Три минуты на настройку WiFi-авторизации по СМС



    Есть у меня хороший знакомый, владелец весьма уютного и популярного кафе в Суздале, которое недавно пережило реновацию и расширение. Денег в интерьеры вложено было много, дело наконец дошло и до Wi-Fi. На фоне вентилирования этого дела, мой знакомый пошел все разузнавать у всех по кругу и схлестнулся в дискуссии со своим родственником (юристом по профессии), на тему волен ли он делать, что захочет в своем «кафе с претензией на ресторан», если это не вредит гостям – конкретно, речь пошла о едином Wi-Fi доступе гостям во всех залах и на веранде ресторана к будущему лету.

    На примере недавно обвайфаенного офиса в московской компании, я собирался ему рекомендовать Edimax PRO, так как по сей день проблем с этим оборудованием не возникло, а ценник приемлемый. После дискуссии с родственником юристом, мой знакомый вернулся ко мне с репликой, что мол будет без вариантов заказывать более широкий канал вместе с оборудованием у местного телекома, который и прикроет его от всех потенциальных претензий надзирающих органов «если что». Ему родственник якобы подробно объяснил, что теперь обязана быть какая-то хитрая авторизация и учет подключившихся гостей, что может дать только телеком с его собственным оборудованием.

    В результате я сказал, своему мегаресторатору «обожди, ничего не делай пару дней» и занялся изучением этого вопроса с двух сторон: с точки зрения чтения законодательной базы и того, что мы можем «сварить» из имеющегося Эдимакса, не подключая дорогие «магнетические сферы» в лице местного ОПСа.

    Делюсь результатами моей работы, которая вылилась в простом, на мой взгляд, способе авторизации WiFi пользователей по СМС.

    Максимум на что я был внутренне готов – это скулибинствовать что-то вокруг GSM-шлюза на raspberry и скрипте, но по факту «все придумали до нас».

    По итогам изучения законо-талмудов, выяснилось, что действительно, публичный доступ в WiFi сеть теперь регламентирован и уже достаточно давно, с июля 2014 года, когда вышло постановление правительства №758, суть которого сводится к тому, что анонимным пользователям заходить в открытую WiFi сеть теперь нельзя. Всех пользователей нужно авторизовывать, да еще полгода хранить данные о них самих, времени и объеме оказания услуг. Для владельцев кафе, ресторанов, таких как мой знакомый, а также и мелких магазинов, отелей, клиник, турагентств и прочего бизнеса из сферы обслуживания, что хотят завлечь клиентов бесплатным вай-фаем – это получается, говоря простым языком, геморрой, непрофильная затрата денег и времени на сопутствующую отнюдь не главную тему, причем с привязкой к конкретному оператору связи надолго. Любое перепрыгивание на другой телеком будет рождать целую цепочку проблем, которую надо будет заново решать.

    Но закон есть закон и строго говоря, даже то, что у моего cуздальца раньше в старом здании кафе стоял простой роутер на окне в зале – это получается уже было нарушение. И если идти в лоб, то выбор тут простой: либо идти на поклон крупным операторам связи (не каждый местный кстати оказывает такую услугу), отдавая им часть прибыли за предоставление телематических услуг, либо выдергивать кабель из порта RJ45 точки доступа своего любимого заведения.

    Но есть и третий способ, которым и хочу поделиться.

    Десятки раз видел в EDIMAX’е, эту настройку на их контроллере и никогда не думал о том, что она мне пригодится. Пригодилась! Собственно, проблема знакомого решилась всего за 3 минуты эксперимента, что и описываю далее.

    Подробнее о способе. О хорош тем, что:

    А) закон не нарушаем и авторизуем пользователей строго по закону, то есть по СМС, со всеми необходимыми данными идентификации личности.
    Б) деньги операторам не платим, пусть довольствуются тем, что мы у них покупаем канал.

    Единственный минус – нужно купить девайс, а именно контроллер Edimax PRO APC500 и потратить время на его настройку. Но деньги платятся один раз, возможностей получаем кучу. В опытных руках настройка занимает действительно три минуты и даже меньше – ровно столько и длится ролик:



    Собственно, этой настройке и посвящена короткая статья. Теперь по порядку:

    1. Включаем контроллер Edimax APC500 в сеть. Наличие точек или готовых развернутых сетей Wi-Fi не обязательно. Замечу, что у контроллера есть 8 Гб для хранения данных подключения. Captive portal можно включать и выключать в любой момент. Или переключаться между пресетами.



    2. Если в сети присутствует DHCP сервер – нужно найти какой IP получил контроллер. Если DHCP сервера нет – IP по умолчанию 192.168.2.1 и видим страницу настроек NMS (здесь и далее скриншоты с приведенного выше видео):



    3. Выбираем:

    >NMS Settings>System Accounts



    В контроллере АРС500 сервис отправки СМС уже встроен и работает на базе двух предустановленных операторов связи. Они используют заведомо лучшее ПО и аппаратную часть, нежели оборудование, которое может использовать отдельная частная компания, например, GSM-шлюз. (Понятно, что кафе или кофейня даже и думать не могут о таком шлюзе, да он им и не нужен). Сервис же оператора, крайне дешев и, насколько я знаю, может осуществлять рассылки до миллиона СМС и не требует наличия повышенного внимания и для поддержки.

    В России, такой сервис предоставляет провайдер Stream Telecom (Стрим Телеком). Допускаю, что много кто еще, но прямо в контроллере Эдимакса он уже прошит заранее как родной. Поэтому для начала необходимо выполнить подготовительную работу – зарегистрироваться на сайте оператора и завести свой аккаунт. Вы получите логин и пароль, которые нужно будет ввести в меню контроллера.



    На этом настройки авторизации по СМС завершена.

    4. Теперь нужно установить, кто из Wi-Fi пользователей будет авторизовываться посредством СМС. Для этого необходимо создать две группы пользователей: Frontdesk и Guest group. Далее мы должны установить, что пользователи будут динамические и по необходимости выбрать веб-сайт для переадресации.



    Для настроек администратора, уведомления СМС не требуется, но нужно включить метод проверки подлинности – SMS. Выберите код страны +7 и выберите метку Use Cell Phone numbers as Username.

    5. Последняя операция настройка Captive portal, где можно настроить сообщение, которое получит пользователь (приветствие, название заведение, рекламные объявления и проч.)



    6. Так же можно настроить саму страницу Captive Portal, куда вывести свои лого, шаблоны графики, полностью или частично изменить лицензионное соглашение. Как видно, ничего заумного в настройке нет, ее может освоить любой человек, хоть немного знакомый с администрированием.



    Ну собственно, вот и все, владелец теперь может не опасаться штрафов за незаконную раздачу трафика, а с учетом того, что он вот-вот собирается открывать флигель с мини-гостиницей, ему придется докупать еще десяток точек и управлять с ими все равно будет удобнее с контроллером, чем без него. Соответственно, вложение единоразовое и надолго, а, следовательно, стратегически осмысленное.

    Как говорится, приятного аппетита.

    P.S. Русский интерфейс в контроллере имеется, переведено все. Но автору просто удобнее производить настройки на английском.
    Поделиться публикацией

    Комментарии 31

      +1
      В контроллере АРС500 сервис отправки СМС уже встроен и работает на базе двух предустановленных операторов связи


      Любое перепрыгивание на другой телеком будет рождать целую цепочку проблем, которую надо будет заново решать.


      Соответственно, вложение единоразовое и надолго, а, следовательно, стратегически осмысленное.


      А что если стрим-телеком закроют/заблокируют в РФ как спам-контору?

        0
        Если заблокируют Стрим Телеком — это уже будет считаться форс-мажором, на который закладываться при развитии своей кафешки никак нельзя. В худшем случае придется выключить бесплатный WiFi и действительно идти на поклон к местному провайдеру связи.
          0
          Переход к другому оператору тоже можно считать форс-мажором.

          Кроме того, если уж вкладывать деньги, то в специалиста, который сможет поднять радиус+астериск+точки доступа и авторизовывать клиента звонком. Тогда уж точно, оператор не имеет значения.

          Микротик с авторизацией через радиус по MAC+ репитеры в залах кафе/ресторана+астериск который маршрутизирует внутренние звонки и является авторизатором для клиентов кафе.
        +1
        Ну если решение основывается на конкретном рутере, то таких решений вагон и тележка, тот же Cisco Meraki MR series например. Тоже готовый шлюз от twilio
          0
          Не претендую на публикацию единственного решения. Если Мераки и другие обладают таким функционалом, то малому бизнесу будет из чего выбирать. Что весьма неплохо.
          0
          Всех пользователей нужно авторизовывать, да еще полгода хранить данные о них самих, времени и объеме оказания услуг.

          Тема логов так и осталась не раскрыта. Сколько хранятся, есть ли данные о трафике, есть привязка к номеру телефона (или только колонка с mac, например)?
            0
            да и хранение «объема оказания услуг» соответствует ли закону
            –2
            Буквы
            СМС
            внушают недоверие к автору и статье.

            Так глаза режет, что вникнуть в смысл тяжело.

            Как будто каникулы досрочно начались.
              0
              По правде говоря в черновике сначала было SMS. Зря я исправил.
                0
                IMHO оправдано только в сфере монетизации трафика.

                система маленьких сообщений
              0
              Буду рад, если кто-то также поделится опытом настройки контроллера и режима SMS-авторизации. Пусть будет больше внедрений.
                0
                Для кафешек ( hotspot ) отлично подойдет такой набор:
                1. raspberry
                2. coova-chilli
                3. MySQL
                4. RADIUS
                5. Простейшие точки доступа

                В coova есть встроенный DHCP, ограничитель трафика и простейший web-портал. Поддержки SMS авторизации 'из коробки', нет. Но дописывается элементарно под какое-нибудь http-API для отправки SMS.
                Wi-Fi точки можно самые дешевые, весь функционал на сервере (raspberry). На точках прописываем единый SSID, разносим соседние точки по разным каналам и всё — 'бесшовный роуминг' готов :).
                  0
                  Отлично. Необходимо разнообразие вариантов решения этой задачи.
                0
                средняя цена подобного контроллера?
                  0
                  Говорят, лень двигатель прогресса. Врут :)

                  33 Круб, первая же ссылка в гугле
                    0
                    Как-то дороговато для простого Wi-Fi в уютной кафешечке.
                      0
                      Штрафы и отзыв лицензии дороже. А кафе без WiFi теперь уже не кафе.
                    0
                    Тут список и розницы и опта.
                    0
                    А почему просто не закрыть WiFi паролем, который будет:
                    • очень простым, типа «12345678»
                    • общеизвестным, то есть гуглиться на раз-два по названию заведения (какие-то злоумышленники опубликовали Ваш пароль в Сети)
                    • не меняющимся годами, то есть в любой момент кто-то из завсегдатаев сможет подсказать новому клиенту

                    Разумеется это сопровождается написанием должностной инструкции для сотрудников, на тему «wifi — только для вас, только в рабочее время, никому не разглашать пароль под страхом отлучения от Церкви… что угодно ещё, всё равно этот текст никто не читает».
                      0
                      В статье же все сказано —
                      с июля 2014 года, когда вышло постановление правительства №758...
                      Вот можете сами почитать постановление №758
                      Суть такова что помимо идентификации устройства (MAC), нужно еще идентифицировать пользователя путем установления ФИО. Строго говоря в этом постановлении нет ничего про SMS и номера телефонов. Но видимо предполагается, что по номеру мобильного телефона можно потом однозначно идентифицировать пользователя.
                        0
                        Мы же не оператор связи, никаких «универсальных услуг по предоставлению доступа» не оказываем, сетка корпоративная и закрыта паролем. Все клиенты, каким-то образом узнавшие пароль и воспользовавшиеся им, по сути — хакеры :)
                        Я понимаю, что метод явно в «серой зоне», но все вышеописанные костыли с SMS тоже там и ничем не лучше.
                          0
                          Верно, по закону о связи при подписании контракта оператор должен идентифицировать клиента по паспорту или иному разрешенному государством удостоверению.
                        0
                        Не совсем понял, а за SMS кто платит? Стрим же не будет отправлять их бесплатно, зачем ему это?
                          0
                          Плати владелец контроллера.
                            0
                            Добавите пункт, что владелец привязан к этому провайдеру и ОБЯЗАН согласится на его цены?

                            Ну и по традиции, копипаста из вашего поста:

                            Любое перепрыгивание на другой телеком будет рождать целую цепочку проблем, которую надо будет заново решать.


                            Соответственно, вложение единоразовое и надолго, а, следовательно, стратегически осмысленное.


                            Надоело уже намекать, что «стратегически осмысленное» — надо бы убрать из поста — говорю прямо ;)
                              0
                              Перепрынгуть на другого телекома не получится — в России контроллеры Edimax APC500 привязаноы только к Стрим Телеком.
                                0
                                Так об этом и речь!

                                Вначале Вы говорите про использование решений провайдеров — «Любое перепрыгивание на другой телеком будет рождать целую цепочку проблем, которую надо будет заново решать.» и необходимость платить, что просто «фу».

                                В конце Вы говорите, но вот Edimax APC500 привязаны к одному единственному телекому, ему нужно платить и это — «стратегически осмысленное» решение.

                                В чем осмысленность решения? В том, что в случае проблем со стримом деваться будет все равно некуда и придется смириться?

                                  0
                                  Верно подмечено. Шило на мыло, получается, променяли, только подешевле видимо.
                          0
                          Три минуты на настройки для того, кто это делает каждый день? Враки
                            0
                            В опытных руках 3 минуты. Но мы не делаем соревнования, если сисадмин потратит на настройку полдня, то я уверен, директор заведения не будет ругать его за нерасторопность.
                            0
                            Надеюсь статья будет полезной. Жду повторения инсталляции в новых условиях.

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое