Wifi sms авторизация (идентификация) | Ubiquiti форум UBNT: инструкции, настройка

dimacbz

Moderator
16 Июн 2014
1.301
205
75
https://wifi-sms.ru
wifi-sms.ru
Идентификация и авторизация пользователей в сетях Wi-Fi. WiFi авторизация пользователей по смс на Вашем сервере БЕЗ абонентской платы!

Предлагаем ПО для авторизации в сети wifi по смс ( идентификация ).
Данная система авторизации (идентификации) WIFI пользователей по SMS ставится на Ваш сервер (компьютер), а не Вы подключаетесь к кому-либо. Без "облаков". Соответственно отсутствует абонентская плата за пользование. Никаких ограничений в нашем продукте нет. Вы приобретаете продукт навсегда, без каких-либо дополнительных платежей. Тех. поддержка бесплатна.
--------------------------------------------------------------------------------------------------------------------------------------------
ПО авторизации по смс устанавливается на Ваш сервер (компьютер, VPS). НЕТ арендных плат и скрытых платежей! Вы приобретаете 1 раз и навсегда.
--------------------------------------------------------------------------------------------------------------------------------------------

Сколько роутеров (площадок авторизации пользователей WIFI по смс можно подключать?)
- Количество площадок/хотспотов (роутеров) НЕОГРАНИЧЕННО.
--------------------------------------------------------------------------------------------------------------------------------------------

С каким WIFI оборудованием работает данный продукт?
- С любым. 1-ым устройством должен быть обязательно Mikrotik (роутер)
--------------------------------------------------------------------------------------------------------------------------------------------
Мы приобрели у вас лиц.ключ и настроили в 1-ом здании. Теперь нам нужно, чтобы авторизация работала в другом здании. Нам нужно покупать ещё 1-ин лиц.ключ?
- Нет. Лиц.ключ действует на 1-ин сервер неограниченное время БЕЗ абонентской платы. Вы можете подключать Неограниченное количество хотспотов (роутеров) к Вашему серверу авторизации по смс.
--------------------------------------------------------------------------------------------------------------------------------------------
У каждого хотспота (площадки) свой личный кабинет.
Есть функция "редиректа" (перенаправление) абонента на заданный HTTP адрес или рекламную страницу после авторизации.
Ограничение скорости для каждого гостя WiFi сети, время сессии, ограничение трафика, кол-во устройств на 1 номер гостя.
--------------------------------------------------------------------------------------------------------------------------------------------
Возможности ПО:
  • Возможность проводить идентификацию абонента путем отправки/приёма СМС, логина/пароля.
  • Привязка MAC-адреса мобильного устройства к номеру телефона абонента.
  • Возможность накладывать ограничения на число сессий абонента, длительность сессии, объём данных.
  • Возможность отправки/получения СМС через большое число агрегаторов с помощью api http (например smsc.ru) или USB модем.
  • Личные кабинеты (отдельные на каждую площадку) владельца площадки предоставления Wi-Fi авторизации по СМС.
  • Возможность перенаправлять (редирект) абонента на вашу рекламную страницу после авторизации.
  • Возможность изменять страницу приветствия (на каждый хотспот отдельно) путем редактирования html, css.
  • Статистика по количеству переданного и отправленного абонентами трафика.
  • Возможность выгрузить (в формате csv) номера телефонов и истории посещения (NETFLOW).
  • Информация о зарегистрированных в системе абонентах и их сессиях, телефонные номера абонентов.
  • Детализация трафика, в том числе IP-адреса посещенных ресурсов в Интернет (NETFLOW).
---------------------------------------
Имеется Тестовое ПО для установки на Свой сервер.

Так же есть Готовый Виртуальный сервер Debian 9 с установленным ПО (создавался в VirtualBox (https://www.virtualbox.org/wiki/Downloads).
По всем интересующим вопросам обращайтесь по контактам ниже.
---------------------------------------
ВНИМАНИЕ!
Тестовое ПО БЕЗ Лиц. ключа работает Только в LAN сети Mikrotik! Например Mikrotik имеет адрес 192.168.88.1. Сервер должен быть в этой же LAN сети, например с адресом 192.168.88.50
В тестовом ПО имеется дополнительно ряд ограничений (lock на отправку смс, kick юзера через меняющийся интервал времени и так далее). Для снятия всех ограничений - требуется приобрести Лиц. ключ.
---------------------------------------
Тестирование ПО, 2-а варианта:
---------------------------------------
1-ый вариант:

Вы устанавливаете Тестовое ПО авторизации на свой сервер или VPS. Или же скачиваете и разворачиваете у себя готовый виртуальный образ машины. Действуют ограничения, описанные выше.

Что нужно для запуска ПО авторизации по смс для 1-го варианта:

а) Компьютер с Linux x64 (Debian, Ubuntu, Centos) - можно виртуальную машину (VPS).
Рекомендуем Debian 9.9: https://www.debian.org/releases/stretch/debian-installer/
Минимальные системные требования к серверу (компьютеру):
1vCPU (1 ядро), 1 Gb RAM, 10Gb SSD
Требования зависят от нагрузки и количества обрабатываемых данных.
Можно устанавливать на виртуальные машины (VPS).
------
VPS арендовать можно Например тут:
  1. VDSina
  2. ruVDS
  3. Justhost
------
б) Mikrotik роутер (любой).
в) USB модем (ZTE MF667, ZTE MF823D) ИЛИ HTTP API любого смс агрегатора.
Если вы выбираете смс агрегатора для отправки смс Вместо USB модема, то регистрируйтесь здесь: http://wifibz.sms.ru/?panel=register
Или используйте любого другого агрегатора смс в любой стране.
---------------------------------------

2-ой вариант:
Мы подключаем Ваш Mikrotik к нашему серверу авторизации. Ограничения отсутствуют.
Что нужно для настройки и подключения:
  1. Любой Mikrotik роутер и доступ к нему для настройки через Winbox (порт 8291).
  2. Создать учётную запись на http://wifibz.sms.ru/?panel=register для отправки авторизационных СМС и предоставить Ваш api_id (ключ для внешних программ).
По окончании настройки Вы получите WiFi авторизацию по смс без ограничений и доступ в личный кабинет.
---------------------------------------
По любым вопросам обращайтесь по контактам ниже.
---------------------------------------
Контакты:

Viber, Whatsapp, Telegram: +79626222731
e-mail: info@wifi.bz
---------------------------------------
Demo личный кабинет:
Логин: test
Пароль: test


Авторизация - как видит это клиент WIFI сети:

--------------------------------------------------------------------------------------------------------------------------------------------
Отредактировано: 09.09.2019 г.

441844194420442144224423442444254426
 
Последнее редактирование:

ntman

участник
24 Авг 2017
52
6
10
46
извините, а кто хранит данные и как это сертифицированно ? (я знаю точку зрения что телефон не является персональными данными, но "список шаблонных отписок" прилагается?)
и зачем микротик целый ? городил такое на openwrt+телефон на андроиде с прогой, добивая кучу "вкусняшек"
 
Автор
dimacbz

dimacbz

Moderator
16 Июн 2014
1.301
205
75
https://wifi-sms.ru
wifi-sms.ru
извините, а кто хранит данные и как это сертифицированно ? (я знаю точку зрения что телефон не является персональными данными, но "список шаблонных отписок" прилагается?)
и зачем микротик целый ? городил такое на openwrt+телефон на андроиде с прогой, добивая кучу "вкусняшек"
Микротик нужен для обработки ряда задач, openwrt этого увы не сможет. Данные хранятся у Вас на Вашем сервере, netflow собирается. Лицензия в этом случае не нужна. Можете написать в Роскомнадзор, - они Вам ответят. Номер телефона - это обезличенные данные.
С 01.01.2016 г. владельцев открытых сетей Wi-Fi будут штрафовать за отсутствие обязательной идентификации пользователей. Запрет на анонимный Wi-Fi изложен в Постановлении Правительства РФ № 758 о доступе к публичному Интернету: «ответственность распространяется на всех, кто оказывает универсальные услуги связи по передаче данных и предоставлению доступа к сети Интернет с использованием пунктов коллективного доступа».
Идентифицировать пользователей предлагается с помощью:
1) документа, удостоверяющего личность (если речь идет о пунктах коллективного доступа);
2) учетной записи на сайте госуслуг;
3) номера мобильного телефона:
При попытке подключиться к сети Wi-Fi предложат ввести номер телефона. На указанный номер придет SMS с кодом подтверждения. После его ввода пользователь получит доступ в Интернет. Стоимость различная у разных sms-провайдеров - 0,3 – 1,0 руб. за sms. Оплата осуществляется конкретным пользователем или владельцем сети.
Владельцев сети, которые не реализуют ни один из этих способов до начала 2016 г., ждет неприятный сюрприз: за предоставление анонимного доступа к Wi-Fi индивидуальным предпринимателям грозит штраф от 5 до 50 тыс. рублей, юридическим лицам – от 100 до 200 тыс. рублей. Повторное нарушение обойдется ИП в 100 тыс. рублей или дисквалификацией на срок до трех лет, а юрлица заплатят до 300 тыс. рублей.
 
Последнее редактирование:

BigManTash

новичок
21 Июл 2017
1
0
3
45
Контроллер Unifi, на Windows 7 (х86). Работает как ХотСпот, интеграция с 1С Отелем (паспортные данные) по ваучерам. Нужно сделать еще дополнительно SMS-авторизацию в кафе. Ваше ПО/настройки позволят одновременно работать как ХотСпот и в то же время авторизовываться по SMS?
 
Автор
dimacbz

dimacbz

Moderator
16 Июн 2014
1.301
205
75
https://wifi-sms.ru
wifi-sms.ru
Контроллер Unifi, на Windows 7 (х86). Работает как ХотСпот, интеграция с 1С Отелем (паспортные данные) по ваучерам. Нужно сделать еще дополнительно SMS-авторизацию в кафе. Ваше ПО/настройки позволят одновременно работать как ХотСпот и в то же время авторизовываться по SMS?
Да. Создаете дополнительную сеть под смс с vlan.
 

Алексей IT

новичок
18 Июл 2018
1
0
3
41
Что имеем:
- Два входящих подключения интернета.
- Два mikrotik с несколькими vlan каждый, привязанных к bridge для разных целей.
Деревья VLAN с двух микротиков напрямую не пересекаются и доступ между ними только через инет (дабы не закольцевать провайдера).
- Сервер с Unifi Controller и двумя "сайтами" на котором "висит" несколько десятков "тарелок" тира AP с публичным доступом.
- Часть тарелок раздают инет 1 по vlan X без авторизации и пароля.
- Другая часть тарелок раздают инет 2 по vlan Y через hotspot с использованием ваучеров, но без пароля.
- Все тарелки по vlan Z раздают инет 3 запароленный доступ для внутренних нужд.
---
Нужно на инет 1 и 2 навесить идентификацию по SMS , притом чтоб hotspot с ваучерами на 2 инете по прежнему работал.
 
Автор
dimacbz

dimacbz

Moderator
16 Июн 2014
1.301
205
75
https://wifi-sms.ru
wifi-sms.ru
Что имеем:
- Два входящих подключения интернета.
- Два mikrotik с несколькими vlan каждый, привязанных к bridge для разных целей.
Деревья VLAN с двух микротиков напрямую не пересекаются и доступ между ними только через инет (дабы не закольцевать провайдера).
- Сервер с Unifi Controller и двумя "сайтами" на котором "висит" несколько десятков "тарелок" тира AP с публичным доступом.
- Часть тарелок раздают инет 1 по vlan X без авторизации и пароля.
- Другая часть тарелок раздают инет 2 по vlan Y через hotspot с использованием ваучеров, но без пароля.
- Все тарелки по vlan Z раздают инет 3 запароленный доступ для внутренних нужд.
---
Нужно на инет 1 и 2 навесить идентификацию по SMS , притом чтоб hotspot с ваучерами на 2 инете по прежнему работал.
1) Ставите сервер (компьютер) физический или виртуальный например к микротику №1 (там должен быть Статический Белый IP адрес для подключения удаленных точек (хотспотов)). Инсталируете сами или с помощью нас наше решение (Тестовое ПО v237 (glibc >=2.19), имеются ограничения) по авторизации в сети wifi.
2) На микротике №1 создаете например VLAN50. Создаете отдельный Bridge50. Создаете новый dhcp сервер и прикрепляете его к созданному Bridge50. В этот Bridge50 помещаете созданный VLAN50.
3) На контроллере создаете открытую wifi сеть с VLAN50.
4) По инструкции (или мы) помещаете на микротик доп. файлы и настраиваете разделы hotspot & trafic flow.
5) Создаете VPN сервер на микротике №1 для подключений остальных удаленных микротиков. Можно обойтись и без VPN - пробросив конкретные порты.
6) Подключаем и настраиваем usb модем для отправки/приема смс или прикрепляем данные для отправки смс с любого агрегатора смс, который имеет api http.

Теперь на созданной открытой wifi сети с VLAN50 есть смс авторизация wifi.

7) На удаленных микротиках проделываем пункты 2, 3, 4 + подключаетесь по VPN или на прямую. Подсети должны быть разными. VLAN соответственно тоже.
 
Последнее редактирование:
Автор
dimacbz

dimacbz

Moderator
16 Июн 2014
1.301
205
75
https://wifi-sms.ru
wifi-sms.ru
Последнее редактирование:
Автор
dimacbz

dimacbz

Moderator
16 Июн 2014
1.301
205
75
https://wifi-sms.ru
wifi-sms.ru
Файлы для самостоятельной установки: (обновлены 01.01.2019)
Добавлены образы виртуальных машин.
 

Glazolin

участник
6 Фев 2019
4
1
5
35
Если у меня стоит весь комплект - USG, AP, switch, Cloud key, то правильно ли я понимаю, что данная схема подразумевает отказ от USG, замену его на микрот, а так же от части функционала контроллера, который требует наличия USG?
 
Автор
dimacbz

dimacbz

Moderator
16 Июн 2014
1.301
205
75
https://wifi-sms.ru
wifi-sms.ru
Если у меня стоит весь комплект - USG, AP, switch, Cloud key, то правильно ли я понимаю, что данная схема подразумевает отказ от USG, замену его на микрот, а так же от части функционала контроллера, который требует наличия USG?
Нет. Ваше оборудование так и будет работать, как работало. Микротик выполняет роль хотспота. Можно до usg или после ставить микротик.
 
Последнее редактирование:

Glazolin

участник
6 Фев 2019
4
1
5
35
Решение работает, сервис smsc.ru подключается легко и быстро (как само подключение в конфигурации, так и регистрация и оплата аккаунта). Инструментарий управления базой вполне можно расширить самостоятельно, продавец отвечает на вопросы и подсказывает в какую сторону мыслить при настройке.
И всё бы было супер, если бы не одно "но", из-за которого пока, от этого решения вынужден отказатся - оказалось (к великому удивлению) что на микротике нельзя скрыть полностью пользователей друг от друга. Т.е. да, можно запретить трафик между клиентами, пинговаться они не будут, но любой сканер сети, который умеет в arp (а умеют почти все, например fing) будет видеть всех клиентов сети. Это оказалось неприемлимо для клиента (которому я собирал этот сервис).
На самом Unifi существует изоляция клиентов (галочка "Apply guest policies" для беспроводных и "Port isolation" для проводных), но всё это работает, когда оборудование Unifi напрямую видит друг друга, без посредника NAT в виде Микротика.

Но в целом, за исключением этого недостатка и небольшого недостатка в довольно скудной документации - это отличный сервис SMS аутентификации.
Кстати, я попробую через некоторое время написать альтернативный мануал по установке и настройке сервиса, который, с моей точки зрения был бы более понятен и охватывал кучу подводных камней с которыми я столкнулся из-за непонятных фраз или отсутствия описания.
 
Автор
dimacbz

dimacbz

Moderator
16 Июн 2014
1.301
205
75
https://wifi-sms.ru
wifi-sms.ru
Спасибо за отзыв.
В микротиках можно изолировать друг от друга:
https://forum.mikrotik.com/viewtopic.php?t=2501
https://forummikrotik.ru/viewtopic.php?t=8332

Также если у вас "сканируют" вашу сеть, то применяем данное правило к нужному интерфейсу и забываем (в примере указан интерфейс ether1):
Код:
/ip firewall filter
add action=drop chain=input comment=Port_scanner_drop src-address-list=\
    "port scanners"
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=ether1 protocol=\
    tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=ether1 protocol=\
    tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=ether1 protocol=\
    tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=ether1 protocol=\
    tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=ether1 protocol=\
    tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=ether1 protocol=\
    tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=ether1 protocol=\
    tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
На все порты:
https://wiki.mikrotik.com/wiki/Drop_port_scanners
 

Glazolin

участник
6 Фев 2019
4
1
5
35
В
Спасибо за отзыв.
В микротиках можно изолировать друг от друга:
https://forum.mikrotik.com/viewtopic.php?t=2501
https://forummikrotik.ru/viewtopic.php?t=8332

Также если у вас "сканируют" вашу сеть, то применяем данное правило к нужному интерфейсу и забываем (в примере указан интерфейс ether1):
...
На все порты:
https://wiki.mikrotik.com/wiki/Drop_port_scanners
В приведённых ссылках речь про изоляцию либо посредством VLAN (Что не подходит - не делать же влан на клиента - Тут и CCR нагибаться начнёт при 500 и более клиентах.), либо речь вообще об изоляции в вайфае самого Микрота (Кстати попробовали - ARP запросы ходят свободно при включённой этой изоляции.), что не интеренсно, так как мы тут про Unifi разговариваем.

Запрет сканирование же сети не даст возможности видеть от порта к порту на Микроте - да, это гуд, но точка Unifi, не подключенная впрямую (без NAT) в Unifi сеть (Т.е. когда она не в одном коллизионном домене с контроллером, USG и свитчом) - просто внутри себя пропускает arp запросы, не отправляя их на микрот, а значит этот запрет работать не будет для всех, кто сидит на одной точке доступа.
 

Glazolin

участник
6 Фев 2019
4
1
5
35
Ещё один вариант решения - взять роутер, перешить его на опенврт, сделать обычную авторизацию по WPA, закрыть фаерволом сеть снаружи, оставив dhcp, dns, http до внутренних сайтов и какой-нибудь vpn pptp, l2tp для особо нуждающихся. Пароль на точку - общий для всех, а вот vpn - уже поюзерно.
Вы темой не промахнулись? Здесь речь про SMS авторизацию на оборудовании Mikrotik и Ubiquti. Какие vpn поюзерно? Какое WPA? О чём вы вообще?
 
Автор
dimacbz

dimacbz

Moderator
16 Июн 2014
1.301
205
75
https://wifi-sms.ru
wifi-sms.ru
А не делаете ли вы аунтификацию черз фейсбук и гугл
Авторизация в сети Wi-Fi через социальные сети запрещена законом. Нет, не делаем. Google+ - закрывают проект. Facebook - есть встроенная в контроллере unifi.