Аутентификация в беспроводной сети в операционной системе UBNT AirOS с помощью сервера Радиус

Точки доступа Ubiquiti имеют возможность аутентифицировать передатчики, используя сервер Radius. Это значит, что администратору нет необходимости управлять локальными паролями для аутентификации в беспроводной сети, каждое клиентское устройство/передатчик может иметь собственную учетную запись в ISP Платформе Splynx, а наш сервер Radius аутентифицирует его.

Обычно Интернет-провайдеры уже имеют PPPoE или аналогичные механизмы аутентификации, поэтому функция аутентификации в беспроводной сети сервера Radius добавляется в системе Splynx существующим клиентам, как один новый (пустой) сервис.

На первом этапе мы определяем тарифный план в Splynx по цене 0, и во всех других полях 0 также.

2016-07-07 04.09.07 pm

Затем следует добавить беспроводный сервис клиенту и внести туда его логин и пароль.

New_service

Также важно добавить точку доступа в системе Splynx

U_router

and as a last step we should enable on UBNT router Wireless Radius authentication EAP and setup Radius server IP address and secret

UBNT_wireless

И в конце необходимо включить аутентификацию EAP в беспроводной сети с помощью сервера Radius на маршрутизаторе UBNT, а также настроить IP-адрес и секретный ключ сервера Radius

U_CPE

Теперь мы знаем, как подключить клиентское оборудование UBNT к точке доступа UBNT

Поддержка роутеров Ubiquiti EdgeRouters PPPoE Radius

Роутеры UBNT EdgeRouter могут выступать в качестве сервера PPPoE, с функциями аутентификации клиентского оборудования, предоставления статистики, блокирования конечных пользователей, настройки ограничений скорости и настройки правил честного использования (FUP).

Разделим настройку роутера на пять шагов:
1. Настройка PPPoE сервера EdgeRouter с помощью сервера Radius
2. Настройка PPPoE сервера EdgeRouter для входящих пакетов сервера Radius
3. Добавление EdgeRouter к системе Splynx
4. Подключение клиента PPPoE и проверка нормальной работоспособности
5. Установка других полезных инструментов на EdgerRouter

1. Настройка PPPoE сервера EdgeRouter с помощью сервера Radius

Первый этап заключается в обновлении системы до версии 1.5 или выше, поскольку в этой версии операционной системы EdgeOS была добавлена поддержка атрибутов сервера Radius. Описываемая здесь версия EdgeOS – v1.8.5. Обновление можно установить с помощью интерфейса командной строкой, используя такие команды:
add system image http://dl.ubnt.com/...
add system image new-version-1085.tar

Второй этап – необходимо определить IP-адрес для связи между серверами Radius и EdgeRouter.
В нашем случае это 10.0.1.166, устанавливаем его в качестве основного IP-адреса для EdgeRouter с помощью команды (в режиме конфигурирования):
set system ip override-hostname-ip 10.0.1.166

Теперь необходимо настроить сервер PPPoE, установив обязательные параметры:
edit service pppoe-server
set authentication mode radius
set authentication radius-server 10.10.10.65 key 12345
set client-ip-pool start 10.5.50.2
set client-ip-pool stop 10.5.50.200
set interface eth2

Настройка также может быть выполнена в веб-браузере:

Edge_Radius

2. Настройка PPPoE сервера EdgeRouter для входящих пакетов

Это важный шаг, потому что нам необходимо менять тарифные планы, отключать клиентов или применять правила FUP. Во всех этих случаях сервер Radius в системе Splynx посылает пакеты на EdgeRouter.
По умолчанию UBNT порт – 3779. Для обеспечения обработки входящих пакетов, запустите эти команды в операционной системе EdgeOS:

sudo cp /opt/vyatta/etc/pppoe-server/start-pppoe-radius-disconnect /config/scripts/post-config.d/

и перезагрузите роутер.

Для корректирования, если пакеты принимаются, используйте файл pppoe-radius-disconnect.log:

tail /var/log/pppoe-radius-disconnect.log

Пример выходных данных, в случае если произошло отключение пакета в операционной системе EdgeOS:

tail

3. Добавление EdgeRouter к системе Splynx и настройка параметров в Splynx

Просто добавьте роутер к системе Splynx в пункте меню Networking -> Routers и выберите NAS Type Ubiquiti

U1

Можно добавить дополнительные атрибуты к конфигурации NAS Type в меню Config -> Networking -> Radius.

По умолчанию мы поддерживаем атрибуты предельной скорости сервера Radius для установки скоростей туннелей PPPoE.

U2
4. Подключение клиента PPPoE и проверка нормальной работоспособности

Теперь мы можем подключить пользователя PPPoЕ к роутеру EdgeRouter и убедиться, что все в порядке, используя команду show pppoe-server мы узнаем, сколько пользователей подключены к серверу PPPOE

Show_pppoe

В системе Splynx мы можем увидеть, что клиент находится в сети и получить его статистику.

Online

Если нажать на кнопку «рассоединить», клиент исчезнет из списка онлайн и присоединится к сети с началом новой сессии. Это означает, что EdgeRouter принял входящий пакет от сервера Splynx Radius. (POD)

5. Установка других полезных инструментов на EdgeRouter

PPPoE туннели клиентов создаются динамически и не отображаются в веб-панели настроек. Если необходимо получить статистику пропускной способности клиентов, то простой способ это сделать, установив программное обеспечения bwm-ng. Приложение находится в хранилище Debian, это значит, что сначала нужно добавить новые хранилища, а после установить bwm-ng.

Как добавить новые хранилища:

configure
set system package repository wheezy components 'main contrib non-free'
set system package repository wheezy distribution wheezy
set system package repository wheezy url http://http.us.debian.org/debian
set system package repository wheezy-security components main
set system package repository wheezy-security distribution wheezy/updates
set system package repository wheezy-security url http://security.debian.org
commit
save
exit

и установить инструмент

apt-get install bwm-ng

Теперь есть возможность запустить приложение bwm-ng -u bits для получения информации о фактической пропускной способности клиентов PPPoE

Пример выходных данных приложения bwm-ng смотрите на картинке ниже:

BWM-NG

Теперь вы знаете, как настроить сервер Splynx Radius на использование UBNT EdgeRouter и получать выгоду от быстрого роутера в виде компактного и недорого устройства, обеспечивающего производительность в 1 миллион пакетов в секунду!

Выставление счетов, счетов-фактур и финансы в системе Splynx

Целью любого бизнеса всегда является прибыль. Интернет-провайдерам следует контролировать платежи клиентов, создавать счета, обрабатывать и увязывать платежи, управлять финансовыми потоками.
finance_dashboard

 

Splynx содержит мощный платежный движок, состоящий из 4 основных частей:
1. Финансовые операции
2. Счета-фактуры
3. Платежи
4. Счета-проформы

1. Финансовые операции
Весь процесс выставления счетов внутри системы Splynx основан на финансовых операциях.
Финансовые операции – основа выставления счетов и выполняется всегда, когда начинаются денежные потоки или изменения баланса на счете клиента:

a. За каждый расчетный период система Splynx автоматически взимает плату с клиента. Администратор может определить первый день месяца как расчетный, а значит, клиент будет платить за календарный месяц.К тому же система Splynx предоставляет возможность взимания платы с каждого клиента в любой другой день. Например, один клиент рассчитывается 15-го числа каждого месяца, а другой 20-го. Такое действие создает транзакцию типа «+ Приход (Дебет)»;

b. Когда клиент оплачивает услуги, создается финансовая операция. Он может оплатить, используя банковский перевод, наличными или через платежный сервис в Интернете. В этом случае система Splynx увяжет платеж со счетом клиента и создаст одну платежную финансовую операцию. Созданная финансовая операция такого типа называется «- Расход (Кредит)»;

c. Тогда администратор добавляет или снимает деньги на/с баланса клиента;

d. В случае необходимости коррекции, также создается определенная финансовая операция.

Благодаря системе финансовых операций, ведется четкая история действий и имеется возможность отслеживания истории баланса клиента.

Billing_transaction

 

2. Счета-фактуры

Splynx дает возможность работать или со счетами-фактурами или без них.
Работая без выставления счетов, система Splynx только принимает платежи и взносы (платежи) от клиента за каждый расчетный период без создания какого-либо официального документа.
В случае, когда счет-фактура необходим, система Splynx может создавать такие счета автоматически, или же администратор может создать их самостоятельно. Счета-фактуры могут быть созданы в связке или по отдельности один за другим. PDF-файлы счетов-фактур – полностью настраиваемые. Все документы, генерируемые системой Splynx, могут быть конвертированы в различные форматы для печати или отправки конечным пользователям.
Пример полностью адаптированного счета-фактуры для клиента:

factura_example

 

3. Платежи

Splynx обрабатывает платежи. В случае, когда клиент платит наличными в офисе компании, для ввода платежей в систему используется модуль кассового аппарата. Доступ оператора кассового аппарата к системе ограничен, он может только принять платеж, ввести платежи и просматривать детали клиентов. Администратор также может добавлять в систему платежи наличными.

Интернет-провайдеры, как правило, используют различные способы оплаты. Мы поддерживаем банковские операции или генерирование платежных поручений SEPA. Банковские платежные операции автоматически обрабатываются программой обработки запросов системы Splynx – небольшим модулем, созданным для каждого банковского формата файла в отдельности.

Пример автоматической обработки банковских операций показан на рисунке ниже:

Payments

Платежные поручения SEPA представляют собой файлы, генерируемые системой Splynx и отправленные в банк, проводящий перевод денег со счетов клиентов на счет компании. Мы поддерживаем различные форматы поручений SEPA и поддерживаем форматы поручений любой европейской страны.

Платежные системы. Мы постоянно добавляем новые платежные системы онлайн, такие как PayPal и подобные. Клиент может оплатить услуги компании через портал авторизации или непосредственно на интернет-сайте платежной системы. Когда система Splynx получает платеж, добавляется одна финансовая операция.

4. Счета-проформы

Это не налоговые документы, созданные системой Splynx. Иногда компании не выставляют счета клиентам сразу, а отправляют им запрос на оплату или ориентировочный счет-фактуру.
При создании запросов, баланс клиента не изменяется. Главной причиной такого подхода является недопущение уплаты налога НДС компанией за клиентов неплательщиков.

Если же клиент платит необходимую сумму, указанную в запросе, компания может также выставить налоговую накладную.
Пример такого документа показан на рисунке ниже:

proforma

Движок выставления счетов в системе Splynx полностью настраиваемый и масштабируемый, предоставляющий возможность обслуживать тысячи финансовых операций каждый месяц. Наши клиенты используют движок в разных частях мира, и мы по сей день были в состоянии установить систему выставления счетов соответственно требованиям местных стандартов.
Ниже приведены четыре видео-инструкции, демонстрирующие, как работает каждая часть движка выставления счетов.

Финансовые операции

Сервисы

Счета-фактуры

Платежи

Интеллектуальное управление пропускной способностью – модуль FUP

Многие Интернет-провайдеры используют в своей сети правила честного использования (FUP) – это значит, если клиент загружает или выгружает больше, чем определенное количество данных, его скорость снижается. Мы подняли эту идею на совершенно другой уровень и предоставили возможность конфигурировать такие ограничения настолько разнообразно, насколько это возможно.

В ISP Платформе Splynx присутствует интеллектуальное управление пропускной способностью. Скорость клиента можно определить на основе объема трафика, потребляемого им в месяц, в неделю или даже в день. Есть даже возможность определить максимальное время онлайн в часах на одного клиента.

Вы хотите предоставить пользователям двойную скорость в ночное время? Или, возможно, вы не хотите контролировать трафик по выходным? Или может нужно просто замедлить сверхактивных загрузчиков, принимая во внимание ежедневно передаваемые ими данные? Делайте это с помощью системы Splynx прямо сейчас!

PlansПараметры FUP находятся в пункте меню План под кнопкой-стрелкой

Попробуем создать пример. Возьмем, к примеру, тарифный план на 5 Мбит/с, входящий и исходящий трафик для клиентов по выходным учитывать не будем, значит, они получат по 7 Мбит/с по субботам и воскресеньям. Ниже были созданы первые правила. Во-первых: «Не учитывать трафик по выходным»:

Don't count weekends

И увеличить скорость 5 Мбит/с на 40% по субботам и воскресеньям:

7Mb on weekends

Тогда мы можем отметить, какое правило будет применяться по субботам:

2016-04-01 08.38.44 pm

 

В следующем шаге определим режим для сверхактивных загрузчиков с трафиком более 10ГБ ежедневно – снизим скорость до 2 Мбит/с после того, как они превысят объем передачи данных в 10ГБ за один день.

high_download

Установим ежемесячное использование трафика в объеме 100ГБ, после достижения этого предела предоставим только 1 Мбит/с. Когда же пользователь достигнет 110ГБ, заблокируем его и начислим дополнительную оплату за лишние данные.

Total

Как видно на последней фотографии, мы создали полную комплексную политику управления пропускной способностью для тарифного плана в 5 Мбит/с. Предоставляется возможность использовать модуль FUP для создания собственных правил! Ограничение скорости осуществляется с помощью сервера Radius с использованием атрибутов изменения авторизации (CоА) на любом совместимом оборудования или с помощью API маршрутизатора Mikrotik на операционной системе RouterOS.

Двухфакторная аутентификация в Splynx

Splynx всегда заботится о безопасности. Информацию следует хранить и обрабатывать с учетом безопасности. Пароли в нашей базе данных хранятся в зашифрованном виде, весь код также зашифрован. Но, что же, все-таки, произойдет, если у одного из администраторов пароль окажется ненадежным, а посторонние получат доступ к системе Splynx?

Для предотвращения этой неприятности мы ввели поддержку двухфакторной аутентификации для входа администратора в ISP Платформу Splynx. Что это значит? Это означает, что после ввода логина и пароля администратору придется ввести еще временный код, созданный специальным приложением в мобильном телефоне. Таким приложением могут быть Google Authenticator, Authy или 1Password. Это самый безопасный способ входа в систему в современном мире интернета.

Сначала создается новая учетная запись администратора, предоставленная одному из сетевых администраторов.

new_admin

Затем, находясь в системе Splynx в учетной записи «newadmin» необходимо подключить двухфакторную аутентификацию.

enable_2_factor

Теперь следует открыть приложение на мобильном телефоне (в этом случае это Google Authenticator) и сканировать QR-код.

Scan_QR_code

В приложении на мобильном телефоне был создан код аутентификации для системы Splynx, его можно использовать:
Authenticator

В следующий раз, когда «newadmin» пытается войти в систему Splynx, система всегда спросит его об одноразовом коде.

 

login