AAA sans fil pour un petit hôtel à bande passante limitée

8

Nous (la technologie avec laquelle je travaille et moi-même) vivons dans une ville éloignée du nord où l'accès à Internet est un peu un luxe et la bande passante est assez limitée. Ici, des frais de dépassement de quelques centaines à quelques milliers de dollars par mois ne sont pas rares. J'encoure moi-même des frais mensuels réguliers uniquement grâce à mon utilisation régulière d'Internet à la maison (j'ai droit à 10G pour 60 $ CAD!)

Dans le cadre de mon travail, je me suis retrouvé impliqué dans plusieurs hôtels qui ressentent cela. Je sais que je peux trouver quelque chose pour résoudre ce problème, mais je suis relativement nouveau dans l'administration système et je ne veux pas que mes rêves dépassent la réalité.

Donc, je vous transmets ces idées, à ceux qui ont beaucoup plus d'expérience que moi, dans l'espoir que vous partagerez certaines de vos pensées et préoccupations.

Ce système doit être rentable, oui les frais sont élevés ici, mais la confiance dans la technologie est la plus basse que j'aie jamais vue.

  • Doit être capable d'aider le client à réduire son utilisation (calmar)
  • Autorisez une quantité limitée (débit et utilisation totale) d'Internet gratuit, car il s'agit souvent d'une politique de franchise.
  • Autoriser un utilisateur à suivre sa consommation de bande passante
  • Autorisez (en option) une vitesse et / ou une utilisation plus élevées moyennant des frais supplémentaires. Ces frais peuvent être obtenus à la réception au moment du départ et ne devraient pas nécessiter l'utilisation de PayPal ou d'une carte de crédit.
  • Malheureusement, certaines franchises ont des politiques ridicules qui nécessitent l'utilisation d'un
    service à distance tiers pour authentifier les invités sur votre réseau. Cela signifie que WPA est sorti, et cela signifie également que je n'authentifie pas avant l'utilisation d'Internet, ce sera leur travail. Cependant, j'exige la CAPACITÉ d'effectuer l'authentification pour l'accès à Internet si un hôtel n'a pas cette politique. Je devrai toujours suivre la bande passante (sous un compte invité par défaut) et fournir la même limitation, mais l'invité aura souvent besoin d'un accès «illimité» complet, en termes d'existence, pas de débit.
  • Fournir des capacités de pare-feu pour les hôtels qui n'ont rien, la séparation du réseau Office et Guest (certains de ces gars-là gèrent leur bureau sur le réseau invité, sans chiffrement et un TOS simple à utiliser!)
  • Empêchez les invités de se connecter à d'autres invités, mais fournissez un moyen de permettre que cela se produise. C'EST À DIRE. Chaque invité se connecte à une page et autorise l'autre invité, cela écrit une règle iptables (avec python-netfilter) et permet à deux salles de jouer à un jeu, par exemple.

Mes réflexions sur la façon de mettre en œuvre cela. Une boîte décente (nous l'appellerons maintenant un routeur) avec beaucoup de RAM et 3 cartes réseau:

  1. l'Internet
  2. Bureau
  3. Invités (AP + Ethernet dans la chambre)

Règles de pare-feu du routeur

  • L'invité ne peut parler qu'au routeur, via lequel il est dirigé vers l'endroit où il doit aller, y compris les services Internet.
  • Office peut être utilisé pour relier Office à Internet si une solution existante n'est pas en place, sinon, cela fonctionne simplement pour une interface Web accessible sur le réseau (webmin + python-webmin?).

Logiciel de routeur:

  • OpenVZ fournit la virtualisation pour quelques services auxquels je ne fais pas vraiment confiance. Squid, FreeRADIUS et Apache. Le seul service directement accessible aux clients est Apache.
  • Apache a mod_wsgi et django, car je peux écrire rapidement en utilisant django et mes besoins sont faibles. Il a également potentiellement le mod FreeRADIUS, mais il semble y avoir quelques mises en garde avec cela.
  • Les règles de pare-feu sont gérées sur le routeur avec iptables.
  • Webmin (ou une application django personnalisée peut-être) fournit un contrôle abstrait sur toutes les fonctionnalités auxquelles le personnel peut avoir besoin d'accéder.
  • Python, si vous n'avez pas deviné que c'est le langage dans lequel je me sens le plus à l'aise, et je l'utilise pour presque tout.

Et enfin, cela a-t-il été fait, est-ce un projet trop massif qui ne vaut pas la peine d'être entrepris pour un seul gars, et / ou y a-t-il des outils qui me manquent qui pourraient me faciliter la vie?

Pour mémoire, je suis assez bon avec Python, mais pas très familier avec beaucoup d'autres langages (je peux avoir du mal avec PHP, c'est un problème cosmétique là-bas). Je suis également un utilisateur avide de Linux, et à l'aise avec les fichiers de configuration et la ligne de commande.

Merci de votre temps, j'ai hâte de lire vos réponses.

Edit: Mes excuses si ce n'est pas un Q&A dans le sens que certains attendaient, je cherche juste des idées et je m'assure que je n'essaye pas de faire quelque chose qui a été fait. Je regarde pfSense maintenant comme un début possible pour ce dont j'ai besoin.

Anthony Hiscox
la source
J'ai du mal à comprendre quelle est votre question. Je vois des plaintes et des idées, mais que cherchez-vous réellement? Il s'agit après tout d'un site de questions / réponses, pas d'un forum de discussion.
John Gardeniers
Je m'excuse de ne pas être clair, le problème est que je ne pose pas de question très précise. Je ne dis pas "J'ai deux ordinateurs, je l'ai fait, ça devrait fonctionner, ce n'est pas le cas". Je cherche des conseils à un niveau beaucoup plus élevé. Avant de connaître FreeRADIUS par exemple, une bonne réponse pourrait être "Pour suivre ces utilisateurs et pouvoir les facturer, jetez un œil à FreeRADIUS". Un autre fil concernant les restrictions de bande passante pour un colocataire m'a informé de pfSense, qui semble offrir beaucoup de contrôle, et pourrait être très utile pour moi. Je veux aussi éviter de réinventer la roue.
Anthony Hiscox
1
Je me demande quelle est la signification de «ville nordique éloignée». Souhaitez-vous rejeter une solution qui fonctionnait dans une «ville éloignée du sud»?
pavium
Si les lignes téléphoniques ne sont pas assez grandes, alors pourquoi pas Internet par satellite comme Wildblue ou Hughesnet?
Paul
Il n'y a aucune signification à l'endroit où j'habite, à part le fait que c'est là où j'habite. Dire que moi-même et quelqu'un d'autre vivons dans le sud éloigné aurait été mentir. Bien sûr, je ne rejetterai aucune idée ou solution si elle nous aide. Je vais vérifier avec l'autre technologie sur la question sat, je suppose que ce sera quelque chose de difficile à vendre.
Anthony Hiscox

Réponses:

1

Après avoir examiné le projet pfSense maintenant, je pense qu'il fournira une grande partie de ce dont j'ai besoin avec un peu de configurations. Il prend en charge Captive Portal, et le fait avec les serveurs Radius, peut être configuré avec Squid pour un proxy transparent, et semble avoir beaucoup de contrôle sur le trafic. Je suis toujours ouvert à d'autres idées qui pourraient vous aider. Merci!

Anthony Hiscox
la source
0

Pensées aléatoires:

  • Commencez d'abord par un schéma de réseau. Ne vous inquiétez pas de lancer Visio; il suffit d'en dessiner un sur du papier. Une fois que vous avez compris par où commencer, republiez ici quelques questions spécifiques. Cette publication est beaucoup trop dense. Le faire en bouchée vous donnera des réponses meilleures et plus réfléchies qui répondent à des questions spécifiques.

  • "Empêcher les invités de se connecter à d'autres invités ..." Vous ne pourrez pas le faire au niveau du pare-feu car tout le monde est sur le même LAN interne. Vous devrez le faire au niveau du commutateur, vous devrez donc obtenir un commutateur géré (intelligent).

  • Python est le langage idéal pour quelque chose comme ça. Ne vous inquiétez pas de ne pas connaître PHP. PHP n'est pas le bon langage. PHP n'est jamais le bon langage. Pour rien.

  • Vous ne voudrez pas maintenir vos règles iptables à la main, sauf si vous êtes masochiste. Essayez plutôt d' utiliser Shorewall . C'est simplement une fine couche de configuration sur iptables qui le rend beaucoup plus facile à gérer.

jamieb
la source
J'envisagerai de faire un diagramme, mais c'est un peu difficile car j'ai besoin d'être flexible pour quelques configurations de réseau différentes. L'autre technologie examine actuellement un commutateur d'injection PoE à 48 ports, je crois qu'il est géré. +1 Python -1 PHP, bon. Je l'ai mentionné à cause de choses comme: PHPMyPrepaid, que l'autre technologie m'a suggéré d'examiner. Je suis d'accord, j'ai envisagé Firehol ou Shorewall, j'examinerai cela plus en détail. Je lis maintenant sur pfSense, il semble que ce soit un pas dans la bonne direction. À votre santé.
Anthony Hiscox
-1 pour avoir dit que PHP n'est bon à rien. Je serais d'accord que PHP n'est généralement pas le bon choix si vous l'aviez mis encore un peu moins fort, c'est juste un comportement de fanboy. Edit: De plus, j'utilise iptables et ils fonctionnent très bien jusqu'à présent. Je ne sais pas à quel point Shorewall fonctionne sur Android, mais iptables fonctionne très bien merci.
Luc
0

Il existe des installations prêtes à l'emploi pour fournir le type de service dont vous parlez. Habituellement, un système mini-itx avec le système d'exploitation déjà configuré sur flash compact. Vous offrant souvent l'option entre un accès gratuit et un système de paiement qui fonctionne sur tous les points d'accès à de nombreux endroits différents. Je suppose que vous venez du Canada, mais je ne connais que des exemples spécifiques concernant la Grande-Bretagne.

JamesRyan
la source
Connaître le nom me permettrait-il de mieux comprendre comment ils le font? Si c'est le cas, j'aimerais quand même y jeter un œil.
Anthony Hiscox
Je dois noter qu'avoir une option entre payé et gratuit ne fonctionnera pas. J'ai besoin de gratuité, mais aussi de paiement. L'accès gratuit à Internet est quelque chose que de nombreuses franchises mettent en œuvre dans leurs hôtels, et c'est une exigence que nous ne pouvons pas simplement supprimer parce que nous sommes éloignés. Il doit donc toujours y avoir un niveau gratuit d'Internet. Le montant que cela signifie qu'un utilisateur peut utiliser est à notre discrétion. Essentiellement, nous voulons que les utilisateurs lourds paient comme nous le faisons, et les utilisateurs légers reçoivent toujours tout gratuitement.
Anthony Hiscox
0

Un Hotspot Mikrotik fera tout ce que vous avez listé. Vous devriez pouvoir exécuter chaque emplacement sur un 450G ou similaire.

Oesor
la source