Система аутентификации wi fi

Настройка сервиса авторизации гостевой Wi-Fi сети

Первое: необходимость соблюдения для публичных (гостевых) Wi-Fi сетей постановления Правительства РФ №758 от 31 июля 2014 года и №801 от 12 августа 2014 года (размеры штрафов за несоблюдение постановлений).

Второе: комплекс эмоций, которые испытаны, в процессе реализации всего этого. С этими постановлениями всё понятно, нужно соблюдать, но была другая неприятная проблема, вылезшая в процессе эксплуатации сервисов авторизации.

Если нет времени или желания читать как и почему выбирался сервис, тогда переходим к настройкам тут.

Кто я? Меня зовут Александр. 16 лет профессионально занимаюсь СКС и сетевым оборудованием. Больше времени провожу с СКС (монтаж), чем с настройкой сетевого оборудования, поэтому на настройки времени особо нет, но получил много опыта работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в телеграме — @NSanchez13, так что, если будут вопросы, комментарии, мнения – милости прошу.

Начну с того, что 3 года работали с разными сервисами (4 шт.), ни один не устраивал. Проблемы такие:

• CNA (минибраузер) не выскакивает у устройств Apple или с ошибками работал;
• Apple с устаревшими прошивками отключаются от Wi-Fi при блокировке экрана и подключаются к Wi-Fi при разблокировке экрана;
• дизайн страницы авторизации не продуман, часть кнопок не помещалась на маленьком экране;
• мало сервисов с безлимитными SMS. Актуально для Xiaomi, у которых CNA исчезает после звонка.

Самое страшное, что на созданные мною тикеты в техподдержке никто ничего не хотел исправлять, одни обещания или игнор.

ПРИМЕЧАНИЕ: Xiaomi закрывают CNA при переключении на другое приложение, например, приложение набора номера. Поэтому после набора номера не получается обратно вернуться в CNA. Он исчезает и в диспетчере задач его нет!

Apple в сетях с Captive Portal корректно работают только с последними версиями iOS!

Проблемы известные, проявляются абсолютно одинаково на всех сервисах авторизаций и на оборудовании разных вендоров. Поэтому гостям на Xiaomi настоятельно рекомендуется проходить авторизацию по смс или ваучерам, а Apple обновлять до последних версий.

Встречают по одёжке, провожают по уму

Сервис авторизации — самый заметный момент в гостевом Wi-Fi, фактически лицо всего Wi-Fi или заведения, куда гость пришёл. С него начинается первый выход в интернет, если что-то не так пойдёт, в зависимости от ситуации и настроения гостя, претензии польются на царя/админа/заведение или вендора. Вендор то при чём? Captive Portal отработал, ожидает действий гостя, а он по вине оператора сервиса никак не может попасть на CNA или не те кнопки нажал. До начала конференции остаётся пара минут, гости нервничают, плохо разбираясь в ИТ, сразу винят установленное оборудование и то, на чём крутится сервис, но только не свой телефон и себя. Дома же всё отлично работает на запароленном Wi-Fi.

Гостей можно понять, они с гаджетами на ВЫ, их любые мелочи пугают, нервничают и не могут пройти авторизацию.

Примером была одна и та же картина у устройств Apple. После подключения к Wi-Fi не выскочил CNA, далее гость идёт в браузер, нажимает на любую страницу в «Избранное», получает предупреждение и не редиректит на страницу авторизации.

Следовательно, гости с Apple постоянно были в такой ситуации и VIP-персоны тоже, а жёстко критиковать они умеют.

Поэтому было критично, чтобы CNA корректно на всех устройствах выскакивал, там предупреждений нет.

Админ тоже виноват, плохой сервис выбрал. Надо исправлять ситуацию

К счастью, руководство выручило. В поисках интернет-провайдера в поисковике случайно нашло сервис авторизации у интернет-провайдера КубТел. Судя по их карте, провайдер не крупный, присутствует только в больших городах Краснодарского края. Помимо интернета, много других услуг предоставляют, но нас интересовал только интернет и сервис авторизации.

После переговоров они согласились настроить свой сервис для нашего шлюза Zyxel UAG5100 с последующим тестированием. К нашему удивлению, они блестяще справились с задачей без нытья. CNA наконец-то выскакивал на всех Apple, процесс прохождения авторизации в CNA отрабатывался отлично на всех устройствах (кроме Xiaomi по звонку). Дизайн страницы авторизации грамотно составлен и кнопки не уезжали на маленьких телефонах диагональю до 4 дюймов с увеличённым масштабом для слабовидящих. Личный кабинет оформлен приятно, информативно и красиво.

Гости очень довольны, претензии по авторизации прекратились (кроме Xiaomi), но таких гостей просим на смс перейти.

Вы энтузиаст и любите самостоятельно настраивать?

Давайте рассмотрим на шлюзе Zyxel VPN300 самостоятельную настройку сервиса авторизации оператора КубТел по смс, звонку и паспорту (ваучеру) для иностранцев.

Обратимся к КубТел за получением (или покупкой) сервиса. В принципе, они могут сами всё настроить, но нам тоже можно.

• два IP-адреса №1 и №2 (для пункта 1 и 4);
• ключ (для пункта 1);
• идентификатор NAS (для пункта 1);
• URL авторизации (для пункта 6).

Пример настройки сервиса производился на Zyxel VPN300 с версией прошивки V5.02(ABFC.0). Рекомендуется, чтобы шлюз был готов к подключению к интернету.

1. КОНФИГУРАЦИЯ -> Объект -> Сервер аутентификации -> вкладка «RADIUS». Добавляете профиль и заполняете все поля (рис.1):
2. КОНФИГУРАЦИЯ -> Объект -> Метод аутентификации -> вкладка «Метод аутентификации». Добавляете метод аутентификации (рис.2). Заполняете имя и удаляете дефолтный профиль «local / ZyWALL»ИЛИесли пользуетесь функционалом «Биллинг» (КОНФИГУРАЦИЯ -> Хотспот -> Биллинг), профиль «local / ZyWALL»НЕудаляем. Сразу переходим к следующему скриншоту (рис.3).Добавляете (рис.3) и выбираете профиль (созданный в п.1, рис.1)«KubTel_radius / RADIUS».

ПРИМЕЧАНИЕ: Если точно и действительно пользуетесь биллингом (встроенный сервис авторизации) и планируете добавить внешний сервис авторизации, тогда в методе аутентификации «Kubtel_metod» добавляете два профиля: «local / ZyWALL» и «KubTel_radius». Это даст возможность авторизовать различные группы гостей сервисом КубТел и встроенным биллингом.

КОНФИГУРАЦИЯ -> Система -> WWW. Вкладка «Доступ». В методе аутентификации (рис.4) выбираете профиль (созданный в п.2, рис.2-3) «KubTel_metod».

КОНФИГУРАЦИЯ -> Объект -> Адреса/Гео-IP. Вкладка «IP-адрес». Добавляете, заполняете имя профиля и вносите IP-адрес №1 (рис.5).Ещё раз добавляете, заполняете второе имя и вносите IP-адрес №2 (рис.6).

КОНФИГУРАЦИЯ -> Объект -> Адреса/Гео-IP. Вкладка «Группа адресов». Объединяете ранее созданные профили с IP-адресами (созданные в п.4) в одну группу «KubTel_avtor» (рис.7).

КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Аутентификация». Добавляете новый тип аутентификации, заполняете имя профиля и полученный URL авторизации вносите в поле «URL авторизации» (рис.8).В URL приветствия вводите желаемую страницу приветствия вашего заведения.

КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация». Добавляете новую политику, заполняете имя профиля и выставляете указанные стрелкой параметры, если гостевая сеть подключена к входящему интерфейсу ge4 (рис.9). Этой политикой шлюз требует авторизацию у всех, кто подключён к ge4, по профилю KubTel (созданный в п.6, рис.8).

КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация». Добавляете повторно новую политику, заполняете имя профиля и выставляете указанные стрелкой параметры, если гостевая сеть подключена к входящему интерфейсу ge4 (рис.10). Этой политикой шлюз НЕ требует авторизацию для гостей, подключающихся к серверам авторизации. IP серверов авторизации ранее вносили в группу адресов в п.5, рис.7.

КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация». Проверяете наличие галочки в глобальной настройке и расположение профилей (рис.11).Насчёт галочки «Включить страницу сеанса», по ней гость может узнать оставшееся время работы в интернете, продлить время аренды или самостоятельно завершить авторизацию (рис.14).

КОНФИГУРАЦИЯ -> Хотспот -> Ресурсы без аутентификации. Вкладка «База URL». Добавляете ссылку (http://kubtel.ru/about/personsdata) (рис.12), доступную гостям без аутентификации. По этой ссылке находится соглашение на обработку персональных данных, которая будет на странице авторизации в виде ссылки в самом низу.

КОНФИГУРАЦИЯ -> Объект -> Пользователи/группы. Вкладка «Пользователь». Устанавливаете желаемое время аренды и период повторной аутентификации (рис.13).

ПРИМЕЧАНИЕ: На момент написания статьи время аренды автоматически не продлевается при активном сёрфинге гостя из группы External RADIUS Users. Возможно только ручное продление аренды (гостю необходимо зайти на http://6.6.6.6, переключить браузер смартфона в режим «Версия для компьютера» и нажать “Renew” (рис.14)).

ПРИМЕЧАНИЕ: Создал 2 заявки в техподдержку, ответили: Первую заявку приняли, зафиксировали отсутствие кнопки в мобильной версии. Кнопку RENEW для мобильной версии добавят в 2022 году. Вторую заявку приняли, проблема зафиксирована, разбираются с устранением проблемы, просят подождать.

Работаю 10 лет с продукцией Zyxel и заявки такого типа успешно выполняли. Молодцы. Ценю.

Если всё правильно настроили, на гостевом устройстве выскочит страница авторизации КубТела, на которой будет предложено пройти авторизацию (рис.15 и 16).

Тут и тут альтернативный сервис авторизации. Личный кабинет не проверял, процесс авторизации у Zyxel UAG5100 на всех устройствах хорошо работал, но в логах шлюза пишет об ошибках паролей. Нужно обратиться к их разработчику и оставить тикет на устранение ошибок в логах шлюза.
Не стал повторно создавать заявку, тк их сервис не закупали, не хотелось бесплатно лишний раз дёргать разработчика .
И дизайн страницы авторизации не всем гостям нравится, но в целом, тоже хороший сервис.

Контентную фильтрацию включить не забудьте!

Федеральный закон от 29.12.2010 г. № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию».

Вот и всё. Если у вас возникают вопросы – пишите в комментариях, а также общайтесь со мной и другими практикующими специалистами Zyxel в телеграм-канале https://t.me/zyxelru.

Другие ссылки:

• Русскоязычная документация на контроллеры точек доступа Zyxel с функцией межсетевого экрана http://download.from.Zyxel.ru/e2a9ef2c-8a04-4531-99ac-723ae068c44e/NXC2500_NXC5500_V4.10_UG-Rus.pdf
• Новостной канал в Telegram — https://t.me/zyxel_news
• Телеграм-чат поддержки для специалистов — https://t.me/zyxelru
• Форум для специалистов — https://community.zyxel.com/ru/categories
• Свежие новости в FaceBook — https://www.facebook.com/Zyxel.Russia/
• Полезные и интересные статьи в блоге Zyxel на Хабре — https://habr.com/company/zyxel/
• Наш YouTube — https://www.youtube.com/channel/UCcNN2UCEz1e49PEaAisN5ow
• Реализованные проекты — https://www.zyxel.com/ru/ru/solutions/success_stories_list.shtml
• Виртуальная лаборатория — https://support.zyxel.eu/hc/ru/sections/360001858040
• Удалённый стенд — https://support.zyxel.eu/hc/ru/articles/360014708840
• Мастер выбора оборудования — select.zyxel.ru
• Центр обучения Zyxel — https://academy.zyxel.eu/zcne-ru
• Постановление Правительства РФ №758 от 31 июля 2014 года — http://publication.pravo.gov.ru/Document/View/0001201408050024
• Постановление Правительства РФ №801 от 12 августа 2014 года — http://publication.pravo.gov.ru/Document/View/0001201408190035
• № 436-ФЗ — https://digital.gov.ru/ru/documents/3795
• Размеры штрафов — https://digital.gov.ru/ru/events/33687
• Примеры штрафов — https://mediapravo.com/ilaw/wi-fi-prokuratura.html
• Памятка для ЮЛ и ИП — https://77.rkn.gov.ru/directions/p30822

Источник