Установка пакета Chillispot в ОС Ubuntu / Порядок настройки программы Chillispot / Смысл параметров в файле конфигурации Chillispot / Настройка базовой конфигурации Chillispot (копирование файла) / Редактирование файла настроек Chillispot
- Кратко о файле правил файервола / Непосредственное редактирование и запуск правил файервола / Общая структура файла-шаблона правил файервола / Настройка автоматического запуска правил файервола при загрузке операционной системы
http://wifi-hotspot.zp.ua/forum/viewtopic.php?f=9&t=30
- Dmitry
- Администратор
- Сообщения: 1073
- Зарегистрирован: 25 май 2011, 09:14
- Откуда: г. Запорожье, Украина
- Контактная информация:
Re: Организация нескольких хотспотов
Есть, позволяет, вот тема по этому поводу:
viewtopic.php?f=8&t=54
и страница онлайн-продажи архива с инструкцией по настройке взаимодействия хотспота в Mikrotik-е с биллингом Easyhotspot, включая все необходимые файламы:
https://wifi-hotspot.zp.ua/file_sale/goodid62
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость