Hotspot

[Efendy]

Кто-нить юзает hotspot? Есть смысл чуток подпилять NoDeny+ чтобы сделать с него hotspot-биллинг? Я смотрю, что сейчас для этого совсем немного усилий надо. Только хотелось бы, чтобы реальная необходимость в этом была.

Как я вижу это. Генерится несколько учеток (указывается количество), распечатываются пары логин/пароль. Выдается вместе с карточками пополнения. Клиент подключается по wifi, попадает на логин в статистику. Заходит. Дальше активирует услугу "доступ в инет на x минут / на скорости y мбит/сек". Активирует карточку пополнения счета. В следующий раз он может зайти под этим же логином и активировать новую услугу, если будут деньги на счету. Нет - пополнит счет. Либо под новым логином зайдет. Пополнить счет можно через карточку пополнения/ликпей/visa/mastercard.

Если в этом есть реальная необходимость - я могу заняться. Если кто-то настроит wifi-роутер с UAM авторизацией на мой сервер и освободит меня от иботни с перепрошивкой роутера, тому hotspot-версия бесплатно.

[Andrey Zentavr]

Было бы не плохо шить товарищам какой-нить OpenWRT... ну и там всё крутить.
Да, кстате.. чё за UAM?

[Rico-X]

Для хотспота много лишних телодвижений в описаной схеме. Самый простой вариант - для хотспота создается отдельная группа, где автоматически генерится нужное количество учеток, вход только по паролю, создаем пул карт для хотспота в которых указан только пароль. Ни каких роутеров, только точки доступа (любой роутер может работать в этом режиме) подключаемся к точке, получаем настройки по дхцп из пула, вводим пароль - получаем интернет на нужное время (в момент ввода происходит привязка по маку). Защита от перебора тоже по маку. Отличная схема реализована в pfSense можно взять и передрать оттуда (в основе та же фря). В схеме, где от пользователя требуется больше, чем банально ввести пароль из десятка цифр хотспот работать не будет. Роутер могу выделить на тест, есть незадействованный Asus RT-N16 c томатной прошивкой (поставить другую не проблема), только смысл в хотспотах использовать именно роутеры а не точки доступа? Из минусов - не сделать хотзону, иботня с настройкой каждой точки, требуется единообразие железа, нельзя использовать всякие классные железяки типа насосов, которые кроют целый район, пихать пару десятков роутеров по парку то еще извращение, а так один насос и все.

[Efendy]

Было бы не плохо шить товарищам какой-нить OpenWRT... ну и там всё крутить.
Да, кстате.. чё за UAM?

Может кто слышал про fon.com? Я на основе этих роутеров развернул Приватбанку сеть по всей Украине. Т.е. создал прошивку для них и биллинг. Биллинг - ответвление NoDeny с минимум функционала, а вот прошивка роутеров как раз и основана на OpenWrt.

Когда ковырял UAM, я про него писал здесь: http://forum.nodeny.com.ua/index.php?topic=270.msg3156#msg3156

Процитирую:

клиент открывает браузер и пытается зайти на какой-либо сайт. Оборудование провайдера перехватывает этот запрос и вместо открываемого сайта подсовывает страничку авторизации. Таким образом, мы сразу же замечаем недостатки т.н. UAM-авторизации. Во-первых, клиенту необходимо открыть браузер и попытаться зайти на какой-либо сайт, т.е. если клиент хочет запустить icq, он может и не догадаться, что для старта ему надо запустить браузер и попытаться куда-нибудь войти. Во-вторых, обычно перехватываются только get-запросы, а автором было замечено, что Opera-mini почему-то пытается открыть сайты post-запросами, т.е. пользователи этого браузера не получат доступ через hotspot.

Видно, что на самом деле вся авторизация заключается в перехватывании http-запросов. Хотя это является недостатком, многие производители начали учитывать такой подход и поэтому адаптируют свои устройства и программы к такой реализации. Например, iphone очень удачно обрабатывает такую авторизацию: при установке соединения, делает http-запрос на apple.com и, если видит редирект, то считает его началом UAM-авторизации.

Обычно перехват http-запросов осуществляется на самой точке доступа, если она это позволяет. Скажем, в linux решениях для UAM-авторизации используется программа chilli.

В wifi-сети Приватбанка клиент вводит номер телефона и код с sms. Это необязательно т.к доступ бесплатный, только для того чтобы контролить кто через точку ходит.

Для хотспота много лишних телодвижений в описаной схеме. ... Ни каких роутеров, только точки доступа (любой роутер может работать в этом режиме) подключаемся к точке, получаем настройки по дхцп из пула, вводим пароль - получаем интернет на нужное время

Согласен, что логин/пароль и выбор услуги - это избыточно. В остальном, я так понимаю, это и есть UAM авторизация. Вообще, клева было бы поступить так: если мак новый - давать доступ в инет минут на 10, затем платно. Конечно, это небезопасно, если хакер будет менять маки. Но это не создаст проблемы нам т.к. хакер пусть забавляется если ему интересно переподключаться каждые 10 минут, а во-вторых, таких людей очень мало

[Rico-X]

Как вариант если мак новый даем минимальную скорость и раз в 10 минут кидаем на страничку заглушку с вопросом не хочет ли уважаемый денег дать ну и ограничение на 80 порт само собой. Кому надо почту проверить или в асе посидеть - пусть работают, много трафика не сожрут да и нашу страничку будут видеть регулярно, тем кто денег дал открываем на указанное время нормальный канал и ничего лишнего не показываем, все порту открыты. Вообще тут дело воображения, самая сложная задача организация хотзоны, чтоб была единая система авторизации. От UAM никуда не деться, лично я альтернатив не знаю, разве что отправьте свой MAC на короткий номер )