BiTel

Доброго всем времени суток.
Хочется поставить BG-Billing для авторизации пользователей Wi-fi, но не на все вопросы нашел ответ. Вобщем есть задумка о том как это должно работать но не совсем понятно можно ли это реализовать в BG-Billing и какие модули для этого нужны.
1 - можно ли авторизовывать пользователей по мак адресу, тоесть чтобы у пользователя логин и пароль система спрашивала не каждый раз при входе в интернет а всего один раз с конкретного устройства и дальше уже пускала без проблем.
2 - можно ли сделать так чтобы к одному акаунту можно было привязывать несколько мак адресов тоесть в случае с Wi-fi несколько устройств например ноутбук и КПК, и они оба одновременно могли пользоваться интернетом с одного тарифа, но при этом была возможность ограничить максимальное число подключаемых устройств или еще лучше за подключение новых устройств снимать со счета деньги.
3 - возможно ли ограничивать пользователей не по трафику а по скорости, и снимать N сумму со счета каждый день. Читал вроде возможно, но на всякий случай спрашиваю вдруг с Wi-fi нельзя.
4 - не разобрался в политике цено образования за продукт. на модуль диалап стоит тестовое ограничение в 100 пользователей а на модуль wi-fi ограничения нет, если мы покупаем лицензию на этот модуль на большее количество пользоватетей wi-fi модуль у нас будет работать.

А для чего планируется использовать модуль, для доступа в общедоступных местах (типа кафе)? Если да то авторизация по WiFi - будет легко ломаться... (mac легко перехватить), а Вам это надо?

В принципе в общедоступном месте, только не кафе а жилой комплекс, я уже думал о том что мак легко подделать, но пользователи у нас будут постоянные, не будет такой текучки как в кафе. Просто по моему очень не удобно каждый раз водить логин и пароль. Да и привязка к маку всеравно должна быть, надо как минимум учитывать с каких машин заходят пользователи, а то так все соседи бесплатно пользоваться смогут.

нужен модуль Dialp + WiFi портал.. Если нужна авторизация по карточкам, то нужен модуль Карточки(он пока бесплатный)



Вы уверены что этого хотите ? это не безопасная схема - возможна подмена mac-а, как уже было описано выше .Это очень просто сделать , если я знаю, что авторизация идеи по mac-адресу, я просто нахожу любой ip-шник в данной сети и и подменяю его у себя (на ноутбуке с линуксом это сделать не сложно ) .



Да, это возможно..модуль NPay (Абонплаты) - для абонентской платы . Ограничение скорости(шейпинг) возможен через передачу radius-атрибутов(т.е задавать скорости для конкретных абонентов, тарифов и т.п ) при авторизации, которые потом передаются во внешние sh-скрипты.. Само ограничение скорости возможно производить с помощью iproute2(команда tc, которая будет вызваться в этих скриптах). В принципе в текущий момент это уже можно сделать самим, но конкретного примера скриптов не выложено в версии 4.3, пример есть в 4.4 . В этой же версии клиент может сам себе при авторизации выбирать скорость.




за модуль wifi цена берется отдельно (указана в калькуляторе, если его выбрать ) - она не зависит от количества договоров . Цена модуля Dialup зависит от количества договоров, использующих этот модуль . Если вам нужны абонентские платы, то нужен еще модуль NPAY -его цена также зависит от количества договоров.


Привязка к mac-ку у нас все рано есть в версии 4.4 . При просмотре сессии в колонке с номера на номер - показывается mac-адрес клиента. Чтобы пользоваться соседям , нужно перехватить логин/пароль. Это сложнее, чем получить mac-адрес. тут нужно взломать протокол самой wifi сети(eap, wpa и т.п) + еще можно запускать клиента по https, что обеспечивает дополнительную защиту .

В версии 4.4 реализована дополнительная защита от ARP-спуфинга на шлюзе , котором поднят портал. В этом случае arp-таблица делается статической(перестает принимать ARP-ответы из сети ) , а наш портал поднимает внутри себя dhcp relay-агент , который сам добавляет и удаляет записи из arp-таблицы(т.е злоумышленник не может прописать свой mac на шлюзе в эту таблицу).

Для того что уже есть в версии 4.4 вы можете смотреть документацию :
http://bgbilling.ru/v4.4/doc/ch06s29.html
Она пока еще до конца не отражает всего, но является боле актуальной(в плане новых возможностей, т.к модуль WiFi активно развивается )

Огромное спасибо за развернутый ответ, вобщем попробую поставить и настроить все таки в живую лучше видно как все работает. А на счет мак адреса наверно вы правы но,

Я не про взлом со стороны, я про то что допустим человек подключил у наи интернет, пришел к соседу и так же без проблем на его ноутбуке ввел свой пароль, и пожалуйста могут пользоваться пускай даже не одновременно. Я собственно хотел по по возможности ограничить такие ситуации, ну покрайней мере чтобы соблазн так сделать сразу не появлялся, но при этом хотелось бы оставить у пользователей возможность подключать к нашей сети второй свой ноут или стационарный компьютер и ноутбук, при этом не платить вторую абонентскую плату, а просто увеличить свою на чуток.
В общем спасибо за ответ буду разбираться.

Т.е человек купил новый кпк(телефон, коммуникатор и т.п ) и должен за это платить ? .. достал из шкафа старый компьютер - и должен за это платить? .. Проще тогда сделать по траффику и пусть хоть их 10 человек параллельно качает - заплатит за всех

ограничение по количеству сессий на логин должно решить данную проблему..
а если уж юзер сильно захочет, может поставить у себя SOCKS, соединиться с другим через вашу точку доступа, свою или просто по проводам и даже привязка к mac-у не поможет. (это к тому, что могут пользоваться не одновременно разные люди и с привязкой к mac)

Ну прямо уж зверей из нас каких то делаете, наоборот хотели сделать для удобства пользователей и при этом ограничить возможные махинации. На нормальных тарифах хотели дать возможность подключать несколько устройств бесплатно, просто ограничивать в этом както. А поменял компьютер, так удалить старый мак не проблема, идея то состоит не в том чтобы одновременно несколько не работало а в том чтобы в определенный период времени например месяц человек со своего логина мог заходить с N компьютеров, а N+1 +200р. Вобщем я уже понял что вопрос спорный что лучше.

Вобщем я уже понял что надо посмотреть как будет работать система, скорей всего придется пересмотреть задуманную тарифную политику, и механизмы работы. А насчет сильно захочет то и количество одновременных сессий в этом не поможет, правильно? А вопрос как сделать чтобы клиент без проблем, удобно и выгодно подключил бы помимо компьютера еще и свой КПК и при этом у него не появилось желание придти к соседу, похвастаться Wi-Fi а заодно и логин с паролем ему дать чтобы у него тоже заработало, по большому счету остается открытым.

1. Сделать тариф по трафику - у него желание кормит ь соседа пропадет сразу
2. Сделать тариф по времени + запрет одновременных сессиий (+ограничение скорости). Т.е будет лазить либо он либо сосед, а если будет лазить сосед то будет идти время у соседа и за него придется платить.
3. Сделать огрничение сокрости канала и сделать безлемитку с абонеткской платой .
Либо другие варинты: огнаричить сокрость канала + плата за траффик т.п

Вообще если поставить шлюз - то все могут лазить через него и сессия может быть одна и mac будет один(это уже отметили выше) . В это случае - ничто не спасет кроме тарифа за траффик и огначения пропускной способности канала.

Или все-таки ограничения на количество сесси не надо, чтобы лазить параллельно с кпк и и компа ? Ну тогда можно ограничивать только пропускную способность и траффик. Ограничивать по mac-ам это не есть правильный подход ИМХО, т.к это огрничение легко обхоится с помощью организации домашней сети со шлюзом.

Админам - а зря смеетесь.
Если подумать - то идея красивая, но слегка утопичная (пока, и для нашей страны).
Примерно можно перефразировать так:

Клиент потребляет некую услугу (жилье, напитки в кафе, просто в аэропорту сидит).
За дополнительную плату получает безлимит в интернет. Доход от продажи интернета в данном случае дело последнее, доход получается из посторонних услуг.
Но расходы на интернет есть. И чтобы предотвратить злоупотребления (дал соседу пароль, поставил у себя прокси и проч.) с хочется чего-то...

Например так:
Судя по всему изначально речь о платном траффике не шла, значит скорее провайдер оплачивает ширину канала (что в принципе вполне нормально, но не везде ).

Значить делаем так. Условия - "256 кбит за 300 руб/мес". Реально подразумеваем, что 256кб стоит 200 руб. Планируем на клиента 384кб.
А вот тут и возникает необходимый функционал BG, который возможно кому-нибудь и понравится.
Первой сессии клиента даем 256кб полосу, второй - 64кб, третьей - 32 и т.д.

В результате, клиент из своей полосы не выпрыгнет, пусть он хоть всем соседям пароли раздаст (уже четвертый даже и пользоваться этим не будет).

Скорости и цены - высосаны из пальца, только для примера.
Итого - хочется определение полосы в зависимости от количества уже активных сессий.

В идеале было-бы деление полосы поровну, но я не думаю, что есть такие NAS, которые могли-бы это делать не сбрасывая клиента с линии.

Есть еще такой вариант: тарифы по времени, но клиент сам выбирает скорость, например login@256k = 10руб в час на скорости 256kb, login@128k = 7 руб./час на скорости 128K и т.д. (такой функционал в биллинге есть) Делиться с соседом смысла не будет, в зависимости от текущих задач, выкачать файл или просто новости почитать выбираем нужный тариф (скорость). а что касается авторизации по маку, то смысла в этом особого нету, в данный момент авторизация идет через браузер, а там есть функция автоподстановки

Смотрю тема оказалась достаточно актуальной. Хочу прояснить некоторые детали для того чтобы стало понятно почему некоторые варианты такого ограничения очень не желательны. Как я уже говорил это жилой комплекс, и гостиница, но гостиницу еще не купили поэтому работа с переменными клиентами не начнется еще как минимум полгода-год, поэтому этот вариант пока не рассматривается. Остальные клиенты жильци которые будут пользоваться интернетом просто у себя дома. Кстати если учесть что в дом практически еще никто не въехал, и сеть еще не работает заказов у нас уже достаточно много. По причине того что это домашний интернет тарифы по трафику и тем более по времени не желательны, намного понятней и удобней для дома это безлимитки с ограничением скорости за абонентскую плату. Но тут возникает небольшая проблема интернет раздаётся постпредствам Wi-Fi, это значит что мы не тянем провода в конкретную квартиру, и в этом смысле по большому счету к нам может подключится кто угодно. Поэтому и появляется проблема "соседа".
Роуторы считаю не проблемой и с этим бороться, по моему не правильно. Клиент покупает полосу пропускания и в прицепе без качает он с одного компа фильм забивая свой канал, или с двух ползает по сайтам(второй вариант даже более приемлем трафика меньше). Конечно в идеале чтобы человек со своих двух устройств имел один ограниченный по скорости канал. Кстати вопрос можно ли такое реализовать?
По поводу маков, разговор о них изначально шёл как о защите от дурака, понятно что мак прописать почти везде не проблема, я лично даже на роутерах некоторых фирм это делал у друзей, так что я знаю что это такое. Но обычный среднестатистический пользователь этого не делать не умеет. И если у нас будет написано что на данном тарифе можно подключать 3 устройства бесплатно а за все что выше еще надо будет заплатить то человек лишний раз задумается а надо ли ему это когда он придет к соседу и попробует ввести пароль а система у него спросит "добавить новое устройство к ВАШЕМУ тарифному плану?". Вот собственно в чем была идея.
На настоящий момент практически принято решение для начала сделать ограничение по одновременным соединениям, это вроде реализовано. А дальше посмотрим, как будут идти дела. Может быть в будущем сможем что-нибудь придумать для реализации выше изложенной схемы. В принципе, на том же первом этапе, очень желательно хотя бы видеть статистику с каких мак адресов заходил данный человек, и не злоупотребляют ли люди такой такой возможность, если инцидентов будет не много, то может и не стоит вообще заморачиваться.

В случае с WiFi-порталом это можно реализовать проще , без манипуляций с сессиями со стороны радиуса. Достаточно на шлюзе ( в нашем случае это Linux с iproute2 ) направлять весь трафик клиента в один класс(очередь) . А класс создавать для каждого договора на основе кода договора, который может передавать радиус при аторизации . Либо группировать по логину, а не по договору

Очень интересное предложение, это как раз нам и надо, а где можно поподробнее почитать как это сделать? И есть ли уже готовый пример.
Правильно ли я понял подход, в этом случае, Будет один какал на договор, не важно сколько сессий открыто, ограничение на всех зашедших с одного договора будет общее? Т.е. сессии одного договора не могут превысить лимит.

Да, теоретически сессии можно объединить по общему признаку - либо коду договора либо логину .. Только в текущий момент для этого нет функционала - нужно передавать во внешние скрипты либо код договора, либо логин( смотря по чему мы хотим объединять ). И еще есть такой момент даже если в эти внешние скрипты мы передадим эти данные, то этого будет недостаточно, т.к правила iproute2 не сами не могут хранить код договора или логин (там есть номер класса - но это 2-байтовое число , его недостаточно) и удалять эти правила не понятно как .

Если посмотреть на текущий пример, выложенный в документации 4.4, то там несколько искусственный пример на самом деле - там не для каждого клиента выделяется отдельная полоса, а наоборот группа клиентов помещается в отдельную полосу ..Т.е это еще более глобально, там объединяют не по договору, а несколько дворов в одну полосу (в зависимости от атрибутов, проставленных в договоре ) ..Этот вариант проще

А вот с реализацией варианта, когда каждой сессии клиента отдельная полоса или каждому договору отдельная полоса - сложнее , одними внешними скриптами не обойтись.. Тут реализован внешний перловый скрипт , похожий на Manad для IPN , который принимает команды на определенном порту)сами команды посылаются из тех же внешних скриптов login.sh и logout.sh ).. Скрипт кеширует какие правила для какого договора добавлены и потом их удаляет(по команде) .. В текущим момент скрипт этот есть и тестируется .Толко он для варианта каждой сессии - одна полоса ..Могу выложить его, если есть желание тестировать .. Ну и его можно потом будет переделать, чтобы выдавать одному договру(логину) - одна полоса ..

Я так толком и не понял можно ли реализовать, то что хотим мы. Для каждого договора или логина(удобнее) своя полоса. Что я под этим подразумеваю, то что если клиент подключается с двух компьютеров под одним логином, то ограничение у этих двух компьютеров будет общее. Если один из компьютеров будет качать фаил например со скоростью 100кбит то второму достанется только 156(для случая с 256кбитным тарифом).
По поводу скрипта на перл, тоже не очень понял чем отличается вариант с этим скриптом от варианта который идет по умолчанию. Из того что я понял получается тоже самое что и по умолчанию.

можно! у меня авторизация WiFi пользователей по МАС-ам идет через RADIUS, при авторизации клиент запихивается в опред. VLAN и там спокойненько себе юзает РРРоЕ чем достигается идея - побоку какой у клиента МАС, чтобы получить интернет ему нужна связка логин+пароль для РРРоЕ ... да, я знаю что возможна подмена МАС-а, но когда тот кто про нее вспомнит объяснит мне как рассказать человеку говорящему "я в компьютерах ничего не понимаю, мне главное чтоб работало!" про настройку шифрования то я и ключи буду использовать и т.д. и т.п.

можно! создаете Вашему договору нужное кол-во логинов и алиасов равных МАС адресам оборудования этого договора и вот Вам и ограничение на кол-во оборудования (нет логина/алиаса - нет подключения) и вот Вам один тариф на все логины/алиасы ...

ув. Gankov, будут вопросы по WiFi - задавайте ...

P.S. я надеюсь частоту Вы хоть купили прежде чем разговоры про WiFi интернет разговаривать?