Авторизация абонентов на примере IPoE с использованием Mikrotik и IP Hotspot

Основная задача системы авторизации — это назначение индивидуальных параметров каждому подключившемуся устройству. В схеме авторизации IPoE с использованием маршрутизаторов mikrotik эти параметры включают скорость согласно тарифу и доступ к определённым сетям или услугам. Для операторов связи также важен механизм переадресации должников на страницу оповещения (заглушку), чтобы уведомить о необходимости оплаты.

Содержание
  1. Выбор схемы авторизации и описание работы
  2. Как работает авторизация через IPoE:
  3. Настройка RusBilling
  4. Создаем NAS для mikrotik
  5. Настраиваем тип авторизации и вводим радиус атрибуты
  6. Тип авторизации для абонентских устройств через Radius:
  7. Далее вводим атрибуты:
  8. Создаем сеть абонентов
  9. Немного расчетов
  10. Добавляем сеть абонентов в биллинг
  11. Настройка mikrotik

Выбор схемы авторизации и описание работы

Мы рассмотрим работу авторизации на примере популярной схемы, применяемой многими операторами связи — IPoE. Её преимущество в том, что абоненту не требуется вручную вводить логин и пароль: устройство подключается автоматически. В нашем случае схема реализована с помощью Mikrotik, на интерфейсе которого настроен IP Hotspot.

Использование IP Hotspot оправдано возможностью перенаправления на HTTPS-страницу, что особенно удобно для уведомления абонентов с задолженностью — так называемая «заглушка» или страница оповещения.

Как и в любой системе, инициатором подключения является абонентское устройство. Оно может иметь заранее заданный IP-адрес или получить его автоматически — либо с самого Mikrotik, либо с внешнего DHCP сервера биллинговой системы.

Ключевой момент — знание IP-адреса устройства, закреплённого за конкретным абонентом. Это позволяет интегрировать маршрутизатор с биллинговой системой и автоматизировать управление сессиями, включая тарификацию, контроль доступа и переадресацию.

Как работает авторизация через IPoE:

  1. При подключении устройства маршрутизатор определяет его MAC-адрес.
  2. Mikrotik отправляет запрос на биллинг через Radius-сервер.
  3. Если MAC-адрес зарегистрирован:
    • устройство получает IP от биллинга через DHCP Relay,
    • микротик получает от биллинга через Radius:
      • статус абонента (соответствующий User Profile в IP Hotspot),
      • скорость доступа согласно тарифу,
      • назначенный IP-адрес.
  4. Если MAC-адрес не зарегистрирован:
    • IP-адрес выдает сам mikrotik,
    • устройство попадает в User Profile «default».
Читать  Автоматическая установка биллинговой системы RusBilling

При изменении параметров абонента в биллинге (например: списание абонентской платы или смена тарифа) mikrotik об этом не узнает автоматически. Для обновления параметров требуется сброс текущей сессии — это реализуется через Radius Incoming микротика, а в биллинге — посредством RadClient.

Настройка RusBilling

Создаем NAS для mikrotik

Где:

  • Имя сервера – произвольное имя, которое в дальнейшем используется в настройках FreeRadius. Поэтому только латинские буквы и цифры;
  • IP адрес микротика на интерфейсе с биллингом, вводим без маски ;
  • COA: — Порт для работы Radclient, в mikrotik — radius incoming;

Секретный ключ для настройки доступа Radius сервера создается автоматически

Настраиваем тип авторизации и вводим радиус атрибуты

Тип авторизации для абонентских устройств через Radius:

  • Тип авторизации — выбираем авторизацию по MAC, и формат MAC адреса.
  • Авторизовывать не активных — будем авторизовывать должников и отключенных
  • Сброс сессии — сбрасываем сессии абонента через RadClient по ip адресу абонента

Далее вводим атрибуты:

первыми у нас атрибуты check с оператором := , они необходимы для организации авторизации:

  • Auth-Type := Accept — тип авторизации
  • Cleartext-Password := SecretMAC — общий пароль для авторизации, будет необходимо поставить в настройках сервера Hotspot микротика

далее вводим атрибуты reply с оператором =, они передают параметры абонентского устройства микротику через радиус:

  • Mikrotik-Group = {STATUSABONENT} — передает статус абонента.
  • Mikrotik-Rate-Limit = {SPEEDIN}/{SPEEDOUT} — скорость подключения согласно тарифа
  • Framed-IP-Address = {IPABONENT} — IP адрес абонента

на этом настройка NAS в биллинге закончена.

Создаем сеть абонентов

Немного расчетов

Предположим у нас GPON с четырмя портами это 128 ONU на порт, значит получаем 128 * 4 = 512 ONU максимум.

Нам необходимо:

  • Host для микротика (шлюз абонентов)
  • Host для биллинга (запуск сервера DHCP)
  • Pool hosts для абонентов ( у нас минимум 512 ONU )
  • Pool hosts для не авторизованных абонентов ( наверно минимум 10 на запас надо )
Читать  Автоматизация процессов интернет провайдера. Проектирование биллинговой системы.

Сравним сети с префиксом 23 и 22 для планирования сети:

ИмяЗначениеЗначение
Адрес172.16.0.5/23172.16.0.5/22
Bitmask2322
Netmask255.255.254.0255.255.252.0
Wildcard0.0.1.2550.0.3.255
Network172.16.0.0172.16.0.0
Broadcast 172.16.1.255172.16.3.255
Hostmin172.16.0.1172.16.0.1
Hostmax172.16.1.254172.16.3.254
Hosts5101022

С учетом возможного развития сети выберем сеть с 22 префиксом на 1022 Хоста (IP адреса).

Добавляем сеть абонентов в биллинг

Разберем подробнее:

  • Имя сети – произвольное имя, лучше писать имя по географическому положению оно будет отражаться при регистрации абонента. Имя в дальнейшем используется в настройках DHCP сервера. Поэтому только латинские буквы и цифры;
  • IP адрес сети с префиксом;
  • IP адрес маршрутизатора, который будет являться шлюзом для абонентов (ip адрес микротика на интерфейсе абонентов);
  • DHCP сервер (рекомендуем включать всегда);
  • Сервер NAS — Выбор NAS на котором будет работать сеть абонентов;
  • Первый IP и Максимальный IP — pool адресов абонентов;
  • Первый DNS Второй DNS — IP адреса DNS серверов для абонентов;
  • Срок аренды IP адреса абонентом — стоит сутки в секундах;

для pool адресов незарегистрированных абонентов оставим адреса с 172.16.3.201 по 172.16.3.254, их будем вводить при настройке IP Hotspot микротика.

На этом настройки биллинга для интеграции с абонентами закончены, дальнейшие шаги по работе с абонентами описаны здесь

Настройка mikrotik

Всю настройку можно разбить на этапы:

  • Переадресация должников
    • Установка сертификата для работы по HTTS на микротик;
    • Выделение субдоменов для микротика, страницы личного кабинета и заглушки;
    • Настройка записи DNS страницы заглушки для отправки абонентов на биллинг;
    • Настройка записи DNS личного кабинета для отправки абонентов на биллинг;
  • Настройка DCHP Relay
    • добавление в DCHP Relay IP адреса биллинга на интерфейс абонентов
  • Настройка Radius
    • добавление Radius сервера для управления IP Hotspot с IP адресом и секретным ключом биллинга;
    • включение и настройка порта для Radius Incoming;
  • Настройка IP Hotspot
    • Создание сервера Hotspot
    • Редактирование профиля сервера
    • Редактирование и создание профилей пользователя
    • Добавление адресов сетей для исключения при активации
    • Добавления листа адресов для доступа должникам
Читать  Первичная настройка биллинговой системы

Статья еще не закончена

Больше на RusBilling

Подпишитесь, чтобы получать последние записи по электронной почте.