0
Отвечен

авторизация IPoE силами Hotspot

Александр 4 года назад обновлен Тимур Залаев 2 года назад 30

Сеть построена на IPoE, NAS микротик. У каждого юзера свое устройство доступа(wifi). Устройства доступа чаще всего включены - всегда. Отсюда вопрос при интеграции микбила.

1) Постоянно активные клиенты в хопспоте, сильно нагружают микротик?

2) Способ авторизации IPoE, реализуется только через Hotspot?

3) Создал 4 юзеров в биллинге, сделал хотспот в микротике - в течении 2-3 часов юзеры не логинились, в логе микрота было это http://joxi.ru/L21zpRku6B9d3A . Потом в течении часа, с интервалов около 20 минут, на микротике залогинились все 4 юзера http://joxi.ru/GrqXdyRsND50LA . Но В биллинге со статусов "онлайн" только 2е, в микротике простые очереди шейпера создались только для этих 2 онлайн. Хотя физически все 4 устройсва работает и имеют доступ в интернет. В чем проблема?

По 3 пункту разобрался.


А вот по поводу 1 и 2 пунктов, авторизации на хотспоте по мак без пароля есть вопросы.

- Когда баланс клиента уходит в минус(вручную, корректировкой баланса из админки), в учетке абонента биллинг пишет что интернет отключен, но на юзерской машине интернет при этом работает.

- если, при отрицательном балансе, перелогинить клиентскую машину на хот споте, то клиент больше не подключается и так же не подключается при изменении баланса в положительную сторону, если только не перелогинется на хот споте!

Разве так должно быть? По идее абонент должен в любом случае логинится, а дальше уже, при положительном балансе идет в интернеты, при отрицательном(или недостаточном для списания абпл) идет на страницу заглушку(страницу ЛК).

Какова логика работы у микбила IPoE при авторицации через хот спот по маку без пароля???

Отвечен

1 Нет.

нагружает поток трафика , как следствие НАТ и немного шейпер (лучше применять radius simple queue на последней ветке тик 6.х)

2 Да, в разных вариантах от по маку до логина и пароли

либо гибридная 2хэтапная

Вначале по МАК

1 если мак не найден то просит пароль

2 при успешном пароле регистрирует мак и больше не спрашивает до смены сетевой(роутера)

А можете подсказать как реализуется

гибридная 2хэтапная

Вначале по МАК

1 если мак не найден то просит пароль

2 при успешном пароле регистрирует мак и больше не спрашивает до смены сетевой(роутера) ?

Сейчас хотспот на микротике авторизация по МАК

1. Микротик 6.25, советуете остаться на simple queue?

2. Логику авторизации понял, спасибо. Остается вопрос с теми юзерами, у которых в биллинге включилась блокировка, но они висят на хот споте месяцами, ведь без перелогина интернет не заблокируется? Ставить шедулер на перезапуск хотспотов ночью?

Где то был скрипт, который очищает раз в несколько минут все хотспоты. Тем самым происходит нормальная авторизация. PCQ нормально работают, сервер не грузит совсем.

Где можно про гибридную авторизацию почитать? Пароль+мак.

Раз в несколько минут не нужно, биллинг отключает неплатильщиков в 23:59(насколько я заметил), достаточно 1 раз в сутки в часа 3 ночи очищать тотспоты, как мне кажется.

Скрипт на форуме и вешается в сам микротик.


PCQ в 6й версии сами авторы микротика перестали советовать потому что нормально нfписали simple и они действительно отлично работают

Использую simple, Queue Types - PCQ. Каждый simple имеет родительский общий simple http://joxi.ru/D2PYV8wSdyGd4A

Хотел перейти на Queue Tree из за того что на simple, при моей схеме использования, бывает что изменение ограничения скорости в родительском симпле приводит к тому что перестают работать все дочерние очереди, лечится только перезагрузкой тика. Из за этого приходится использовать 2 родительского симпла для каждого аплинка отдельно, вместо переключения общей пропускной каналов и одного.

Помоему так

http://joxi.ru/krDjqNpu0q7b42?d=1

Только еще надо страничку для ввода только пароля поставить вместо пустышки без ничего на сам микротик

А что это даст? Если клиент залогинился один раз, он будет авторизирован пока не отключится? А включен он будет постоянно, так как последняя миля WiFi и CPEшки в режиме роутера. Авторизируется мак адрес клиентского устройства у которых бывает аптайм по 2 месяца.

Это даст что при смене устройства он вместо звонка - введет пароль и его зарегистриует.

меньше звонков в офис = удобней.

Устройство стационарное наше. Сменить может только монтажник.

Но мысль я уловил. Можно использовать для подключения новых, что бы мак не вбивать в учетку, он сам запишется при первом логине?


Но это все лирика. По сути вопроса:

1) Клиентские устройства физически подключены на хотспоте 24 часа в сутки. В этом примере http://joxi.ru/n2YaROwSjaLvV2 , биллинг отключил клиента за неуплату вчера. Но у клиента работает интернет, так как устройство не отключалось.

2) В данном случае http://joxi.ru/gmvv67xSxD6Pqm клиент отключился от хот спота более чем 11 часов назад, возможно сделать что бы отключившиеся удалялись?


"Но мысль я уловил. Можно использовать для подключения новых, что бы мак не вбивать в учетку, он сам запишется при первом логине?"

Да...это полезно когда по этой же схеме включают целый свич в доме/домах

Либо при wifi hotspot


я уже несколько раз писал об этом

по сути Микротик хотспот это тотже самый Cisco ISG + Captive Portal.

Я просто убрал лишнее внем и получился такой себе ISG + страница "дай денег"



https://wiki.mikbill.ru/billing/howto

Микротик - очистка Hosts


Но он там всегда будет появлятся если система его видит и это не уберешь да и проблем не создает..

Либо я Вас не понимаю, либо Вы меня))

Проблем с неавторизированными клиентами нет( не важна причина, закончились деньги или нет такого мака в биллинге). Проблема с авторизированными - авторизировавшись на хот споте 1 раз, клиент будет иметь доступ в интернет всегда, даже когда у него закончились деньги и биллинг "отключил" его. Интернет у него заблокируется только после перелогина - он просто не сможет залогиниться, верно?

А клиентские устройства, мак которых авторизируется на хот споте, активны 24/7, время простоя у них всегда 00:00 - 00:01

Добавил еще один хот спот, для другой подсети(влан). На микротике клиенты авторизируются, есть 2 но:

1) Если в учетке абонента не указать IP адрес, такой же как на микротике(в этой сети жесткая привязка мак+ip), биллинг пишет что юзер офлайн. В виду того авторизация везде планируется только по маку, можно сделать что бы IP брался из микротика?

2) На новом хотспоте, у клиентов поле удачного логина не создается simple. Настройки идентичны предыдущему хотспоту. http://joxi.ru/L21zpRku6BXVYA

Интернет у него заблокируется только после перелогина - он просто не сможет залогиниться, верно? - клиенту закрывает сессию если он стал должником.


1) Если в учетке абонента не указать IP адрес, такой же как на микротике(в этой сети жесткая привязка мак+ip), биллинг пишет что юзер офлайн. В виду того авторизация везде планируется только по маку, можно сделать что бы IP брался из микротика?


А зачем вам жесткая привязка ?

отключите ее

и включите чтобы отображало активный IP а текущий скройте.

Похоже dhcp relay вы не подключали чтобы данные совпадали в биллинге и на тике.

в вики есть приме этого если что


2) На новом хотспоте, у клиентов поле удачного логина не создается simple. Настройки идентичны предыдущему хотспоту. http://joxi.ru/L21zpRku6BXVYA

А в тарифе точно все указано ?

"А зачем вам жесткая привязка ?

отключите ее

и включите чтобы отображало активный IP а текущий скройте.

Похоже dhcp relay вы не подключали чтобы данные совпадали в биллинге и на тике."

В данном сегменте нужна именно жесткая привязка. Поставил чек бокс - "брать IP из онлайна", все вроди бы заработало, понаблюдаем.


"А в тарифе точно все указано ?"

Вот скрины "рабочих" - http://joxi.ru/V2VLRYwI04d71r http://joxi.ru/xAeDN54IY1RNX2 http://joxi.ru/1A5xQW8hK5DMk2

Вот добавленные позже - http://joxi.ru/nAyxL9yhXBgEB2 http://joxi.ru/ZrJYOpwS1Ow4dA http://joxi.ru/KAgo7WwFgZE8dA

Добавил 3й сегмент, из 3х залогинившихся юзеров, симпл создался только 1.


ps первые 2 тарифа были сделаны с отмеченным чек боксом "использовать адрес лист". Позже чек боксы были убраны и в других тарифах не ставились. Но адрес листы в микротике создаются http://joxi.ru/Y2LYpkwSnX7ZdA

Могла ли проблема с созданием симплов, возникнуть после обновления? http://joxi.ru/L21zpRku6pRbaA

По срокам совпадает.

http://joxi.ru/p27bRk8f0R378m?d=1


Вообщето вы их просто не включили.


еще блокировку локалки не стоит делать.

1) Постоянно активные клиенты в хопспоте, сильно нагружают микротик?

1 Нет.нагружает поток трафика , как следствие НАТ и немного шейпер (лучше применять radius simple queue на последней ветке тик 6.х)

После включения хот спотов на подсетях(еще не все добавлены), загрузка ЦП возросла примерно на 15-20%. При том же трафике.

Отключил хот споты, будем менять железо.

В воскресенье добавил первый хотспот http://joxi.ru/KAxodj1F4e0VK2

Выкатил биллинг в продакшн.

Есть несколько вопросов.

1) Клиенты массово не авторизировались(неверный логин пароль, авторизация по мак), после ручного удаления из Hosts, авторизация проходит успешно http://joxi.ru/bmoz6vluMGnVvr

2) Некоторые клиенты авторизировались не по маку http://joxi.ru/823xn5yh6yQl3A http://joxi.ru/vAWKRyBHk5xLXA

3) Бывает что один клиент авторизируется дважды, один IP получает верный, второй из 0-й подсети http://joxi.ru/LmGeqjwIROj4VA


Еще один вопрс:

При авторизации по маку, адреса можно выдавать динамически, правильно?

Пул адресов указывать в хот споте или в dhcp?

И можно(нужно?) ли использовать радиус в dhcp микротика? http://joxi.ru/4Ako0GWFMJLK3A

p.s. при динамической выдаче адресов, случается, что выдаются адреса, которые уже статически привязаны к другим макам. что то не так?

В свете проблем с доступом к некоторым платежным системам через хот спот с заблокированным интернетом.

Как сделать, чтобы любой юзер(или юзер без интернета) получал авторизацию на 10 минут, с ограничением скорости скажем 128 кбит/с???

В IPOE для микротика от микбила есть недостаток. Предлагается использовать хот спот микротика, который при недостатке средств показывается страцу хот спота "логин", страница изменена и имеет надпись, закончились деньги бла бла.

Во всей этой схеме есть существенный недостаток в виде повсеместного использования https, который не заворачивается на заглушку из странички логина хот спота и юзер тупо получает - "страница недоступна".

Как то можно улучшить этот процесс? Что бы все попадало на заглушку.

протокол https никак не даст завернуть на другую страницу без ошибки

Это я понимаю. Меня интересует реализация заглушки "дай денег". Как это можно сделать?

Микбилл позиционируется как биллинг заточенный под микротик, а для реализации ipoe на микротике, wki микбила рекомендует именно хот спот.

Собственно в этом и дело, сейчас уже весь трафик https, а показать пользователю заглушку вместо "страница недоступна" очень важно. МБ у разработчиков есть какие идеи?

Это не от биллинга зависит и не от микротика. Максимум что можно сделать на данный момент заглушка для 80 порта и с редиректом 443. На 443 будет открываться, но перед этим будет сообщение об ошибке сертификата

заглушка для 80 порта и с редиректом 443. Это как?

с 80 порта на любой порт заглушки и отдельно заглушку на 443, чтобы проброс был именно с 443 порта на 443 порт, но так тоже не все будут, например ютуб и др. использующие HSTS. Для заглушки hotspot на самом микротик есть уже встроенный механизм в Server  Profile - Login - HTTPS, это готовая реализация описанного выше, при переходе https все также будет ругаться

Включил Server  Profile - Login - HTTPS, все так же. http на заглушку заворачивает, а https выдает "Не удается получить доступ к сайту"

Сервис поддержки клиентов работает на платформе UserEcho