Настройка сервиса авторизации гостевой Wi-Fi сети

Поводом для написания этой статьи стало два фактора.

Первое: необходимость соблюдения для публичных (гостевых) Wi-Fi сетей постановления Правительства РФ №758 от 31 июля 2014 года и №801 от 12 августа 2014 года (размеры штрафов за несоблюдение постановлений).

Второе: комплекс эмоций, которые испытаны, в процессе реализации всего этого. С этими постановлениями всё понятно, нужно соблюдать, но была другая неприятная проблема, вылезшая в процессе эксплуатации сервисов авторизации.

Если нет времени или желания читать как и почему выбирался сервис, тогда переходим к настройкам тут.

Кто я? Меня зовут Александр. 16 лет профессионально занимаюсь СКС и сетевым оборудованием. Больше времени провожу с СКС (монтаж), чем с настройкой сетевого оборудования, поэтому на настройки времени особо нет, но получил много опыта работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в телеграме — @NSanchez13, так что, если будут вопросы, комментарии, мнения – милости прошу.

Начну с того, что 3 года работали с разными сервисами (4 шт.), ни один не устраивал. Проблемы такие:

  • CNA (минибраузер) не выскакивает у устройств Apple или с ошибками работал;

  • Apple с устаревшими прошивками отключаются от Wi-Fi при блокировке экрана и подключаются к Wi-Fi при разблокировке экрана;

  • дизайн страницы авторизации не продуман, часть кнопок не помещалась на маленьком экране;

  • мало сервисов с безлимитными SMS. Актуально для Xiaomi, у которых CNA исчезает после звонка.

Самое страшное, что на созданные мною тикеты в техподдержке никто ничего не хотел исправлять, одни обещания или игнор.

Про Xiaomi и Apple

ПРИМЕЧАНИЕ: Xiaomi закрывают CNA при переключении на другое приложение, например, приложение набора номера. Поэтому после набора номера не получается обратно вернуться в CNA. Он исчезает и в диспетчере задач его нет!

Apple в сетях с Captive Portal корректно работают только с последними версиями iOS!

Проблемы известные, проявляются абсолютно одинаково на всех сервисах авторизаций и на оборудовании разных вендоров. Поэтому гостям на Xiaomi настоятельно рекомендуется проходить авторизацию по смс или ваучерам, а Apple обновлять до последних версий.

Про Apple планируется отдельная публикация.

Встречают по одёжке, провожают по уму

Сервис авторизации — самый заметный момент в гостевом Wi-Fi, фактически лицо всего Wi-Fi или заведения, куда гость пришёл. С него начинается первый выход в интернет, если что-то не так пойдёт, в зависимости от ситуации и настроения гостя, претензии польются на царя/админа/заведение или вендора. Вендор то при чём? Captive Portal отработал, ожидает действий гостя, а он по вине оператора сервиса никак не может попасть на CNA или не те кнопки нажал. До начала конференции остаётся пара минут, гости нервничают, плохо разбираясь в ИТ, сразу винят установленное оборудование и то, на чём крутится сервис, но только не свой телефон и себя. Дома же всё отлично работает на запароленном Wi-Fi.

Гостей можно понять, они с гаджетами на ВЫ, их любые мелочи пугают, нервничают и не могут пройти авторизацию.

Предупреждение на iPhone
Предупреждение на iPhone

Примером была одна и та же картина у устройств Apple. После подключения к Wi-Fi не выскочил CNA, далее гость идёт в браузер, нажимает на любую страницу в «Избранное», получает предупреждение и не редиректит на страницу авторизации.

Следовательно, гости с Apple постоянно были в такой ситуации и VIP-персоны тоже, а жёстко критиковать они умеют…

Гости Wi-Fi при отсутствии CNA
Гости Wi-Fi при отсутствии CNA

Поэтому было критично, чтобы CNA корректно на всех устройствах выскакивал, там предупреждений нет.

Админ тоже виноват, плохой сервис выбрал. Надо исправлять ситуацию

К счастью, руководство выручило. В поисках интернет-провайдера в поисковике случайно нашло сервис авторизации у интернет-провайдера КубТел. Судя по их карте, провайдер не крупный, присутствует только в больших городах Краснодарского края. Помимо интернета, много других услуг предоставляют, но нас интересовал только интернет и сервис авторизации.

После переговоров они согласились настроить свой сервис для нашего шлюза Zyxel UAG5100 с последующим тестированием. К нашему удивлению, они блестяще справились с задачей без нытья. CNA наконец-то выскакивал на всех Apple, процесс прохождения авторизации в CNA отрабатывался отлично на всех устройствах (кроме Xiaomi по звонку). Дизайн страницы авторизации грамотно составлен и кнопки не уезжали на маленьких телефонах диагональю до 4 дюймов с увеличённым масштабом для слабовидящих. Личный кабинет оформлен приятно, информативно и красиво.

Гости очень довольны, претензии по авторизации прекратились (кроме Xiaomi), но таких гостей просим на смс перейти.

Вы энтузиаст и любите самостоятельно настраивать?

Давайте рассмотрим на шлюзе Zyxel VPN300 самостоятельную настройку сервиса авторизации оператора КубТел по смс, звонку и паспорту (ваучеру) для иностранцев.

Обратимся к КубТел за получением (или покупкой) сервиса. В принципе, они могут сами всё настроить, но нам тоже можно.

Получим:

  • два IP-адреса №1 и №2 (для пункта 1 и 4);

  • ключ (для пункта 1);

  • идентификатор NAS (для пункта 1);

  • URL авторизации (для пункта 6).

Пример настройки сервиса производился на Zyxel VPN300 с версией прошивки V5.02(ABFC.0). Рекомендуется, чтобы шлюз был готов к подключению к интернету.

  1. КОНФИГУРАЦИЯ -> Объект -> Сервер аутентификации -> вкладка «RADIUS».

    Добавляете профиль и заполняете все поля (рис.1):

    Рис 1. Добавление профиля RADIUS.
    Рис 1. Добавление профиля RADIUS.
  2. КОНФИГУРАЦИЯ -> Объект -> Метод аутентификации -> вкладка «Метод аутентификации».

    Добавляете метод аутентификации (рис.2). Заполняете имя и удаляете дефолтный профиль «local / ZyWALL» ИЛИ если пользуетесь функционалом «Биллинг» (КОНФИГУРАЦИЯ -> Хотспот -> Биллинг), профиль «local / ZyWALL» НЕ удаляем. Сразу переходим к следующему скриншоту (рис.3).

    Рис 2. Добавление метода аутентификации.
    Рис 2. Добавление метода аутентификации.

    Добавляете (рис.3) и выбираете профиль (созданный в п.1, рис.1)«KubTel_radius / RADIUS».

    Рис 3. Добавление профиля сервера.
    Рис 3. Добавление профиля сервера.

    ПРИМЕЧАНИЕ: Если точно и действительно пользуетесь биллингом (встроенный сервис авторизации) и планируете добавить внешний сервис авторизации, тогда в методе аутентификации «Kubtel_metod» добавляете два профиля: «local / ZyWALL» и «KubTel_radius». Это даст возможность авторизовать различные группы гостей сервисом КубТел и встроенным биллингом.

  3. КОНФИГУРАЦИЯ -> Система -> WWW. Вкладка «Доступ».

    В методе аутентификации (рис.4) выбираете профиль (созданный в п.2, рис.2-3) «KubTel_metod».

    Рис 4. Выбор метода аутентификации.
    Рис 4. Выбор метода аутентификации.
  4. КОНФИГУРАЦИЯ -> Объект -> Адреса/Гео-IP. Вкладка «IP-адрес».

    Добавляете, заполняете имя профиля и вносите IP-адрес №1 (рис.5).

    Рис.5. Добавление адреса №1.
    Рис.5. Добавление адреса №1.

    Ещё раз добавляете, заполняете второе имя и вносите IP-адрес №2 (рис.6).

    Рис 6. Добавление адреса №2.
    Рис 6. Добавление адреса №2.
  5. КОНФИГУРАЦИЯ -> Объект -> Адреса/Гео-IP. Вкладка «Группа адресов».

    Объединяете ранее созданные профили с IP-адресами (созданные в п.4) в одну группу «KubTel_avtor» (рис.7).

    Рис 7. Добавление группы адресов.
    Рис 7. Добавление группы адресов.
  6. КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Аутентификация».

    Добавляете новый тип аутентификации, заполняете имя профиля и полученный URL авторизации вносите в поле «URL авторизации» (рис.8).

    В URL приветствия вводите желаемую страницу приветствия вашего заведения.

    Рис 8. Добавление типа аутентификации.
    Рис 8. Добавление типа аутентификации.
  7. КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация».

    Добавляете новую политику, заполняете имя профиля и выставляете указанные стрелкой параметры, если гостевая сеть подключена к входящему интерфейсу ge4 (рис.9). Этой политикой шлюз требует авторизацию у всех, кто подключён к ge4, по профилю KubTel (созданный в п.6, рис.8).

    Рис 9. Добавление политики аутентификации, требующую авторизацию.
    Рис 9. Добавление политики аутентификации, требующую авторизацию.
  8. КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация».

    Добавляете повторно новую политику, заполняете имя профиля и выставляете указанные стрелкой параметры, если гостевая сеть подключена к входящему интерфейсу ge4 (рис.10). Этой политикой шлюз НЕ требует авторизацию для гостей, подключающихся к серверам авторизации. IP серверов авторизации ранее вносили в группу адресов в п.5, рис.7.

    Рис 10. Добавление политики аутентификации, НЕ требующую авторизацию.
    Рис 10. Добавление политики аутентификации, НЕ требующую авторизацию.
  9. КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация».

    Проверяете наличие галочки в глобальной настройке и расположение профилей (рис.11).

    Насчёт галочки «Включить страницу сеанса», по ней гость может узнать оставшееся время работы в интернете, продлить время аренды или самостоятельно завершить авторизацию (рис.14).

    Рис 11. Проверка наличия галочек и расположения правил.
    Рис 11. Проверка наличия галочек и расположения правил.
  10. КОНФИГУРАЦИЯ -> Хотспот -> Ресурсы без аутентификации. Вкладка «База URL».

    Добавляете ссылку (http://kubtel.ru/about/personsdata) (рис.12), доступную гостям без аутентификации. По этой ссылке находится соглашение на обработку персональных данных, которая будет на странице авторизации в виде ссылки в самом низу.

    Рис 12. Добавление URL, доступных без аутентификации.
    Рис 12. Добавление URL, доступных без аутентификации.
  11. КОНФИГУРАЦИЯ -> Объект -> Пользователи/группы. Вкладка «Пользователь».

    Устанавливаете желаемое время аренды и период повторной аутентификации (рис.13).

    Рис 13. Редактирование времени и периода.
    Рис 13. Редактирование времени и периода.

    ПРИМЕЧАНИЕ: На момент написания статьи время аренды автоматически не продлевается при активном сёрфинге гостя из группы External RADIUS Users. Возможно только ручное продление аренды (гостю необходимо зайти на http://6.6.6.6, переключить браузер смартфона в режим «Версия для компьютера» и нажать “Renew” (рис.14)).

    Рис.14. Страница сеанса.
    Рис.14. Страница сеанса.

    ПРИМЕЧАНИЕ: Создал 2 заявки в техподдержку, ответили:

    Первую заявку приняли, зафиксировали отсутствие кнопки в мобильной версии. Кнопку RENEW для мобильной версии добавят в 2022 году.

    Вторую заявку приняли, проблема зафиксирована, разбираются с устранением проблемы, просят подождать.

    Работаю 10 лет с продукцией Zyxel и заявки такого типа успешно выполняли. Молодцы. Ценю.

  12. Если всё правильно настроили, на гостевом устройстве выскочит страница авторизации КубТела, на которой будет предложено пройти авторизацию (рис.15 и 16).

    Рис.15. Способ авторизации по SMS.
    Рис.15. Способ авторизации по SMS.
    Рис.16. Способ авторизации по звонку.
    Рис.16. Способ авторизации по звонку.

Тут и тут альтернативный сервис авторизации. Личный кабинет не проверял, процесс авторизации у Zyxel UAG5100 на всех устройствах хорошо работал, но в логах шлюза пишет об ошибках паролей. Нужно обратиться к их разработчику и оставить тикет на устранение ошибок в логах шлюза.
Не стал повторно создавать заявку, тк их сервис не закупали, не хотелось бесплатно лишний раз дёргать разработчика .
И дизайн страницы авторизации не всем гостям нравится, но в целом, тоже хороший сервис.


Контентную фильтрацию включить не забудьте!

Федеральный закон от 29.12.2010 г. № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию».


Вот и всё. Если у вас возникают вопросы – пишите в комментариях, а также общайтесь со мной и другими практикующими специалистами Zyxel в телеграм-канале https://t.me/zyxelru.

Другие ссылки:

Источник 📢