Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Автоматическая смена пароля на точке доступа
Частный клуб Алекса Экслера > Наши сети притащили
aik
18 ноября 2015, 10:44
Нужно реализовать автоматическую смена пароля вайфай на точке доступа. раз в неделю, например.
Должен меняться пароль, должна быть страничка с текущим паролем.
В идеале, конечно, он еще и автоматом на принтер должен уходить, но без этого можно обойтись.

Какие-то варианты в интернетах я нашел, но было бы интересно послушать, может у кого наработанные варианты имеются?
alibek
18 ноября 2015, 11:15
А точка доступа какая?
Вообще основных способа будет два.
Либо менять WPA-PSK через telnet/ssh/SNMP/API.
Либо использовать WPA-EAP и правила предоставления пароля определять в RADIUS-сервере.
Все остальное будет костылями.
aik
18 ноября 2015, 11:48

alibek написал:  А точка доступа какая?

Это вторично. Пока никакая, а вообще будет длинк, дплинк или асус, конкретную модель не могу назвать.

alibek
18 ноября 2015, 11:53
Ну от этого многое может зависеть.
Если речь идет о Mikrotik, то можно обойтись его собственными скриптами.
Если точка будет перешиваться под open-wrt, то тоже можно обойтись скриптами.
У TP-Link или ASUS почти наверняка отсутствует SNMP или API, то есть управлять ей нужно будет через терминал, а это не очень удобно.

Если же использовать WPA-EAP, то это намного более удобно и универсально, однако необходим RADIUS-сервер и его настройка.
aik
18 ноября 2015, 11:57

alibek написал:  Ну от этого многое может зависеть.

Тут скорее наоборот - сперва надо выбрать метод, а потом подбирать под него оборудование. Но недорогое.


alibek написал: Если же использовать WPA-EAP, то это намного более удобно и универсально, однако необходим RADIUS-сервер и его настройка.

А как это выглядеть будет? Хотя бы алгоритм, не обязательно пошаговая инструкция.
С радиусом и вайфаями я когда возился, но это было лет семь-восемь назад.
alibek
18 ноября 2015, 14:54
Если выбран WPA-EAP, то в настройках точки доступа указываются адреса RADIUS-сервера или серверов. Обычно указывается сервер, ответственный за авторизацию (проверка имени/пароля) и сервер, ответственный за аккаунтинг (учет трафика), зачастую это один и тот же сервер.

Когда к точке доступа подключается новый клиент, точка формирует запрос к RADIUS-серверу, в котором указываются какие-то параметры клиентов. Какие именно параметры — зависит от самой точки доступа. Обычно это MAC-адрес клиента, SSID сети, идентификатор точки доступа, возможно уровень сигнала. Могут быть и другие параметры (IP-адрес, модель устройства и т.п.).
RADIUS-сервер получает этот запрос, обрабатывает данные каким-то образом и дает ответ на запрос. Ответ может быть негативным (и тогда точка доступа откажет клиенту в подключении) или позитивным (и тогда точка доступа подключит клиента). В ответе может быть и дополнительная информация — например описание причины отказа, параметры сервисов (предоставляемая скорость, лимиты по тарифам), параметры подключения (IP-адрес, который нужно назначить клиенту, или выделенный VLAN, в который будет помещаться весь клиентский трафик).
Обработка данных RADIUS-сервером также может быть различной. Обычно RADIUS-сервер ищет в базе данных логин/MAC клиента, проверяет указанный пароль, определяет его тарифный план и статус (оплачен/не оплачен), после чего и формирует ответ. Но можно обработку делать и по другому — например для периода с 8 до 20 часов принимать все запросы вне зависимости от содержимого запроса, а в остальное время отклонять запросы. Или использовать не индивидуальный пароль для каждого логина, а сравнивать с каким-то общим, который можно менять по расписанию.

Алгоритм очень простой smile.gif

1. Установить и настроить RADIUS-сервер. Например бесплатный FreeRADIUS. Правда настройка FreeRADIUS дело нетривиальное. Может быть будет удобнее поискать какой-нибудь бесплатный биллинг и использовать его.

2. Включить на точках WPA-EAP, указать адрес RADIUS-сервера и посмотреть содержимое запросов, которые будет отправлять точка доступа (какие данные и в каком формате).

Кстати, искал альтернативы FreeRADIUS и наткнулся на статью. В принципе вполне потянет на шпаргалку.
Chief
18 ноября 2015, 16:10

aik написал: Но недорогое.

На сколько не дорогое? Микротик с гигабитными портами (самый простой, домашний, понятное дело) стоит меньше 3-х тысяч. Со 100 мбит - чуть больше двух
Правда вот вифи с радиусом на стороннем сервере я на нем так и не смог поднять, но занимался этим всего 15 минут - думаю просто не успел разобраться...smile.gif
aik
18 ноября 2015, 17:14

alibek написал: Кстати, искал альтернативы FreeRADIUS и наткнулся на статью. В принципе вполне потянет на шпаргалку.

Авторизация через радиус для клиентов будет выглядеть сложно. Особенно учитывая контингент (посетители генерального).
Наверное, лучше копать в сторону смены пароля WPA-PSK.


Chief написал: На сколько не дорогое? Микротик с гигабитными портами (самый простой, домашний, понятное дело) стоит меньше 3-х тысяч. Со 100 мбит - чуть больше двух

Гигабит не нужен. Проводные подключения вообще не нужны, достаточно одного порта на аплинк.
Недорогое - ну в пределах 2000.
Chief
18 ноября 2015, 17:45

aik написал: Гигабит не нужен.

Я просто приводил цены, то что проводная не нужна было понятно из первого сообщенияsmile.gif

aik написал: достаточно одного порта на аплинк.

У Микротика аплинком могут быть хоть все порты. А ВиФи разделяться на прием (еще один аплинк) и передачу...
Поверь - техника действительно уникальная, не зря ее знания требуют чуть ли не в каждой конторе от админов...smile.gif
1 минута поиска по СПб http://spw.ru/equipment/routerswifi/hap_lite_rb9412nd_tc/
Всеми свойствами даже самых дорогих роутеров микротик этот обладает, ось у них одна. Ну, ессно, кроме мощности. На самом дорогом я подниму впн-сервер и присоеденю под 50 клиентов, этот вряд ли потянет более 10-ти.
Но тебе этого и не нужно...
alibek
18 ноября 2015, 17:59

aik написал: Авторизация через радиус для клиентов будет выглядеть сложно.

Как раз для клиентов это будет максимально просто.
Сложнее будет настройка серверной части.


aik написал: Недорогое - ну в пределах 2000.

Это слишком уж бюджетно.
Правда WPA-EAP сейчас даже бюджетные точки умеют, но они практически не конфигурируются.
Придется подстраивать RADIUS под тот формат данных, который будут использовать точки.

А вообще какая задача?
Зачем нужно раз в неделю менять пароль?
Если речь идет о хотспоте для гостиницы или кафе, то есть куча облачных решений (например САИ), я бы посмотрел в эту сторону. Тогда можно будет взять даже бюджетные точки, установить на них прошивку DD-WRT или OpenWRT и подключиться к облаку.
Chief
18 ноября 2015, 18:03

alibek написал: Это слишком уж бюджетно.

Я выше ссылку привел...
aik
18 ноября 2015, 18:50

Chief написал:
Всеми свойствами даже самых дорогих роутеров микротик этот обладает, ось у них одна. Ну, ессно, кроме мощности.

Антенна не слабовата? А разъема для подключения внешней не вижу.
Я тут на днях выбирал роутер генеральному домой, микротик отпал как раз из-за того, что я у него не нашел разъем для антенны.


alibek написал:
Как раз для клиентов это будет максимально просто.

Угу. По вашей же ссылке:


Ну и на Windows 7 приедтся немного понастраивать. Осуществим следующие шаги:
Идем в центр беспроводных подключений.
    Устанавливаем необходимые параметры в свойствах Вашего беспроводного подключения
    Устанавливаем необходимые параметры в расширенных настройках EAP
    Устанавливаем необходимые параметры в расширенных настройках Дополнительных параметрах
    Подключаемся в панели задач к Wi-Fi сети и вводим логин-пароль, наслаждаемся доступом к Wi-Fi

И пять скриншотов. На мой взгляд, это гораздо сложнее, чем просто ввести пароль.


alibek написал:
Это слишком уж бюджетно.

Ничего не поделаешь. Это я еще верхнюю границу привёл.


alibek написал:
А вообще какая задача?
Зачем нужно раз в неделю менять пароль?

Нужен гостевой вайфай в приемной у генерального и паре комнат рядом.
Пароль надо менять для того, чтобы менять пароль. smile.gif Если оставить пароль постоянным, то через пару-тройку недель его все вокруг знать будут. А сотрудникам вайфай не нужен. А кому нужен, пусть пишет заявку, предоставляет мак-адрес своего устройства и получает доступ в основную вайфай-сеть.
alibek
18 ноября 2015, 18:57

aik написал: По вашей же ссылке

Это не единственный вариант WPA-EAP.
Это схема, когда для авторизации используется логин и пароль, вводимый пользователем.
Если речь идет о Windows, то можно использовать сертификаты, которые система сама будет использовать при подключении к сети. Либо, если используется домен, можно использовать доменные учетные данные для авторизации в сети.
И наконец, скорее всего (я так просто не пробовал, но не вижу причины, почему не получится) не обязательно вообще на RADIUS-сервере требовать от клиента какой-то авторизации, можно просто сверять MAC-адрес клиента с неким списком и подверждать или отклонять доступ по списку.


aik написал: Нужен гостевой вайфай в приемной у генерального и паре комнат рядом.

У большинства современных беспроводных точек доступа есть кнопка WPS.
Не проще ли использовать ее?
Директор пароль может вообще не знать. Просто нажмет кнопку и подключит гостя или себя.
KosMos
18 ноября 2015, 19:04

Chief написал: техника действительно уникальная, не зря ее знания требуют чуть ли не в каждой конторе от админов...

... в питере.
В остальном мире при слове микротик скорее всего сделают bigeyes2.gif
KosMos
18 ноября 2015, 19:08

aik написал: Какие-то варианты в интернетах я нашел, но было бы интересно послушать, может у кого наработанные варианты имеются?

Загуглил tomato wrt change wifi password - первой же ссылкой вывалилось это:
http://www.linksysinfo.org/index.php?threa...password.31725/
Оно?
Сам не пробовал.

Помидорка емнип производная от openwrt так что не удивительно.
Список девайсов под помидорку также гуглится. smile.gif
aik
18 ноября 2015, 19:13

alibek написал:
Если речь идет о Windows, то можно использовать сертификаты, которые система сама будет использовать при подключении к сети. Либо, если используется домен, можно использовать доменные учетные данные для авторизации в сети.

Угу. Я вот как раз с авторизацией через сертификаты несколько лет назад и возился. Вы представляете себе человека уровня генерального директора, который будет себе на айфон сертификат поставить только для того, чтобы полчасика вайфаем попользоваться?


alibek написал:
У большинства современных беспроводных точек доступа есть кнопка WPS.
Не проще ли использовать ее?

Не думаю. Во-первых, директор не полезет под подвесной потолок нажимать кнопку. smile.gif
Во-вторых, насколько помню, после нажатия на кнопку всё равно пользователь должен у себя пароль ввести какой-то.


KosMos написал: В остальном мире при слове микротик скорее всего сделают bigeyes2.gif

Про остальной мир не скажу, но в Новом Уренгое микротики котируются. smile.gif
Chief
18 ноября 2015, 19:21

aik написал: Антенна не слабовата? А разъема для подключения внешней не вижу.

На нем мощность настраивается. Внешней антены не надо (в другом треде могу объяснить почему, это таки физика).
Как и что настраивать - в отдельную тему, но пока я не поставил значение indoors - мой роутер выдавал сигнал метров на 200. И это через мои стены. Остальные роутеры приходилось выносить на видимость, чтоб по всей квартире был сигнал, этот (ну другая модель) висит там, где мне удобно.

KosMos написал: ... в питере.

А ты не в курсе, что aik - питерский? Ну и цены в тех местах, где он работает - сравнимы, производитель - Литва. Просто продавца надо найти, а это вопрос даже не админа - секретаря..

KosMos написал: В остальном мире при слове микротик скорее всего сделают

Что сделают?
KosMos
18 ноября 2015, 19:27

Chief написал: Что сделают?

Там смайлик стоит facepalm.gif
KosMos
18 ноября 2015, 19:28
aik, мой второй пост заметил? smile.gif
Chief
18 ноября 2015, 19:31

KosMos написал: Там смайлик стоит

Я на смайлы, кроме стандартных - вообще внимания не обращаю...
Ну сейчас посмотрел - если так сделают - идиоты. Оборудование ОЧЕНЬ хорошее. Но пожалуй не здесь его будем обсуждать...
aik
18 ноября 2015, 19:44

Chief написал:
На нем мощность настраивается. Внешней антены не надо (в другом треде могу объяснить почему, это таки физика).

Настраиваться-то настраивается, но 1,5dbi - это 1,5dbi. У моделей подороже уже 2,5.
Хотя в обсуждаемом случае мощность, думаю, не слишком важна, там надо связь в радиусе 10-15 метров обеспечить, несущих стен нету.

Как на микротике можно реализовать смену пароля? Зайти скриптом через телнет/ssh можно?


KosMos написал:  aik, мой второй пост заметил? smile.gif

Заметил, но про эту прошивку я вообще никогда не слышал. В отличие от openwrt и ddwrt.
alibek
18 ноября 2015, 20:15

aik написал: Как на микротике можно реализовать смену пароля? Зайти скриптом через телнет/ssh можно?

Можно, там с этим легко. А можно скрипт написать, который будет сам менять пароль по какому-то алгоритму с какой-то периодичностью.

Сам я бы Микротик не использовал. Однако если бы пришлось, я бы еще обратил внимание на встроенный портал хотспота.
Тогда можно будет сеть WiFi сделать открытой, а пароль вводить на портале (в браузере). Тогда не нужно будет вводить пароль при подключении к сети и выполнять команду "Забыть сеть" при изменении пароля.
aik
18 ноября 2015, 20:20

alibek написал: А можно скрипт написать, который будет сам менять пароль по какому-то алгоритму с какой-то периодичностью.

Внутрироутерный скрипт не особо хочется - мне удобней вариант, когда я с сервера периодически пинаю роутер командой на смену пароля. А сама генерация, расписание и веб-страничка с текущим паролем на сервера живут. Плюс можно подцепиться к принтеру в приёмной и печатать утром по понедельникам пароль туда. smile.gif


alibek написал:
Сам я бы Микротик не использовал.

А чем микротик хуже какого-нибудь тплинка с опенврт?
KosMos
18 ноября 2015, 20:36

aik написал: Заметил, но про эту прошивку я вообще никогда не слышал.

Бывает.
https://en.wikipedia.org/wiki/Tomato_%28firmware%29
Лично я - большой фанат. super.gif Предпочитаю всегда когда доступна (перед ddwrt etc).
Но дело добровольное, конечно.

Chief написал: Оборудование ОЧЕНЬ хорошее. Но пожалуй не здесь его будем обсуждать...

Не спорю. Я про него как раз в курсе. И знаю здеся живых людей, кто тоже в курсе. Но требовать знание от админов - redface.gif
Chief
18 ноября 2015, 22:20

aik написал: Зайти скриптом через телнет/ssh можно?

Да.
Chief
18 ноября 2015, 22:25

KosMos написал: Но требовать знание от админов -

А какую вакансию не посмотришь - знание микротика - плюс...smile.gif

aik написал: Настраиваться-то настраивается, но 1,5dbi - это 1,5dbi.

Есть разница. Если потребуется - скину настройку (там мелочи), но если не потребуется, то зачем я буду напрягаться?smile.gif

aik написал: Хотя в обсуждаемом случае мощность, думаю, не слишком важна, там надо связь в радиусе 10-15 метров обеспечить

У меня квартира большеsmile.gif
KosMos
18 ноября 2015, 22:27

Chief написал: А в Питере какую вакансию не посмотришь - знание микротика - плюс...

fixed wink.gif
Chief
18 ноября 2015, 22:34

KosMos написал: fixed

А в Питере сейчас от половины вакансий повеситься можно - требования нереальные...
Но это все же не в эту тему...
Chief
18 ноября 2015, 22:45

aik написал: А чем микротик хуже какого-нибудь тплинка с опенврт?

Сложностью настройки.
То, что по умолчанию - фиг с ним, там просто воткнул и все.
Но тот же радиус-роутер на микротике поднять сложнее.
Да и банальный вифи не так очевиден, как на том же длинке - чуть почитать надо...
Простому пользователю вообще вряд ли доступно. Как домашний роутер без возможности позвать хорошего специалиста - я бы не рекомендовал. У моих приятелей микротики, но они либо сами админы, либо я могу придти. Читай так - настроить простым тыканьем мышки конечно можно, но еще тот гемор.
Upd: Вернешься сюда - могу дать доступ - посмотришь разницу с обычным, тупым, домашним роутером...
alibek
18 ноября 2015, 23:53

aik написал: А чем микротик хуже какого-нибудь тплинка с опенврт?

Холиварная тема. Если сравнивать с TP-Link и OpenWRT, то не хуже, но удобнее.
Я как-то его изучал, но по итогу разочаровался. Поначалу в нем подкупает наличие множества "взрослых" функций. Но по факту выясняется, что при серьезной нагрузке их использовать нельзя.
Для примитивных задач дешевле и надежнее будет простая мыльница.
Для сложных задач все-равно придется переходить на серьезное железо.
alibek
18 ноября 2015, 23:55

Chief написал: ернешься сюда - могу дать доступ - посмотришь разницу с обычным, тупым, домашним роутером..

Собственно это не проблема: http://demo.mt.lv
Chief
19 ноября 2015, 14:21

alibek написал: Собственно это не проблема: http://demo.mt.lv

Ну в принципе да. Даже консоль работает...smile.gif
Chief
19 ноября 2015, 14:30

alibek написал: Но по факту выясняется, что при серьезной нагрузке их использовать нельзя.

Нда? И какие нельзя?

alibek написал: Для сложных задач все-равно придется переходить на серьезное железо.

А ты с дорогими микротиками работал?
Не за 1500 деревянных, а за 25000?
Лично я сравнивал одновременно с циской за 60 (циску правда не я настраивал) - в итоге, чтоб сравниться на циску пришлось докупать еще проц.
Конечно как сервер ВПН микротик за 1500 больше 9 клиентов не тянет, на 10 умирает (специально проверял), а вот как клиент - прекрасно работает.
Как роутер для организации в 1500 клиентов - я его не поставлю. Как роутер для конторы в 20 компов - легко. Хотя я бы и там и там на сервере бы организовывал шлюз.
alibek
19 ноября 2015, 15:38

Chief написал: А ты с дорогими микротиками работал?

Я со всякими работал, и с дорогими, и с дешевыми. Особой разницы нет, везде одна и та же RouterOS с одними теми же возможностями и ограничениями, разница только в производительности и в некоторых аппаратных фичах.
Микротик хорош для небольшой офисной сети, где нужен только интернет через NAT, DHCP в локальной сети и некоторые возможности по управлению сетью (шейпинг, ограничение доступа).
Для дома его использовать можно, но например у меня дома используется Zyxel Keenetic, мне его работа нравится больше. Хотя родственникам я поставил RB2011 (прежде всего из-за оптического порта), они IPTV не пользуются.
А для корпоративного или операторского сегмента лично я бы Микротик не использовал.
Chief
19 ноября 2015, 16:36

alibek написал: А для корпоративного или операторского сегмента лично я бы Микротик не использовал.

Ты имеешь ввиду в крупных фирмах в качестве роутера? Ну так я тоже самое выше писал.
Я даже для 30 человек лучше поставлю на линуксе/фре, а для 500 роутер был на ForeFront TMG, но там вообще было все лицензионное, так как лицензировал Смольный...smile.gif
В вопросе темы - как раз микротик хорош тем, что легко управляется по ssh и позволяет выполнять поставленную задачу без лишнего геморроя. Как ты понимаешь, такой скрипт пишется на коленке за 5 минут.
Стоимость - вполне бюджетная. Да, для простого пользователя - он очень не прост в настройках, но aik - админ.

Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»