No Image

Что такое captive portal

СОДЕРЖАНИЕ
2 просмотров
10 марта 2020

Traffic Inspector Next Generation реализует функционал Captive Portal.

Captive Portal — веб-портал, на который попадает пользователь после подключения к сети учреждения.

Страница, показываемая пользователю, может содержать информацию об учреждении, информацию о правилах использования Интернет-доступа в учреждении, рекламу учреждения, форму для идентификации пользователя. Визуальные характеристики страницы определяются шаблоном, который можно скачать и отредактировать по своему вкусу.

Captive Portal поддерживает следующие типы аутентификации:

Аутентификация по локальной базе пользователей

Аутентификация через LDAP в Active Directory

Аутентификация через RADIUS

Аутентификация по ваучерам / картам

Аутентификация по IP-адресам

Двухфакторная аутентификация по локальной базе пользователей

Аутентификация по СМС

После прохождения идентификации, пользователь получает доступ в Интернет.

При этом, устройство TING настраивается таким образом, что гостевые пользователи будут находиться в отдельном LAN-сегменте, из которого ограничен доступ на само устройство TING и не разрешен доступ в другие LAN-сегменты, подключенные к устройству TING.

На устройстве TING также настраивается DHCP-сервер для обеспечения гостевых пользователей базовыми TCP/IP-настройками.

При настройке доступа по ваучерам, внутреняя сеть может быть построена как на базе проводной (Ethernet), так и беспроводной (Wi-Fi) технологии. Если делается выбор в пользу Wi-Fi сети, она может быть настроена в открытом или закрытом режиме.

При настройке SMS-идентификации, внутреняя сеть, как правило, построена на базе беспроводной (Wi-Fi) технологии, а пользователи обращаются в Интернет со своих мобильных устройств (например, смартфонов).

Captive Portal распознает клиентские устройства, прошедшие идентификацию, по их MAC-адресам. Это означает, что клиентские устройства и гостевой LAN-адаптер устройства TING должны находиться в одном широковещательном LAN-сегменте. Другими словами, между клиентскими устройствами и устройством TING не должны находиться маршрутизаторы.

Общие настройки¶

Описываемые в данном разделе настройки являются базовыми. Их нужно осуществлять в независимости от того, собираетесь ли Вы настраивать Captive Portal с доступом по ваучерам или Captive Portal для SMS-идентификации.

Настройка гостевого интерфейса¶

Устройство TING подключается в гостевой сегмент посредством сетевого адаптера GUESTNET.

Данное имя GUESTNET используется в качестве примера и вы можете использовать любое другое, удобное для вас имя.

Для начала настройки, пройдите в раздел Интерфейсы -> Назначения портов и кликните на значок + для добавления в систему нового, еще неиспользуемого интерфейса. По умолчанию, данный интерфейс называется OPT1. Позже мы переименуем его. Нажмите Сохранить.

Новый интерфейс OPT1 отобразится как подраздел раздела Интерфейсы. Кликните по нему, чтобы перейти на страницу редактирования настроек интерфейса.

Установите флаг Включить интерфейс и настройте следующие параметры (поля, которые явно не указаны остаются по умолчанию):

Каждый из нас подключался к беспроводной сети (аэропорты, кафе и тд) где необходимо согласится с некоторыми условиями или пройти авторизации прежде чем начинать пользоваться интернетом. Такая технология называется captive portal.

Читайте также:  Victoria ssd как проверить

В мою задачу входило создать captive portal где каждому пользователю раз в 30 минут будет показываться определенный сайт (реклама), и пока он не нажмет «кнопочку» «далее» интернета не будет.

Для создания нам понадобится:

  1. Wifi-точка доступа любая (на практике можно использовать и проводной интернет)
  2. Маршрутизатор на любой *nix системе (в моем случае это debian wheezy)

Краткое описание принципа работы

  1. Любой пакет пришедший на маршрутизатор маркируем
  2. Любой запрос на 80 порт (пакеты уж маркированны) перенаправляем на нужную нам страницу
  3. При «авторизации»(нажатии кнопки далее) пользователя добавляем его мак в исключения и разрешаем доступ в интернет
  4. Скрипт вычисляет у кого прошел лимит времени и удаляет данного клиента.

У нас имеется маршрутизатор на базе debian, где eth0 — локальная сеть в моем случае (192.168.11.0/24), eth0:1 — интерфейс который смотрит в интернет.

Настройку интерфейсов мы пропустим, это каждый выполнит сам. Сразу перейдем к настройке iptables, я обычно прописываю iptables в rc.local:
/etc/rc.local

На этом конфигурация iptables заканчивается и переходим к странице которую получает пользователь: /var/lib/index.php

Данная страница может быть любой, смысл лишь в том, чтобы получить мак пользователя и добавить его в iptables.

В текущий момент получилась следующая схема:

  1. Iptables автоматически редиректит любой запрос на 80 порт на нашу страницу
  2. пользователь вводит свое имя и почту, скрипт php получает мак пользователя и добавляет в iptables правило исключения для этого мака
  3. Php скрипт складывает все данные пользователей (имя, почта, время добавления) в файл /var/lib/users

Осталось только сделать скрипт который будет:

  1. удалять правило из iptables для мака у которого вышло время
  2. удалять из файла данные по этому пользователю

Так как мои знания в программировании довольно плачевны был написан простенький скрипт на перле:

Все, задача выполенна, модифицируя файлик index.php можем показывать пользователю релкаму, смешные видео, заставлять его оставлять свою почту и т.д.

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Приложение Captive Portal предназначено для организации хотспота — публичной (открытой, гостевой) зоны Wi-Fi с обязательной авторизацией пользователей.

NOTE: Важно! Предоставление публичного доступа к Интернету в хотспотах регулируется законодательно. Согласно постановлениям правительства РФ: № 758 от 31 июля 2014 г. и № 801 от 12 августа 2014 г. все юридические лица и индивидуальные предприниматели (к примеру владельцы кафе или гостиниц) обязаны предоставить отчеты об использовании оборудования для публичного доступа в сеть Интернет. Это значит, что клиентам, подключенным по Wi-Fi и сетевому кабелю к хотспоту, нужно пройти обязательную аутентификацию.

Читайте также:  Айфон в белой коробке без рисунка

Captive Portal — это веб-сайт авторизации, на который принудительно перенаправляются пользователи, подключившиеся к публичной сети, перед тем как они получат доступ в Интернет.

Принцип работы Captive Portal

Принцип работы всех подобных систем — перехват HTTP/HTTPS-сессии подключившегося к публичной сети пользователя, и перенаправление их на внешний веб-сервер авторизации.
Далее пользователь может пройти авторизацию через СМС или обратный звонок на сотовый номер телефона. Пройдя авторизацию, пользователь получает доступ в Интернет. По завершении сессии пользователь, если ещё не отключился и активен, снова будет перенаправлен на страницу авторизации.

Captive Portal выполняет обращение к RADIUS-серверу (располагается на стороне поставщика услуг Captive Portal), который используется для выделения ресурсов (Provisioning), — лимит времени подключения (тайм-аут сессии), скорость, объем трафика, — и контроля за расходом ресурсов (Accounting).
В Captive-порталах используется Universal Access Method (UAM) — универсальный метод контроля доступа с использованием AAA (Authentication, Authorization, Accounting) и RADIUS.

Данная услуга предоставляется сторонними компаниями, а интернет-центр Keenetic является клиентом Captive Portal для работы с их услугой.

Реализация Captive Portal в интернет-центрах Keenetic базируется на Open-Source службе Coova-Chilli. С большой долей вероятности хотспот заработает на платформе поставщиков данного сервиса по умолчанию, которые в свою очередь поддерживают Coova-Chilli.

Для удобства подключения в веб-интерфейс Keenetic были добавлены профили поставщиков сервиса, которые наиболее популярны в России и со своей стороны эти компании провели тесты и подтвердили корректную работу с их реализацией Captive portal. Для настройки достаточно выбрать профиль из выпадающего списка и прописать обязательные параметры подключения из личного кабинета на сайте поставщика сервиса.

На текущий момент, компонент Captive Portal, реализованный в Keenetic, поддерживает следующих поставщиков: Мегафон, Wi-Fi System, NSG, Global Hotspot, САИ Wi-Fi, WiFly, MyWiFi, CiA Wifi, FlyGo.

Все выше обозначенные поставщики относятся к облачным сервисам. Авторизация происходит удаленно на серверах этих компаний. Есть так называемые поставщики коробочных решений, которые предлагают ПО для установки на сервера заказчиков, которые в данном случае имеют полный контроль над всей системой авторизации. К таким компаниям относится NETAMS. Описание процесса настройки Keenetic для их программного обеспечения WNAM приводится на странице: http://docs.netams.com/pages/viewpage.action?page >

В тоже время есть возможность настроить профиль вручную, если поставщик предоставляет данные для подключения. Профиль для настройки вручную представлен ниже в разделе Примечание данной статьи.

Чтобы воспользоваться Captive Portal, нужно установить соответствующий компонент системы.

Читайте также:  Ростелеком имя пользователя и пароль pppoe

Затем настройка Captive Portal станет доступна в веб-конфигураторе на странице "Гостевая сеть" в разделе "Captive portal".

NOTE: Важно! Приложение Captive Portal может быть запущено только в интернет-центре, который работает в основном режиме "Роутер".

Пример настройки Captive Portal

В качестве примера настройки возьмем облачного оператора Wi-Fi System.

На странице "Гостевая сеть" в разделе "Captive portal" включите приложение и в поле "Профиль" выберите профиль "Wi-Fi SYSTEM".

Поля "UAM Secret" и "Radius NAS ID" пользователь должен заполнить самостоятельно после авторизации в личном кабинете на сайте компании.

Для просмотра полных настроек профиля нажмите "Показать профиль".

При необходимости внести изменения в настройки нажмите "Редактировать профиль".

NOTE: Важно! Все профили были интегрированы после успешных тестов. Без необходимости не редактируйте предустановленный профиль.

Авторизуйтесь на сайте компании "Wi-Fi SYSTEM".
Далее в разделе "Wi-Fi хотспоты" добавьте новый хостпот.

На странице настройки хотспота находятся параметры "Идентификатор хотспота (NAS ID)" и "Пароль (UAM Secret)", необходимые для окончательной настройки Captive Portal от Wi-Fi System.

После окончательного ввода настроек сервис будет запущен для гостевой сети Wi-Fi (по умолчанию это гостевая сеть с именем Guest). Гостевая сеть в данном случае может быть как с паролем (WPA-PSK), так и без пароля.

Keenetic позволяет разделить гостевую (Captive portal) и основную сеть. Те пользователи, которые подключаются к гостевой сети будут иметь доступ только после авторизации. А те пользователи или сетевые устройства, которые подключаются к основной сети будут иметь доступ в сеть без авторизации, к примеру, системные администраторы или видеокамеры. Каждый из проводных портов LAN может быть отдельно настроен на подключение к любой сети (дополнительная информация представлена в статье "Использование Сегментов для настройки дополнительных подсетей в интернет-центрах" в разделе Примечание).

Для расширения беспроводной сети, включая Captive Portal, можно подключить второй роутер Keenetic в режиме "Точка доступа" к основному Keenetic.

Пример подключения к Captive Portal

После подключения мобильного устройства к публичной (гостевой) сети, при первом обращении к какому-либо веб-сайту в Интернете, произойдет переадресация на специальную страницу авторизации. В нашем примере используется авторизация по SMS. Клиенту нужно указать номер своего телефона для получения SMS-сообщения с паролем доступа.

Получив SMS-сообщение с паролем доступа, укажите его и нажмите "Войти".

При успешном подключении, вы увидите сообщение "Вы уже подключены к хотспоту".

Далее пользователь получит доступ в Интернет.

TIP: Примечание: Настройка профиля Captive Portal вручную.

Существует возможность настроить профиль поставщика услуг Captive Portal вручную, если поставщик предоставляет данные для подключения.

Профиль для настройки вручную представлен ниже.

Пользователи, считающие этот материал полезным: 7 из 7

Комментировать
2 просмотров
Комментариев нет, будьте первым кто его оставит

Это интересно
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
Adblock detector