34T Forums
34T Forums
Volver a 34T | Mi Perfíl | Registrarse | Temas activos | Buscar
Username:
Password:
Save Password
 Todos los foros
 Lobometrics
 Series OSB / OSC
 LOBO 924R - Servicios Hotspot Hotel
 Forum Locked
 Formato imprimible
Autor Previous Topic Topic Next Topic  

chart

43 Posts

Posted - 11/03/2009 :  12:26:14  Show Profile
Buenos días,
tengo configurado en un Hotel 4 LOBO 924R conectados por ethernet hasta el router ADSL ofreciendo 4 zonas de cobertura (1 LOBO para cada 2 plantas) a las que los clientes pueden conectarse para usar el servicio (de pago) de WIFI del hotel.
En recepción tengo un PC con el software de lobometrics RADIUS Server para que el personal de recepción asigne usuarios y contraseñas a los clientes que quieran pagar el servicio (ejemplo: quiero 1 hora de conexión wifi-> el recepcionista crea un usuario con el software, se le imprime al cliente un ticket con su user/pwd para conectarse).
Todo va bien para quien usa ordenadores portátiles, ya que como uso el sistema HTTP CHAP, al abrir el navegador, el cliente introduce su usuario y contraseña y LISTOS! a navegar.
En cambio, me gustaría poder configurar el acceso para los clientes que quieran, por ejemplo, jugar en red con su Nintendo DS.
De momento lo he conseguido habilitado la autenticación por MAC (a parte de HTTP CHAP y Cookie en el submenu IP->Hotspot->Server profiles del winbox del Lobo) e introduciendo en IP BINDINGS la MAC de la consola nintendo especificandole Type=bypassed.
El problema es que de este modo no puedo controlar el tiempo de conexión del cliente ya que no pasa por el server RADIUS
¿Hay algun modo de dar de de alta usuarios desde el Lobometrics Radius Manager con su dirección MAC? (o algo parecido?)

Por otro lado, Riccardo, sigo esperando impacientemente la versión RC3 del Lobometrics Radius Server, que me permitirá configurar correctamente los "Idle Timeouts" de los clientes que dejen de usar la conexión WIFI (de pago) y no se les tarifique tiempo que no han utilizado realmente. Espero que la versión RC3 también incluya nuevas funcionalidades como el alta de usuarios por MAC Address como comentaba enteriormente.

Un saludo y gracias,
Christian

Marc

318 Posts

Posted - 11/03/2009 :  14:32:30  Show Profile
Christian

para autentificar los usuarios por MAC debes seguir los siguientes pasos:

1.- Habilitar autentificación por MAC en el server profile (como ya has hecho)

2.- En el Lobometrics RADIUS server crear un usuario con nombre la MAC de la estación que se conectará y sin password. A este usuario le podrás limitar ancho de banda, trafico, etc. Y podrás tarificar de igual manera que a los usuarios normales.

En éste método (auth MAC) es importante añadir el idleTimeout que si incorpora la nueva versión RC3.

No debes añadir la MAC en IP BINDINGS ya que así, el hotspot no pregunta al servidor RADIUS.


La versión RC3 se publicará esta semana.


Saludos
Go to Top of Page

chart

43 Posts

Posted - 27/03/2009 :  12:11:33  Show Profile
Hola Marc,
me podríais indicar si está disponible la version RC3 del Lobometrics Radius Server
y de dónde puedo descargármela?

Gracias,
Christian
Go to Top of Page

Riccardo

932 Posts

Posted - 27/03/2009 :  15:25:25  Show Profile
Estoy muy feliz de darte esto link por descargar el servidor RADIUS rc3 de lobometrics:

http://www.34t.com/data/LRS0100RC3.exe

Salu2
Go to Top of Page

chart

43 Posts

Posted - 30/03/2009 :  17:19:51  Show Profile
Gracias Riccardo!
Lo voy a empezar a usar YA MISMO.
Un saludo,
Christian
Go to Top of Page

chart

43 Posts

Posted - 08/04/2009 :  18:04:05  Show Profile
Ya tengo el sistema implantado y va de categoría: 4 LOBOs 924R con 1 antena omnidireccional de 6dBi cada uno y cableados por ethernet en la red local hasta el router ADSL y el PC de recepción actuando como RADIUS servers con el Servidor Radius RC3.

Tengo un ligero problema: conectandome al LOBO1, en principio me tendría que asignar la IP 10.1.10.X por DHCP, pero tengo l IP prefijada a las típicas de telefónica: 198.162.1.20 / Gateway: 192.168.1.1.
Me conecto al LOBO, me pide usuario/contraseña por HTTP/CHAP, me meto... hasta aqui todo OK.
El problema es que la red secundaria (la red local del Hotel) NO PUEDE SER ACCESIBLE NI VISIBLE POR LOS PCs conectados a la WIFI.
Es decir, no debería poder ver la red 13.0.16.X (el router ADSL es 13.0.16.254).
En cambio, meto en el navegador la IP del router y me puedo meter en la administración de la ADSL, hago pings al resto de ordenadores (de dirección, de recepción...etc y ME RESPONDEN!)
¿Qué parte del LOBO vía Winbox debo modificar para que los clientes que se metan por WIFI (y autenticación RADIUS) NO VEAN LA RED LOCAL?
Supongo que debo meter alguna norma en el Firewall, pero no veo cómo ni donde....
Gracias!
Christian
Go to Top of Page

Riccardo

932 Posts

Posted - 09/04/2009 :  10:22:11  Show Profile
/ip firewall filter add chain=forward dst-address=13.0.16.0/24 action=drop
Go to Top of Page

chart

43 Posts

Posted - 16/04/2009 :  16:09:49  Show Profile
Ha surgido una nueva problemática:
Parece ser que ha habido un hotel que ha sido denunciado por pederastia.
El tema es que ese hotel ofrece red wifi (no sé si gratuita o de pago) pero
que el que ha incurrido realmente en el delito no ha sido el Hotel (su IP Fija)
sino el usuario/cliente.

¿Conocéis alguna web donde pueda informarme mejor acerca de temas legales?
También he leído por alguna parte que este año van a salir algunas leyes más
rígidas en cuanto al control de quien usa la wifi y para qué, y que hay que guardar
un historial de conexiones por si las autoridades te lo pidieran en caso de delito.
¿Sabéis algo?
(pasó algo parecido con los móviles de pre-pago después de los atentados del 11-M, que
ahora piden documentación para comprarlos)

¿Qué solución a nivel técnico se os ocurre para un LOBO 924R?
A mi se me ocurre bloquear el tráfico p2p, pero a lo mejor es insuficiente
y existen ya algunos filtros prestablecidos para prohibir la navegación a
determinados sitios web.

¿Cómo se puede bloquear el acceso a una lista de páginas web "indeseables"?

Agradecería cualquier tipo de información.

gracias,

Christian
Go to Top of Page

Kiket

26 Posts

Posted - 16/04/2009 :  22:40:26  Show Profile
Hola Christian,

La única solución que se me ocurre es utilizar el paquete web-proxy. Utilizando el web-proxy y enviando el log a un servidor remoto puedes tener controlado todo el tráfico http que generan los clientes, por usuario, por IP... Últimamente he realizado algunas pruebas y es una opción factible. Por otra parte también puedes aprovechar la funcionalidad de proxy para filtrar las páginas que no deseas que sean visitadas.

Un saludo,

Kike.
Go to Top of Page

Riccardo

932 Posts

Posted - 18/04/2009 :  22:45:29  Show Profile
>>¿Qué solución a nivel técnico se os ocurre para un LOBO 924R?

El problema mas grande de los ap lobometrics es que claramente las placa que llevan tienen poco disco duro. La opcion que puede abilitar es el log remoto en un servidor syslogd [hay tambien versiones por windows]. Por hacer esto tienes que dar estos mandos desde consola o hacer las mismas operaciones en el winbox:

/system logging action set remote bsd-syslog=no remote=ip_syslogd_remoto:puerto syslog-facility=daemon syslog-severity=auto

/system logging set 4 action=remote [4 es el mio topic wireless en logging]

>>¿Cómo se puede bloquear el acceso a una lista de páginas web "indeseables"?

Por hacer esto tienes que utilizar la opcion de web proxy disponible en lobometrics. Siempre por el mismo problema de antes pero no puede utilizar el proxy como "proxy de cache". Puede utilizarlo pero como proxy por hacer filter de URL y PATH.
Por habilitar el servicio de proxy trasparente [quiere decir que TODO el trafico http SIEMPRE pasa por el aun que en el explorador no se pone l'opcion de proxy] tienes que utilizar el nat y la opcion redirect de la chain dstnat:

/ip firewall nat add action=redirect chain=dstnat comment="trasparent proxy" disabled=no dst-address=!IP_LOBO dst-port=80 in-interface=INTERFACE_DONDE_SE_CONECTAN_LOS_CLIENTES protocol=tcp to-ports=8080

Despues tienes que habilitar el web proxy SIN cache:

/ip proxy
set always-from-cache=no cache-administrator=TUO_CORREO cache-hit-dscp=4 cache-on-disk=no enabled=yes max-cache-size=none max-client-connections=600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 serialize-connections=no src-address=IP_LOBO

Ahora si por exemplo no quiero que la palabra porn no apareza ni en el URL [www.porn.com] ni en la PATH [http://www.google.es/search?hl=es&q=porn&btnG=Buscar+con+Google&meta=&aq=f&oq=] tienes que dar estas reglas:

/ip proxy access
add action=deny comment="" disabled=no dst-host=*porn*
add action=deny comment="" disabled=no path=*porn*
Go to Top of Page

chart

43 Posts

Posted - 18/05/2009 :  13:11:24  Show Profile
Buenas de nuevo,
quisiera confirmar si es suficiente aplicar un Filter Rule en el Firewall para "capar" P2P a los clientes de la wifi del hotel.
En principio he configurado Winbox: IP->Firewall->Filter Rules-> ADD [+]:
Chain: forward
P2P: all-p2p
Action: DROP

¿Es correcto?
He leído bastante por el foro y he visto que lo más usual es usar Mangle para controlar este tipo de cosas, pero en mi caso, más que controlar (ancho de banda, número de accesos de usuarios, etc) es "capar".

Gracias!
Go to Top of Page

Riccardo

932 Posts

Posted - 18/05/2009 :  13:12:28  Show Profile
si ya esta bien asi.
Go to Top of Page

chart

43 Posts

Posted - 27/05/2009 :  13:02:31  Show Profile
Riccardo,
volviendo un par de posts hacia atrás, donde me dabas una solución a "¿Cómo se puede bloquear el acceso a una lista de páginas web "indeseables"?",
he estado haciendo pruebas poniendo únicamente el filtro *porn*,y lo que me sucede es que,
o me "capa" todo el tráfico (cuando dejo el Firewall-NAT y el WebProxy Habilitados) no pudiendo navegar ni en GOOGLE.ES,
o me deja navegar libremente (lógicamente, cuando deshabilito el NAT y el WebProxy)

He configurado (via Winbox) lo siguiente:

/ip firewall nat add action=redirect chain=dstnat comment="trasparent proxy"
disabled=no dst-address=!10.2.10.1 dst-port=80 in-interface=wlan1 protocol=tcp to-ports=8080

/ip proxy set always-from-cache=no cache-administrator=webmaster@chartconsulting.net
cache-hit-dscp=4 cache-on-disk=no enabled=yes max-cache-size=none
max-client-connections=600 max-fresh-time=3d max-server-connections=600
parent-proxy=10.2.10.1 parent-proxy-port=8080
src-address=10.2.10.1 port=8080 serialize-connections=no

/ip proxy access
add action=deny comment="" disabled=no dst-host=*porn*
add action=deny comment="" disabled=no path=*porn*

Lo único que he añadido para que me haga algo (ya que no capaba absolutamente nada si no lo ponía)
es en /ip proxy, en lugar de tu propuesta de "parent-proxy=0.0.0.0 parent-proxy-port=0",
yo le he puesto "parent-proxy=10.2.10.1 parent-proxy-port=8080".

Por un momento ha parecido que funcionaba, porque la primera vez me he metido en el Google y en Google News, pero al introducir en la búsqueda la palabra "porno", me ha bloquedao el acceso.
A partir de ese momento ya no me ha permitido conectarme nuevamente a Google, ni MSN, ni nada.

Te he enviado por correo los "pantallazos" de la configuración tal y como se puede ver a través del Winbox.

Gracias,
Christian
Go to Top of Page

Riccardo

932 Posts

Posted - 28/05/2009 :  09:53:17  Show Profile
parent-proxy=10.2.10.1 parent-proxy-port=8080

Porque?

Quitalo y funciona todo.
Go to Top of Page

chart

43 Posts

Posted - 28/05/2009 :  10:20:31  Show Profile
Lo añadí porque el LOBO no filtraba absolutamente nada de tráfico.
En google metía PORN -> Buscar -> y me salían todas las páginas buscadas,
me metía en la primera encontrada, p.ej www.pornhub.com y podía navegar tranquilamente.
Alguna sugerencia?
Go to Top of Page

Riccardo

932 Posts

Posted - 28/05/2009 :  10:39:28  Show Profile
nada lo estas haciendo mal.

http://st.34t.com/movabletype/blogs/my_blog/34Telecom.rar

conectate
Go to Top of Page

chart

43 Posts

Posted - 28/05/2009 :  11:09:03  Show Profile
Imposible, no estoy en la instalación.

Qué estoy haciendo mal?

Necesitas que esté en la instalación para que le eches un vistazo online?

Gracias
Go to Top of Page

Riccardo

932 Posts

Posted - 28/05/2009 :  12:06:15  Show Profile
si
Go to Top of Page
  Previous Topic Topic Next Topic  
 Forum Locked
 Formato imprimible
Saltar a:
34T Forums © 34T/Snitz Go To Top Of Page
Snitz Forums 2000