Наши партнеры

Книги по Linux (с отзывами читателей)

Библиотека сайта rus-linux.net

На главную -> MyLDP -> Тематический каталог -> Настройка системы

Система Zeroshell Linux: технология Captive Portal, интернет шлюз и маршрутизатор (часть 3)

Оригинал: "Zeroshell Linux: Captive Portal, Internet Gateway and Router (part3)"
Автор: Эрик Гайер (Eric Geier)
Дата публикации: May 18, 2009
Перевод: Н.Ромоданов
Дата перевода: январь 2010 г.

В предыдущих статьях мы рассмотрели систему ZeroShell (часть 1, часть 2) — многоцелевой сервер, который вы можете запустить как «живой» диск (Live CD) на старом персональном компьютере. После того, как мы в первой части выполнили первоначальную настройку, в части 2 мы сконфигурировали сервер RADIUS для аутентификации 802.1X/PEAP. Это позволило нам сконфигурировать точки доступа нашей беспроводной сети таким образом, чтобы можно было пользоваться Wi-Fi шифрованием уровня enterprise. Также во второй части мы опробовали возможности системы ZeroShell, связанные с использованием точек доступа.

Теперь мы перейдем к экспериментам с технологией captive portal, которая нам потребуется в случае, если мы будем предлагать публичный доступ в сеть интернет. Дополнительно мы расскажем как сконфигурировать систему ZeroShell с тем, чтобы она выполняла маршрутизацию в вашей сети и исполняла функции DHCP - мы можем отказаться от использования имеющегося маршрутизатора. Так что давайте начнем!

Настраиваем Captive Portal

Как уже кратко упоминалось, в случае, если вы хотите предложить регулируемый публичный доступ в сеть интернет, вы можете воспользоваться технологией перехвата запросов captive portal, имеющейся в системе ZeroShell. Мы подробно расскажем, как настроить эту технологию для использования в простых случаях. Вы можете в системе ZeroShell просто вручную вводить имена пользователей и пароли для тех лиц, которые будут пользоваться входом в интернет через вашу точку доступа, в добавок вы сможете предоставить им некоторые данные, если они потребуются. Вы не сможете полностью настроить стартовую страницу доступа с использованием технологии captive portal (страницу регистрации), но вы сможете на ней выполнить некоторую настройку. Пример приведен на рис.1.

Рис.1

Если вам нужна более сложная система, позволяющая выполнять полную настройку, осуществлять автоматическую регистрацию, либо использовать платный доступ, то вам следует рассмотреть возможность реализации дистанционной аутентификации.

Ниже показано, как запустить механизм перехвата запросов, идущих от ваших пользователей:

  1. Находясь в графическом интерфейсе системы ZeroShell щелкните по ссылке CaptivePortal, расположенной в меню. На рис.2 приведен пример страницы Captive Portal.

    2. Рис.2

  2. Для параметра Mode (Режим) выберите Bridged (Типа «мост»), затем для параметра Interface (Интерфейс) выберите адаптер, через который пользователи будут подключаться к точке доступа, а затем щелкните по кнопке Save (Сохранить).
  3. Для параметра Simultaneous Connections (Одновременные подключения), находящегося в списке Gateway Parameters (параметры шлюза), выберите вариант Not Allowed (Не допускается), если вы предоставляете пользователям уникальные регистрационные записи, а затем щелкните по кнопке Save (Сохранить). В результате каждый пользователь в каждый момент времени может иметь только одно подключение, что предотвратить использование одной и той же учетной записи сразу несколькими пользователями. Однако, если вам нужно разрешить одновременные подключения нескольких пользователей, имеющих одно и то же имя пользователя и пароль, вы должны для этого параметра выбрать значение Allow (Допускается).
  4. Если вы хотите добавить к списку сервисы, не требующие авторизации (Free Authorized Services), с тем, чтобы пользователи могли пользоваться дополнительными портами/IP адресами еще до того, как зарегистрируются, щелкните по символу «плюс». Это удобно в том случае, если у вас есть некоторый сервер или приложение, доступ к которому вы хотите разрешить без регистрации. Например, вы можете к IP адресу ZeroShell добавить порт 80 и 433 с тем, чтобы не требовалось регистрироваться при доступе к графическому веб интерфейсу. Кроме того вы можете добавить IP адрес веб сайта (с портом 80) для того, чтобы всегда иметь к нему свободный доступ. Но помните, что конфигрируемые веб сайты должны иметь статический IP адрес. А большие сайты, такие как Google, используют IP адресацию с несколькими адресами.
  5. Если вы хотите некоторому компьютеру, например, вашему разрешить обходить технологию перехвата captive portal, выберите в разделе Free Authorized (Без авторизации) пункт Clients (Клиенты), щелкните по символу «плюс», введите MAC (физический) адрес сетевого адаптера вашего компьютера и щелкните по кнопке OK.
  6. Если вы предлагаете только бесплатный доступ, то вы, вероятно, захотите отменить использование протокола HTTPS (шифрование SSL) при доступе на страницу captive portal. Щелкните по закладке Authentication (смотрите рис.3), в разделе X.509 пометьте вариант Do not use HTTPS (Не использовать HTTPS), а затем щелкните по кнопке Save (Сохранить). В результате пользователи не будут получать «предупреждения» о том, что страница captive portal не использует подтвержденный сертификат. Хотя пользователи и смогут попасть на нужную страницу, но это, вероятно, может их смутить. Если вы хотите использовать шифрование для доступа к странице captive portal, то лучше всего заменить самоподписываемый сертификат, используемый в системе ZeroShell по умолчанию, на один из сертификатов, купленных у третьей стороны и поддерживаемый работу с браузерами.

    7. Рис.3

  7. Наконец, для того, чтобы запустить технологию перехвата запросов, поставьте отметку для свойства GW (шлюз), указанного в верхней части страницы.

Теперь, если вы сделали все должным образом, пользователи для того, чтобы попасть в интернет, должны будут вводить имя пользователя и пароль, которые вы создали ранее.

В первой части настоящей серии статей мы настроили систему ZeroShell для работы с уже существующим маршрутизатором. Таким образом мы смогли получить все преимущества сервисов, имеющихся в системе ZeroShell и связанных с аутентификацией RADIUS и используемой программно реализованной точкой доступа, но, при этом, мы никак не настраивали маршрутизацию в сети. Но, если вы не хотите использовать имеющийся маршрутизатор (либо использовать его в качестве дополнительной точки доступа), выполните настройку, описанную ниже.

Если вы хотите, чтобы к сети можно было подключиться по проводному соединению, то для этого потребуется, чтобы в вашу машину, работающую под системой ZeroShell, было вставлено, по меньшей мере два Ethernet адаптера. Один адаптер должен быть подключен к интернет-модему, а другой — либо к одиночному компьютеру, либо к коммутатору с тем, чтобы к сети можно было подключить несколько компьютеров. Если вы хотите, чтобы система ZeroShell обеспечивала только беспроводный доступ (и у вас есть Wi-Fi адаптер), то потребуется только один Ethernet адаптер.

Совет: Если у вас нет коммутатора, то вы можете воспользоваться старым маршрутизатором. Для этого на маршрутизаторе отключите использование DHCP и измените IP адрес маршрутизатора так, чтобы он принадлежал подсети ZeroShell (но не совпадал с IP адресом системы ZeroShell), например, 192.168.0.2 или 192.168.1.2. Затем подключите систему ZeroShell и другие компьютеры в обычные Ethernet порты маршрутизатора, не используйте порт WAN или Internet. Если есть беспроводный маршрутизатор, то также можно подключать компьютеры, использующие Wi-Fi.

Ниже описывается, как сконфигурировать систему ZeroShell, чтобы она работала как маршрутизатор / шлюз:

  1. . Вам нужно отредактировать IP адрес адаптера, к которому раньше был подключен ваш старый маршрутизатор. Мы сделаем так, чтобы этот адаптер обеспечивал проводное подключение ваших компьютеров; второй адаптер мы подключим к интернет-модему. Вы должны изменить IP адрес этого адаптера так, чтобы им было удобно пользоваться как маршрутизатором. Например, вам следует использовать адреса 192.168.0.1 или 192.168.1.1, а не 192.168.0.75 или 192.168.1.75. Для того, чтобы это сделать, щелкните по ссылке Setup (Настройка), расположенной в главном меню, щелкните по закладке Network (Сеть), выберите IP адрес и щелкните по кнопке Edit (Редактировать). Если для этого адаптера у вас указано использование DHCP (вместо того, чтобы задать статический IP адрес), то вам нужно изменить первоначальную настройку в соответствие с инструкцией, изложенной в первой части настоящей серии статей. Если у вас имеется только один проводный адаптер, и вы предлагаете только беспроводный доступ, то вам нужно будет создать / изменить IP адрес только для беспроводного интерфейса, а не для единственного проводного адаптера, поскольку этот Ethernet адаптер будет использоваться для подключения к сети интернет.
  2. Затем вы, вероятно, захотите включить сервер DHCP с тем, чтобы не устанавливать вручную IP адреса для каждого клиента (пример конфигурации приведен на рис.4):

    Рис.4

    • Щелкните по ссылке DHCP, расположенной в главном меню, и щелкните по кнопке New (Новое), расположенной в верхнем правом углу страницы. Затем в окне, которое появится, выберите подсеть subnet of the IP address (подсеть IP адреса), созданного вами (например, 192.168.0.0/255.255.255.0, если IP адрес равен 192.168.0.1, или 192.168.1.0/255.255.255.0, если IP адрес равен 192.168.1.1), а затем щелкните по кнопке OK.
    • На странице DHCP в поле Range 1 задайте диапазон IP адресов клиентов, например, 192.168.1.100 — 192.168.1.199. Если вы захотите, чтобы конкретный клиент всегда получал один и тот же IP адрес, то щелкните по кнопке Add (Добавить) в разделе ввода статических IP адресов, введите нужный IP адрес, MAC адрес клиента, а затем щелкните по кнопке OK.
    • На странице DHCP наберите созданный вами IP адрес в поле Default Gateway (Шлюз по умолчанию) и в поле DNS 1, расположенном справа, а затем щелкните пол кнопке Save (Сохранить).
    • Удостоверьтесь в том, что в поле Enabled (включено), расположенном в верхнем правом углу, стоит отметка.
  3. . Если вы используете DSL соединение или другое интернет соединение, требующее IP адрес или иные регистрационные данные, то их надо указать здесь (автоматическое подключение кабеля будет обсуждаться позже). Здесь все точно также, как и в вашем старом маршрутизаторе / шлюзе; укажите детали подключения. Щелкните по ссылке Setup, расположенной в главном меню, и выберите закладку Network (Сеть). Если в вашем соединении используется подключение вида PPPoE, то щелкните по кнопке New PPPoE (Новое подключение PPPoE), введите данные, а затем щелкните по кнопке OK. Если в вашем соединении используется только статический IP адрес, то щелкните по кнопке Add IP (Добавить IP адрес) для того интерфейса, который подключен к модему.
  4. На странице Network (Сеть) щелкните по кнопке New Bridge (Новый мост), переместите интернет подключение к другим Ethernet интерфейсам, указанным в списке Bridge Components (Компоненты моста), а затем щелкните по кнопке Save (Сохранить).
  5. Если у вас имеется подключение к сети интернет, которое само диагностирует подключение кабеля, т.е. вам не нужно указывать IP адрес и данные для подключения, то вам нужно будет всего лишь запустить клиент DHCP, который получит информацию об IP адресе от вашего интернет провайдера. На странице Network (Сеть) в разделе Bridge (Мост) щелкните по кнопке Dyn IP (Динамический IP), из выпадающего списка выберите вариант Enabled (Включено), подождите, пока адаптер получит IP данные от вашего интернет провайдера, а затем щелкните по кнопке Close (Закрыть).
  6. Для режима Bridge (Мост) вы должны включить трансляцию сетевых адресов Network Address Translation (NAT). Щелкните по ссылке Router (Маршрутизатор), расположенной в главном меню, щелкните по вкладке NAT, перетащите мост в список имеющихся интерфейсов NAT, а затем щелкните по кнопке Save (Сохранить).

Теперь компьютер с установленной системой ZeroShell должен маршрутизировать сетевой трафик и выступать в роли шлюза, используемого для доступа в интернет. Компьютеры, подключаемые через проводную сеть, будут автоматически получать IP адрес и доступ к сети интернет.

Завершение серии статей о ZeroShell

Этой статьей завершается серия статей о конфигурировании и использовании системы ZeroShell. Благодаря наличию в системе ZeroShell сервера RADIUS вы теперь сможете в своей Wi-Fi сети использовать шифрование WPA/WPA2-Enterprise. Если у вас имеется сотвествующий адаптер, то систему ZeroShell можно также использовать и как точку доступа. Дополнительно вы сможете разобраться, как сделать простую систему перехвата запросов captive portal, которую можно использовать для доступа в интернет. Наконец, вы сможете заменить свой маршрутизатор компьютером, работающим под управлением системы ZeroShell.