Поводом для написания этой статьи стало два фактора.
Первое: необходимость соблюдения для публичных (гостевых) Wi-Fi сетей постановления Правительства РФ №758 от 31 июля 2014 года и №801 от 12 августа 2014 года (размеры штрафов за несоблюдение постановлений).
Второе: комплекс эмоций, которые испытаны, в процессе реализации всего этого. С этими постановлениями всё понятно, нужно соблюдать, но была другая неприятная проблема, вылезшая в процессе эксплуатации сервисов авторизации.
Если нет времени или желания читать как и почему выбирался сервис, тогда переходим к настройкам тут.
Кто я? Меня зовут Александр. 16 лет профессионально занимаюсь СКС и сетевым оборудованием. Больше времени провожу с СКС (монтаж), чем с настройкой сетевого оборудования, поэтому на настройки времени особо нет, но получил много опыта работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в телеграме - @NSanchez13, так что, если будут вопросы, комментарии, мнения – милости прошу.
Начну с того, что 3 года работали с разными сервисами (4 шт.), ни один не устраивал. Проблемы такие:
CNA (минибраузер) не выскакивает у устройств Apple или с ошибками работал;
Apple с устаревшими прошивками отключаются от Wi-Fi при блокировке экрана и подключаются к Wi-Fi при разблокировке экрана;
дизайн страницы авторизации не продуман, часть кнопок не помещалась на маленьком экране;
мало сервисов с безлимитными SMS. Актуально для Xiaomi, у которых CNA исчезает после звонка.
Самое страшное, что на созданные мною тикеты в техподдержке никто ничего не хотел исправлять, одни обещания или игнор.
Про Xiaomi и Apple
ПРИМЕЧАНИЕ: Xiaomi закрывают CNA при переключении на другое приложение, например, приложение набора номера. Поэтому после набора номера не получается обратно вернуться в CNA. Он исчезает и в диспетчере задач его нет!
Apple в сетях с Captive Portal корректно работают только с последними версиями iOS!
Проблемы известные, проявляются абсолютно одинаково на всех сервисах авторизаций и на оборудовании разных вендоров. Поэтому гостям на Xiaomi настоятельно рекомендуется проходить авторизацию по смс или ваучерам, а Apple обновлять до последних версий.
Про Apple сделана отдельная публикация.
Встречают по одёжке, провожают по уму
Сервис авторизации - самый заметный момент в гостевом Wi-Fi, фактически лицо всего Wi-Fi или заведения, куда гость пришёл. С него начинается первый выход в интернет, если что-то не так пойдёт, в зависимости от ситуации и настроения гостя, претензии польются на царя/админа/заведение или вендора. Вендор то при чём? Captive Portal отработал, ожидает действий гостя, а он по вине оператора сервиса никак не может попасть на CNA или не те кнопки нажал. До начала конференции остаётся пара минут, гости нервничают, плохо разбираясь в ИТ, сразу винят установленное оборудование и то, на чём крутится сервис, но только не свой телефон и себя. Дома же всё отлично работает на запароленном Wi-Fi.
Гостей можно понять, они с гаджетами на ВЫ, их любые мелочи пугают, нервничают и не могут пройти авторизацию.
Примером была одна и та же картина у устройств Apple. После подключения к Wi-Fi не выскочил CNA, далее гость идёт в браузер, нажимает на любую страницу в «Избранное», получает предупреждение и не редиректит на страницу авторизации.
Следовательно, гости с Apple постоянно были в такой ситуации и VIP-персоны тоже, а жёстко критиковать они умеют...
Поэтому было критично, чтобы CNA корректно на всех устройствах выскакивал, там предупреждений нет.
Админ тоже виноват, плохой сервис выбрал. Надо исправлять ситуацию
К счастью, руководство выручило. В поисках интернет-провайдера в поисковике случайно нашло сервис авторизации у интернет-провайдера КубТел. Судя по их карте, провайдер не крупный, присутствует только в больших городах Краснодарского края. Помимо интернета, много других услуг предоставляют, но нас интересовал только интернет и сервис авторизации.
После переговоров они согласились настроить свой сервис для нашего шлюза Zyxel UAG5100 с последующим тестированием. К нашему удивлению, они блестяще справились с задачей без нытья. CNA наконец-то выскакивал на всех Apple, процесс прохождения авторизации в CNA отрабатывался отлично на всех устройствах (кроме Xiaomi по звонку). Дизайн страницы авторизации грамотно составлен и кнопки не уезжали на маленьких телефонах диагональю до 4 дюймов с увеличённым масштабом для слабовидящих. Личный кабинет оформлен приятно, информативно и красиво.
Гости очень довольны, претензии по авторизации прекратились (кроме Xiaomi), но таких гостей просим на смс перейти.
Вы энтузиаст и любите самостоятельно настраивать?
Давайте рассмотрим на шлюзе Zyxel VPN300 самостоятельную настройку сервиса авторизации оператора КубТел по смс, звонку и паспорту (ваучеру) для иностранцев.
Обратимся к КубТел за получением (или покупкой) сервиса. В принципе, они могут сами всё настроить, но нам тоже можно.
Получим:
два IP-адреса №1 и №2 (для пункта 1 и 4);
ключ (для пункта 1);
идентификатор NAS (для пункта 1);
URL авторизации (для пункта 6).
Пример настройки сервиса производился на Zyxel VPN300 с версией прошивки V5.02(ABFC.0). Рекомендуется, чтобы шлюз был готов к подключению к интернету.
КОНФИГУРАЦИЯ -> Объект -> Сервер аутентификации -> вкладка «RADIUS».
Добавляете профиль и заполняете все поля (рис.1):
КОНФИГУРАЦИЯ -> Объект -> Метод аутентификации -> вкладка «Метод аутентификации».
Добавляете метод аутентификации (рис.2). Заполняете имя и удаляете дефолтный профиль «local / ZyWALL» ИЛИ если пользуетесь функционалом «Биллинг» (КОНФИГУРАЦИЯ -> Хотспот -> Биллинг), профиль «local / ZyWALL» НЕ удаляем. Сразу переходим к следующему скриншоту (рис.3).
Добавляете (рис.3) и выбираете профиль (созданный в п.1, рис.1)«KubTel_radius / RADIUS».
ПРИМЕЧАНИЕ: Если точно и действительно пользуетесь биллингом (встроенный сервис авторизации) и планируете добавить внешний сервис авторизации, тогда в методе аутентификации «Kubtel_metod» добавляете два профиля: «local / ZyWALL» и «KubTel_radius». Это даст возможность авторизовать различные группы гостей сервисом КубТел и встроенным биллингом.
КОНФИГУРАЦИЯ -> Система -> WWW. Вкладка «Доступ».
В методе аутентификации (рис.4) выбираете профиль (созданный в п.2, рис.2-3) «KubTel_metod».
КОНФИГУРАЦИЯ -> Объект -> Адреса/Гео-IP. Вкладка «IP-адрес».
Добавляете, заполняете имя профиля и вносите IP-адрес №1 (рис.5).
Ещё раз добавляете, заполняете второе имя и вносите IP-адрес №2 (рис.6).
КОНФИГУРАЦИЯ -> Объект -> Адреса/Гео-IP. Вкладка «Группа адресов».
Объединяете ранее созданные профили с IP-адресами (созданные в п.4) в одну группу «KubTel_avtor» (рис.7).
КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Аутентификация».
Добавляете новый тип аутентификации, заполняете имя профиля и полученный URL авторизации вносите в поле «URL авторизации» (рис.8).
В URL приветствия вводите желаемую страницу приветствия вашего заведения.
КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация».
Добавляете новую политику, заполняете имя профиля и выставляете указанные стрелкой параметры, если гостевая сеть подключена к входящему интерфейсу ge4 (рис.9). Этой политикой шлюз требует авторизацию у всех, кто подключён к ge4, по профилю KubTel (созданный в п.6, рис.8).
КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация».
Добавляете повторно новую политику, заполняете имя профиля и выставляете указанные стрелкой параметры, если гостевая сеть подключена к входящему интерфейсу ge4 (рис.10). Этой политикой шлюз НЕ требует авторизацию для гостей, подключающихся к серверам авторизации. IP серверов авторизации ранее вносили в группу адресов в п.5, рис.7.
КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация».
Проверяете наличие галочки в глобальной настройке и расположение профилей (рис.11).
Насчёт галочки «Включить страницу сеанса», по ней гость может узнать оставшееся время работы в интернете, продлить время аренды или самостоятельно завершить авторизацию (рис.14).
КОНФИГУРАЦИЯ -> Хотспот -> Ресурсы без аутентификации. Вкладка «База URL».
Добавляете ссылку (http://kubtel.ru/about/personsdata) (рис.12), доступную гостям без аутентификации. По этой ссылке находится соглашение на обработку персональных данных, которая будет на странице авторизации в виде ссылки в самом низу.
КОНФИГУРАЦИЯ -> Объект -> Пользователи/группы. Вкладка «Пользователь».
Устанавливаете желаемое время аренды и период повторной аутентификации (рис.13).
ПРИМЕЧАНИЕ: На момент написания статьи время аренды автоматически не продлевается при активном сёрфинге гостя из группы External RADIUS Users. Возможно только ручное продление аренды (гостю необходимо зайти на http://6.6.6.6, переключить браузер смартфона в режим "Версия для компьютера" и нажать “Renew” (рис.14)).
ПРИМЕЧАНИЕ: Создал 2 заявки в техподдержку, ответили:
Первую заявку приняли, зафиксировали отсутствие кнопки в мобильной версии. Кнопку RENEW для мобильной версии добавят в 2022 году.
Вторую заявку приняли, проблема зафиксирована, разбираются с устранением проблемы, просят подождать.
Работаю 10 лет с продукцией Zyxel и заявки такого типа успешно выполняли. Молодцы. Ценю.
Если всё правильно настроили, на гостевом устройстве выскочит страница авторизации КубТела, на которой будет предложено пройти авторизацию (рис.15 и 16).
Тут и тут альтернативный сервис авторизации. Личный кабинет не проверял, процесс авторизации у Zyxel UAG5100 на всех устройствах хорошо работал, но в логах шлюза пишет об ошибках паролей. Нужно обратиться к их разработчику и оставить тикет на устранение ошибок в логах шлюза.
Не стал повторно создавать заявку, тк их сервис не закупали, не хотелось бесплатно лишний раз дёргать разработчика .
И дизайн страницы авторизации не всем гостям нравится, но в целом, тоже хороший сервис.
Контентную фильтрацию включить не забудьте!
Федеральный закон от 29.12.2010 г. № 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию".
Вот и всё. Если у вас возникают вопросы – пишите в комментариях, а также общайтесь со мной и другими практикующими специалистами Zyxel в телеграм-канале https://t.me/zyxelru.
Другие ссылки:
Русскоязычная документация на контроллеры точек доступа Zyxel с функцией межсетевого экрана http://download.from.Zyxel.ru/e2a9ef2c-8a04-4531-99ac-723ae068c44e/NXC2500_NXC5500_V4.10_UG-Rus.pdf
Новостной канал в Telegram - https://t.me/zyxel_news
Телеграм-чат поддержки для специалистов - https://t.me/zyxelru
Форум для специалистов - https://community.zyxel.com/ru/categories
Свежие новости в FaceBook - https://www.facebook.com/Zyxel.Russia/
Полезные и интересные статьи в блоге Zyxel на Хабре - https://habr.com/company/zyxel/
Наш YouTube - https://www.youtube.com/channel/UCcNN2UCEz1e49PEaAisN5ow
Реализованные проекты - https://www.zyxel.com/ru/ru/solutions/success_stories_list.shtml
Виртуальная лаборатория - https://support.zyxel.eu/hc/ru/sections/360001858040
Удалённый стенд - https://support.zyxel.eu/hc/ru/articles/360014708840
Мастер выбора оборудования - select.zyxel.ru
Центр обучения Zyxel - https://academy.zyxel.eu/zcne-ru
Постановление Правительства РФ №758 от 31 июля 2014 года - http://publication.pravo.gov.ru/Document/View/0001201408050024
Постановление Правительства РФ №801 от 12 августа 2014 года - http://publication.pravo.gov.ru/Document/View/0001201408190035
№ 436-ФЗ - https://digital.gov.ru/ru/documents/3795
Размеры штрафов - https://digital.gov.ru/ru/events/33687
Примеры штрафов - https://mediapravo.com/ilaw/wi-fi-prokuratura.html
Памятка для ЮЛ и ИП - https://77.rkn.gov.ru/directions/p30822