Comments 19
Тестировалось ли решение, когда на точку подключено 20-30-40 клиентских устройств (в докоронавирусные времена это был вполне рядовой кейс)?
В условиях размещения кофебаров такой ситуации не было (обычно подключено 2-3 гостя, и 6 устройств в staff), специально такую ситуацию не воссоздавали для тестирования. Вас здесь интересует хватит ли канала VPN для NetFlow? Или нагрузка на процессор маршрутизатора?
Вас здесь интересует хватит ли канала VPN для NetFlow? Или нагрузка на процессор маршрутизатора?
Хуже — производительность самой точки. В моем понимании небольшого кофебара с опцией «кофе на вынос» — закрытое помещение, бариста, 5 столиков. На столик — 2 телефона плюс ноут. Итого приходим в час пик к 20 девайсам, треть из которых — яблочные. И пока пьют кофе, хорошо бы серфить с комфортом)
В похожих кейсах я упирался в то, что AP из микротиков как-то не очень и смена вендора дороже, но результативней. Поэтому жутко интересно, к каким цифрам приходили Вы.
PS: 2-3 гостя — возможно хватило бы простого домашнего роутера, перешитого в openwrt.
Можно по-разному устроить свою инфраструктуру. По поводу производительности, вы имеете ввиду возможности процессора гонять пакеты (что конкретно вас не устроило, что «AP из микротиков как-то не очень»)?
что конкретно вас не устроило, что «AP из микротиков как-то не очень»
В первую очередь сам радиотракт. Покрытие, работа в зашумленном эфире, танцы с яблочными девайсами. Доходило до абсурда: какой-то домашний кинетик работал в эфире стабильней, чем специализированная cap. Лично для себя остановились на стартовом варианте: mikrotik как роутер + ubiquiti как точки. Проигрываем в моновендорности, немного проигрываем в цене — выигрываем в стабильности. Критерий — наверно это работа голосового трафика, на нем хорошо видно, как работает сеть; второе (ну мы же it-шники) — обычная ssh-консоль к удаленному серверу.
PS: немного спасает ситуацию то, что сейчас покрытие и тарифы 4G нивелируют потребность в публичном wifi. Разумеется, если 4G в нашем месте вообще существует как сущность.
Мне микротики симпатизируют при настройке WiFi, потому как позволяют настраивать большое количество параметров, кроме этого имеют различный функционал для мониторинга своей работы. Из собственного опыта не было не решаемых проблем MikroTik, по сложным вопросам («не понятностям» и т.д.) всегда можно написать им напрямую и получить в короткие сроки разъяснения.
На ловца и зверь бежит…
Буквально на днях столкнулся с проблемами организации Хотспота для ресторана.
И всплыли очень интересные детали)
Оказывается существующие решения с недавних пор столкнулись с глобальной проблемой.
Выглядит проблема вот так:
Чекбокс ЧАСТНЫЙ АДРЕС.
Смысл в том что начиная емнип с 14-й версии IOS и 10-й версии андроид, при подключении к ОТКРЫТЫМ сетям вайфай, устройства отдают не свой «настоящий» MAC-адрес, а рандомный!
И при КАЖДОМ переподключении к ВайФай этот MAC меняется.
Т.е. вы пришли в ресторан, подключились к открытому WiFi ресторана, прошли процедуру аутентификации (SMS, звонок — не важно), МАС-адрес привязывается к номеру телефона и типа все хорошо и все работает.
Потом вы откладываете телефон в сторону, он благополучно переходит в спящий режим и (в зависимости от настроек телефона) отключается от сети WiFi.
Когда вы снова включаете телефон, он пытается снова подключится к открытой сети ресторана и происходит фигня)
Телефон подключается уже с ДРУГИМ MAC-адресом! А с точки зрения системы аутентификации — это уже совершенно другое устройство)
На телефоне опять всплывает окно с просьбой пройти всю процедуру заново)
Мало того что это категорически не устраивает клиентов, так еще и система аутентификации часто начинает сходить с ума.
В принципе проблема решается отключением этого «частного адреса» на телефоне или планшете, но всем клиентам этого не обьяснить.
Короче я теперь в глубоких раздумьях что с этим всем делать…
Может кто подскажет решение?
Можно конечно запаролить ВайФай и выдавать пароли после прохода процедуры, но это менее удобно для клиентов…
Хотя сейчас подумал… Закрытая сеть это тоже не решение. Получив пароль его можно раздать всем сидящим за столом)
Буквально на днях столкнулся с проблемами организации Хотспота для ресторана.
И всплыли очень интересные детали)
Оказывается существующие решения с недавних пор столкнулись с глобальной проблемой.
Выглядит проблема вот так:
Чекбокс ЧАСТНЫЙ АДРЕС.
Смысл в том что начиная емнип с 14-й версии IOS и 10-й версии андроид, при подключении к ОТКРЫТЫМ сетям вайфай, устройства отдают не свой «настоящий» MAC-адрес, а рандомный!
И при КАЖДОМ переподключении к ВайФай этот MAC меняется.
Т.е. вы пришли в ресторан, подключились к открытому WiFi ресторана, прошли процедуру аутентификации (SMS, звонок — не важно), МАС-адрес привязывается к номеру телефона и типа все хорошо и все работает.
Потом вы откладываете телефон в сторону, он благополучно переходит в спящий режим и (в зависимости от настроек телефона) отключается от сети WiFi.
Когда вы снова включаете телефон, он пытается снова подключится к открытой сети ресторана и происходит фигня)
Телефон подключается уже с ДРУГИМ MAC-адресом! А с точки зрения системы аутентификации — это уже совершенно другое устройство)
На телефоне опять всплывает окно с просьбой пройти всю процедуру заново)
Мало того что это категорически не устраивает клиентов, так еще и система аутентификации часто начинает сходить с ума.
В принципе проблема решается отключением этого «частного адреса» на телефоне или планшете, но всем клиентам этого не обьяснить.
Короче я теперь в глубоких раздумьях что с этим всем делать…
Может кто подскажет решение?
Можно конечно запаролить ВайФай и выдавать пароли после прохода процедуры, но это менее удобно для клиентов…
Хотя сейчас подумал… Закрытая сеть это тоже не решение. Получив пароль его можно раздать всем сидящим за столом)
Запароленная сеть не решает юридических аспектов вопроса, поэтому это тоже не выход для хот-спота.
Тоже напоролись на это. Общаясь с коллегами по этой проблеме рассказал про свой опыт путешественника: у локалов у всех обычно свой 4г и им хот спот не уперся, ну или самые жадные пользуются, а ты, забывший загрузить карты в предотъездной суматохе, обязательно разберешься, как подключиться к споту =)))… к чему это я: с этим «частным адресом» проще отпустить и не заниматься перфекционизмом, Вы сами ответили на свои вопросы: лекарства нет, либо паролить спот, либо клиент сам догадается с галкой. И там и там не плохо написать объявление (рассматривали вариант сделать пароль, как имя сети или описание этой галки). В итоге, выбрали не паролить, на рецепшене на всякий случай поставили табличку с описанием этой проблемы, но, как оказалось, люди уже в курсе и снимают эту галку сами. Это мой кейс, понятно, что ситуации могут быть разные.
А разве мак меняется не для каждой сети отдельный?
Чтобы повысить уровень конфиденциальности, операционные системы iOS 14, iPadOS 14 и watchOS 7 используют разные MAC-адреса для каждой сети Wi-Fi. Такой уникальный статический MAC-адрес является частным Wi-Fi-адресом вашего устройства, который используется только для конкретной сети.
https://support.apple.com/ru-ru/HT211227
Поэкспериментировал с частным адресом. Вывод такой: MAC закрепляется телефоном за сетью, при повторной аутентификации не меняется. Вижу проблему в другом. Айфон при простое сам инициирует деаутентификацию на Hotspot-е, поэтому и требуется снова вводить пароль при повторе. Переформулирую мысль по другому: айфон перед тем как уснуть заботливо корректно выходит из Hotspot-a, со всеми вытекающими проблемами.
Интересная ситуация. MikroTik поддерживает аутентификацию в Hotspot по следующим элементам: MAC, HTTP CHAP, HTTP PAP, MAC Cookie, Cookie, HTTPS, Trial (https://wiki.mikrotik.com/wiki/Manual:Hotspot_Introduction). Однако ни один из них не решает эту ситуацию. Рандомизация MAC в открытых сетях — это элемент сохранения приватности, а следовательно, современный тренд и придется с ним смириться. В настоящее время логинить WiFi под Hotspot действительный выход из ситуации. Или компании MikroTik вводить новый метод «HTTP Cookie without persistant MAC», и будем нам опять счастье). Я написал запрос в компанию MikroTik об этом, посмотрим что они ответят.
WiFi в Питерском метро как то обходит эту проблему. При подключении с частным адресом выводит сообщение что надо отключить или не пускает в интернет.
Ох, снова МТ (
Openwrt + сторонний сервис для входа по sms ничем не хуже при таком небольшом кол-ве клиентов. И гостевая сеть на Openwrt поднимается в нес-ко кликов — openwrt.org/docs/guide-user/network/wifi/guestwifi/guestwifi_dumbap, osbsd.com/nastrojka-gostevoj-seti-wifi-na-routere-openwrt.html. И 802.11r/k можно — habr.com/ru/post/327166, parkercs.tech/enabling-802-11r-fast-roaming-transition-on-openwrt, www.reddit.com/r/openwrt/comments/515oea/finally_got_80211r_roaming_working.
Было бы время и желание собрать.
Зы. Централизованное управление точками на Openwrt — OpenWISP openwisp.org/whatis.html Умеет и по sms — openwisp-radius.readthedocs.io/en/latest/user/api.html?highlight=SMS#create-sms-token
Openwrt + сторонний сервис для входа по sms ничем не хуже при таком небольшом кол-ве клиентов. И гостевая сеть на Openwrt поднимается в нес-ко кликов — openwrt.org/docs/guide-user/network/wifi/guestwifi/guestwifi_dumbap, osbsd.com/nastrojka-gostevoj-seti-wifi-na-routere-openwrt.html. И 802.11r/k можно — habr.com/ru/post/327166, parkercs.tech/enabling-802-11r-fast-roaming-transition-on-openwrt, www.reddit.com/r/openwrt/comments/515oea/finally_got_80211r_roaming_working.
Было бы время и желание собрать.
Зы. Централизованное управление точками на Openwrt — OpenWISP openwisp.org/whatis.html Умеет и по sms — openwisp-radius.readthedocs.io/en/latest/user/api.html?highlight=SMS#create-sms-token
Решение подобной задачи может быть реализовано различными путями. Мы остановились на MT, потому что имеющийся в них функционал позволяет решить ее, стабильность работы железа (софта), отличные характеристики и цена. Так же как выбрали OpenVPN, хотя возможно (и даже гораздо проще) задействование и других протоколов VPN. Проект реализован, все работает, заказчик доволен, и всегда есть что еще улучшить и усовершенствовать, как в аппаратном плане, так и на программном уровне.
Sign up to leave a comment.
Hotspot для бизнеса своими руками