Поводом для написания этой статьи стало два фактора.

Первое: необходимость соблюдения для публичных (гостевых) Wi-Fi сетей постановления Правительства РФ №758 от 31 июля 2014 года и №801 от 12 августа 2014 года (размеры штрафов за несоблюдение постановлений).

Второе: комплекс эмоций, которые испытаны, в процессе реализации всего этого. С этими постановлениями всё понятно, нужно соблюдать, но была другая неприятная проблема, вылезшая в процессе эксплуатации сервисов авторизации.

Если нет времени или желания читать как и почему выбирался сервис, тогда переходим к настройкам тут.

Кто я? Меня зовут Александр. 16 лет профессионально занимаюсь СКС и сетевым оборудованием. Больше времени провожу с СКС (монтаж), чем с настройкой сетевого оборудования, поэтому на настройки времени особо нет, но получил много опыта работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в телеграме - @NSanchez13, так что, если будут вопросы, комментарии, мнения – милости прошу.

Начну с того, что 3 года работали с разными сервисами (4 шт.), ни один не устраивал. Проблемы такие:

• CNA (минибраузер) не выскакивает у устройств Apple или с ошибками работал;

• Apple с устаревшими прошивками отключаются от Wi-Fi при блокировке экрана и подключаются к Wi-Fi при разблокировке экрана;

• дизайн страницы авторизации не продуман, часть кнопок не помещалась на маленьком экране;

• мало сервисов с безлимитными SMS. Актуально для Xiaomi, у которых CNA исчезает после звонка.

Самое страшное, что на созданные мною тикеты в техподдержке никто ничего не хотел исправлять, одни обещания или игнор.

Встречают по одёжке, провожают по уму

Сервис авторизации - самый заметный момент в гостевом Wi-Fi, фактически лицо всего Wi-Fi или заведения, куда гость пришёл. С него начинается первый выход в интернет, если что-то не так пойдёт, в зависимости от ситуации и настроения гостя, претензии польются на царя/админа/заведение или вендора. Вендор то при чём? Captive Portal отработал, ожидает действий гостя, а он по вине оператора сервиса никак не может попасть на CNA или не те кнопки нажал. До начала конференции остаётся пара минут, гости нервничают, плохо разбираясь в ИТ, сразу винят установленное оборудование и то, на чём крутится сервис, но только не свой телефон и себя. Дома же всё отлично работает на запароленном Wi-Fi.

Гостей можно понять, они с гаджетами на ВЫ, их любые мелочи пугают, нервничают и не могут пройти авторизацию.

Примером была одна и та же картина у устройств Apple. После подключения к Wi-Fi не выскочил CNA, далее гость идёт в браузер, нажимает на любую страницу в «Избранное», получает предупреждение и не редиректит на страницу авторизации.

Следовательно, гости с Apple постоянно были в такой ситуации и VIP-персоны тоже, а жёстко критиковать они умеют...

Поэтому было критично, чтобы CNA корректно на всех устройствах выскакивал, там предупреждений нет.

Админ тоже виноват, плохой сервис выбрал. Надо исправлять ситуацию

К счастью, руководство выручило. В поисках интернет-провайдера в поисковике случайно нашло сервис авторизации у интернет-провайдера КубТел. Судя по их карте, провайдер не крупный, присутствует только в больших городах Краснодарского края. Помимо интернета, много других услуг предоставляют, но нас интересовал только интернет и сервис авторизации.

После переговоров они согласились настроить свой сервис для нашего шлюза Zyxel UAG5100 с последующим тестированием. К нашему удивлению, они блестяще справились с задачей без нытья. CNA наконец-то выскакивал на всех Apple, процесс прохождения авторизации в CNA отрабатывался отлично на всех устройствах (кроме Xiaomi по звонку). Дизайн страницы авторизации грамотно составлен и кнопки не уезжали на маленьких телефонах диагональю до 4 дюймов с увеличённым масштабом для слабовидящих. Личный кабинет оформлен приятно, информативно и красиво.

Гости очень довольны, претензии по авторизации прекратились (кроме Xiaomi), но таких гостей просим на смс перейти.

Вы энтузиаст и любите самостоятельно настраивать?

Давайте рассмотрим на шлюзе Zyxel VPN300 самостоятельную настройку сервиса авторизации оператора КубТел по смс, звонку и паспорту (ваучеру) для иностранцев.

Обратимся к КубТел за получением (или покупкой) сервиса. В принципе, они могут сами всё настроить, но нам тоже можно.

Получим:

• два IP-адреса №1 и №2 (для пункта 1 и 4);

• ключ (для пункта 1);

• идентификатор NAS (для пункта 1);

• URL авторизации (для пункта 6).

Пример настройки сервиса производился на Zyxel VPN300 с версией прошивки V5.02(ABFC.0). Рекомендуется, чтобы шлюз был готов к подключению к интернету.

1. КОНФИГУРАЦИЯ -> Объект -> Сервер аутентификации -> вкладка «RADIUS».

   Добавляете профиль и заполняете все поля (рис.1):

   

2. КОНФИГУРАЦИЯ -> Объект -> Метод аутентификации -> вкладка «Метод аутентификации».

   Добавляете метод аутентификации (рис.2). Заполняете имя и удаляете дефолтный профиль «local / ZyWALL» ИЛИ если пользуетесь функционалом «Биллинг» (КОНФИГУРАЦИЯ -> Хотспот -> Биллинг), профиль «local / ZyWALL» НЕ удаляем. Сразу переходим к следующему скриншоту (рис.3).

   

   Добавляете (рис.3) и выбираете профиль (созданный в п.1, рис.1)«KubTel_radius / RADIUS».

   

   ПРИМЕЧАНИЕ: Если точно и действительно пользуетесь биллингом (встроенный сервис авторизации) и планируете добавить внешний сервис авторизации, тогда в методе аутентификации «Kubtel_metod» добавляете два профиля: «local / ZyWALL» и «KubTel_radius». Это даст возможность авторизовать различные группы гостей сервисом КубТел и встроенным биллингом.

3. КОНФИГУРАЦИЯ -> Система -> WWW. Вкладка «Доступ».

   В методе аутентификации (рис.4) выбираете профиль (созданный в п.2, рис.2-3) «KubTel_metod».

   

4. КОНФИГУРАЦИЯ -> Объект -> Адреса/Гео-IP. Вкладка «IP-адрес».

   Добавляете, заполняете имя профиля и вносите IP-адрес №1 (рис.5).

   

   Ещё раз добавляете, заполняете второе имя и вносите IP-адрес №2 (рис.6).

   

5. КОНФИГУРАЦИЯ -> Объект -> Адреса/Гео-IP. Вкладка «Группа адресов».

   Объединяете ранее созданные профили с IP-адресами (созданные в п.4) в одну группу «KubTel_avtor» (рис.7).

   

6. КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Аутентификация».

   Добавляете новый тип аутентификации, заполняете имя профиля и полученный URL авторизации вносите в поле «URL авторизации» (рис.8).

   В URL приветствия вводите желаемую страницу приветствия вашего заведения.

   

7. КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация».

   Добавляете новую политику, заполняете имя профиля и выставляете указанные стрелкой параметры, если гостевая сеть подключена к входящему интерфейсу ge4 (рис.9). Этой политикой шлюз требует авторизацию у всех, кто подключён к ge4, по профилю KubTel (созданный в п.6, рис.8).

   

8. КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация».

   Добавляете повторно новую политику, заполняете имя профиля и выставляете указанные стрелкой параметры, если гостевая сеть подключена к входящему интерфейсу ge4 (рис.10). Этой политикой шлюз НЕ требует авторизацию для гостей, подключающихся к серверам авторизации. IP серверов авторизации ранее вносили в группу адресов в п.5, рис.7.

   

9. КОНФИГУРАЦИЯ -> Веб-аутентификация. Вкладка «Основная информация».

   Проверяете наличие галочки в глобальной настройке и расположение профилей (рис.11).

   Насчёт галочки «Включить страницу сеанса», по ней гость может узнать оставшееся время работы в интернете, продлить время аренды или самостоятельно завершить авторизацию (рис.14).

   

10. КОНФИГУРАЦИЯ -> Хотспот -> Ресурсы без аутентификации. Вкладка «База URL».

    Добавляете ссылку (http://kubtel.ru/about/personsdata) (рис.12), доступную гостям без аутентификации. По этой ссылке находится соглашение на обработку персональных данных, которая будет на странице авторизации в виде ссылки в самом низу.

    

11. КОНФИГУРАЦИЯ -> Объект -> Пользователи/группы. Вкладка «Пользователь».

    Устанавливаете желаемое время аренды и период повторной аутентификации (рис.13).

    

    ПРИМЕЧАНИЕ: На момент написания статьи время аренды автоматически не продлевается при активном сёрфинге гостя из группы External RADIUS Users. Возможно только ручное продление аренды (гостю необходимо зайти на http://6.6.6.6, переключить браузер смартфона в режим "Версия для компьютера" и нажать “Renew” (рис.14)).

    

    ПРИМЕЧАНИЕ: Создал 2 заявки в техподдержку, ответили: Первую заявку приняли, зафиксировали отсутствие кнопки в мобильной версии. Кнопку RENEW для мобильной версии добавят в 2022 году. Вторую заявку приняли, проблема зафиксирована, разбираются с устранением проблемы, просят подождать.

    Работаю 10 лет с продукцией Zyxel и заявки такого типа успешно выполняли. Молодцы. Ценю.
    

12. Если всё правильно настроили, на гостевом устройстве выскочит страница авторизации КубТела, на которой будет предложено пройти авторизацию (рис.15 и 16).

    

    

Тут и тут альтернативный сервис авторизации. Личный кабинет не проверял, процесс авторизации у Zyxel UAG5100 на всех устройствах хорошо работал, но в логах шлюза пишет об ошибках паролей. Нужно обратиться к их разработчику и оставить тикет на устранение ошибок в логах шлюза.
Не стал повторно создавать заявку, тк их сервис не закупали, не хотелось бесплатно лишний раз дёргать разработчика .
И дизайн страницы авторизации не всем гостям нравится, но в целом, тоже хороший сервис.

Вот и всё. Если у вас возникают вопросы – пишите в комментариях, а также общайтесь со мной и другими практикующими специалистами Zyxel в телеграм-канале https://t.me/zyxelru.

Другие ссылки:

• Русскоязычная документация на контроллеры точек доступа Zyxel с функцией межсетевого экрана http://download.from.Zyxel.ru/e2a9ef2c-8a04-4531-99ac-723ae068c44e/NXC2500_NXC5500_V4.10_UG-Rus.pdf

• Новостной канал в Telegram - https://t.me/zyxel_news

• Телеграм-чат поддержки для специалистов - https://t.me/zyxelru

• Форум для специалистов - https://community.zyxel.com/ru/categories

• Свежие новости в FaceBook - https://www.facebook.com/Zyxel.Russia/

• Полезные и интересные статьи в блоге Zyxel на Хабре - https://habr.com/company/zyxel/

• Наш YouTube - https://www.youtube.com/channel/UCcNN2UCEz1e49PEaAisN5ow

• Реализованные проекты - https://www.zyxel.com/ru/ru/solutions/success_stories_list.shtml

• Виртуальная лаборатория - https://support.zyxel.eu/hc/ru/sections/360001858040

• Удалённый стенд - https://support.zyxel.eu/hc/ru/articles/360014708840

• Мастер выбора оборудования - select.zyxel.ru

• Центр обучения Zyxel - https://academy.zyxel.eu/zcne-ru

• Постановление Правительства РФ №758 от 31 июля 2014 года - http://publication.pravo.gov.ru/Document/View/0001201408050024

• Постановление Правительства РФ №801 от 12 августа 2014 года - http://publication.pravo.gov.ru/Document/View/0001201408190035

• № 436-ФЗ - https://digital.gov.ru/ru/documents/3795

• Размеры штрафов - https://digital.gov.ru/ru/events/33687

• Примеры штрафов - https://mediapravo.com/ilaw/wi-fi-prokuratura.html

• Памятка для ЮЛ и ИП - https://77.rkn.gov.ru/directions/p30822