Captive Portal

Traffic Inspector Next Generation реализует функционал Captive Portal.

Captive Portal - веб-портал, на который попадает пользователь после подключения к сети учреждения.

Страница, показываемая пользователю, может содержать информацию об учреждении, информацию о правилах использования Интернет-доступа в учреждении, рекламу учреждения, форму для идентификации пользователя. Визуальные характеристики страницы определяются шаблоном, который можно скачать и отредактировать по своему вкусу.

Captive Portal может быть настроен на тот или иной тип идентификации пользователей. В настоящее время поддерживается доступ по ваучерам (картам) и SMS-идентификация.

После прохождения идентификации, пользователь получает доступ в Интернет.

При этом, устройство TING настраивается таким образом, что гостевые пользователи будут находиться в отдельном LAN-сегменте, из которого ограничен доступ на само устройство TING и не разрешен доступ в другие LAN-сегменты, подключенные к устройству TING.

На устройстве TING также настраивается DHCP-сервер для обеспечения гостевых пользователей базовыми TCP/IP-настройками.

При настройке доступа по ваучерам, внутреняя сеть может быть построена как на базе проводной (Ethernet), так и беспроводной (Wi-Fi) технологии. Если делается выбор в пользу Wi-Fi сети, она может быть настроена в открытом или закрытом режиме.

При настройке SMS-идентификации, внутреняя сеть, как правило, построена на базе беспроводной (Wi-Fi) технологии, а пользователи обращаются в Интернет со своих мобильных устройств (например, смартфонов).

Captive Portal распознает клиентские устройства, прошедшие идентификацию, по их MAC-адресам. Это означает, что клиентские устройства и гостевой LAN-адаптер устройства TING должны находиться в одном широковещательном LAN-сегменте. Другими словами, между клиентскими устройствами и устройством TING не должны находиться маршрутизаторы.

Общие настройки

Примечание

Описываемые в данном разделе настройки являются базовыми. Их нужно осуществлять в независимости от того, собираетесь ли Вы настраивать Captive Portal с доступом по ваучерам или Captive Portal для SMS-идентификации.

Настройка гостевого интерфейса

Устройство TING подключается в гостевой сегмент посредством адаптера GUESTNET.

Для начала настройки, пройдите в раздел Интерфейсы -> Назначения портов и кликните на значок + для добавления в систему нового, еще неиспользуемого интерфейса. По умолчанию, данный интерфейс называется OPT1. Позже мы переименуем его. Нажмите Сохранить.

Новый интерфейс OPT1 отобразится как подраздел раздела Интерфейсы. Кликните по нему, чтобы перейти на страницу редактирования настроек интерфейса.

Установите флаг Включить интерфейс и настройте следующие параметры (поля, которые явно не указаны остаются по умолчанию):

Описание GUESTNET Имя интерфейса в веб-интерфейсе TING
Блокировать частные сети Не выбран  
Блокировать bogon сети Не выбран  
Тип конфигурации IPv4 Статический IPv4 Статичный IPv4 адрес
Тип конфигурации IPv6 Отсутствует  
IPv4-адрес 192.168.2.1/24 Используем IP-адрес из IP-сети, отведенной для гостевой сети, например адрес 192.168.2.1
Публичный IPv4-адрес шлюза Отсутствует  

Нажмите Сохранить для применения настроек.

Настройка DHCP-сервера

Пройдите в раздел Службы -> DHCP -> Сервер и кликните на вкладку GUESTNET.

Укажите следующие настройки DHCP-сервера для гостевой сети (поля, которые явно не указаны остаются по умолчанию):

Включен Флаг установлен Включить DHCP-сервер на интерфейсе GUESTNET
Подсеть 192.168.2.0  
Маска подсети 255.255.255.0  
Доступный диапазон 192.168.2.128 по 192.168.2.254 Выдавать IP-адреса из данного диапазона
DNS-серверы 192.168.2.1 DHCP параметр, сообщающий IP-адрес DNS-сервера(-ов)
Шлюз 192.168.2.1 DHCP параметр, сообщающий маршрут по умолчанию

Нажмите Сохранить для применения настроек.

Настройки межсетевого экрана

Пройдите в раздел Межсетевой экран -> Правила и создайте, по меньшей мере, четыре следующих правила:

Правило для разрешения доступа на Captive Portal

Данным правилом мы разрешаем гостевым пользователям доступ на Captive Portal.

Укажите следующие настройки (поля, которые явно не указаны остаются по умолчанию):

Действие Разрешение
Интерфейс GUESTNET
Протокол TCP
Источник GUESTNET net
Назначение GUESTNET address
Диапазон портов назначения 8000/10000
Категория Правила для гостевой сети
Описание Разрешение доступа на Captive Portal

Нажмите Сохранить.


Правило для запрета остального трафика, адресованного на устройство Traffic Inspector Next Generation

Данным правилом мы запрещаем любой остальной трафик на устройство Traffic Inspector Next Generation.

Укажите следующие настройки (поля, которые явно не указаны остаются по умолчанию):

Действие Блокирование
Интерфейс GUESTNET
Протокол Любой
Источник GUESTNET net
Назначение GUESTNET address
Категория Базовые правила для гостевой сети
Описание Запрет всего остального трафика, адресованного на устройство Traffic Inspector Next Generation

Нажмите Сохранить.


Правило для запрета доступа из гостевой сети к остальным сегментам внутренней сети

Данным правилом мы запрещаем доступ из гостевой сети в другие внутренние LAN-сегменты. В данном случае у нас один такой сегмент, к которому мы подключены через адаптер LAN.

Укажите следующие настройки (поля, которые явно не указаны остаются по умолчанию):

Действие Блокирование
Интерфейс GUESTNET
Протокол Любой
Источник GUESTNET net
Назначение LAN net
Категория Правила для гостевой сети
Описание Запрет доступа к локальным сетям

Нажмите Сохранить.


Правило для разрешения трафика от гостевой сети в Интернет

Данным правилом мы разрешаем трафик от пользователей гостевой сети, направленный в Интернет.

Укажите следующие настройки (поля, которые явно не указаны остаются по умолчанию):

Действие Разрешение
Интерфейс GUESTNET
Протокол Любой
Источник GUESTNET net
Назначение Любой
Категория Правила для гостевой сети
Описание Разрешение всего трафика от гостевой сети

Нажмите Сохранить.

Настройка Captive Portal для доступа по картам

Функционал Captive Portal с доступом по картам может быть востребованным в отелях или на предприятиях, где предоставляется гостевой доступ в Интернет.

Особенность данного типа идентификации заключается в использовании ваучеров / карт.

Примечание

Bаучер - так в TING называется запись с логином и паролем, которая может послужить основой для создания карточки, т.е. бумажного носителя с логином и паролем. Создание бумажных карточек полностью опционально.

Пользователь проходит регистрацию в учреждении и получает карту. В карту занесены логин и пароль из ваучера, ранее сгенерированного на устройстве TING.

При подключении к сети учреждения, пользователь попадает на страницу идентификации. Здесь пользователь вводит логин / пароль, указанный в карте.

Если указаны верные данные, то для пользователя запускается сессия, и он получает доступ к сети Интернет.

Сессия имеет настраиваемый срок жизни. В наиболее общем случае, сессия длится непрерывно и пользователя не будут просить проходить повторную идентификацию до истечения срока сессии. После истечения срока сессии, процедуру получения карты и ввода логина / пароля нужно повторить.

Ваучеры/карты имеют настраиваемый срок жизни. По его истечении пользователь должен получить новую карту, если желает продолжить пользоваться Интернетом.

Настройка Captive Portal с доступом по ваучерам сводится к следующим действиям:

  • Общие настройки
  • Настройка сервера доступа
  • Редактирование шаблона
  • Настройка Captive Portal

Общие настройки

Осуществите общие настройки устройства TING как описано в разделе Общие настройки.

Настройка сервера доступа

Пройдите в раздел Система -> Доступ -> Серверы и кликните на кнопку Добавить сервер в верхнем правом углу. Укажите следующие настройки:

_images/voucher_server.png

Вернитесь к ранее созданной зоне – раздел Службы -> Captive Portal -> Администрирование, редактирование зоны smart_soft_zone. В поле Аутентификация через выберите созданный сервер ваучеров.


Создание ваучеров

Пройдите в раздел Службы -> Captive Portal -> Ваучеры. Кликните на кнопку Создать ваучеры.

Создадим для наших гостей ваучеры со следующими настройками: срок действия – 1 день, количество – 25 ваучеров, и имя серии ваучеров guest_vouchers.

_images/generating_vouchers.png

Будет сгенерирован файл guest_vouchers.csv с содержимым, наподобие этого:

username        password        vouchergroup    validity
DK.DM7R(        [email protected])p81      Wi-Fi pass      86400
kvV+V=2q        T-8KIR=h2)      Wi-Fi pass      86400
9*m/*)PK        9INp3[TyeK      Wi-Fi pass      86400
4N?THK$:        [email protected]*n      Wi-Fi pass      86400
p)=Kmh7M        a4:W!(;)pI      Wi-Fi pass      86400
G)IAbw=y        4-21m]pAyp      Wi-Fi pass      86400
#NAME?          y0-+2qmUa\      Wi-Fi pass      86400
AuydiRS#        RpK[3KHv?Z      Wi-Fi pass      86400
Th\[email protected]        [email protected]/9T\@mA      Wi-Fi pass      86400
_+K0ya[2        Jp21RCK7$*      Wi-Fi pass      86400
\::NRmn!        :gRNGiNvhx      Wi-Fi pass      86400
:RJp2DWy        X2MH=iTeHU      Wi-Fi pass      86400
_MBVFXr3        TwTb.Jp58$      Wi-Fi pass      86400
bL9RrrFX        ?]omD7IU+?      Wi-Fi pass      86400
h1yAN0S5        dHPkSo)MRz      Wi-Fi pass      86400
*xJrHu$I        $oTppt)97=      Wi-Fi pass      86400
UA09*vDr        ;)0N1iapbD      Wi-Fi pass      86400
U7?)eZ4P        R#S_rZ[ChE      Wi-Fi pass      86400
4S)[email protected]        80X:q(HVXm      Wi-Fi pass      86400
aKkq3!7T        x:m]k8_42F      Wi-Fi pass      86400
T/e%eu2H        KXTW8g;J:N      Wi-Fi pass      86400
\XzaG-KH        94a4Xon0m*      Wi-Fi pass      86400
t;2/wvIa        (#2[vFW,Ii      Wi-Fi pass      86400
_NAT9xgn        ]2AS+5;gCM      Wi-Fi pass      86400
V,:$gq;B        2Mo4?d][email protected]      Wi-Fi pass      86400

После генерации, файл с логинами и паролями автоматически скачивается на компьютер администратора. Из соображений безопасности файл не хранится на устройстве Traffic Inspector Next Generation.

Далее, Вы можете создать бумажные карточки на основе сгенерированной серии ваучеров.

Редактирование шаблона

Пройдите в раздел Службы -> Captive Portal, вкладка Шаблоны, и кликните на значок загрузки для того, чтобы скачать стандартный шаблон template_default.

Распакуйте скачанный zip-архив на своей машине. Большинство файлов шаблона можно модифицировать.

В файл exclude.list можно указывать имена файлов шаблона, изменения в которых должны игнорироваться при обратной загрузке шаблона. В настоящее время, к таким файлам относятся Java-скрипты и некоторые шрифты.

Откройте файл index.htlm в текстовом редакторе и сделайте следующие изменения:

  • Измените дефолтный логотип на логотип компании
  • Удалите навигационную строку в верхней части страницы
  • Удалите высоту и ширину из тега <img>
  • Добавьте нужный тект-приветствие
  • Добавьте гиперссылку на веб-сайт орагнизации

Найдите следующий блок в файле index.htlm:

<header class="page-head">
<nav class="navbar navbar-default" >
        <div class="container-fluid">
                <div class="navbar-header">
                        <a class="navbar-brand" href="#">
                                <img class="brand-logo" src="images/default-logo.png" height="30" width="150">
                        </a>
                </div>
        </div>
</nav>
</header>

И поменяйте на блок:

<header class="page-head">
        <div align="center">
          <a href="#">
                  <img class="brand-logo" src="images/company-logo.png">
          </a>
          <h1>Добро пожаловать в гостевую сеть компании Smart-Soft.</h1>
          <h2>Вы можете свободно пользоваться нашей сетью в профессиональных целях.<h2>
          <h3>Для получения дополнительной информации, пожалуйста, обратитесь на наш сайт: <a href="https://smart-soft.ru">smart-soft.ru</a></h3>
        </div>
</header>

Новый логотип хранится в файле company-logo.png. Поместите этот файл в папку images в шаблоне.

Запакуйте шаблон в zip-архив (в нашем примере zip-архив называется smart_soft.zip).

Закачайте заархивированный шаблон на устройство Traffic Inspector Next Generation. Кликните на значок + на вкладе Шаблоны, введите имя для закачиваемого шаблона (например, smart_soft). По этому имени мы будем ссылаться на шаблон в интерфейсе Traffic Inspector Next Generation. Нажмите кнопку Загрузка.

Настройка Captive Portal

Основная единица администрирования Captive Portal - это зона. В настройках зоны, среди прочего, указываются нужные адаптеры, метод аутентификации и шаблон отображаемой странички.

Пройдите в раздел Службы -> Captive Portal -> Администрирование. Кликните на значок + для добавления новой зоны.

Используйте следующие настройки:

     
Включен Флаг установлен  
Интерфейсы GUESTNET Уберите значение по умолчанию и поставьте GUESTNET
Аутентификация через voucher_server Выбираем ранее созданный сервер ваучеров
Значение тайм-аута бездействия (в минутах) 0 0 означает не использовать таймаут
Значение тайм-аут сеанса (в минутах) 0 0 означает не использовать таймаут
Множественный вход пользователя в систему Флаг не установлен Пользователь сможет залогиниться только однажды
Сертификат SSL отсутствует Использовать нешифрованые HTTP-соединения
Имя хоста (пусто)  
Разрешенные адреса (пусто)  
Пользовательский шаблон smart_soft Выбираем ранее отредактированный шаблон
Описание smart_soft_zone Произвольное название

В результате произведенных настроек, Captive Portal готов к работе, и, демонстрируемая пользователям страница выглядит так:

_images/captive_portal_page.png

Мониторинг подключений

Вы можете посмотреть срок действия и статус ваучеров пройдя в раздел Службы -> Captive Portal -> Ваучеры.

Для того, чтобы увидеть активные сессии гостевых пользователей, пройдите в Службы -> Captive Portal -> Сессии.

SMS Portal (Настройка Captive Portal для СМС-идентификации)

В 2014 году правительство Российской Федерации приняло постановление №758, вносящее изменения в федеральный закон «Об информации, информационных технологиях и о защите информации». Согласно поправкам, оператор публичного сервиса доступа к сети Интернет обязан хранить данные пользователя (номер мобильного телефона, MAC-адрес устройства, а также время и объем пользования услугами) в течение полугода с момента предоставления услуги. Данные пользователя могут быть предоставлены в правоохранительные органы в ситуациях, предусмотренных законом.

Traffic Inspector Next Generation предлагает функционал SMS Portal для выполнения требований законодательства РФ в сфере предоставления публичного доступа к сети Интернет через Wi-Fi.

На устройстве Traffic Inspector Next Generation настраивается возможность работы через один из поддерживаемых публичных СМС-шлюзов:

  • SMSAero
  • IQSMS
  • sms.ru
  • SMS Центр
  • SMS Traffic

Примечание

Договор на пользование услугами означенных СМС-шлюзов заключается отдельно и не входит в стоимость ПАК Traffic Inspector Next Generation.

При подключении к Wi-Fi сети учреждения, в которой развернут Traffic Inspector Next Generation с настроенным функционалом SMS Portal, владелец смартфона автоматически попадает на страницу СМС-идентификации.

Пользователю предлагается ввести номер телефона и ответить на вопрос о согласии с политикой доступа в сеть.

Примечание

Выбирая один из двух предлагаемых вариантов ответа - Подтверждаю или Не подтверждаю - пользователь отвечает на вопрос «Подтверждаете ли Вы факт достижения Вами возраста совершеннолетия или нет». Неверно ответив на заданный вопрос, всю ответственность за предоставление недостоверных сведений пользователь полностью возлагает на себя, тем самым, снимая ответственность с лица, предоставившего пользователю доступ к информации, распространяемой посредством сети «Интернет» в местах, доступных для детей.

Примечание

Факт обращения к сети Интернет через функционал SMS Portal означает согласие пользователя на обработку его персональных данных.

После того, как пользователь сделает свой выбор, Traffic Inspector Next Generation генерирует проверочный код и отсылает его через СМС-шлюз. Пользователю приходит СМС-сообщение с проверочным кодом.

Пользователь вводит проверочный код и жмет на кнопку Войти. Если указан верный код, то для пользователя запускается сессия, и он получает доступ к сети Интернет.

Примечание

Сессия имеет настраиваемый срок жизни. В наиболее общем случае, сессия длится непрерывно и пользователя не будут просить проходить повторную идентификацию до истечения срока сессии. После истечения срока сессии, процедуру идентификации и получения кода нужно повторить.

Как правило, SMS Portal настраивается таким образом, что HTTP- и HTTPS-трафик СМС-пользователей «заворачивается» на веб-прокси, встроенный в Traffic Inspector Next Generation. Это позволяет просматривать сетевую активность СМС-пользователей в отчетах по веб-прокси.

В зависимости от ответа, который пользователь дает при прохождении СМС-идентификации, он попадает в одну из двух преднастроенных групп - группа до 18 лет или группа старше 18 лет. Если сделаны настройки для принудительного «заворачивания» трафика на веб-прокси, то появляется дополнительная возможность назначить на упомянутые группы правила доступа Squid и, тем самым, определять политики веб-доступа для СМС-пользователей.

Настройка SMS Portal сводится к следующим действиям:

  • Общие настройки
  • Установка плагина os-sms-portal
  • Настройка сервера доступа
  • Настройка Captive Portal
  • Настройка SMS-шлюза
  • Настройка веб-прокси

Общие настройки

Осуществите общие настройки устройства TING как описано в разделе Общие настройки.

Примечание

При настройке DHCP-сервера, важно указать DHCP-параметр DNS-серверы как IP-адрес LAN-адаптера устройства TING, в нашем примере это 192.168.2.1.

Установка плагина os-sms-portal

Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-sms-portal для его установки.

Плагин os-sms-portal реализует функционал SMS-идентификации.

После установки плагина os-sms-portal, в разделе Службы -> Captive Portal появляется подраздел SMS Portal.

Настройка сервера доступа

Пройдите в раздел Система -> Доступ -> Серверы и кликните на кнопку Добавить сервер в верхнем правом углу. Укажите следующие настройки:

_images/sms_auth_server.png

Примечание

Важно прописать в поле User Groups две предопределенные группы sms_before_18 и sms_above_18.

Примечание

СМС-пользователи проходят процесс идентификации через СМС, и для них не нужна дополнительная аутентификация на веб-прокси. Флаг Proxy Authentication включает автоматическую регистрацию СМС-пользователя на веб-прокси. Это также приведёт к логированию запросов в логах веб-прокси. т.е. статистика по трафику СМС-пользователей будет доступна в отчетах по веб-прокси (плагин os-squid-log).

Настройка Captive Portal

Основная единица администрирования Captive Portal - это зона. В настройках зоны, среди прочего, указываются нужные адаптеры, метод аутентификации и шаблон отображаемой странички.

Пройдите в раздел Службы -> Captive Portal -> Администрирование. Кликните на значок + для добавления новой зоны. Используйте следующие настройки:

Включен Флаг установлен  
Интерфейсы GUESTNET Уберите значение по умолчанию и поставьте GUESTNET
Аутентификация через SMS Auth Server Укажите ранее созданный сервер доступа
Значение тайм-аута бездействия (в минутах) 0 0 означает не использовать таймаут
Значение тайм-аут сеанса (в минутах) 0 0 означает не использовать таймаут
Множественный вход пользователя в систему Флаг не установлен Пользователь сможет залогиниться только однажды
Сертификат SSL отсутствует Использовать нешифрованые HTTP-соединения
Имя хоста (пусто)  
Разрешенные адреса (пусто)  
Прозрачный прокси (HTTP) Флаг установлен  
Прозрачный прокси (HTTPS) Флаг установлен  
Пользовательский шаблон SMS Portal RF Шаблон SMS Portal поставляется вместе с плагином
Описание SMS Portal Zone Произвольное название

Нажмите Сохранить изменения и Применить.

Примечание

Мы настраиваем SMS Portal в режиме максимально совместимом с требованиями законодательства Российской Федерации. По этой причине, мы выбираем специально предназначенный для этого шаблон SMS Portal RF.

Настройка СМС-шлюза

В нашем примере, мы настроим устройство TING для работы с СМС-шлюзом IQSMS. Мы заранее зарегистрировались в данном сервисе, получили идентификационные данные и пополнили баланс.

Пропишем наши идентификационные данные в разделе Службы -> Captive Portal -> SMS Portal -> Настройки.

_images/sms_gate_settings.png

Настройка веб-прокси

Для включения веб-прокси пройдите в раздел Службы -> Веб-прокси -> Администрирование, выпадающее меню Основные настройки прокси.

Установите флажок Включить прокси и нажмите Применить.

В выпадающем меню Перенаправляющий прокси выберете пункт меню Основные настройки перенаправления. В поле Интерфейсы прокси выберете интерфейс GUESTNET.

Устновите флаги:

  • Включить прозрачный HTTP-прокси
  • Включить проверку SSL
  • Протоколировать только информацию SNI

В поле Использовать центр сертификации выберите издательский сертификат TING CA.

Примечание

При включении прозрачного HTTP-прокси и проверки SSL достаточно просто установить флаги напротив этих настроек. Не нужно добавлять правила межсетвого экрана PF для перехвата трафика, кликая по ссылкам. Captive Portal сам создаст правила для перехвата, причем будет использовать для этого IPFW, а не PF.

Нажмите Применить.

В выпадающем меню Перенаправляющий прокси выберете пункт меню Настройки аутентификации.

В поле Метод аутентификации выберете ранее созданный сервер аутентификации SMS Auth Server.

Нажмите Применить.

Мониторинг СМС-пользователей

После осуществления вышеописанных настроек SMS Portal готов к работе.

Коды, отправленные на клиентские устройства, можно посмотреть в разделе Службы -> Captive Portal -> SMS Portal -> Коды:

_images/sent_codes.png

Текущие активные сессии пользователей, прошедших СМС-идентификацию, можно посмотреть в разделе Службы -> Captive Portal -> SMS Portal -> Сессии:

_images/current_sessions.png

Статистика по активности СМС-пользователей доступна в отчетах по веб-прокси: Службы -> Веб-прокси -> Отчеты по веб-прокси.

Имя СМС-пользователя в отчете строится по шаблону [номер_телефона]-[MAC-адрес].

_images/sms_ident_reports.png

Кликните на имя СМС-пользователя, чтобы посмотреть расширенную статистику.


Политики веб-доступа для СМС-пользователей

Группы, которые определены в рамках сервера доступа типа ** SMS-Портал** ничем не отличаются от групп, которые существуют в рамках других способов аутентификации.

В частности, можно ограничивать СМС-пользователям обращения на веб-сайты с помощью URL-фильтрации (списки на группы с помощью плагина os-proxy-useracl) или URL-категоризацию (списки на группы с помощью плагина os-netpolice).

Например, запретим СМС-пользователям в группе sms_before_18 обращаться на веб-ресура example.com.

Установите плагин os-proxy-useracl. Пройдите в раздел Службы -> Веб-прокси -> ACL на пользователей и группы. Создайте правило доступа с настройками аналогичными тем, что указаны на скриншоте:

_images/sms_ident_acl.png