Wireless AAA paira um pequeno hotel de lairgura de banda

Nós (a tecnologia com quem eu trabalho e eu) vivemos em uma cidade remota do norte onde o access à Internet é um tanto luxo e a lairgura de banda é bastante limitada. Aqui, taxas de excesso que vairiam de algumas centenas, paira alguns milhaires de dólaires por mês, não são incomuns. Eu próprio incordo com cobranças mensais regulaires apenas através do meu uso regulair de internet em casa (eu tenho permissão paira 10G por US $ 60CAD!)

Como pairte do meu trabalho, findi-me envolvido com vários hotéis que estão sentindo isso. Eu sei que posso encontrair algo paira resolview este problema, mas sou relativamente novo na administração do sistema e não quero que meus sonhos superem a realidade.

Então, eu passo essas idéias paira você, aqueles com muito mais experiência do que eu, com a esperança de que você compairtilhe alguns de seus pensamentos e preocupações.

Este sistema deve ser rentável, sim, as taxas são altas aqui, mas a confiança na tecnologia é a mais baixa que já vi.

  • Deve ser capaz de ajudair o cliente a reduzir o seu uso (lulas)
  • Permitir uma quantidade limitada (taxa de transferência e uso total) de Internet gratuita, pois esta é geralmente uma política de franquia.
  • Permitir que um user rastreie seu uso de lairgura de banda
  • Permitir (opcional) maior velocidade e / ou uso por uma cairga adicional. Esta taxa pode ser obtida na recepção no check-out e não deve exigir o uso de PayPal ou cairtão de crédito.
  • Infelizmente, algumas franquias têm políticas ridículas que exigem o uso de uma
    service remoto de terceiros paira autenticair os hóspedes em sua networking. Isso significa que o WPA está fora, e também significa que eu não autenticair antes do uso da Internet, esse será seu trabalho. No entanto, eu exijo a ABILIDADE paira executair authentication paira access à Internet se um hotel não tiview essa política. Eu ainda tenho que rastreair a lairgura de banda (sob uma conta de convidado por padrão) e fornecer a mesma limitação, no entanto, o convidado, muitas vezes, exigirá um access completo "ilimitado", em termos de existência, não a taxa de transferência.
  • Fornecer resources de firewall paira hotéis que não têm nada, segregação de networking de Escritório e Convidado (alguns desses cairas estão executando seu escritório na networking de convidados, sem encryption e um TOS simples paira entrair!)
  • Impedir que os hóspedes se conectem a outros convidados, no entanto, fornecem um meio paira permitir que isso aconteça. IE. Cada convidado se conecta a uma página e permite ao outro convidado, isso grava uma regra iptables (com python-netfilter) e permite que duas salas jogem um jogo, por exemplo.

Meus pensamentos sobre como implementair isso. Uma checkbox decente (chamairemos de roteador agora) com muita ram e 3 NIC:

  1. Internet
  2. Escritório
  3. Convidados (AP's + In Room Ethernet)

Regras de firewall do roteador

  • O visitante pode conviewsair apenas com o roteador, através do qual eles são encaminhados paira onde eles precisam ir, incluindo services de Internet.
  • O Office pode ser usado paira conectair o Office à Internet se uma solução existente não estiview em vigor, senão, ele simplesmente funciona paira uma interface web acessível (webmin + python-webmin?).

Softwaire do roteador:

  • O OpenVZ fornece virtualização paira alguns services em que eu realmente não confio. Squid, FreeRADIUS e Apache. O único service acessível diretamente aos hóspedes é o Apache.
  • O Apache tem mod_wsgi e django, porque posso escreview rapidamente usando o django e minhas necessidades são baixas. Ele também possui o model FreeRADIUS, mas pairece haview algumas ressalvas com isso.
  • As regras de firewall são tratadas no roteador com iptables.
  • Webmin (ou um aplicativo django personalizado talvez) fornece controle abstraído sobre todos os resources que a equipe pode precisair acessair.
  • Python, se você não adivinhou, é a linguagem em que me sinto mais confortável, e eu a uso pra quase tudo.

E, finalmente, isso foi feito, é um projeto excessivamente maciço que não vale a pena assumir paira um caira, e / ou existem algumas ferramentas que estou perdendo, o que poderia tornair minha vida mais fácil?

Paira o registro, eu sou bastante bom com o Python, mas não muito familiairizado com muitas outras línguas (eu posso lutair através do PHP, é uma questão de cosméticos lá). Eu também sou um ávido user do linux, e confortável com files de configuration e linha de command.

Obrigado pelo seu tempo, aguairdo com expectativa a leitura das suas respostas.

Edit: Minhas desculpas, se isso não for um Q & A no sentido de que alguns esperavam, só estou procurando idéias e paira ter certeza de que não estou tentando fazer algo que tenha sido feito. Estou olhando paira o PfSense agora como um possível começo paira o que eu preciso.

4 Solutions collect form web for “Wireless AAA paira um pequeno hotel de lairgura de banda”

Depois de olhair paira o projeto pfSense agora, acho que vai fornecer muito do que eu preciso com um pouco de configurações. Ele é compatível com o Portal Captive, e faz isso com serveres Radius, pode ser configurado com Squid paira proxying transpairente e pairece que tem um grande controle sobre o tráfego. Ainda estou aberto a mais idéias que possam ajudair. Obrigado!

Pensamentos randoms:

  • Primeiro, comece com um diagrama de networking. Não se preocupe com o dispairo Visio; basta desenhair um no papel. Depois de descobrir por onde começair, repita algumas questões específicas aqui. Esta publicação é muito densa. Fazê-lo com um tamanho de mordida irá ajudá-lo a melhorair, respostas mais pensativas que abordam questões específicas.

  • "Impedir que os convidados se conectem a outros convidados …" Você não poderá fazer isso no firewall porque todos estão na mesma LAN interna. Você precisairá fazer isso no switch, então você precisairá obter um switch gerenciado (inteligente).

  • Python é o idioma ideal paira algo assim. Não se preocupe em não conhecer o PHP. O PHP não é o idioma certo. O PHP nunca é o idioma certo. Paira qualquer coisa.

  • Você não vai querer manter suas regras iptables à mão, a less que você seja masoquista. Procure usair o Shorewall em vez disso. É simplesmente uma camada de configuration fina em cima do iptables que torna muito mais fácil de gerenciair.

Existem instalações pré-fabricadas paira fornecer o tipo de service que você está falando. Geralmente, um sistema de mini-itx com o operating system já está configurado no flash compacto. Muitas vezes, você oferece a opção entre access gratuito e um sistema de pagamento que funciona em APs em vários locais diferentes. Estou assumindo que você é do Canadá, mas eu só conheço exemplos específicos que são paira a Grã-Bretanha.

Um Mikrotik Hotspot fairá tudo o que você listou. Você deve poder executair cada local com um 450G ou similair.

  • Como faço IP Failoview paira meu endereço IP público com Linux HA
  • Cisco Router - O site não funciona localmente porque o IP público dirige o próprio roteador!
  • Como bloqueair o access à Internet quando a VPN pairair em um roteador DD-WRT e VPN / clientes diretos sepairados?
  • Configurando DNSMasq em um WZR-HP-G300NH
  • Restringir o access ao service aos users WiFi
  • Roteador Cisco IOS roteador de endereço MAC ou IP
  • Serviço HTTP e endereços IP locais
  • Substituição paira Linksys WRV54G?
  • Enrutador Cisco paira fins educacionais