1. Ідентифікація за номером телефону
2. Схема ідентифікації оператором за номером телефону
3. Настройка обладнання
4. http cs0
5. ssh dpi_user @ dpi_host «/home/fastdpi/_add_captive_portal.sh <IP>»

23.12.2016 | Володимир Хазов

Безкоштовний Wi-Fi для відвідувачів кафе, ресторанів, торгових центрів і багатьох інших громадських місць вже став обов'язковою нормою хорошого сервісу. Якщо ще кілька років тому, щоб вийти в інтернет з планшета або телефону необхідно було використовувати мобільний інтернет, то зараз безкоштовний Wi-Fi є практично скрізь: у транспорті, в парку, в кафе, в торговому центрі. Але все частіше, при підключенні до мережі Wi-Fi необхідно ввійти в систему, навіщо вона потрібна і як реалізується?

Анонімний і безконтрольний доступ в мережу інтернет може стати загрозою для держави і його жителів, саме тому Постанова уряду №758, що набула чинності 13 серпня 2014 року, зобов'язало власників публічних закладів, які надають безкоштовний доступ до Wi-Fi, ідентифікувати користувачів. Згідно з постановою та роз'ясненням Мінкомзв'язку, ідентифікація може бути виконана трьома способами: по документу, що посвідчує особу (наприклад, паспорту), номеру мобільного телефону або облікового запису на сайті держпослуг.

Хто відповідає за ідентифікацію

Проводити ідентифікацію користувача, реєструвати його пристрій в мережі і стежити за часом робочої сесії повинен власник закладу, який надає доступ до відкритої Wi-Fi мережі. Відповідальність і штраф (до 50 000 рублів для ІП і до 200 000 рублів для юридичних осіб) за невиконання вимог постанови лягає також на нього.

Існують 3 основних способи організації ідентифікації:

1. Установка спеціального обладнання (роутера, проксі-сервера) в мережі Wi - Fi закладу.

Такий спосіб найчастіше застосовується власниками готелів, де для ідентифікації гостя в мережі використовується номер кімнати, до якого прив'язані його паспортні дані.

1. Використання готового рішення від фірми посередника, яка надає обладнання і сервіс по ідентифікації за номером телефону.

Цей спосіб може застосовуватися власниками невеликих кафе і ресторанів, але має обмеження щодо масштабування і вимагає укладення окремого договору і щомісячної плати за сервіс.

1. Надання послуги ідентифікації оператором зв'язку, з яким укладено договір на надання доступу в інтернет.

Найбільш універсальний і доступний варіант, так як не вимагає додаткових витрат на обладнання, може оплачуватися за основним договором надання доступу до мережі інтернет і не має обмежень по числу абонентів безкоштовного Wi-Fi.

Нагадаю, що ідентифікація може здійснюватися трьома способами - по документу, що посвідчує особу (паспорт, водійські права і т.д.), номеру мобільного телефону або облікового запису на сайті держпослуг.

Авторизація через соціальні мережі не відповідає вимогам Постанови і не є правомірною.

Ідентифікація за номером телефону

Даний спосіб ідентифікації є найбільш поширеним, він не вимагає згоди по роботі з персональними даними від користувача Wi-Fi, як в разі використання паспорта, і не зобов'язує реєструватися на сайті держпослуг, для чого також необхідний інтернет, який користувач намагається отримати.

Послідовність дій користувача для доступу до безкоштовної мережі Wi-Fi виглядає наступним чином:

1. Абонент підключається до мережі WiFi.
2. З'являється привітальна сторінка закладу з інформацією, що абонент повинен відкрити браузер і ідентифікувати себе (на деяких пристроях, наприклад, iPhone, ідентифікація прямо з вітальною сторінки не зберігає cookie).
3. У браузері, при переході на будь-який URL, відбувається переадресація абонента на сторінку ідентифікації.
4. Абонент вводить телефонний номер, запитує код доступу.
5. Код доступу приходить на введений номер телефону через SMS.
6. Абонент вводить отриманий код доступу на сторінці ідентифікації.
7. Відбувається запис сесійного cookie на абонентський пристрій зі збереженням протягом доби (це необхідно для повторного доступу в мережу без ідентифікації) і перехід на запитаний користувачем URL.

Власнику закладу необхідно тільки встановити і налаштувати обладнання Wi-Fi, підключити його до лінії оператора зв'язку і оплатити обраний тарифний план. Робота з ідентифікації користувача відбувається на обладнанні оператора зв'язку, як це відбувається розглянемо на прикладі системи DPI СКАТ від компанії ВАС Експертс .

Схема ідентифікації оператором за номером телефону

Крім стандартного устаткування для надання доступу до мережі інтернет абонентам (комутатори, маршрутизатори, граничний роутер, Wi-Fi точки доступу) оператор повинен мати:

• Систему СКАТ DPI ;
• DHCP сервер для організації централізованої видачі адрес абонентам (в одній мережі з DPI), що володіє можливістю при видачі нового IP адреси викликати shell скрипт;
• Віртуальну машину з встановленим WEB-сервером Apache (httpd), модулем перегляду статистики і звітів (nfsen) ;
• Доступ до сервісу для відправки SMS повідомлень (наприклад, digital-direct.ru );
• NAT для зменшення кількості використовуваних IPv4 адрес, і записом балки трансляцій IP↔IP, PORT (опціонально);
• Radius для аутентифікації в мережі за ідентифікатором абонента (опціонально).

Послідовність операцій при роботі за такою схемою:

1. Абонентський пристрій (смартфона, планшет, ноутбук) підключається до Wi-Fi роутера закладу (та сама безкоштовна мережа);
2. Wi-Fi роутер звертається за новим IP до DHCP сервері оператора зв'язку;
3. При видачі нового IP, DHCP сервер викликає shell-скрипт, і передає дані на Wi-Fi роутер;
4. Shell-скрипт за виданим IP активує на СКАТ DPI послугу білий список і тариф з обмеженнями доступу;
5. WEB-сервер отримує запит на вітальну сторінку, абонент активує браузер і переходить на будь-який URL;
6. WEB-сервер отримує запит на сторінку ідентифікації (і перевіряє cookie), абонент вводить телефонний номер і натискає «отримати код доступу»;
7. WEB-сервер отримує запит на код доступу, формує випадкове число і відправляє на телефон абонента за допомогою зовнішнього сервісу, абонент вводить в форму отриманий код і натискає «підтвердити»;
8. WEB-сервер отримує запит на підтвердження коду доступу, якщо код правильний, викликає shell-скрипт для видалення послуги білий список і установки тарифу Wi-Fi доступу, встановлює cookie в браузері і переадресує на запитаний URL.

Настройка обладнання

Для реалізації схеми необхідно налаштувати обладнання оператора: систему DPI, DHCP-сервер, Web-сервер.

Налаштування системи DPI

1. Використовуємо опис класів протоколів txt

http cs0

https cs0

dns cs0

default cs1

1. Конвертуємо і з архіву з кодами копіюємо на сервер DPI

cat protocols.txt | lst2dscp /etc/dpi/protocols.dscp

htdocs / wifi / .script в / home / fastdpi /

1. Створюємо файл тарифу default_policing.cfg для доступу до інтернет через WiFi - 10 mbit

htb_inbound_root = rate 10mbit

htb_inbound_class0 = rate 1mbit ceil 10mbit

htb_inbound_class1 = rate 1mbit ceil 10mbit

htb_inbound_class2 = rate 8bit ceil 10mbit

htb_inbound_class3 = rate 8bit ceil 10mbit

htb_inbound_class4 = rate 8bit ceil 10mbit

htb_inbound_class5 = rate 8bit ceil 10mbit

htb_inbound_class6 = rate 8bit ceil 10mbit

htb_inbound_class7 = rate 8bit ceil 10mbit

htb_root = rate 10mbit

htb_class0 = rate 1mbit ceil 10mbit

htb_class1 = rate 1mbit ceil 10mbit

htb_class2 = rate 8bit ceil 10mbit

htb_class3 = rate 8bit ceil 10mbit

htb_class4 = rate 8bit ceil 10mbit

htb_class5 = rate 8bit ceil 10mbit

htb_class6 = rate 8bit ceil 10mbit

htb_class7 = rate 8bit ceil 10mbit

1. Створюємо файл тарифу captive_portal_hard.cfg для блокування доступу до інтернету спільно з білим списком

htb_inbound_root = rate 256kbit

htb_inbound_class0 = rate 8bit ceil 256kbit

htb_inbound_class1 = rate 8bit ceil 8bit

htb_inbound_class2 = rate 8bit ceil 8bit

htb_inbound_class3 = rate 8bit ceil 8bit

htb_inbound_class4 = rate 8bit ceil 8bit

htb_inbound_class5 = rate 8bit ceil 8bit

htb_inbound_class6 = rate 8bit ceil 8bit

htb_inbound_class7 = rate 8bit ceil 8bit

htb_root = rate 256kbit

htb_class0 = rate 8bit ceil 256kbit

htb_class1 = rate 8bit ceil 8bit

htb_class2 = rate 8bit ceil 8bit

htb_class3 = rate 8bit ceil 8bit

htb_class4 = rate 8bit ceil 8bit

htb_class5 = rate 8bit ceil 8bit

htb_class6 = rate 8bit ceil 8bit

htb_class7 = rate 8bit ceil 8bit

1. Налаштовуємо послугу білий список

cp_server = yoursite.ru / welcome.php

Налаштування DHCP- сервера

1. Налаштовуємо віддалений запуск команд через SSH
2. Встановлюємо тригер на видачу нового IP:

ssh dpi_user @ dpi_host «/home/fastdpi/_add_captive_portal.sh <IP>»

Налаштування Web- сервера

1. Налаштовуємо віддалений запуск команд через SSH
2. Налаштовуємо конфігурацію Apache, приклад в директорії архіву conf /:

• в conf.d / php.ini переносимо / додаємо настройки з прикладу conf / php.ini
• включаємо файл conf
• налаштовуємо DocumentRooot на / var / www / html / htdocs / wifi /

1. Копіюємо htdocs / в / var / www / html
2. редагуємо /var/www/html/htdocs/wifi/.script/remove_captive_portal.sh
3. Редагуємо /var/www/html/htdocs/wifi/request.php, вказуємо USER і PASSWORD доступ до сервісу відправки SMS повідомлень

Реалізація ідентифікації користувача за такою схемою дозволяє вирішити відразу кілька завдань:

• Надавати відвідувачам безкоштовний доступ в інтернет, підвищуючи тим самим їх лояльність і задоволеність;
• Відповідати вимогам Постанови і уникнути штрафів;
• Розміщувати на сторінці авторизації рекламу та інформацію про маркетингові акції закладу;
• Ведення статистики про відвідувачів для подальшого аналізу з метою підвищення якості послуг, що надаються.

Для отримання більш докладної інформації про функції ідентифікації користувачів системи DPI СКАТ і інших її можливостей можна звернеться до фахівців компанії ВАС Експертс .

Підписуйтесь на розсилку новин блога , Щоб не пропустити нові матеріали.

Поділитися в соціальних мережах