Мрежова аутентификация/ауторизация на клиентите ни

[MiPSus]

Към днешна дата се налага да администрирам хотспот покриващ около 30'000 жители в три малки общини, като всеки ползва ( 50% са Android) ,когато и където реши без да се налага да говори със съпорта или да посещава каса/офис, камо ли някой да ходи след него да му помага с настройки. Та от тази "камбанария" се оглеждам

[kokaracha]

С ваучери

Раздаваш/разпостраняваш ваучери с различна цена и продължителност ( например 10 дни / 30 дни - 1 активна сесия, без ограничения по мак ) ,възможност за авторегистрация на хотспота и онлайн плащане.

[JohnTRIVOLTA]

Така като чета все едно става въпрос за Нет1  хотспот ситемата им ... чудно ми е как хората с андроид у-ва се съгласяват да плащат ваучери за хотспот след  като всеки план освен най-евтините на мобилните оператори са с активиран мобилен интернет , а от там идва , че е глупост да си на такъв план /най-евтин/ и да плащаш за хотспота! За другите у-ва ОК но трябва да има и прилична скорост !

[smacker]

най-добре ми се струва с влани до потребителя/порта му на суича. от там да си пуска каквото иска вътре - 1 ип

 

Много добро решение!

 

А как става номера на рутера (gateway-a) на клиентите ? Колко ВЛАН-а има там и на всеки ВЛАН, каква ти е маската ?

Така като чета все едно става въпрос за Нет1  хотспот ситемата им ... чудно ми е как хората с андроид у-ва се съгласяват да плащат ваучери за хотспот след  като всеки план освен най-евтините на мобилните оператори са с активиран мобилен интернет , а от там идва , че е глупост да си на такъв план /най-евтин/ и да плащаш за хотспота! За другите у-ва ОК но трябва да има и прилична скорост !

Без да се заяждам,

Аз пък се чудя как хората взимат изобщо нет от мобилните оператори. То техните планове за един фейсбук и едно абв стават.  Недай си боже да си някъде извън големият град - направо е мъка с тоя EDGE, а би трябвало там да насочат усилията. А не в големият град, където всяко кафе има читав нет.

[111111]

Трика с вланите изисква влан съвместим суич преди клиента
примерно с 8 портови суичове 
100-107 110-107 и т.н. до 4096
на по интелигентен суич им режеш междинната видимост
адресите си остават актуалните 

3/4G e далечна мечта извън града 
аз лично попълвам http://cellmapper.net/map

[JohnTRIVOLTA]

Много добро решение!

 

А как става номера на рутера (gateway-a) на клиентите ? Колко ВЛАН-а има там и на всеки ВЛАН, каква ти е маската ?

Без да се заяждам,

Аз пък се чудя как хората взимат изобщо нет от мобилните оператори. То техните планове за един фейсбук и едно абв стават.  Недай си боже да си някъде извън големият град - направо е мъка с тоя EDGE, а би трябвало там да насочат усилията. А не в големият град, където всяко кафе има читав нет.

За телефон ти какво искаш?!Навигация, фейс поща, времето , новини .... пътувайки обаче къде ти е хотспота?!

Е вярно не всеки е като мен със служебна карта с неограничени разговори и нет на максимална скорост, но мисля че и плановете които се предлагат са на вече по-нормални тарифи!

Тука говорим основно за хората ползващи хотспот с таблети и смартфони и изкривената им логика за ползуването му от финансова гледна точка!

Редактирано 19 Януари, 2015 от JohnTRIVOLTA

[Mupo neTkoB]

има места в България, където някой е закарам 20-30мбпс, а обхвата на телефона е на 1-2 чертички ако ме разбираш какво имам предвид. пример за доста добър и скъп хотспот е по крайбрежието... Златни Пясъци, Слънчев Бряг.... чужденци=скъп мобилен интернет, тогава 20евра за хотспот на територията на хотела и съответния курорт не е много

ПС: отклонихме се от темата доста, нека се върнем пак там.

колкото и начини да се слагат за ограничение винаги ще има някой който да се опитва да "има безплатен нет". идеята на по-сложното ограничение е не да е по-сложно за системния администратор, а точно обратното. да се управлява лесно и да е що-годе сложно за някой нов "хакер" да прави глупости.

[smacker]

За телефон ти какво искаш?!Навигация, фейс поща, времето , новини .... пътувайки обаче къде ти е хотспота?!

Е вярно не всеки е като мен със служебна карта с неограничени разговори и нет на максимална скорост, но мисля че и плановете които се предлагат са на вече по-нормални тарифи!

Тука говорим основно за хората ползващи хотспот с таблети и смартфони и изкривената им логика за ползуването му от финансова гледна точка!

Всяко си има преимущества и недостатъци. Ако някое беше по-добро от другото, то другото нямаше да го има.

Аз лично никога не бих си взел интернет през мобилен оператор (въпреки, че съм ползвал на почти всички), поради липса на избор. EDGE-а им беше отвратителен!

 

 

има места в България, където някой е закарам 20-30мбпс, а обхвата на телефона е на 1-2 чертички ако ме разбираш какво имам предвид. пример за доста добър и скъп хотспот е по крайбрежието... Златни Пясъци, Слънчев Бряг.... чужденци=скъп мобилен интернет, тогава 20евра за хотспот на територията на хотела и съответния курорт не е много

ПС: отклонихме се от темата доста, нека се върнем пак там.

колкото и начини да се слагат за ограничение винаги ще има някой който да се опитва да "има безплатен нет". идеята на по-сложното ограничение е не да е по-сложно за системния администратор, а точно обратното. да се управлява лесно и да е що-годе сложно за някой нов "хакер" да прави глупости.

 

Е то си е така! Няма врата която неможе да се отвори.

Колегата горе е дал добра идея с ВЛАН-ите. Така всеки клиенти ще си е на собствен ВЛАН.  И няма как нито МАК да гепиш, нито ИП (освен ако не си на същият ВЛАН). Но пък тогава излиза въпроса на сървъра какво става с различните интерфейси. Ако имаш 3000 клиента, трябва да имаш и 3000 ВЛАН интерфейса на мрежовата карта. Ако на всеки сложиш /31 .... това е яка загуба на адреси.

[Mupo neTkoB]

защо трябва да ги имаш на сървъра тези адреси? кор-суича няма ли да може да ти ги разтагне?

[Networker]

То ако има VLAN до порта на клиента, няма голямо значение по какъв начин ще получи клиента достъп до системата (тунел, статичен/динамичен адрес) - това е идеалния вариант.

Въпроса е, че не винаги е приложим - примерно за wireless линкове е играчка да се прекарва така тагнат трафик - освен през EoIP-та или друг вид тунели.

По-лесно е ако самата система/протокол може да даде някакво ниво на сигурност без значение от преносната среда, а в преносната среда да има макар и минимална изолация/сегментация.

[smacker]

защо трябва да ги имаш на сървъра тези адреси? кор-суича няма ли да може да ти ги разтагне?

Кой суитч и как ще го конфигурираш да ти направи UNTAG на повече от 1 ВЛАН  на един и същи порт ? Порта на суитча може да бъде в режим Access, но САМО с един VID. Може да бъде в режим General, но пак да разтагва само един VID.

Всъщност, проблема не е в разтагването, а в тагването. Порта незнае кой пакет за кой VLAN трябва да го тагне.

Остава единственият вариант, порта да е в TRUNK, което означава че рутера ще получава тагнати пакети и ще трябва да ги разтагва. А за да ги разтагва, ще трябва да има N на брой ВЛАН интерфейса. А на всеки интерфейс ще трябва да му се сложи ИП/маска.

Освен ако, интерфейса не го засяга VID на пакета ?! И все пак, при изпращането на пакета остава задачата този пакет да бъде тагнат с правилният ВЛАН (този на конкретният клиент).

 

 

...

По-лесно е ако самата система/протокол може да даде някакво ниво на сигурност без значение от преносната среда, а в преносната среда да има макар и минимална изолация/сегментация.

Така де! Това решение сегментира мрежата (на ниво Layer 2) до всеки клиент. По-този начин, всеки клиент все едно си е сам на ЛАН-а. 

Какво по-добро от това ?

[hgd]

Кой суитч и как ще го конфигурираш да ти направи UNTAG на повече от 1 ВЛАН  на един и същи порт ?

D-Link имат технология SuperVLAN, която прав точно това. Влизат много VLAN-ове в суича и той ги събира в 1. Когато се комбинира с тяхната Traffic Segmentation - имаш и пълно изолиране между портовете.

[MiPSus]

Суича разбира се, че ще е в трънк до рутера, нали това искаме - всеки абонат с интерфейс, както е при PPP вариациите).

 

Вдигаме IP на гейта , да речем 1-вото от мрежа /22 (да, не е грешка може и /21 стига да ги имате)

ip addr add 72.65.32.1/32 dev lo

След това за всеки клиент имаме интерфейс:

#client 1
vconfig add eth1 1001
ip link set eth1.1001 up
ip route add 72.65.32.11/32 dev eth1.1001 src 72.65.32.1
#client 2
vconfig add eth1 1002
ip link set eth1.1002 up
ip route add 72.65.32.12/32 dev eth1.1002 src 72.65.32.1
#client 3
vconfig add eth1 1003
ip link set eth1.1003 up
ip route add 72.65.32.13/32 dev eth1.1003 src 72.65.32.1
#... и така нататък

Това е класическата схема на CISCO за IP unnumbered

Да се отбележи - примера е за клиентски устройства със статичен IP адрес, динамичния вариант е малко по-сложен, но напрактика същия

Подобен мой вариант, но чрез бридж съм разработил при един мой клиент. Работи безпроблемно вече година и перефразирано изглежда така:

brctl addbr br0
ip addr add 212.140.0.1/21 dev br0
ebtables --append FORWARD --logical-in br0 -j DROP

Имаме пуснат DHCPd със пул 212.140.0.10 - 212.140.15.250 (~2000 адреса).

Всеки клиентски велан е добавен при включването му:

#client 1
vconfig add eth1 1001
ip link set eth1.1001 up
brctl addif br0 eth1.1001
#опция е sysctl net.ipv4.conf.eth1/1001.proxy_arp=1

Този вариант мисля че е лесно постижим и на микротик

Редактирано 21 Януари, 2015 от MiPSus

[Mupo neTkoB]

да, с прокси арп спираш всички които не са описани в dhcp сървъра ти и си пееш

[MiPSus]

да, с прокси арп спираш всички които не са описани в dhcp сървъра ти и си пееш

 

Това пък от къде ти дойде на акъла lol

 

С прокси арп казваш на рутера да отговаря на всички броудкасти със своя MAC адрес, така абонатите от различните VLAN-и ще имат връзка помежду си.

Редактирано 21 Януари, 2015 от MiPSus