[Wi-fi] удобная организация.

0

2

Всёже пока так и висит у меня вопрос wi-fi удобного для гостей.

Задача: есть несколько зданий. В эти здания приезжают периодически гости из различных стран и этим гостям требуется wi-fi иногда. Также есть постоянные сотрудники, часть сотрудников может пользоваться Интернет, часть сотрудников на уровне начальства имеет запрет на Интернет (как на wi-fi, так и на проводной) - причина низкая производительность труда и дороговизна офисного канала Интернет. Первая часть сотрудников является начальством, и любит баловаться Iphone, Ipad, навигаторами, ноутбуками. Также как и гости приезжают с китайскими или испанскими смартфонами, что затрудняет нам как сотрудникам настройку wi-fi у них (ввод пароля и всё прочее).

Хочется такого: открытый wi-fi, тыркнул и сразу подключился. Если запустил браузер то увидел страницу с телефонами IT отдела. Не важно в общем, суть такова: тыркнул, позвонил кто-то в отдел (гостей всегда кто-то из начальства сопровождает), мы запустили нечто, где было показано: что в 10,30 утра подключился неизвестный клиент. Дать ему Интернет? - Если да, то на сколько? 1 день, 1год... И чтоб комент можно оставить что за клиент. После нажатия двух кнопок у гостя должно всё заработать.

Далее: есть начальство которое меняет смартфоны как перчатки, но иногда приносит старые смарты на работу. То есть, нужна некая пролонгация: Принёс начальник свою игрушку, тыркнул на wi-fi, позвонил, мы дали доступ на год. Если в течении года смартфон не будет появляться то чтоб запись об нём удалялась, если будет появляться, чтоб запись пролонгировалась. Ибо начальству не очень приятно принести телефон через пол года, и обнаружить, что им надо снова куда-то звонить, и об чём-то просить.

Почему мне не подходят всякие решения с одноразовыми паролями? - 1) секретарям запрещён доступ в Интернет, т.е. генерировать их придётся сотрудникам ИТ отдела, что не есть хорошо в плане временных затрат. 2) начальник не будет каждый раз запускать браузер и вводить что-то на подобии: wrjskh7 в качестве пароля, он просто всех проклянёт через неделю.

Какое решение мне наиболее подойдёт чтобы реализовать вышеописанное, и было как можно проще и удобнее в плане внедрения? Есть ряд точек с одинаковым SSID, планирую их положить просто в одни VLAN.

Задача должна быть решена как можно проще как для пользователей, так и для сотрудников отдела.

Писать скрипты наколенные? Если да, то как? Парсить логи dhcp, юзать atd для удаления старых записей, и пользовать iptables? - И ко всему этому сделать какую-то морду? Или в dhcp как-то попробовать использовать lease times для каждой записи новой персонально? Клиентов не столь много, можно обойтись и без пролонгации, а просто выставляя клиентам lease time скажем в 3 года - некоторым.

Ссылка

←	[Debian][Wheezy] помогите настроить dhcp.

MX запись почты

→

← 1 2 →

Ответ на: комментарий от Gordon01 02.03.12 05:30:55 MSK

В целом можно, но для этого необходимо чтоб это умели точки доступа, а точки везде разношёрстные. С OTP паролями отпадает сразу, ибо гости приходят, уходят, могут и пять раз в день приехать, на переговоры, потом экскурсии, и каждый раз им OTP пароли давать, ну не есть кошерно...

DALDON ★★★★★
(02.03.12 11:20:29 MSK) автор топика

Ответ на: комментарий от DALDON 02.03.12 11:16:57 MSK

egrep -v -f $etalon $newmac

uspen ★★★★★
(02.03.12 11:31:25 MSK)

Ответ на: комментарий от uspen 02.03.12 11:31:25 MSK

Сууупер! Это очень похоже на то, что надо! Прям ОГРОМНОЕ спасибо за всяческую помощь, думаю что теперь справлюсь, а я уже начал там мутить грепы и прочую муть в связке с awk, бред в общем получался.

Реально мега спасибо, расширили мой кругозор, и помогли КОНКРЕТНЫМ советом по делу, что весьма не часто бывает.

DALDON ★★★★★
(02.03.12 11:48:47 MSK) автор топика

Ответ на: комментарий от DALDON 02.03.12 11:48:47 MSK

Пожалуйста, всегда рад!

uspen ★★★★★
(02.03.12 11:52:52 MSK)

Ответ на: комментарий от uspen 02.03.12 11:52:52 MSK

Можно я в край занаглею, и попрошу ещё совета? :)

# Generated by iptables-save v1.4.4 on Fri Mar  2 13:36:37 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:test - [0:0]
-A FORWARD -i eth2 -m mac --mac-source 18:00:27:16:22:52 -j ACCEPT
-A FORWARD -i eth2 -j DROP
COMMIT
# Completed on Fri Mar  2 13:36:37 2012
# Generated by iptables-save v1.4.4 on Fri Mar  2 13:36:37 2012
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.40.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Mar  2 13:36:37 2012

Хочется вставить ещё сюда правило: "-A PREROUTING ????? -p tcp --dport 80 -j REDIRECT" - подобное этому, но, чтобы так: пока клиентского мак адреса нету в цепочке FORWARD его бросало на порт 80 локального сервера, как только клиентский мак появился в цепочке FORWARD, его просто NATом выпускало во все поля.

Но это уже так, для красоты, совсем в целом не есть обязательно. Так больше для общего развития, ибо так даже секюрнее получается. :)

DALDON ★★★★★
(02.03.12 17:28:05 MSK) автор топика

Ответ на: комментарий от DALDON 02.03.12 17:28:05 MSK

если у тебя в влане точка доступа - клиентам отдельные ip можно прописать? тогда прероутинг этой сети на редирект - а в скрипт добавишь правило iptables -t nat -I PREROUTING -m mac --mac-source fffffff -p tcp --dport 80 -j RETURN

uspen ★★★★★
(02.03.12 17:30:29 MSK)

Ответ на: комментарий от uspen 02.03.12 17:30:29 MSK

Не, не хочется никуда привязывать ipшинки, привязываю я их сейчас, если честно с кол-вом ихнего барахла следить за этим уже поднадоело (ip+mac) связки, хочется ip как бог пошлёт на душу. :)

PREROUTING -m mac --mac-source

Я может путаю, но вроде как PREROUTING уже оперирует только уровнем ip адреса, ибо на то он и роутинг :) .

Ну в целом это уже как говорится плюшки, воткнут - нет ничего, позвонят, я скажу не волнуйтесь, расслабтесь, и дам доступ на n дней.

DALDON ★★★★★
(02.03.12 17:47:21 MSK) автор топика

Ссылка

Ответ на: комментарий от DALDON 02.03.12 11:20:29 MSK

ну так 1 раз в девайсе ввёл пароль и всё, он навсегда привязан.

реально, лучше когда сети хоть как-то логически разделены, потом будет удобнее в случае чего например скорость урезать.

Gordon01 ★★
(02.03.12 18:00:53 MSK)

Ответ на: комментарий от uspen 02.03.12 17:30:29 MSK

Вру, работает всё, спасибо! Очень натолкнули на правильный ход решения. :) Получилось похоже всё с маком и таблицей PREROUTING.

DALDON ★★★★★
(02.03.12 18:05:37 MSK) автор топика

Ссылка

Ответ на: комментарий от Gordon01 02.03.12 18:00:53 MSK

Да, я согласен, но скорость резать точно не придётся - никто не потерпит тупняков. Если чего, я буду резать просто на шлюзе скорость всей подсети wi-fi думаю. Они жеж как: им обязательно надо ходить по офису и через скайп с мобильного говорить. Я может просто буду поглядывать за кол-вом трафика с этой подсети и хватит я думаю.

Пароли то они и сейчас хранят в телефонах, но я говорю, что большая проблема когда приходит человек несколько в группе - это представте себе, надо взять испанский блекбери, и попробовать ещё там разобраться, куда ввести этот несчастный пароль... - если честно, были Американцы так те вообще упали, что wi-fi под паролем...

DALDON ★★★★★
(02.03.12 18:08:34 MSK) автор топика

Ссылка

Ответ на: комментарий от uspen 02.03.12 17:30:29 MSK

newmac="`egrep -v -f macdb curmac`"
echo $newmac | \
        while read line; do 
                echo $line
        done

Не совсем правильно отрабатывает, в силу того, что вывод egrep это одна строка. Как-бы мне добить это дело... Как-то бы разделить вывод egrep на строки чтоль... Или может в iptables можно mac адреса загонять прям «гуртом» в одну строку? Пока не очень выходит.

DALDON ★★★★★
(05.03.12 15:26:01 MSK) автор топика

Ответ на: комментарий от DALDON 05.03.12 15:26:01 MSK

Вывернулся. :)

newmac="`egrep -v -f macdb curmac > /tmp/diffmac`"
cat /tmp/diffmac | \
        while read line; do 
                echo $line
        done

DALDON ★★★★★
(05.03.12 17:15:23 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	[Debian][Wheezy] помогите настроить dhcp.

Admin

MX запись почты

→

Похожие темы