Kami (teknologi tempat saya bekerja dan saya sendiri) tinggal di kota utara yang terpencil di mana akses Internet agak mewah, dan bandwidth sangat terbatas. Di sini, biaya lebihan mulai dari beberapa ratus, hingga beberapa ribu dolar sebulan, tidak jarang. Saya sendiri dikenakan biaya bulanan rutin hanya melalui penggunaan Internet biasa di rumah (saya diizinkan 10G untuk $ 60CAD!)
Sebagai bagian dari pekerjaan saya, saya menemukan diri saya terlibat dengan beberapa hotel yang merasakan hal ini. Saya tahu bahwa saya dapat menemukan sesuatu untuk menyelesaikan masalah ini, tetapi saya relatif baru dalam administrasi sistem dan saya tidak ingin impian saya mengatasi kenyataan.
Jadi, saya menyampaikan ide-ide ini kepada Anda, mereka yang memiliki pengalaman lebih dari saya, dengan harapan Anda akan membagikan sebagian pemikiran dan kekhawatiran Anda.
Sistem ini harus hemat biaya, ya biayanya tinggi di sini, tetapi kepercayaan terhadap teknologi adalah yang terendah yang pernah saya lihat.
- Harus mampu membantu klien mengurangi penggunaannya (cumi-cumi)
- Izinkan jumlah internet gratis yang terbatas (throughput dan penggunaan total), karena ini sering merupakan kebijakan waralaba.
- Izinkan pengguna melacak penggunaan bandwidth mereka
- Izinkan (opsional) kecepatan lebih tinggi dan / atau penggunaan dengan biaya tambahan. Biaya ini dapat diperoleh di meja depan pada saat checkout dan seharusnya tidak memerlukan penggunaan PayPal atau Kartu Kredit.
- Sayangnya, beberapa waralaba memiliki kebijakan konyol yang mengharuskan penggunaan
layanan jarak jauh pihak ketiga untuk mengautentikasi tamu ke jaringan Anda. Ini berarti WPA sudah keluar, dan itu juga berarti bahwa saya tidak auth sebelum penggunaan Internet, itu akan menjadi pekerjaan mereka. Namun, saya memang memerlukan KEMAMPUAN untuk melakukan otentikasi untuk akses Internet jika hotel tidak memiliki kebijakan ini. Saya masih harus melacak bandwidth (di bawah akun tamu secara default) dan memberikan batasan yang sama, namun tamu sering kali memerlukan akses 'tidak terbatas' yang lengkap, dalam hal keberadaan, bukan throughput. - Menyediakan kemampuan firewall untuk hotel yang tidak memiliki apa-apa, pemisahan Office, dan jaringan tamu (beberapa dari mereka menjalankan kantor mereka di jaringan tamu, tanpa enkripsi, dan TOS sederhana untuk melanjutkan!)
- Mencegah tamu terhubung ke tamu lain, namun sediakan sarana untuk memungkinkan ini terjadi. YAITU. Setiap tamu terhubung ke halaman dan memungkinkan tamu lain, ini menulis aturan iptables (dengan python-netfilter) dan memungkinkan dua kamar untuk bermain game, misalnya.
Pikiranku tentang bagaimana mengimplementasikan ini. Satu kotak yang layak (kami akan menyebutnya router sekarang) dengan banyak ram, dan 3 NIC:
- Internet
- Kantor
- Tamu (AP + Ethernet Dalam Kamar)
Aturan Firewall Router
- Tamu dapat berbicara dengan router saja, melalui mana mereka diarahkan ke mana mereka harus pergi, termasuk layanan Internet.
- Office dapat digunakan untuk menjembatani Office ke Internet jika solusi yang ada tidak ada, jika tidak, ia hanya berfungsi untuk antarmuka web yang dapat diakses jaringan (webmin + python-webmin?).
Perangkat Lunak Router:
- OpenVZ menyediakan virtualisasi untuk beberapa layanan yang tidak saya percayai. Squid, FreeRADIUS dan Apache. Satu-satunya layanan yang dapat diakses langsung oleh para tamu adalah Apache.
- Apache memiliki mod_wsgi dan Django, karena saya dapat menulis dengan cepat menggunakan Django dan kebutuhan saya rendah. Ini juga berpotensi memiliki mod FreeRADIUS, tetapi tampaknya ada beberapa peringatan dengan ini.
- Aturan firewall ditangani pada router dengan iptables.
- Webmin (atau aplikasi Django kustom mungkin) memberikan kontrol abstrak atas semua fitur yang mungkin perlu diakses staf.
- Python, jika Anda belum menebak itu adalah bahasa yang saya rasa paling nyaman, dan saya menggunakannya untuk hampir semua hal.
Dan akhirnya, sudahkah ini dilakukan, apakah ini proyek yang terlalu besar yang tidak layak untuk satu orang, dan / atau ada beberapa alat yang saya lewatkan yang dapat membuat hidup saya lebih mudah?
Sebagai catatan, saya cukup baik dengan Python, tetapi tidak terlalu akrab dengan banyak bahasa lain (saya bisa berjuang melalui PHP, ini masalah kosmetik di sana). Saya juga pengguna linux yang rajin, dan nyaman dengan file konfigurasi dan baris perintah.
Terima kasih atas waktu Anda, saya berharap dapat membaca tanggapan Anda.
Sunting: Permintaan maaf saya jika ini bukan T&J dalam arti bahwa beberapa orang mengharapkan, saya hanya mencari ide dan untuk memastikan saya tidak mencoba melakukan sesuatu yang telah dilakukan. Saya melihat pfSense sekarang sebagai awal yang mungkin untuk apa yang saya butuhkan.
Jawaban:
Setelah melihat proyek pfSense sekarang, saya pikir itu akan memberikan banyak dari apa yang saya butuhkan dengan sedikit konfigurasi. Ini mendukung Captive Portal, dan melakukan ini dengan server Radius, dapat diseting dengan Squid untuk proxy transparan, dan sepertinya memiliki BANYAK kontrol atas lalu lintas. Saya masih terbuka untuk gagasan lain yang mungkin membantu. Terima kasih!
sumber
Pikiran acak:
Pertama, mulailah dengan diagram jaringan. Jangan khawatir tentang menjalankan Visio; hanya menggambar satu di atas kertas. Setelah Anda mengetahui di mana untuk memulai, posting ulang beberapa pertanyaan khusus di sini. Posting ini terlalu padat. Menjadikannya seukuran gigitan akan membuat Anda mendapatkan jawaban yang lebih baik dan lebih bijaksana yang menjawab pertanyaan spesifik.
"Cegah tamu agar tidak terhubung ke tamu lain ..." Anda tidak akan dapat melakukan ini di firewall karena semua orang menggunakan LAN internal yang sama. Anda harus melakukannya di sakelar, jadi Anda harus mendapatkan sakelar yang dikelola (cerdas).
Python adalah bahasa yang ideal untuk hal seperti ini. Jangan khawatir tidak tahu PHP. PHP bukan bahasa yang tepat. PHP tidak pernah merupakan bahasa yang tepat. Untuk apa saja.
Anda tidak akan ingin mempertahankan aturan iptables Anda dengan tangan kecuali Anda masokis. Cari tahu bagaimana menggunakan Shorewall . Ini hanyalah lapisan konfigurasi tipis di atas iptables yang membuatnya lebih mudah untuk dikelola.
sumber
Ada instalasi yang sudah jadi untuk menyediakan jenis layanan yang Anda bicarakan. Biasanya sistem mini-itx dengan OS sudah diatur pada compact flash. Seringkali memberi Anda opsi antara akses gratis dan sistem pembayaran yang berfungsi di semua Titik Akses di berbagai lokasi. Saya berasumsi Anda berasal dari Kanada, tetapi saya hanya tahu contoh spesifik untuk Inggris.
sumber
Sebuah Mikrotik Hotspot akan melakukan semua yang Anda daftarkan. Anda harus dapat menjalankan setiap lokasi dari 450G atau serupa.
sumber