Беспроводная ААА для небольшого отеля с ограниченной пропускной способностью

8

Мы (техник, с которым я работаю и я сам) живем в отдаленном северном городе, где доступ к Интернету является чем-то вроде роскоши, а пропускная способность довольно ограничена. Здесь сверхнормативные платежи, варьирующиеся от нескольких сотен до нескольких тысяч долларов в месяц, не редкость. Я сам несу регулярные ежемесячные платежи только из-за моего обычного пользования Интернетом дома (мне разрешено 10G за 60CAD!)

Как часть моей работы, я оказался связан с несколькими отелями, которые чувствуют это. Я знаю, что могу придумать что-то, чтобы решить эту проблему, но я относительно новичок в системном администрировании и не хочу, чтобы мои мечты преодолевали реальность.

Итак, я передаю эти идеи вам, тем, у кого гораздо больше опыта, чем у меня, в надежде, что вы поделитесь некоторыми своими мыслями и проблемами.

Эта система должна быть экономически эффективной, да, плата здесь высока, но доверие к технологиям самое низкое, что я когда-либо видел.

  • Должен быть в состоянии помочь клиенту уменьшить их использование (squid)
  • Разрешить ограниченный (пропускная способность и общее использование) количество бесплатного Интернета, так как это часто политика франшизы.
  • Разрешить пользователю отслеживать использование пропускной способности
  • Разрешить (опционально) более высокую скорость и / или использование за дополнительную плату. Эта плата может быть получена на стойке регистрации при оформлении заказа и не требует использования PayPal или кредитной карты.
  • К сожалению, некоторые франшизы имеют нелепые правила, которые требуют использования
    стороннего удаленного сервиса для аутентификации гостей в вашей сети. Это означает, что WPA отсутствует, и это также означает, что я не авторизуюсь перед использованием Интернета, это будет их работа. Тем не менее, я требую, чтобы СПОСОБНОСТЬ выполняла аутентификацию для доступа в Интернет, если в отеле нет этой политики. Мне все равно придется отслеживать пропускную способность (по умолчанию в гостевой учетной записи) и предоставлять такое же ограничение, однако гостю часто требуется полный «неограниченный» доступ с точки зрения существования, а не пропускной способности.
  • Предоставьте возможности брандмауэра для гостиниц, в которых нет ничего, сегрегация между офисом и гостевой сетью (некоторые из этих парней управляют своим офисом в гостевой сети, без шифрования и с простым TOS, чтобы войти!)
  • Не позволяйте гостям подключаться к другим гостям, однако предоставьте средства, позволяющие этому произойти. IE. Каждый гость подключается к странице и разрешает другому гостю, это записывает правило iptables (с python-netfilter) и позволяет двум комнатам играть в игру, например.

Мои мысли о том, как это реализовать. Одна приличная коробка (сейчас мы будем называть ее маршрутизатором) с большим количеством оперативной памяти и 3 сетевыми картами:

  1. интернет
  2. офис
  3. Гости (точки доступа + Ethernet в номере)

Правила межсетевого экрана маршрутизатора

  • Гость может общаться только с маршрутизатором, через который они направляются туда, куда им нужно идти, включая интернет-сервисы.
  • Office можно использовать для подключения Office к Интернету, если существующее решение отсутствует, в противном случае оно просто работает для веб-интерфейса, доступного по сети (webmin + python-webmin?).

Программное обеспечение маршрутизатора:

  • OpenVZ предоставляет виртуализацию для нескольких сервисов, которым я не очень доверяю. Squid, FreeRADIUS и Apache. Единственный сервис, напрямую доступный для гостей - это Apache.
  • В Apache есть mod_wsgi и django, потому что я могу писать быстро, используя django, и мои потребности невелики. Он также потенциально имеет мод FreeRADIUS, но, похоже, здесь есть некоторые предостережения.
  • Правила брандмауэра обрабатываются на маршрутизаторе с помощью iptables.
  • Webmin (или, может быть, собственное приложение django) обеспечивает абстрактное управление любыми функциями, к которым может понадобиться персонал.
  • Python, если вы не догадались, это язык, на котором я чувствую себя наиболее комфортно, и я использую его практически для всего.

И наконец, было ли это сделано, является ли это слишком масштабным проектом, который не стоит брать на себя одному парню, и / или есть ли какие-то инструменты, которые мне не хватает, которые могли бы сделать мою жизнь проще?

Кстати, я довольно хорошо разбираюсь в Python, но не очень хорошо знаком со многими другими языками (я могу бороться с помощью PHP, это косметическая проблема). Я также заядлый пользователь Linux, и мне удобно с файлами конфигурации и командной строкой.

Спасибо за ваше время, я с нетерпением жду ваших ответов.

Изменить: Мои извинения, если это не вопросы и ответы в том смысле, что некоторые ожидали, я просто ищу идеи и чтобы убедиться, что я не пытаюсь сделать что-то, что было сделано. Сейчас я рассматриваю pfSense как возможное начало для того, что мне нужно.

router internet radius pfsense bandwidth-control Энтони Хискокс
источник
У меня проблемы с выяснением того, что ваш вопрос. Я вижу некоторые жалобы и некоторые идеи, но что вы на самом деле после? В конце концов, это сайт вопросов и ответов, а не дискуссионный форум.
Джон Гарденер
Прошу прощения за непонятность, проблема в том, что я не задаю очень конкретный вопрос. Я не говорю: «У меня есть два компьютера, я сделал это, оно должно работать, его нет». Я ищу советы на гораздо более высоком уровне. До того, как я узнал о FreeRADIUS, например, хорошим ответом может быть «Для отслеживания этих пользователей и возможности выставления им счетов, взгляните на FreeRADIUS». Другой поток, касающийся ограничений полосы пропускания для соседа по комнате, сообщил мне о pfSense, который, кажется, предлагает большой контроль и может быть очень полезным для меня. Я также хочу не изобретать велосипед.
Энтони Хискокс
1
Мне интересно, каково значение «отдаленного северного города». Вы бы отвергли решение, которое работало в «отдаленном южном городе»?
Павиум
Если телефонные линии недостаточно велики, то почему бы не использовать спутниковый интернет, такой как wildblue или hughesnet?
Пол
Там, где я живу, не имеет значения, кроме того, где я живу. Сказать, что я и кто-то еще живем на далеком юге, было бы ложью. Конечно, я не откажусь ни от каких идей или решений, если они помогут нам. Я свяжусь с другой технологией по вопросу спутниковой связи, я думаю, что это будет что-то трудно продать.
Энтони Хискокс

Ответы:

1

Посмотрев на проект pfSense сейчас, я думаю, что он предоставит много того, что мне нужно, с небольшим количеством настроек. Он поддерживает Captive Portal и делает это с серверами Radius, может быть настроен с Squid для прозрачного проксирования, и похоже, что он имеет много контроля над трафиком. Я все еще открыт для любых идей, которые могут помочь. Спасибо!

Энтони Хискокс
источник
0

Случайные мысли:

  • Сначала начнем с сетевой диаграммы. Не беспокойтесь о том, чтобы запустить Visio; просто нарисуйте один на бумаге. Как только вы поймете, с чего начать, разместите здесь несколько конкретных вопросов. Эта публикация слишком плотная. Сделав его размером с кусочек, вы получите более продуманные ответы на конкретные вопросы.

  • «Не разрешать гостям подключаться к другим гостям ...» Вы не сможете сделать это на брандмауэре, потому что все находятся в одной внутренней локальной сети. Вы должны будете сделать это на коммутаторе, поэтому вам нужно получить управляемый (умный) коммутатор.

  • Python - идеальный язык для чего-то подобного. Не беспокойтесь о незнании PHP. PHP не правильный язык. PHP никогда не является правильным языком. Для всего.

  • Вы не захотите поддерживать свои правила iptables вручную, если вы не мазохист. Попробуйте использовать Shorewall вместо этого. Это просто тонкий слой конфигурации поверх iptables, который делает управление намного проще.

jamieb
источник
Я рассмотрю вопрос о создании диаграммы, но это немного сложно, так как мне нужно быть гибким для нескольких различных сетевых настроек. Другая технология в настоящее время рассматривает 48-портовый коммутатор PoE для инъекций, и я считаю, что им управляют. +1 Python -1 PHP, хорошо. Я упоминал об этом из-за таких вещей, как: PHPMyPrepaid, который другие технологии предложили мне изучить. Я согласен, я рассмотрел либо Firehol или Shorewall, я буду смотреть на это больше. Сейчас я читаю о pfSense, похоже, это шаг в правильном направлении. Приветствия.
Энтони Хискокс
-1 за то, что PHP не годится ни для чего. Я бы согласился с тем, что PHP, как правило, не является правильным выбором, если бы вы высказались даже чуть менее решительно, это просто поведение фанатов. Изменить: Кроме того, я использую iptables, и они отлично работают для моих целей до сих пор. Не уверен, насколько хорошо Shorewall работает на Android, но iptables работает просто отлично, спасибо.
Люк
0

Есть готовые установки для предоставления того вида услуг, о котором вы говорите. Обычно система mini-itx с ОС уже настроена на компактную флэш-память. Часто предоставляя вам выбор между бесплатным доступом и платежной системой, которая работает через точки доступа во многих разных местах. Я предполагаю, что вы из Канады, но я знаю только конкретные примеры, которые относятся к Великобритании.

JamesRyan
источник
Позволит ли мне знать это имя как-нибудь понять, как они это делают? Если так, я все еще хотел бы изучить это.
Энтони Хискокс
Я должен отметить, что выбор между платным и бесплатным не будет работать. Мне нужно бесплатно, но и платно. Бесплатный доступ в Интернет - это то, что МНОГИЕ франшизы внедряют в своих отелях, и это требование, от которого мы не можем просто отказаться, потому что мы удаленные. Поэтому всегда должен быть обеспечен бесплатный уровень Интернета. Сколько это означает, что пользователь получает использовать, остается на наше усмотрение. По сути, мы хотим, чтобы крупные пользователи платили так же, как и мы, а обычные пользователи по-прежнему получают все бесплатно.
Энтони Хискокс
0

Mikrotik Hotspot будет делать все , что вы перечислили. Вы должны быть в состоянии запустить каждое место с 450G или аналогичным.

Oesor
источник