Обзор - руководство пользователя по создание сети предприятия на основе решений семейства Ubiquiti UniFi. (Часть 3)

Одной из основных функций Wi-Fi сетей является организация гостевого доступа к сети Интернет. Под «гостями» в данном случае понимаются все пользователи, не являющиеся сотрудниками организации. Также, во многих случаях, есть необходимость обеспечить доступ к сети Интернет с устройств, принадлежащих сотрудникам, но не соответствующих требованиям по уровню контроля безопасности (например, личные смартфоны и планшеты). Такая сеть должна иметь ряд специфических настроек. Во первых, клиенты должны быть изолированы как от «рабочей» сети, так и друг от друга. Во вторых желательно предусмотреть возможность ограничения времени доступа к сети для каждого пользователя (что особенно важно для гостевых сетей гостиниц, кафе и ресторанов, других общественных заведений). Очень часто полезным дополнением может стать демонстрация определенной информации рекламного или информационного характера перед предоставлением доступа к сети Интернет.

В рамках контроллера UniFi есть несколько вариантов создания сетей гостевого доступа.

Первый и самый простой способ – применить только правила изоляции клиентов в рамках гостевой политики и создать отдельную Wi-Fi сеть с такой политикой. Такой вариант лучше всего подходит для создания дополнительных сетей доступа для сотрудников или «доверенных» клиентов компании.

Второй способ заключается в использовании портала авторизации. Именно этот вариант является предпочтительным, поскольку позволяет применить все характерные особенности гостевых Wi-Fi сетей.

Создание Wi-Fi сети гостевого доступа с авторизацией на базе «ваучеров».

Создание новой Wi-Fi сети гостевого доступа начинается с выбора параметров в разделе «Settings» - «Wireless Networks» - «Create New Wireless Network». Необходимо выбрать имя сети и применить гостевую политику. Поскольку авторизация будет проходить на отдельном портале, в разделе «Security» оставляем открытый тип сети.

Дополнительные возможности могут включать ограничение скорости для клиентов (также можно отдельно настроить и в настройках портала для каждой серии ваучеров) и определенное расписание времени работы беспроводной сети (например, совпадающее с расписанием работы организации).

Рисунок 1. Создание новой гостевой сети.

Остальные настройки должны  выполняться в разделе «Guest Control». Для включения портала авторизации необходимо установить чекбокс «Enable Guest Portal» и выбрать ряд дополнительных параметров.

Авторизация («Authentification»). Варианты включают в себя:

·         Отсутствие авторизации. Открытая сеть с применением гостевых ограничений. Это самый простой из вариантов, но его применение нежелательно с точки зрения соответствия закону. Постановление Правительства РФ от 31 июля 2014 г. N 758 "О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей" обязывает владельцев точек бесплатного wifi идентифицировать пользователей. Поэтому, использование открытых сетей для публичного Wi-Fi невозможно.

·         Простой пароль («Simple Password»). При активации этой настройки пользователю будет показано лицензионное соглашение и форма ввода пароля – единого для всех пользователей сети. Такая схема позволяет выполнить формальное соответствие закону, но фактически не более безопасна, чем открытая сеть. Через некоторое время информация о пароле доступа распространится достаточно широко, чтобы сделать такую сеть общедоступной. В сети Интернет есть многочисленные сайты и сервисы с информацией о паролях общественным Wi-Fi сетям. Даже отзывы пользователей о гостиницах, кафе и ресторанах на таких популярных ресурсах как Trip Advisor или Foursquare часто содержат информацию о паролях Wi-Fi.

·         Хотспот – именно тот вариант, который наиболее удачно подходит для относительно небольших сетей. Один из вариантов настройки хотспота будет рассмотрен в данном обзоре.

·         Внешний портал авторизации. Этот вариант хорошо подходит для крупных и очень крупных сетей. В этом варианте возможности могут включать использование нестандартных платежных сетей, SMS авторизации и многое другое.  

Раздел «Landing Page» позволяет перенаправить клиента на определенный WEB сайт после авторизации.

Раздел «Portal Customization» позволяет заменить оригинальные файлы портала копией. После этого администратор может изменять содержание страниц портала авторизации (например, добавлять перевод страниц, логотипы и названия, изменить лицензионное соглашение для пользователей).

Настройки хотспота позволяют включит ь авторизацию на базе ваучеров (наиболее простой и удобных вариант для небольших сетей) или включить интеграцию с платежными системами. Тут же расположена ссылка на портал оператора хотспота, где доступно управление ваучерами, гостевыми подключениями и информацией о платежных системах. Включаем чекбокс «Voucher».

Раздел «Access Control»  позволяет ограничить доступ клиентов к определенным IP подсетям. По умолчанию блокируется доступ к частным IP подсетям.

Рисунок 2. Настройка гостевого контроля.

Настройка портала оператора и работа с ваучерами.

Для удобства обслуживания хотспота, его управление в рамках портала UniFi выделено в отдельную часть – портал менеджера. Первоначально, ссылка на портал менеджера доступна в разделе Hotspot основного портала. После перехода по ссылке будет открыто окно авторизации.

Рисунок 3. Экран авторизации портала менеджера хотспота.

Работу с порталом менеджера удобнее всего проводить не под администраторским аккаунтом, а под специально созданным аккаунтом с ограниченными полномочиями. Администратор может создать новых пользователей в разделе «Operators». Пользователь с ограниченными полномочиями может создавать новые ваучеры, отслеживать статус гостевых подключений, но не сможет менять настройки портала и сети UniFi.

Рисунок 4. Основной экран портала менеджера.

После создания аккаунта оператора, можно приступать к созданию ваучеров. Возможные варианты включают одноразовые и многоразовые ваучеры, ограничение скорости соединения или квоты трафика, продолжительность действия ваучера. Можно выпускать ваучеры различного типа в рамках одной сети.

Рисунок 5. Создание серии ваучеров.

Все созданные ваучеры будут отображаться в интерфейсе менеджера. Их можно распечатать и (при необходимости) отменить.

Рисунок 6. Список созданных ваучеров.

Рисунок 7. Распечатанный лист ваучеров.

Ваучер выдается пользователю гостевой сети. При подключении к Wi-Fi пользователь будет перенаправлен на страницу портала авторизации, где он должен будет ввести код ваучера и подтвердить согласие с условиями соглашения об использовании.

Рисунок 8. Пользовательская страница авторизации гостевой сети.

Все подключенные пользователи будут отображаться на основной странице портала менеджера. При необходимости, оператор может как принудительно отключить пользователя, так и продлить доступное ему время работы в сети.

Рисунок 9. Информация о гостевом доступе.

Кастомизация портала гостевого доступа.

Контроллер UniFi и портал гостевого доступа доступен на английском языке. Если это не представляет особой проблемы для администратора, для пользователей незнакомый язык может стать проблемой. Решением вопроса может стать кастомизация портала и замена основных заголовков и текстов на русские. После включения чекбокса «Enable Customization» в настройках гостевой политики,  страницы портала могут быть дополнены необходимой информацией. Пример исходных страниц портала можно скачать для ознакомления по ссылке https://wifimag.ru/upload/Portal.zip. Детальная информация по работе с порталом доступна на сайте разработчика по ссылке https://help.ubnt.com/hc/en-us/articles/205143830-UniFi-Hotspot-portal-customization (на английском языке).

Работа со страницами портала не представляет сложности в случае установки контроллера на обычный Windows или Linux компьютер. В случае использования аппаратного контроллера UniFi Cloud Key, доступ к файловой системе и страницам портала можно получить при помощи любого SFTP файлового менеджера. Например, программы WinSCP https://winscp.net/eng/docs/lang:ru. Авторизацию необходимо проводить от имени администратора устройства  UniFi Cloud Key, а не администратора портала UniFi (см. первую часть обзора).

Рисунок 10. Интерфейс файлового SFTP менеджера WinSCP.

Рисунок 11. Доступ к файлам гостевого портала UniFi.

В четвертой части обзора будут рассмотрены дополнительные настройки маршрутизатора и коммутаторов UniFi, возможности мониторинга сети и «облачный» доступ к интерфейсу управления.