Captive Portal
Traffic Inspector Next Generation реализует функционал Captive Portal.
Captive Portal - веб-портал, на который попадает пользователь после подключения к сети учреждения.
Страница, показываемая пользователю, может содержать информацию об учреждении, информацию о правилах использования Интернет-доступа в учреждении, рекламу учреждения, форму для идентификации пользователя. Визуальные характеристики страницы определяются шаблоном, который можно скачать и отредактировать по своему вкусу.
Captive Portal поддерживает следующие типы аутентификации:
Аутентификация по локальной базе пользователей
Аутентификация через LDAP в Active Directory
Аутентификация через RADIUS
Аутентификация по ваучерам / картам
Аутентификация по IP-адресам
Двухфакторная аутентификация по локальной базе пользователей
Аутентификация по СМС
После прохождения идентификации, пользователь получает доступ в Интернет.
При этом, устройство TING настраивается таким образом, что гостевые пользователи будут находиться в отдельном LAN-сегменте, из которого ограничен доступ на само устройство TING и не разрешен доступ в другие LAN-сегменты, подключенные к устройству TING.
На устройстве TING также настраивается DHCP-сервер для обеспечения гостевых пользователей базовыми TCP/IP-настройками.
При настройке доступа по ваучерам, внутреняя сеть может быть построена как на базе проводной (Ethernet), так и беспроводной (Wi-Fi) технологии. Если делается выбор в пользу Wi-Fi сети, она может быть настроена в открытом или закрытом режиме.
При настройке SMS-идентификации, внутреняя сеть, как правило, построена на базе беспроводной (Wi-Fi) технологии, а пользователи обращаются в Интернет со своих мобильных устройств (например, смартфонов).
Captive Portal распознает клиентские устройства, прошедшие идентификацию, по их MAC-адресам. Это означает, что клиентские устройства и гостевой LAN-адаптер устройства TING должны находиться в одном широковещательном LAN-сегменте. Другими словами, между клиентскими устройствами и устройством TING не должны находиться маршрутизаторы.
Общие настройки
Примечание
Описываемые в данном разделе настройки являются базовыми. Их нужно осуществлять в независимости от того, собираетесь ли Вы настраивать Captive Portal с доступом по ваучерам или Captive Portal для SMS-идентификации.
Настройка гостевого интерфейса
Устройство TING подключается в гостевой сегмент посредством сетевого адаптера GUESTNET.
Примечание
Данное имя GUESTNET используется в качестве примера и вы можете использовать любое другое, удобное для вас имя.
Для начала настройки, пройдите в раздел Интерфейсы -> Назначения портов и кликните на значок + для добавления в систему нового, еще неиспользуемого интерфейса. По умолчанию, данный интерфейс называется OPT1. Позже мы переименуем его. Нажмите Сохранить.
Новый интерфейс OPT1 отобразится как подраздел раздела Интерфейсы. Кликните по нему, чтобы перейти на страницу редактирования настроек интерфейса.
Установите флаг Включить интерфейс и настройте следующие параметры (поля, которые явно не указаны остаются по умолчанию):
Описание |
GUESTNET |
Имя интерфейса в веб-интерфейсе TING |
Блокировать частные сети |
Не выбран |
|
Блокировать bogon сети |
Не выбран |
|
Тип конфигурации IPv4 |
Статический IPv4 |
Статичный IPv4 адрес |
Тип конфигурации IPv6 |
Отсутствует |
|
IPv4-адрес |
192.168.2.1/24 |
Используем IP-адрес из IP-сети, отведенной для гостевой сети, например адрес 192.168.2.1 |
Нажмите Сохранить для применения настроек.
Настройка DHCP-сервера
Пройдите в раздел Службы -> DHCP -> Сервер и кликните на вкладку GUESTNET.
Укажите следующие настройки DHCP-сервера для гостевой сети (поля, которые явно не указаны остаются по умолчанию):
Включен |
Флаг установлен |
Включить DHCP-сервер на интерфейсе GUESTNET |
Подсеть |
192.168.2.0 |
|
Маска подсети |
255.255.255.0 |
|
Доступный диапазон |
192.168.2.128 по 192.168.2.254 |
Выдавать IP-адреса из данного диапазона |
DNS-серверы |
192.168.2.1 |
DHCP параметр, сообщающий IP-адрес DNS-сервера(-ов) |
Шлюз |
192.168.2.1 |
DHCP параметр, сообщающий маршрут по умолчанию |
Нажмите Сохранить для применения настроек.
Настройки межсетевого экрана
Пройдите в раздел Межсетевой экран -> Правила и создайте, по меньшей мере, пять следующих правил:
Правила для разрешения доступа на Captive Portal
Данными правилами мы разрешаем гостевым пользователям доступ на Captive Portal.
Укажите следующие настройки (поля, которые явно не указаны остаются по умолчанию):
Действие |
Разрешение |
Интерфейс |
GUESTNET |
Протокол |
TCP |
Источник |
GUESTNET сеть |
Назначение |
GUESTNET адрес |
Диапазон портов назначения |
8000/10000 |
Категория |
Правила для гостевой сети |
Описание |
Разрешение доступа на Captive Portal |
Нажмите Сохранить.
Действие |
Разрешение |
Интерфейс |
GUESTNET |
Протокол |
TCP/UDP |
Источник |
GUESTNET сеть |
Назначение |
GUESTNET адрес |
Диапазон портов назначения |
53 |
Категория |
Правила для гостевой сети |
Описание |
Разрешение для запросов DNS на Captive Portal |
Нажмите Сохранить.
Внимание
Без создания подобных правил, использование Captive Portal невозможно.
Правило для запрета остального трафика, адресованного на устройство Traffic Inspector Next Generation
Данным правилом мы запрещаем любой остальной трафик на устройство Traffic Inspector Next Generation.
Укажите следующие настройки (поля, которые явно не указаны остаются по умолчанию):
Действие |
Блокирование |
Интерфейс |
GUESTNET |
Протокол |
Любой |
Источник |
GUESTNET сеть |
Назначение |
GUESTNET адрес |
Категория |
Базовые правила для гостевой сети |
Описание |
Запрет всего остального трафика, адресованного на устройство Traffic Inspector Next Generation |
Нажмите Сохранить.
Правило для запрета доступа из гостевой сети к остальным сегментам внутренней сети
Данным правилом мы запрещаем доступ из гостевой сети в другие внутренние LAN-сегменты. В данном случае у нас один такой сегмент, к которому мы подключены через адаптер LAN.
Укажите следующие настройки (поля, которые явно не указаны остаются по умолчанию):
Действие |
Блокирование |
Интерфейс |
GUESTNET |
Протокол |
Любой |
Источник |
GUESTNET сеть |
Назначение |
LAN сеть |
Категория |
Правила для гостевой сети |
Описание |
Запрет доступа к локальным сетям |
Нажмите Сохранить.
Правило для разрешения трафика от гостевой сети в Интернет
Данным правилом мы разрешаем трафик от пользователей гостевой сети, направленный в Интернет.
Укажите следующие настройки (поля, которые явно не указаны остаются по умолчанию):
Действие |
Разрешение |
Интерфейс |
GUESTNET |
Протокол |
Любой |
Источник |
GUESTNET сеть |
Назначение |
Любой |
Категория |
Правила для гостевой сети |
Описание |
Разрешение всего трафика от гостевой сети |
Нажмите Сохранить.
Captive Portal + аутентификация по ваучерам / картам
Функционал Captive Portal с доступом по картам может быть востребованным в отелях или на предприятиях, где предоставляется гостевой доступ в Интернет.
Особенность данного типа идентификации заключается в использовании ваучеров / карт.
Примечание
Bаучер - так в TING называется запись с логином и паролем, которая может послужить основой для создания карточки, т.е. бумажного носителя с логином и паролем. Создание бумажных карточек полностью опционально.
Пользователь проходит регистрацию в учреждении и получает карту. В карту занесены логин и пароль из ваучера, ранее сгенерированного на устройстве TING.
При подключении к сети учреждения, пользователь попадает на страницу идентификации. Здесь пользователь вводит логин / пароль, указанный в карте.
Если указаны верные данные, то для пользователя запускается сессия, и он получает доступ к сети Интернет.
Сессия имеет настраиваемый срок жизни. В наиболее общем случае, сессия длится непрерывно и пользователя не будут просить проходить повторную идентификацию до истечения срока сессии. После истечения срока сессии, процедуру получения карты и ввода логина / пароля нужно повторить.
Ваучеры/карты имеют настраиваемый срок жизни. По его истечении пользователь должен получить новую карту, если желает продолжить пользоваться Интернетом.
Настройка Captive Portal с доступом по ваучерам сводится к следующим действиям:
Общие настройки
Настройка сервера доступа
Редактирование шаблона
Настройка Captive Portal
Общие настройки
Осуществите общие настройки устройства TING как описано в разделе Общие настройки .
Настройка сервера доступа
Пройдите в раздел Система -> Доступ -> Серверы и кликните на кнопку Добавить сервер в верхнем правом углу. Укажите следующие настройки:
Вернитесь к ранее созданной зоне – раздел Службы -> Captive Portal -> Администрирование, редактирование зоны smart_soft_zone. В поле Аутентификация через выберите созданный сервер ваучеров.
Создание ваучеров
Пройдите в раздел Службы -> Captive Portal -> Ваучеры. Кликните на кнопку Создать ваучеры.
Создадим для наших гостей ваучеры со следующими настройками: срок действия – 1 день, количество – 25 ваучеров, и имя серии ваучеров guest_vouchers.
Будет сгенерирован файл guest_vouchers.csv с содержимым, наподобие этого:
username password vouchergroup validity
DK.DM7R( aS_@Mu)p81 Wi-Fi pass 86400
kvV+V=2q T-8KIR=h2) Wi-Fi pass 86400
9*m/*)PK 9INp3[TyeK Wi-Fi pass 86400
4N?THK$: JSNvi@Tm*n Wi-Fi pass 86400
p)=Kmh7M a4:W!(;)pI Wi-Fi pass 86400
G)IAbw=y 4-21m]pAyp Wi-Fi pass 86400
#NAME? y0-+2qmUa\ Wi-Fi pass 86400
AuydiRS# RpK[3KHv?Z Wi-Fi pass 86400
Th\aaAo@ R@9/9T\@mA Wi-Fi pass 86400
_+K0ya[2 Jp21RCK7$* Wi-Fi pass 86400
\::NRmn! :gRNGiNvhx Wi-Fi pass 86400
:RJp2DWy X2MH=iTeHU Wi-Fi pass 86400
_MBVFXr3 TwTb.Jp58$ Wi-Fi pass 86400
bL9RrrFX ?]omD7IU+? Wi-Fi pass 86400
h1yAN0S5 dHPkSo)MRz Wi-Fi pass 86400
*xJrHu$I $oTppt)97= Wi-Fi pass 86400
UA09*vDr ;)0N1iapbD Wi-Fi pass 86400
U7?)eZ4P R#S_rZ[ChE Wi-Fi pass 86400
4S)ZR!1@ 80X:q(HVXm Wi-Fi pass 86400
aKkq3!7T x:m]k8_42F Wi-Fi pass 86400
T/e%eu2H KXTW8g;J:N Wi-Fi pass 86400
\XzaG-KH 94a4Xon0m* Wi-Fi pass 86400
t;2/wvIa (#2[vFW,Ii Wi-Fi pass 86400
_NAT9xgn ]2AS+5;gCM Wi-Fi pass 86400
V,:$gq;B 2Mo4?d]?@P Wi-Fi pass 86400
После генерации, файл с логинами и паролями автоматически скачивается на компьютер администратора. Из соображений безопасности файл не хранится на устройстве Traffic Inspector Next Generation.
Далее, Вы можете создать бумажные карточки на основе сгенерированной серии ваучеров.
Редактирование шаблона
Пройдите в раздел Службы -> Captive Portal, вкладка Шаблоны, и кликните на значок загрузки для того, чтобы скачать стандартный шаблон template_default.
Распакуйте скачанный zip-архив на своей машине. Большинство файлов шаблона можно модифицировать.
В файл exclude.list можно указывать имена файлов шаблона, изменения в которых должны игнорироваться при обратной загрузке шаблона. В настоящее время, к таким файлам относятся Java-скрипты и некоторые шрифты.
Откройте файл index.htlm в текстовом редакторе и сделайте следующие изменения:
Измените дефолтный логотип на логотип компании
Удалите навигационную строку в верхней части страницы
Удалите высоту и ширину из тега <img>
Добавьте нужный тект-приветствие
Добавьте гиперссылку на веб-сайт орагнизации
Найдите следующий блок в файле index.htlm:
<header class="page-head">
<nav class="navbar navbar-default" >
<div class="container-fluid">
<div class="navbar-header">
<a class="navbar-brand" href="#">
<img class="brand-logo" src="images/default-logo.png" height="30" width="150">
</a>
</div>
</div>
</nav>
</header>
И поменяйте на блок:
<header class="page-head">
<div align="center">
<a href="#">
<img class="brand-logo" src="images/company-logo.png">
</a>
<h1>Добро пожаловать в гостевую сеть компании Smart-Soft.</h1>
<h2>Вы можете свободно пользоваться нашей сетью в профессиональных целях.<h2>
<h3>Для получения дополнительной информации, пожалуйста, обратитесь на наш сайт: <a href="https://smart-soft.ru">smart-soft.ru</a></h3>
</div>
</header>
Новый логотип хранится в файле company-logo.png. Поместите этот файл в папку images в шаблоне.
Запакуйте шаблон в zip-архив (в нашем примере zip-архив называется smart_soft.zip).
Закачайте заархивированный шаблон на устройство Traffic Inspector Next Generation. Кликните на значок + на вкладе Шаблоны, введите имя для закачиваемого шаблона (например, smart_soft). По этому имени мы будем ссылаться на шаблон в интерфейсе Traffic Inspector Next Generation. Нажмите кнопку Загрузка.
Настройка Captive Portal
Основная единица администрирования Captive Portal - это зона. В настройках зоны, среди прочего, указываются нужные адаптеры, метод аутентификации и шаблон отображаемой странички.
Пройдите в раздел Службы -> Captive Portal -> Администрирование. Кликните на значок + для добавления новой зоны.
Используйте следующие настройки:
Включен |
Флаг установлен |
|
Интерфейсы |
GUESTNET |
Уберите значение по умолчанию и поставьте GUESTNET |
Аутентификация через |
voucher_server |
Выбираем ранее созданный сервер ваучеров |
Значение тайм-аута бездействия (в минутах) |
0 |
0 означает не использовать таймаут |
Значение тайм-аут сеанса (в минутах) |
0 |
0 означает не использовать таймаут |
Множественный вход пользователя в систему |
Флаг не установлен |
Пользователь сможет залогиниться только однажды |
Сертификат SSL |
отсутствует |
Использовать нешифрованые HTTP-соединения |
Имя хоста |
(пусто) |
|
Разрешенные адреса |
(пусто) |
|
Пользовательский шаблон |
smart_soft |
Выбираем ранее отредактированный шаблон |
Описание |
smart_soft_zone |
Произвольное название |
В результате произведенных настроек, Captive Portal готов к работе, и, демонстрируемая пользователям страница выглядит так:
Мониторинг подключений
Вы можете посмотреть срок действия и статус ваучеров пройдя в раздел Службы -> Captive Portal -> Ваучеры.
Для того, чтобы увидеть активные сессии гостевых пользователей, пройдите в Службы -> Captive Portal -> Сессии.
Captive Portal + аутентификация через СМС
В 2014 году правительство Российской Федерации приняло постановление №758, вносящее изменения в федеральный закон «Об информации, информационных технологиях и о защите информации». Согласно поправкам, оператор публичного сервиса доступа к сети Интернет обязан хранить данные пользователя (номер мобильного телефона, MAC-адрес устройства, а также время и объем пользования услугами) в течение полугода с момента предоставления услуги. Данные пользователя могут быть предоставлены в правоохранительные органы в ситуациях, предусмотренных законом.
Traffic Inspector Next Generation предлагает функционал SMS Portal для выполнения требований законодательства РФ в сфере предоставления публичного доступа к сети Интернет через Wi-Fi.
На устройстве Traffic Inspector Next Generation настраивается возможность работы через один из поддерживаемых публичных СМС-шлюзов:
SMSAero
IQSMS
sms.ru
SMS Центр
SMS Traffic
Примечание
Договор на пользование услугами означенных СМС-шлюзов заключается отдельно и не входит в стоимость ПАК Traffic Inspector Next Generation.
При подключении к Wi-Fi сети учреждения, в которой развернут Traffic Inspector Next Generation с настроенным функционалом SMS Portal, владелец смартфона автоматически попадает на страницу СМС-идентификации.
Пользователю предлагается ввести номер телефона и ответить на вопрос о согласии с политикой доступа в сеть.
Примечание
Выбирая один из двух предлагаемых вариантов ответа - Подтверждаю или Не подтверждаю - пользователь отвечает на вопрос «Подтверждаете ли Вы факт достижения Вами возраста совершеннолетия или нет». Неверно ответив на заданный вопрос, всю ответственность за предоставление недостоверных сведений пользователь полностью возлагает на себя, тем самым, снимая ответственность с лица, предоставившего пользователю доступ к информации, распространяемой посредством сети «Интернет» в местах, доступных для детей.
Примечание
Факт обращения к сети Интернет через функционал SMS Portal означает согласие пользователя на обработку его персональных данных.
После того, как пользователь сделает свой выбор, Traffic Inspector Next Generation генерирует проверочный код и отсылает его через СМС-шлюз. Пользователю приходит СМС-сообщение с проверочным кодом.
Пользователь вводит проверочный код и жмет на кнопку Войти. Если указан верный код, то для пользователя запускается сессия, и он получает доступ к сети Интернет.
Примечание
Сессия имеет настраиваемый срок жизни. В наиболее общем случае, сессия длится непрерывно и пользователя не будут просить проходить повторную идентификацию до истечения срока сессии. После истечения срока сессии, процедуру идентификации и получения кода нужно повторить.
Как правило, SMS Portal настраивается таким образом, что HTTP- и HTTPS-трафик СМС-пользователей «заворачивается» на веб-прокси, встроенный в Traffic Inspector Next Generation. Это позволяет просматривать сетевую активность СМС-пользователей в отчетах по веб-прокси.
В зависимости от ответа, который пользователь дает при прохождении СМС-идентификации, он попадает в одну из двух преднастроенных групп - группа до 18 лет или группа старше 18 лет. Если сделаны настройки для принудительного «заворачивания» трафика на веб-прокси, то появляется дополнительная возможность назначить на упомянутые группы правила доступа Squid и, тем самым, определять политики веб-доступа для СМС-пользователей.
Настройка SMS Portal сводится к следующим действиям:
Общие настройки
Установка плагина os-sms-portal
Настройка сервера доступа
Настройка Captive Portal
Настройка SMS-шлюза
Настройка веб-прокси
Общие настройки
Осуществите общие настройки устройства TING как описано в разделе Общие настройки .
Примечание
При настройке DHCP-сервера, важно указать DHCP-параметр DNS-серверы как IP-адрес LAN-адаптера устройства TING, в нашем примере это 192.168.2.1.
Установка плагина os-sms-portal
Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-sms-portal для его установки.
Плагин os-sms-portal реализует функционал SMS-идентификации.
После установки плагина os-sms-portal, в разделе Службы -> Captive Portal появляется подраздел SMS Portal.
Настройка сервера доступа
Пройдите в раздел Система -> Доступ -> Серверы и кликните на кнопку Добавить сервер в верхнем правом углу. Укажите следующие настройки:
Примечание
Важно прописать в поле User Groups две предопределенные группы sms_before_18 и sms_above_18.
Примечание
СМС-пользователи проходят процесс идентификации через СМС, и для них не нужна дополнительная аутентификация на веб-прокси. Флаг Proxy Authentication включает автоматическую регистрацию СМС-пользователя на веб-прокси. Это также приведёт к логированию запросов в логах веб-прокси. т.е. статистика по трафику СМС-пользователей будет доступна в отчетах по веб-прокси.
Настройка Captive Portal
Основная единица администрирования Captive Portal - это зона. В настройках зоны, среди прочего, указываются нужные адаптеры, метод аутентификации и шаблон отображаемой странички.
Пройдите в раздел Службы -> Captive Portal -> Администрирование. Кликните на значок + для добавления новой зоны. Используйте следующие настройки:
Включен |
Флаг установлен |
|
Интерфейсы |
GUESTNET |
Уберите значение по умолчанию и поставьте GUESTNET |
Аутентификация через |
SMS Auth Server |
Укажите ранее созданный сервер доступа |
Значение тайм-аута бездействия (в минутах) |
0 |
0 означает не использовать таймаут |
Значение тайм-аут сеанса (в минутах) |
0 |
0 означает не использовать таймаут |
Множественный вход пользователя в систему |
Флаг не установлен |
Пользователь сможет залогиниться только однажды |
Сертификат SSL |
отсутствует |
Использовать нешифрованые HTTP-соединения |
Имя хоста |
(пусто) |
|
Разрешенные адреса |
(пусто) |
|
Прозрачный прокси (HTTP) |
Флаг установлен |
|
Прозрачный прокси (HTTPS) |
Флаг установлен |
|
Пользовательский шаблон |
SMS Portal RF |
Шаблон SMS Portal поставляется вместе с плагином |
Описание |
SMS Portal Zone |
Произвольное название |
Нажмите Сохранить изменения и Применить.
Примечание
Мы настраиваем SMS Portal в режиме максимально совместимом с требованиями законодательства Российской Федерации. По этой причине, мы выбираем специально предназначенный для этого шаблон SMS Portal RF.
Настройка СМС-шлюза
В нашем примере, мы настроим устройство TING для работы с СМС-шлюзом IQSMS. Мы заранее зарегистрировались в данном сервисе, получили идентификационные данные и пополнили баланс.
Пропишем наши идентификационные данные в разделе Службы -> Captive Portal -> SMS Portal -> Настройки.
Настройка веб-прокси
Для включения веб-прокси пройдите в раздел Службы -> Веб-прокси -> Администрирование, выпадающее меню Основные настройки прокси.
Установите флажок Включить прокси и нажмите Применить.
В выпадающем меню Перенаправляющий прокси выберете пункт меню Основные настройки перенаправления. В поле Интерфейсы прокси выберете интерфейс GUESTNET.
Устновите флаги:
Включить прозрачный HTTP-прокси
Включить проверку SSL
Протоколировать только информацию SNI
В поле Использовать центр сертификации выберите издательский сертификат TING CA.
Примечание
При включении прозрачного HTTP-прокси и проверки SSL достаточно просто установить флаги напротив этих настроек. Не нужно добавлять правила межсетвого экрана PF для перехвата трафика, кликая по ссылкам. Captive Portal сам создаст правила для перехвата, причем будет использовать для этого IPFW, а не PF.
Нажмите Применить.
В выпадающем меню Перенаправляющий прокси выберете пункт меню Настройки аутентификации.
В поле Метод аутентификации выберете ранее созданный сервер аутентификации SMS Auth Server.
Нажмите Применить.
Мониторинг СМС-пользователей
После осуществления вышеописанных настроек SMS Portal готов к работе.
Коды, отправленные на клиентские устройства, можно посмотреть в разделе Службы -> Captive Portal -> SMS Portal -> Коды:
Текущие активные сессии пользователей, прошедших СМС-идентификацию, можно посмотреть в разделе Службы -> Captive Portal -> SMS Portal -> Сессии:
Статистика по активности СМС-пользователей доступна в отчетах по веб-прокси: Службы -> Веб-прокси -> Отчеты по веб-прокси.
Имя СМС-пользователя в отчете строится по шаблону [номер_телефона]-[MAC-адрес].
Кликните на имя СМС-пользователя, чтобы посмотреть расширенную статистику.
Политики веб-доступа для СМС-пользователей
Группы, которые определены в рамках сервера доступа типа SMS-Портал ничем не отличаются от групп, которые существуют в рамках других способов аутентификации.
В частности, можно ограничивать СМС-пользователям обращения на веб-сайты с помощью URL-фильтрации (списки на группы или с помощью URL-категоризации с помощью плагина os-proxy-useracl).
Например, запретим СМС-пользователям в группе sms_before_18 обращаться на веб-ресура example.com.
Установите плагин os-proxy-useracl.
Пройдите в раздел Службы -> Веб-прокси -> ACL на пользователей и группы.
Создайте правило доступа с настройками аналогичными тем, что указаны на скриншоте: