Можливості

Аутентифікація у бездротовій мережі в операційній системі UBNT AirOS за допомогою сервера Радіус

Точки доступу Ubiquiti мають можливість аутентифікувати передавачі, використовуючи сервер Radius. Це означає, що адміністратору немає потреби керувати локальними паролями для аутентифікації в бездротовій мережі, кожен клієнтський пристрій/передавач може мати власний обліковий запис в ISP Платформі Splynx, а наш сервер Radius аутентифікує його.

Зазвичай Інтернет-провайдери вже мають PPPoE або аналогічні механізми аутентифікації, тому функція аутентифікації в бездротовій мережі сервера Radius додається в системі Splynx наявним клієнтам, як один новий (порожній) сервіс.

На першому етапі ми визначаємо тарифний план в Splynx за ціною 0, і у всіх інших полях 0 також.

2016-07-07 04.09.07 pm

Потім слід додати бездротовий сервіс клієнтові і внести туди його логін і пароль.

New_service

Також важливо додати точку доступу в системі Splynx

U_router

І в кінці необхідно увімкнути аутентифікацію EAP у бездротовій мережі за допомогою сервера Radius на маршрутизаторі UBNT, а також налаштувати IP-адресу та секретний ключ сервера Radius

UBNT_wireless

Тепер ми знаємо, як під’єднати клієнтське обладнання UBNT до точки доступу UBNT

U_CPE

Підтримка роутерів Ubiquiti EdgeRouters PPPoE Radius

Роутери UBNT EdgeRouters можуть використовуватись як сервер PPPoE, з функціями аутентифікації клієнтського обладнання, надання статистики, блокування кінцевих користувачів, налаштування обмежень швидкості та налаштувань правил чесного використання (FUP).

Розділимо налаштування роутера на п’ять кроків:

1. Налаштування PPPoE сервера EdgeRouter за допомогою сервера Radius
2. Налаштування PPPoE сервера EdgeRouter для вхідних пакетів сервера Radius
3. Додавання EdgeRouter до системи Splynx
4. Під’єднання клієнта PPPoE і перевірка нормального функціонування
5. Встановлення інших корисних інструментів на EdgeRouter

1. Налаштування PPPoE сервера EdgeRouter за допомогою сервера Radius

Перший етап полягає в оновленні системи до версії 1.5 або вище, оскільки в цій версії операційної системи EdgeOS була додана підтримка атрибутів сервера Radius. Описана тут версія EdgeOS – v1.8.5. Оновлення можна встановити за допомогою інтерфейсу командного рядка, використовуючи такі команди:
add system image http://dl.ubnt.com/...
add system image new-version-1085.tar

У нашому випадку це 10.0.1.166, встановлюємо її в якості основної IP-адреси для EdgeRouter за допомогою команди (в режимі конфігурування):

set system ip override-hostname-ip 10.0.1.166

Тепер необхідно налаштувати сервер PPPoE, встановивши обов’язкові параметри:

edit service pppoe-server
set authentication mode radius
set authentication radius-server 10.10.10.65 key 12345
set client-ip-pool start 10.5.50.2
set client-ip-pool stop 10.5.50.200
set interface eth2

Налаштування також може виконуватись у веб-браузері:

Edge_Radius

2. Налаштування PPPoE сервера EdgeRouter для вхідних пакетів

Це важливий крок, тому що нам необхідно міняти тарифні плани, від’єднувати клієнтів або застосовувати правила FUP. У всіх цих випадках сервер Radius в системі Splynx посилає пакети на EdgeRouter.
За замовчуванням UBNT порт – 3779. Для забезпечення обробки вхідних пакетів, запустіть такі команди в операційній системі EdgeOS:

sudo cp /opt/vyatta/etc/pppoe-server/start-pppoe-radius-disconnect /config/scripts/post-config.d/

і перезавантажте роутер.

Для коригування, якщо пакети приймаються, використовуйте файл pppoe-radius-disconnect.log:

tail /var/log/pppoe-radius-disconnect.log

Приклад вихідних даних, в разі якщо сталося від’єднання пакету в операційній системі EdgeOS:

tail

3. Додавання EdgeRouter до системи Splynx і налаштування параметрів в Splynx

Just add a router to Splynx in Networking -> Routers and choose the NAS Type Ubiquiti

U1

Просто додайте роутер до системи Splynx в пункті меню Networking -> Routers і виберіть NAS Type Ubiquiti.
Можна визначити додаткові атрибути до конфігурації NAS Type в меню Config -> Networking -> Radius.

За замовчуванням ми підтримуємо атрибути граничної швидкості сервера Radius для встановлення швидкостей тунелів PPPoE.

U2
4. Під’єднання клієнта PPPoE і перевірка нормального функціонування

Тепер ми можемо під’єднати користувача PPPoE до роутера EdgeRouter і переконатися, що все гаразд, використовуючи команду show pppoe-server ми дізнаємося, скільки користувачів під’єднано до сервера PPPOE.

Show_pppoe

В системі Splynx ми можемо побачити, що клієнт знаходиться у мережі та отримати його статистику.

Online

Якщо натиснути на кнопку «роз’єднати», клієнт зникне зі списку онлайн і приєднається до мережі з початком нової сесії.
Це означає, що EdgeRouter прийняв вхідний пакет від сервера Splynx Radius. (POD)

5. Встановлення інших корисних інструментів на EdgeRouter

PPPoE тунелі клієнтів створюються динамічно і не показуються у веб-панелі налаштувань. Якщо необхідно отримати статистику пропускної спроможності клієнтів, то існує простий спосіб це зробити, встановивши програмне забезпечення bwm-ng. Додаток знаходиться в сховищі Debian, це означає, що спочатку потрібно додати нові сховища, а після того встановити bwm-ng.
Як додати нові сховища:

configure
set system package repository wheezy components 'main contrib non-free'
set system package repository wheezy distribution wheezy
set system package repository wheezy url http://http.us.debian.org/debian
set system package repository wheezy-security components main
set system package repository wheezy-security distribution wheezy/updates
set system package repository wheezy-security url http://security.debian.org
commit
save
exit

і встановити інструмент

apt-get install bwm-ng

Тепер є можливість запустити додаток bwm-ng -u bits для отримання інформації про фактичну пропускну спроможність клієнтів PPPoE

Приклад вихідних даних програми bwm-ng дивіться на картинці далі:

BWM-NG

Тепер ви знаєте, як налаштувати сервер Splynx Radius на використання UBNT EdgeRouter та отримувати вигоду від швидкого роутера у вигляді компактного і недорого пристрою, що забезпечує продуктивність в 1 мільйон пакетів в секунду!

Якщо у вас виникнуть будь-які труднощі, відвідайте наш форум – https://splynx.com.ua/forums/ або надішліть нам запит за – https://splynx.com/my-tickets/

Виставлення рахунків, рахунків-фактур та фінанси в системі Splynx

Метою будь-якого бізнесу завжди є прибуток. Інтернет-провайдерам слід контролювати платежі клієнтів, створювати рахунки, обробляти та пов’язувати платежі, керувати фінансовими потоками.

finance_dashboard

 

Splynx містить потужний платіжний рушій, що складається з 4 основних частин:
1. Фінансові операції
2. Рахунки-фактури
3. Платежі
4. Рахунки-проформи

1. Фінансові операції
Увесь процес виставлення рахунків у межах системи Splynx базується на фінансових операціях.
Фінансові операції – основа виставлення рахунків і виконується завжди, коли починаються грошові потоки або зміни балансу на рахунку клієнта:

а) За кожен розрахунковий період система Splynx автоматично стягує плату з клієнта. Адміністратор може визначити перший день місяця як розрахунковий, а значить, клієнт буде платити за календарний місяць.
До того ж система Splynx надає можливість стягування плати з кожного клієнта в будь-який інший день. Наприклад, один клієнт розраховується 15-го числа кожного місяця, а інший 20-го. Така дія створює транзакцію типу «+ Надходження (Дебет)»;

б) Коли клієнт оплачує послуги, створюється фінансова операція. Він може оплатити, використовуючи банківський переказ, готівкою або через платіжний сервіс в Інтернеті. В цьому випадку система Splynx пов’яже платіж з рахунком клієнта і створить одну платіжну фінансову операцію. Створена фінансова операція такого типу називається «-Витрата (Кредит)»;

в) Тоді адміністратор додає або знімає гроші на/з балансу клієнта;

г) У разі необхідності корекції, також створюється певна фінансова операція.

Завдяки системі фінансових операцій, ведеться чітка історія дій і є можливість відстеження історії балансу клієнта.

Billing_transaction

 

2. Рахунки-фактури

Splynx дає можливість працювати або з рахунками-фактурами або без них.

Працюючи без виставлення рахунків, система Splynx тільки приймає платежі та внески (платежі) від клієнта за кожний розрахунковий період без створення будь-якого офіційного документа.

У разі, коли рахунок-фактура необхідний, система Splynx може створювати такі рахунки автоматично, або ж адміністратор може створити їх самостійно. Рахунки-фактури можуть створюватися у зв’язці або окремо один за одним. PDF-файли рахунків-фактур – повністю налаштовуються. Усі документи, які генеруються системою Splynx, можуть конвертуватися в різні формати для друку або надсилання кінцевим користувачам.

Приклад повністю адаптованого рахунку-фактури для клієнта:

factura_example

 

3. Платежі

Splynx обробляє платежі. У разі, коли клієнт платить готівкою в офісі компанії, для введення платежів в систему використовується модуль касового апарату. Доступ оператора касового апарату до системи обмежений, він може тільки прийняти платіж, ввести платежі та переглядати деталі клієнтів. Адміністратор також може додавати в систему готівкові платежі.

Інтернет-провайдери, як правило, використовують різні способи оплати. Ми підтримуємо банківські операції або генерування платіжних доручень SEPA. Банківські платіжні операції автоматично обробляються програмою обробки запитів системи Splynx – невеликим модулем, створеним для кожного банківського формату файлу окремо.

Приклад автоматичної обробки банківських операцій показаний на малюнку далі:

Payments

Платіжні доручення SEPA – це файли, що генеруються системою Splynx і надсилаються в банк, який проводить переказ грошей з рахунків клієнтів на рахунок компанії. Ми підтримуємо різні формати доручень SEPA і підтримуємо формати доручень будь-якої європейської країни.

Платіжні системи. Ми постійно додаємо нові платіжні системи онлайн, такі як PayPal і схожі. Клієнт може оплатити послуги компанії через портал авторизації або безпосередньо на Інтернет-сайті платіжної системи. Коли система Splynx отримує платіж, додається одна фінансова операція.

4. Рахунки-проформи
Це не податкові документи, створені системою Splynx. Іноді компанії не виставляють рахунки клієнтам відразу, а насилають їм запит на оплату або орієнтовний рахунок-фактуру.
При створенні запитів, баланс клієнта не змінюється. Головною причиною такого підходу є недопущення сплати податку ПДВ компанією за клієнтів неплатників.
Якщо ж клієнт сплачує необхідну суму, зазначену в запиті, компанія може також виставити податкову накладну.
Приклад такого документа показаний на малюнку далі:

proforma

Рушій виставлення рахунків в системі Splynx повністю налаштовується і масштабується, що надає можливість обслуговувати тисячі фінансових операцій щомісяця. Наші клієнти використовують рушій в різних частинах світу, і ми до цього дня були в змозі встановити систему виставлення рахунків відповідно до вимог місцевих стандартів.
Далі наведено чотири відео-інструкції, що демонструють, як працює кожна частина рушія виставлення рахунків.

Фінансові операції

Сервіси

Рахунки-фактури

Платежі

Інтелектуальне керування пропускною спроможністю – модуль FUP

Багато Інтернет-провайдерів використовують в своїй мережі правила чесного використання (FUP) – це означає, якщо клієнт завантажує або вивантажує більше, ніж певну кількість даних, його швидкість знижується. Ми підняли цю ідею на зовсім інший рівень і надали можливість конфігурувати такі обмеження настільки різноманітно, наскільки це можливо.

У ISP Платформі Splynx наявне інтелектуальне керування пропускною спроможністю. Швидкість клієнта можна визначити на основі обсягу трафіку, використаного ним протягом місяця, тижня або навіть дня. Є навіть можливість визначити максимальний час онлайн в годинах на одного клієнта.

Ви хочете надати користувачам подвійну швидкість в нічний час? Або, можливо, ви не хочете контролювати трафік вихідними? Або потрібно просто уповільнити надактивних завантажувальників, беручи до уваги дані, що передаються ними щодня? Робіть це за допомогою системи Splynx прямо зараз!

PlansПараметри FUP знаходяться в пункті меню План під кнопкою-стрілкою

Спробуємо створити приклад. Візьмемо, наприклад, тарифний план на 5 Мбіт/с, вхідний і вихідний трафік для клієнтів у вихідні враховувати не будемо, значить, вони отримають по 7 Мбіт/с щосуботи та щонеділі. Далі створені перші правила. По-перше: «Не враховувати трафік у вихідні»:

Don't count weekends

І збільшити швидкість 5 Мбіт/с на 40% щосуботи та щонеділі:

7Mb on weekends

Тоді ми можемо зазначити, яке правило буде застосовуватися щосуботи:

2016-04-01 08.38.44 pm

 

У наступному кроці визначимо режим для надактивних завантажувальників з трафіком більш 10ГБ щодня – знизимо швидкість до 2 Мбіт/с після того, як вони перевищать обсяг передачі даних 10ГБ за один день.

high_download

Встановимо щомісячне використання трафіка в обсязі 100 ГБ, після досягнення цієї межі надамо тільки 1 Мбіт/с. Коли ж користувач досягне 110ГБ, заблокуємо його і нарахуємо додаткову оплату за зайві дані.

Total

Як видно на останній фотографії, ми створили повну комплексну політику керування пропускною спроможністю для тарифного плану 5 Мбіт/с. Надається можливість використовувати модуль FUP для створення власних правил! Обмеження швидкості здійснюється за допомогою сервера Radius з використанням атрибутів зміни авторизації (CoA) на будь-якому сумісному обладнання або за допомогою API маршрутизатора Mikrotik на операційній системі RouterOS.

Двофакторна аутентифікація в Splynx

Splynx завжди турбується про безпеку. Інформацію слід зберігати та обробляти з урахуванням безпеки. Паролі в нашій базі даних зберігаються в зашифрованому вигляді, весь код також зашифрований. Але, що ж, все-таки, станеться, якщо у одного з адміністраторів пароль виявиться ненадійним, а сторонні отримають доступ до системи Splynx?

Для запобігання цієї неприємності ми ввели підтримку двофакторної аутентифікації для входу адміністратора в ISP Платформу Splynx. Що це означає? Це означає, що після введення логіну і пароля адміністратора доведеться ввести ще тимчасовий код, створений спеціальним додатком в мобільному телефоні. Таким додатком можуть бути Google Authenticator, Authy або 1Password. Це найбезпечніший спосіб входу в систему в сучасному світі Інтернету.

Спочатку створюється новий обліковий запис адміністратора, наданий одному з мережевих адміністраторів.

new_admin

Потім, перебуваючи в системі Splynx в обліковому записі «newadmin» необхідно активувати двофакторну аутентифікацію.

enable_2_factor

Тепер слід відкрити програму на мобільному телефоні (в цьому випадку це Google Authenticator) і сканувати QR-код.

Scan_QR_code

У додатку у мобільному телефоні був створений код аутентифікації для системи Splynx, його можна використати:
Authenticator

Наступного разу, коли «newadmin» намагається увійти в систему Splynx, система завжди запитає його про одноразовий код.

 

login