Jump to content

Мрежова аутентификация/ауторизация на клиентите ни


Recommended Posts

Към днешна дата се налага да администрирам хотспот покриващ около 30'000 жители в три малки общини, като всеки ползва ( 50% са Android) ,когато и където реши без да се налага да говори със съпорта или да посещава каса/офис, камо ли някой да ходи след него да му помага с настройки. Та от тази "камбанария" се оглеждам :blink:

... и яз можем, и тате може, ма козата си сака пръч!

Адрес на коментара
Сподели в други сайтове

  • Отговори 32
  • Created
  • Последен отговор

Top Posters In This Topic

  • MiPSus

    8

  • Mupo neTkoB

    6

  • kokaracha

    4

  • smacker

    4

  • Администратор

С ваучери :)

Раздаваш/разпостраняваш ваучери с различна цена и продължителност ( например 10 дни / 30 дни - 1 активна сесия, без ограничения по мак ) ,възможност за авторегистрация на хотспота и онлайн плащане.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

  • Администратор

Така като чета все едно става въпрос за Нет1  хотспот ситемата им ... чудно ми е как хората с андроид у-ва се съгласяват да плащат ваучери за хотспот след  като всеки план освен най-евтините на мобилните оператори са с активиран мобилен интернет , а от там идва , че е глупост да си на такъв план /най-евтин/ и да плащаш за хотспота! За другите у-ва ОК но трябва да има и прилична скорост !

Адрес на коментара
Сподели в други сайтове

най-добре ми се струва с влани до потребителя/порта му на суича. от там да си пуска каквото иска вътре - 1 ип

 

Много добро решение!

 

А как става номера на рутера (gateway-a) на клиентите ? Колко ВЛАН-а има там и на всеки ВЛАН, каква ти е маската ?

Така като чета все едно става въпрос за Нет1  хотспот ситемата им ... чудно ми е как хората с андроид у-ва се съгласяват да плащат ваучери за хотспот след  като всеки план освен най-евтините на мобилните оператори са с активиран мобилен интернет , а от там идва , че е глупост да си на такъв план /най-евтин/ и да плащаш за хотспота! За другите у-ва ОК но трябва да има и прилична скорост !

Без да се заяждам,

Аз пък се чудя как хората взимат изобщо нет от мобилните оператори. То техните планове за един фейсбук и едно абв стават.  Недай си боже да си някъде извън големият град - направо е мъка с тоя EDGE, а би трябвало там да насочат усилията. А не в големият град, където всяко кафе има читав нет.

Адрес на коментара
Сподели в други сайтове

  • Администратор

Трика с вланите изисква влан съвместим суич преди клиента
примерно с 8 портови суичове 
100-107 110-107 и т.н. до 4096
на по интелигентен суич им режеш междинната видимост
адресите си остават актуалните 

3/4G e далечна мечта извън града 
аз лично попълвам http://cellmapper.net/map

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • Администратор

Много добро решение!

 

А как става номера на рутера (gateway-a) на клиентите ? Колко ВЛАН-а има там и на всеки ВЛАН, каква ти е маската ?

Без да се заяждам,

Аз пък се чудя как хората взимат изобщо нет от мобилните оператори. То техните планове за един фейсбук и едно абв стават.  Недай си боже да си някъде извън големият град - направо е мъка с тоя EDGE, а би трябвало там да насочат усилията. А не в големият град, където всяко кафе има читав нет.

За телефон ти какво искаш?!Навигация, фейс поща, времето , новини .... пътувайки обаче къде ти е хотспота?!

Е вярно не всеки е като мен със служебна карта с неограничени разговори и нет на максимална скорост, но мисля че и плановете които се предлагат са на вече по-нормални тарифи!

Тука говорим основно за хората ползващи хотспот с таблети и смартфони и изкривената им логика за ползуването му от финансова гледна точка!

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

има места в България, където някой е закарам 20-30мбпс, а обхвата на телефона е на 1-2 чертички ако ме разбираш какво имам предвид. пример за доста добър и скъп хотспот е по крайбрежието... Златни Пясъци, Слънчев Бряг.... чужденци=скъп мобилен интернет, тогава 20евра за хотспот на територията на хотела и съответния курорт не е много

ПС: отклонихме се от темата доста, нека се върнем пак там.

колкото и начини да се слагат за ограничение винаги ще има някой който да се опитва да "има безплатен нет". идеята на по-сложното ограничение е не да е по-сложно за системния администратор, а точно обратното. да се управлява лесно и да е що-годе сложно за някой нов "хакер" да прави глупости.

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

За телефон ти какво искаш?!Навигация, фейс поща, времето , новини .... пътувайки обаче къде ти е хотспота?!

Е вярно не всеки е като мен със служебна карта с неограничени разговори и нет на максимална скорост, но мисля че и плановете които се предлагат са на вече по-нормални тарифи!

Тука говорим основно за хората ползващи хотспот с таблети и смартфони и изкривената им логика за ползуването му от финансова гледна точка!

Всяко си има преимущества и недостатъци. Ако някое беше по-добро от другото, то другото нямаше да го има.

Аз лично никога не бих си взел интернет през мобилен оператор (въпреки, че съм ползвал на почти всички), поради липса на избор. EDGE-а им беше отвратителен!

 

 

има места в България, където някой е закарам 20-30мбпс, а обхвата на телефона е на 1-2 чертички ако ме разбираш какво имам предвид. пример за доста добър и скъп хотспот е по крайбрежието... Златни Пясъци, Слънчев Бряг.... чужденци=скъп мобилен интернет, тогава 20евра за хотспот на територията на хотела и съответния курорт не е много

ПС: отклонихме се от темата доста, нека се върнем пак там.

колкото и начини да се слагат за ограничение винаги ще има някой който да се опитва да "има безплатен нет". идеята на по-сложното ограничение е не да е по-сложно за системния администратор, а точно обратното. да се управлява лесно и да е що-годе сложно за някой нов "хакер" да прави глупости.

 

Е то си е така! Няма врата която неможе да се отвори.

Колегата горе е дал добра идея с ВЛАН-ите. Така всеки клиенти ще си е на собствен ВЛАН.  И няма как нито МАК да гепиш, нито ИП (освен ако не си на същият ВЛАН). Но пък тогава излиза въпроса на сървъра какво става с различните интерфейси. Ако имаш 3000 клиента, трябва да имаш и 3000 ВЛАН интерфейса на мрежовата карта. Ако на всеки сложиш /31 .... това е яка загуба на адреси.

Адрес на коментара
Сподели в други сайтове

защо трябва да ги имаш на сървъра тези адреси? кор-суича няма ли да може да ти ги разтагне?

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

То ако има VLAN до порта на клиента, няма голямо значение по какъв начин ще получи клиента достъп до системата (тунел, статичен/динамичен адрес) - това е идеалния вариант.

Въпроса е, че не винаги е приложим - примерно за wireless линкове е играчка да се прекарва така тагнат трафик - освен през EoIP-та или друг вид тунели.

По-лесно е ако самата система/протокол може да даде някакво ниво на сигурност без значение от преносната среда, а в преносната среда да има макар и минимална изолация/сегментация.

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Адрес на коментара
Сподели в други сайтове

защо трябва да ги имаш на сървъра тези адреси? кор-суича няма ли да може да ти ги разтагне?

Кой суитч и как ще го конфигурираш да ти направи UNTAG на повече от 1 ВЛАН  на един и същи порт ? Порта на суитча може да бъде в режим Access, но САМО с един VID. Може да бъде в режим General, но пак да разтагва само един VID.

Всъщност, проблема не е в разтагването, а в тагването. Порта незнае кой пакет за кой VLAN трябва да го тагне.

Остава единственият вариант, порта да е в TRUNK, което означава че рутера ще получава тагнати пакети и ще трябва да ги разтагва. А за да ги разтагва, ще трябва да има N на брой ВЛАН интерфейса. А на всеки интерфейс ще трябва да му се сложи ИП/маска.

Освен ако, интерфейса не го засяга VID на пакета ?! И все пак, при изпращането на пакета остава задачата този пакет да бъде тагнат с правилният ВЛАН (този на конкретният клиент).

 

 

...

По-лесно е ако самата система/протокол може да даде някакво ниво на сигурност без значение от преносната среда, а в преносната среда да има макар и минимална изолация/сегментация.

Така де! Това решение сегментира мрежата (на ниво Layer 2) до всеки клиент. По-този начин, всеки клиент все едно си е сам на ЛАН-а. 

Какво по-добро от това ?

Адрес на коментара
Сподели в други сайтове

Кой суитч и как ще го конфигурираш да ти направи UNTAG на повече от 1 ВЛАН  на един и същи порт ?

D-Link имат технология SuperVLAN, която прав точно това. Влизат много VLAN-ове в суича и той ги събира в 1. Когато се комбинира с тяхната Traffic Segmentation - имаш и пълно изолиране между портовете.

Адрес на коментара
Сподели в други сайтове

Суича разбира се, че ще е в трънк до рутера, нали това искаме - всеки абонат с интерфейс, както е при PPP вариациите).

 

Вдигаме IP на гейта , да речем 1-вото от мрежа /22 (да, не е грешка може и /21 стига да ги имате)

ip addr add 72.65.32.1/32 dev lo

След това за всеки клиент имаме интерфейс:
#client 1
vconfig add eth1 1001
ip link set eth1.1001 up
ip route add 72.65.32.11/32 dev eth1.1001 src 72.65.32.1
#client 2
vconfig add eth1 1002
ip link set eth1.1002 up
ip route add 72.65.32.12/32 dev eth1.1002 src 72.65.32.1
#client 3
vconfig add eth1 1003
ip link set eth1.1003 up
ip route add 72.65.32.13/32 dev eth1.1003 src 72.65.32.1
#... и така нататък

Това е класическата схема на CISCO за IP unnumbered

Да се отбележи - примера е за клиентски устройства със статичен IP адрес, динамичния вариант е малко по-сложен, но напрактика същия :)


Подобен мой вариант, но чрез бридж съм разработил при един мой клиент. Работи безпроблемно вече година и перефразирано изглежда така:

brctl addbr br0
ip addr add 212.140.0.1/21 dev br0
ebtables --append FORWARD --logical-in br0 -j DROP

Имаме пуснат DHCPd със пул 212.140.0.10 - 212.140.15.250 (~2000 адреса).

Всеки клиентски велан е добавен при включването му:

#client 1
vconfig add eth1 1001
ip link set eth1.1001 up
brctl addif br0 eth1.1001
#опция е sysctl net.ipv4.conf.eth1/1001.proxy_arp=1

Този вариант мисля че е лесно постижим и на микротик :)

Редактирано от MiPSus

... и яз можем, и тате може, ма козата си сака пръч!

Адрес на коментара
Сподели в други сайтове

да, с прокси арп спираш всички които не са описани в dhcp сървъра ти и си пееш

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

да, с прокси арп спираш всички които не са описани в dhcp сървъра ти и си пееш

 

Това пък от къде ти дойде на акъла lol

 

С прокси арп казваш на рутера да отговаря на всички броудкасти със своя MAC адрес, така абонатите от различните VLAN-и ще имат връзка помежду си.

Редактирано от MiPSus

... и яз можем, и тате може, ма козата си сака пръч!

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.

×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.