AAA sem fio para um pequeno hotel com largura de banda limitada

8

Nós (a tecnologia com quem trabalho e eu) vivemos em uma cidade remota do norte, onde o acesso à Internet é um luxo e a largura de banda é bastante limitada. Aqui, cobranças excedentes que variam de algumas centenas a milhares de dólares por mês, não são incomuns. Eu próprio recebo cobranças mensais regulares apenas com o uso regular da Internet em casa (tenho 10G por US $ 60CAD!)

Como parte do meu trabalho, me envolvi com vários hotéis que estão sentindo isso. Sei que posso criar algo para resolver esse problema, mas sou relativamente novo na administração de sistemas e não quero que meus sonhos superem a realidade.

Por isso, passo essas idéias para vocês, com muito mais experiência do que eu, na esperança de compartilhar alguns de seus pensamentos e preocupações.

Esse sistema deve ser econômico, sim, os custos são altos aqui, mas a confiança na tecnologia é a mais baixa que eu já vi.

  • Deve ser capaz de ajudar o cliente a reduzir seu uso (squid)
  • Permita uma quantidade limitada (taxa de transferência e uso total) de Internet gratuita, pois geralmente é uma política de franquia.
  • Permitir que um usuário rastreie seu uso de largura de banda
  • Permita (opcional) maior velocidade e / ou uso por um custo adicional. Essa taxa pode ser obtida na recepção no check-out e não deve exigir o uso de PayPal ou cartão de crédito.
  • Infelizmente, algumas franquias têm políticas ridículas que exigem o uso de um
    serviço remoto de terceiros para autenticar convidados na sua rede. Isso significa que o WPA está fora do ar e também que não me autentico antes do uso da Internet, esse será o trabalho deles. No entanto, eu exijo que o ABILITY execute autenticação para acesso à Internet se um hotel não tiver essa política. Ainda terei que rastrear a largura de banda (em uma conta de convidado por padrão) e fornecer a mesma limitação; no entanto, o convidado geralmente exigirá um acesso 'ilimitado' completo, em termos de existência, não de taxa de transferência.
  • Forneça recursos de firewall para hotéis que não possuem nada, segregação de rede Office e Convidado (alguns desses funcionários estão executando seu escritório na rede de convidados, sem criptografia e com um TOS simples para seguir!)
  • Impedir que os convidados se conectem a outros convidados, no entanto, forneça um meio de permitir que isso aconteça. IE. Cada convidado se conecta a uma página e permite ao outro convidado, isso cria uma regra de iptables (com python-netfilter) e permite que duas salas joguem um jogo, por exemplo.

Meus pensamentos sobre como implementar isso. Uma caixa decente (vamos chamá-lo de roteador agora) com muita memória RAM e três placas de rede:

  1. Internet
  2. Escritório
  3. Convidados (AP's + Ethernet no quarto)

Regras de firewall do roteador

  • O convidado pode conversar apenas com o roteador, através do qual eles são roteados para onde precisam ir, incluindo serviços de Internet.
  • O Office pode ser usado para conectar o Office à Internet se uma solução existente não estiver em vigor; caso contrário, ele simplesmente funciona para uma interface da Web acessível em rede (webmin + python-webmin?).

Software do roteador:

  • O OpenVZ fornece virtualização para alguns serviços nos quais eu realmente não confio. Lula, FreeRADIUS e Apache. O único serviço diretamente acessível aos hóspedes é o Apache.
  • O Apache possui mod_wsgi e django, porque eu posso escrever rapidamente usando o django e minhas necessidades são baixas. Também possui potencialmente o mod FreeRADIUS, mas parece haver algumas ressalvas com isso.
  • As regras de firewall são tratadas no roteador com iptables.
  • O Webmin (ou um aplicativo personalizado do django, talvez) fornece controle abstrato sobre todos os recursos que a equipe pode precisar acessar.
  • Python, se você ainda não adivinhou, é a linguagem em que me sinto mais confortável e a uso para quase tudo.

E, finalmente, isso foi feito, é um projeto excessivamente volumoso que não vale a pena assumir para um cara, e / ou há algumas ferramentas que estão faltando que poderiam facilitar minha vida?

Para o registro, eu sou bastante bom com Python, mas não estou muito familiarizado com muitas outras linguagens (eu posso lutar com o PHP, é uma questão estética lá). Eu também sou um usuário ávido de linux e confortável com arquivos de configuração e linha de comando.

Obrigado pelo seu tempo, estou ansioso para ler suas respostas.

Edit: Minhas desculpas se este não é um Q&A no sentido que alguns esperavam, estou apenas procurando idéias e para ter certeza de que não estou tentando fazer algo que já foi feito. Estou vendo o pfSense agora como um possível começo para o que eu preciso.

router internet radius pfsense bandwidth-control Anthony Hiscox
fonte
Estou tendo problemas para resolver qual é a sua pergunta. Vejo algumas queixas e algumas idéias, mas o que você realmente quer? Afinal, este é um site de perguntas e respostas, não um fórum de discussão.
John Gardeniers
Peço desculpas por não estar claro, o problema é que não estou fazendo uma pergunta muito específica. Não estou dizendo "eu tenho dois computadores, eu fiz isso, deve funcionar, não é". Estou procurando conselhos em um nível muito mais alto. Antes que eu soubesse sobre o FreeRADIUS, por exemplo, uma boa resposta poderia ser "Para rastrear esses usuários e poder cobrá-los, dê uma olhada no FreeRADIUS". Outro tópico sobre restrições de largura de banda para um colega de quarto me levou ao pfSense, que parece oferecer muito controle e pode ser muito útil para mim. Eu também quero evitar reinventar a roda.
Anthony Hiscox
11
Estou me perguntando qual é o significado de 'cidade remota do norte'. Você rejeitaria uma solução que funcionasse em uma 'cidade remota do sul'?
pavium 17/02/10
Se as linhas telefônicas não são grandes o suficiente, por que não a Internet via satélite, como wildblue ou hughesnet?
Paul
Não há significado para onde moro, além do fato de que é onde moro. Dizer que eu e outra pessoa moramos no remoto sul estaria mentindo. É claro que não rejeitarei idéias ou soluções se elas nos ajudarem. Vou verificar com a outra tecnologia sobre a questão de sat, meu palpite é que será algo difícil de vender.
Anthony Hiscox

Respostas:

1

Depois de examinar o projeto pfSense agora, acho que ele fornecerá muito do que eu preciso com algumas configurações. Ele suporta o Captive Portal, e faz isso com os servidores Radius, pode ser configurado com o Squid para proxies transparentes e parece que ele tem MUITO controle sobre o tráfego. Ainda estou aberto a mais ideias que possam ajudar. Obrigado!

Anthony Hiscox
fonte
0

Pensamentos aleatórios:

  • Primeiro, comece com um diagrama de rede. Não se preocupe em ativar o Visio; basta desenhar um no papel. Depois de descobrir por onde começar, repita algumas perguntas específicas aqui. Esta postagem é muito densa. Ao torná-lo pequeno, você obterá respostas melhores e mais ponderadas que abordam perguntas específicas.

  • "Impedir que os convidados se conectem a outros convidados ..." Você não poderá fazer isso no firewall porque todos estão na mesma LAN interna. Você precisará fazer isso no switch, portanto precisará de um switch gerenciado (inteligente).

  • Python é a linguagem ideal para algo assim. Não se preocupe em não conhecer PHP. PHP não é a linguagem certa. PHP nunca é a linguagem certa. Para qualquer coisa.

  • Você não vai querer manter suas regras do iptables manualmente, a menos que seja masoquista. Procure usar o Shorewall . É simplesmente uma fina camada de configuração sobre as tabelas de ip que facilita muito o gerenciamento.

jamieb
fonte
Vou considerar fazer um diagrama, mas isso é um pouco difícil, pois preciso ser flexível para algumas configurações de rede diferentes. A outra tecnologia está atualmente olhando para um switch de injeção PoE de 48 portas, acredito que seja gerenciado. +1 Python -1 PHP, bom. Eu mencionei isso por causa de coisas como: PHPMyPrepaid, que a outra tecnologia sugeriu que eu investigasse. Eu concordo, eu considerei Firehol ou Shorewall, analisarei mais isso. Agora estou lendo sobre o pfSense, parece que pode ser um passo na direção certa. Felicidades.
Anthony Hiscox
-1 por dizer que o PHP não serve para nada. Eu concordo que o PHP geralmente não é a escolha certa se você o colocar um pouco menos fortemente, isso é apenas um comportamento de fanboy. Edit: Além disso, eu uso o iptables e eles funcionam muito bem para os meus propósitos até agora. Não sei se o Shorewall funciona bem no Android, mas o iptables funciona muito bem, obrigado.
Luc
0

Existem instalações prontas para fornecer o tipo de serviço que você está falando. Geralmente, um sistema mini-itx com o sistema operacional já está configurado no compact flash. Geralmente, você tem a opção entre acesso gratuito e um sistema de pagamento que funciona nos APs em muitos locais diferentes. Suponho que você é do Canadá, mas só conheço exemplos específicos que são para a Grã-Bretanha.

JamesRyan
fonte
Saber o nome me permitiria ter mais informações sobre como eles fazem isso? Nesse caso, ainda gostaria de investigar.
Anthony Hiscox
Devo observar que ter uma opção entre pago e gratuito não funcionará. Eu preciso de graça, mas também pago. O acesso gratuito à Internet é algo que MUITAS franquias implementam em seus hotéis e é um requisito que não podemos simplesmente eliminar porque somos remotos. Portanto, sempre deve haver um nível gratuito de Internet. Quanto isso significa que um usuário pode usar, fica a nosso critério. Essencialmente, queremos que usuários pesados ​​paguem como pagamos, e usuários leves ainda recebem tudo de graça.
Anthony Hiscox
0

Um ponto de acesso Mikrotik fará tudo o que você listou. Você deve conseguir executar cada local fora de um 450G ou similar.

Oesor
fonte