Indy
12-12-2012, 07:45
Приветствую!
Возникла необходимость нарисовать хотспот. Ориентировочное число абонентов - 1000-1500, единовременно подключаться будет примерно 300-500 клиентов
Подключаться будут как корпоративные устройства, так и личные. Пока работаю в направлении личных устройств. Создавать базу макадресов смысла не вижу, т.к. особо инициативные умеющие менять мак на своем лаптопе/планшете/коммуникаторе найдутся завсегда везде, поэтому - только веб-аутентификация. Далее. Канал в инет надо будет делить по-братски (поровну никак нельзя), поскольку канал не резиновый (участок находится в тнудре, на Чукотке, инет берем со спутника), а клиенты часто бывают и вип-образца - в общем только по-братски.
Что реализовано. На виртуалке заведены изолированный DC (куда данные о пользователях будут перелетать из 1С), керио - для собственно аутентификации, прозрачное проксирование, разделения пользователей на приориетет по трафику в соответствии с группой пользователя, маршрутизация и т.д. И поставил pfsens - в него будет приходить условно 3 трубы из керио (типа группы - голд, сильвер и бронз), а уж пфсенс внутри каждой трубы в соответствии с правилами - будет делить канал либо поровну по максималке между всеми участниками группы (бронз), либо отжимать канал от соседних групп и выделять с ограничением по минималке для кадого клиента из группы голд.
До маршрутизатора нарисованы соответствующие виланы.
То есть. В керио все пользователи попадают на локальный интерфейс 192.168.160.15
выходной из керио - 192.168.80.15/24 (входящий на пфсенсе 192.168.80.16). Так же на керио на внешнем интерфейсе добавлены адреса 192.168.80.21 (gold), 192.168.80.22 (silver), 192.168.80.23 (bronze)
Далее, после аутентификации, керио должен направлять трафик от юзера наружу от соответствующего адреса (по группе). В теории.
На практике - если я создаю сквозное правило, которое разрешает всё и всем + трансляция наружу, то запрос на аутентификацию пользователя выскакивает. Только я начинаю разделять правилами пользователей на группы - не фунциклирует, первое сквозное правило же всем всё разрешает. Если я в этом сквозном правиле трафика отключаю нат (ну, чтоб пользователь пришел, получил запрос на аутентификацию и отправился дальше в соответствии со своей группой), то всё - запрос на аутентификацию не проходит
Собственно какой помощи прошу - подскажите, пожалуйста, как организовать правила трафика, чтоб процесс шел в следующем порядке:
1. пользователь запускает браузер, запускает любой сайт - и получает запрос на веб-аутентификацию
2. После получения логина/пароля от пользователя - керио направляет сессию пользователя в соответствующую его группе трубу и нат с соответствующего группе адреса на пфсенс
Пфсенс пока на этом этапе - промежуточное звено, никаких настроек, просто маршрутизирует трафик с 192.168.80.16 на внешний интерфейс и обратно
Возникла необходимость нарисовать хотспот. Ориентировочное число абонентов - 1000-1500, единовременно подключаться будет примерно 300-500 клиентов
Подключаться будут как корпоративные устройства, так и личные. Пока работаю в направлении личных устройств. Создавать базу макадресов смысла не вижу, т.к. особо инициативные умеющие менять мак на своем лаптопе/планшете/коммуникаторе найдутся завсегда везде, поэтому - только веб-аутентификация. Далее. Канал в инет надо будет делить по-братски (поровну никак нельзя), поскольку канал не резиновый (участок находится в тнудре, на Чукотке, инет берем со спутника), а клиенты часто бывают и вип-образца - в общем только по-братски.
Что реализовано. На виртуалке заведены изолированный DC (куда данные о пользователях будут перелетать из 1С), керио - для собственно аутентификации, прозрачное проксирование, разделения пользователей на приориетет по трафику в соответствии с группой пользователя, маршрутизация и т.д. И поставил pfsens - в него будет приходить условно 3 трубы из керио (типа группы - голд, сильвер и бронз), а уж пфсенс внутри каждой трубы в соответствии с правилами - будет делить канал либо поровну по максималке между всеми участниками группы (бронз), либо отжимать канал от соседних групп и выделять с ограничением по минималке для кадого клиента из группы голд.
До маршрутизатора нарисованы соответствующие виланы.
То есть. В керио все пользователи попадают на локальный интерфейс 192.168.160.15
выходной из керио - 192.168.80.15/24 (входящий на пфсенсе 192.168.80.16). Так же на керио на внешнем интерфейсе добавлены адреса 192.168.80.21 (gold), 192.168.80.22 (silver), 192.168.80.23 (bronze)
Далее, после аутентификации, керио должен направлять трафик от юзера наружу от соответствующего адреса (по группе). В теории.
На практике - если я создаю сквозное правило, которое разрешает всё и всем + трансляция наружу, то запрос на аутентификацию пользователя выскакивает. Только я начинаю разделять правилами пользователей на группы - не фунциклирует, первое сквозное правило же всем всё разрешает. Если я в этом сквозном правиле трафика отключаю нат (ну, чтоб пользователь пришел, получил запрос на аутентификацию и отправился дальше в соответствии со своей группой), то всё - запрос на аутентификацию не проходит
Собственно какой помощи прошу - подскажите, пожалуйста, как организовать правила трафика, чтоб процесс шел в следующем порядке:
1. пользователь запускает браузер, запускает любой сайт - и получает запрос на веб-аутентификацию
2. После получения логина/пароля от пользователя - керио направляет сессию пользователя в соответствующую его группе трубу и нат с соответствующего группе адреса на пфсенс
Пфсенс пока на этом этапе - промежуточное звено, никаких настроек, просто маршрутизирует трафик с 192.168.80.16 на внешний интерфейс и обратно