Не так давно компания TP-Link выпустила линейку Wi-Fi точек доступа Auranet EAP, позиционируемую на рынке, как решение для предприятий малого и среднего бизнеса. В данной линейке есть точки доступа как для для внутреннего, так и для внешнего монтажа, работающие в двух диапазонах 2,4 ГГц и 5 ГГц, и при этом очень доступные по цене.
Для соблюдения требований по обязательной идентификации пользователей и используемого ими оконечного оборудования, сервис WiFiNow совместно с компанией TP-Link реализовал поддержку программного контроллера EAP.
Теперь клиенты, имеющее у себя беспроводные точки доступа серии EAP, управляемые программным Wi-Fi контроллером, при подключении к сервису WiFiNow имеют возможность авторизации абонентов беспроводной сети согласно требованиям законодательства,
Для работы с сервисом WiFiNow необходимо, чтобы сегмент беспроводной сети, обеспечивающий работу вашей гостевой сети был соединен c сервисом WiFiNow с помощью VPN-туннеля (OpenVPN/IPSec).
Ниже мы рассмотрим процедуру подключения программного Wi-Fi контроллера TP-Link серии EAP к сервису WiFiNow, которую вы можете использовать для настройки вашего оборудования. Если же у вас возникнут сложности — можете связаться со специалистами нашей компании для получения подробной информации или консультации.
1. Настройка IPSec-туннеля на примере роутера TL—ER6020
Для настройки туннеля понадобятся следующие настройки от представителей WiFiNow:Peer IP
IKE proposal: Authentication algorithm; Encryption algorithm; DH group
Pre-shared key
IPSec proposal: Security protocol; Authentication algorithm; Encryption algorithm;
Remote subnet
В нашем примере следующие настройки:Peer IP- 100.91.102.210
IKE proposal- 3DES; SHA1; DH Group 2
Pre-shared key- "PSK"
IPSec proposal- ESP; 3DES; SHA1
Remote subnet- 10.8.2.0/24
VPN -> IKE -> IKE Proposal
Указываем имя (в данном примере wnam) и выбираем предоставленные значения (для удобства все имена одинаковые).
VPN -> IKE -> IKE Policy
Указываем имя, выбираем созданный IKE Proposal и далее указываем предоставленный Pre-shared Key.
VPN -> IPSec -> IPSec Proposal
В этом разделе также указываем имя Proposal Name и выбираем значения настроек, приведенные ниже.
VPN -> IPSec -> IPSec Policy
Указываем имя и тип режима Lan-to-Lan, локальная сеть (если используется несколько подсетей, то туннель необходим в каждую), указываем удаленную сеть, выбираем созданные IKE Policy и IKE Proposal.
VPN -> IPSec -> IPSec SA
Как только связь установится, статус изменится на connected.
2.Настройка точек доступа и контроллера
Необходимо придерживаться инструкции по установке и настройке точек доступа, контроллера, созданию беспроводной сети (SSID), привязки её к точке. Также требуется настройка маршрутизатора для обеспечения функций DHCP и трансляции адресов NAT для клиентов беспроводной сети.
Не переходите к следующему шагу, пока не убедитесь, что клиенты сети Wi-Fi получают доступ к сети интернет, то есть работает DHCP, NAT и маршрутизация. При этом на контроллере должны отображаться текущие активные сессии абонентов.
3.Настройка контроллера
В разделе «Wireless Settings» для выбранной беспроводной сети (SSID, в примере — «TP-Link») необходимо изменить настройки безопасности, выбрав использование портала (поставить галочку у слова Portal):
В разделе «Wireless Control»- «Portal» необходимо настроить портальный сервер, выбрав тип «External Portal Server» и прописав ссылку на сервер сервиса WiFiNow. На этот сервер будет идти перенаправление неавторизованных сессий Wi-Fi абонентов. Формат ссылки: http://имя_вашего_сервера/cp/tplink , вместо имени можно указать IP-адрес сервера WiFiNow. В приведенном примере сервер находится по адресу 10.8.2.1.
Указанный после имени или IP-адреса параметр /cp/tplink является служебным и обязательным, менять его нельзя.
В разделе «Wireless Control» — «Free Authentication Policy» необходимо задать политику пропуска трафика абонентов без авторизации до сервера WiFiNow — в данном примере разрешен доступ ко всей сети 10.8.2.0/24, в которой находится этот сервер.
Наконец, в разделе «Wireless Control» — «Access Control» необходимо еще раз прописать разрешенные сети:
4.Проверка работы портала перехвата
Для проверки работоспособности гостевой сети и работы её совместно с сервисом идентификации WiFiNow, необходимо, подключившись к гостевой wifi сети, перейти на любую страницу в интернете, например, https://google.com. Если всё настроено верно, то портал перехвата должен перенаправить вас на страницу авторизации, где потребуется ввести номер вашего мобильного телефона и ответный код из отправленного на этот номер смс.
После корректного ввода кода подтверждения из смс ваше устройство получит доступ в интернет.
