Hola!

Registrándote como bakuno podrás publicar, compartir y comunicarte en privado con otros bakuos :D

Regístrame ya!

[AYUDA] Montar ISP con RADIUS + Portal Cautivo + Qos + Windows Server

homosapiens999

homosapiens999

The Thinking Bovine
Desde
7 Ago 2007
Mensajes
2.990
Saludos compañeros de corral.

Despues de un buen rato ausente en el foro, vuelvo con una duda existencial que me esta quemando las neuronas.


UN POCO DE HISTORIA

Resulta que hace algunos meses comencé con un negocio para ofrecer servicio de internet a zonas donde no existe cobertura actualmente mediante enlaces inalambricos y Puntos de Acceso WiFi. En un principio comencé solo con la seguridad WPA2 de las antenas Ubiquiti que uso y el bloqueo por MAC desde las mismas.

El detalle fue que esta estructura pronto me dió problemas de eficiencia y me fue necesario replantearmente el proyecto para poder administrar mejor el entorno, de este modo monte un Router+Firewall con el BrazilFW, y con ello funciones de Portal Cautivo, Proxy, caché, y control de ancho de banda mediante QoS a cada uno de mis clientes. Hasta el momento todo funciona más o menos bien, pero he tenido algunos problemas con algunas funciones de la distro y de los addons necesarios para su funcionamiento, así que constantemente tnego problemas de que los clientes ya no pueden acceder por que le portal se trabó, o depronto deja de entregar direcciones IP, etc.

A pesar de que el soporte de BrazilFW por parte de la comunidad es muy bueno, me topo que muchos de los Add-ons han sido abandonados por sus creadores además de que el sistema es antiguo y facilmente vulnerable por alguien con minimos conocimientos.

Actualmente uso la dirección MAC de los equipos para autenticarlos, por lo tanto para hacer el cobro del servicio lo hago por equipo, siedo esto poco atractivo para muchos clientes potenciales que tienen varios equipos.

Leyendo un poco en internet me encuentro con algo muy bonito llamado RADIUS, que segun leo puede autenticar al usuario en si mismo y asignarle a éste usuario la cantidad de conexiones simultaneas disponibles para él. Chequé el sistema ZeroShell que es muy completo, pero hay poca documentación y la configuración del mismo es algo complicada.


MIS NECESIDADES

Partiendo de lo anterior, puedo definir el entorno que requiero para trabajar de manera óptima mi red, y funcionar como un ISP decente.

Necesito un server que pueda funcionarme como Firewall, Router y DHCP Server, para recibir el internet desde mis modem ADSL y transmitirlo a los equipos de la Red, esto obviamente mediante el NAT del mismo servidor. (Por la experiecnia que tengo, se que windows Server 2003 puede hacer tirado de la risa esas funciones)

Así mismo ocupo una gestión centralizada de usuarios para una autenticación segura y poder dejar mis Acces Point sin contraseña, funcionado en conjunto con esto un Portal Cautivo, donde poner publicidad y permitir la autenticación de los usuarios que ya tengan contratado el servicio. así mismo en este control de usuarios tengo que aplicar una restricción para que su conexión solo sea mediante determinado o determinados equipos y permita N número de conexiones simultaneas por usuario. (Segun he leido, conjugando el Active Directory de Windows Server con un portal cautivo como PFsense se puede lograr todo lo descrito anteriormente, dando de alta los usuarios en el active directory y asignandoles permisos para autenticación RADIUS realizando ésta mediante un portal cautivo con los campos necesarios de ingreso.

Referente al control de ancho de banda por usuario es en lo que me encuentro más perdido, actualmente tengo 3 planes de velocidad para mis usuarios, controlados mediante el QoS del Brazil FW. A decir verdad no he investigado si esto se puede realizar en Windows Server y como hacerlo, o si necesita algun software adicional. Así mismo una función interesante que pude implementar en ZeroShell y me gustaria aplciarla en mi entorno Windows es servidor Proxy con antivirus, para reducir en lo posible el tráfico malicioso, y tambien habilitar un servicio como Squid (actualmente usando en BrazilFW) para cacheár el trafico y reducir el consumo de ancho de banda de los WAN.


AHORA SI LO BUENO

Debo decir que no soy experto en redes ni mucho menos, soy Tecnico en Informatica y lo que he expresado, y dicho es producto de la investigación y la experiencia que he adquirido en los años que tnego trabajando. El montar un ISP es un terreno desconocido para mi, y poco a poco voy aprendiendo los menesteres necesarios para su buen funcionamiento.

Se que muchos me comentarán de por que no buscar esta solución en Linux y con Software Libre; mi motivación para usar Windows se fundamenta en que ya poseo 2 Licencias de Windows Server (2003 y 2008) que no uso actualmente y me gustaria sacarles provecho, y por otro lado, que me da un poco más de comodidad trabajar sobre esta plataforma. Aclaro que no menosprecio el potencial de los sistemas Libre como BrazilFW y ZeroShell, el punto es que mi conocmiento en linux es muy limitado.

Mi post va enfocado a solicitar ayuda, tutoriales, asesoria y lo que esté en su alcanze lograr para poder montar un ISP con las carácteristicas que propongo bajo Windows 2003 Server o 2008 Server, ademas de otras funciones o plataformas que ustedes condiren que cubren completamente estas necesidades. No estoy cerrado a escuchar opiniones, y espero que este post pueda convertirse, con sus ayudas en un punto de referencia sobre estos menesteres, que buscando por la red, hay muy poca información en nuestro idioma.

Saludos, y ojalá sea posible lograr algo interesante. De igual forma si yo encuentro mas información al respecto la ire colocando poco a poco.
 
yo tuve el mismo problema, monté un sistema similar al tuyo peor de menor escala, hasta hice u ntutorial de como hacerlo... pero si me limitó un poco el sistema. Por ejemplo pude asignar por medio de IP al cliente el ancho de banda, sin importar cuantas máquinas tenga. el ancho de banda que contrató conmigo la distribuye él mismo en sus PC...
Lamentablemente con Windows Server no podrás hacerlo porque te limita el número de licencias por Términal services y Active directory

Yo actualmente utilizo SISLAND Server con pago, una Distro Basada en Linux que cumple todo lo que yo necesito. el RADIUS que quieres montar necesita muchos recursos y demasiado dinero si quieres montarlo, también necesitarás una licencia con el ministerio de Comunicaciones de tu País puesto que esto ya es de frecuencias comerciales.

Antes de continuar revisa lo que tu gobierno tenga a disposicion y permisos, tanto para licencias como usufructo y costos en facturaciones legales. Asesórate con alguien experto.

Pero Te digo si quieres hacerlo emplea Servidores Linux como Ubuntu Server, o Compras licencias (o haces la prueba) con SISLAND SERVER durante 1 mes y vas a ver como todo lo que pides te lo puede hacer...

Si el cliente no paga al acceder le aparece en pantalla en el navegador "No tiene Crédito, le invitamos a que cancele su factura" el index.html le mostrará un botón de PAGO el cual le llevará a un soporte técnico online (sesión de chat con alguno de mis empleados de cobro) el cual media vez paga el cliente, automáticamente se le da de alta...

Además permite bloquear y crear CACHE de YOUTUBE y Demás páginas web para que no gastes ancho de banda.

Yo tuve que pagar esa licencia que fue la que me sirvió.

Actualmente reparto a 120 Clientes y tengo las antenas sectoriales libres sin clave.

además también tengo mi Radio WiFi con Música para Androids e iPhonnes el cual entre los mp2 pongo spots de publicidad y Si tengo que pagar al fisco por derechos de transmisión.
 
Gracias por tu respuesta @enigmaelectronica.

Fijate que soy de México, no estoy seguro del todo, pero segun sé la banda de 2.4 y 5.8 GHz, que son las que uso para mis enlaces inalambricos y Acces Points es libre aquí en México. agradecería toda la información posible al respecto si es que dispones de ella.

Como comentaba, Actualmente tengo un servidor haciendo las funciones de router y firewall corriendo sobre BrazilFW 2.32. Una distro de linux que considero muy buena y configurable, este me permite hacer de balanceador de cargas con mis modems de infinitum al mismo tiempo que reparte IP's a la red. Dentro de este sistema tengo un plugin conocido como EasyCaptive, que es un portal cautivo que me permite autenticación por usuario y contraseña, al mismo tiempo que dicho usuario y contraseña solo puede ser usado desde un equipo en particular. No me he animado a habilitar el Squid por que no me he documentado mucho al respecto pero he leido que es un proxy con caché.

Si bien la solución de momento me funciona correctamente, he detectado varios problemas que no he podido solucionar, uno de ellos es que los datos de inicio de sesión viajan como texto plano, por lo cual puedo capturarnos con un Sniffer. El control de IP por MAC lo manejo por medio de reservas en el DHCP y de ello mismo me valgo para el QoS por IP.

Mi portal cautivo funciona en 4 estados principales, cuando una MAC no registra se conecta a mis antenas, el sistema le entrega una IP pero aparece un portal diciendo que el equipo no esta autorizado, negandole toda la navegación. Tengo el portal de inicio de sesión y un portal global que aparece cada que un usuario registrado inicia sesión correctamente. Y dos portales de aviso que de acuerdo a los tiempos voy cambiando, los tengo como prebloqueo y bloqueo de acuerdo al estado del pago del cliente con un formulario que se manda via E-Mail a mi correo de contacto. Una de mis principales necesidades es que se manden estos avisos de forma automatica.

Estos portales de pronto me causan conflictos de que no se muestran o muestran paginas en blanco, asi como la corrupción de la página de inicio de los navegadores, o la página web a la que se intente acceder cuando se despliega.

Haciendo un pequeño rerecuento, me doy cuenta que no tengo tantos problemas como yo creia pero si algunos que es necesario resolver, sobre todo para asegurar mi red, y no se me cuele ninguna fulano sin pagar.

Por lo que mencionas de las licencias del windows Server no lo habia contemplado, supongo que no lo podré usar, lei sobre un servidor radius Gratuito, se llama FreeRadius pero ni idea, tengo tanta información quey a no se como comenzar, voy a poner un comentario donde vaya compartiendo los links con información al respecto.

@enigmaelectronica : Pasame el link de tu tutorial para ver si me aclaro un poco.

segun avanzamos con esto creo que debo centrarme en:
-Un sistema de autenticación segura para los usuarios (Que opinan de FreeRadius + PF Sense??)
-Un portal cautivo que no me cause problemas con la cache local de los equipos (PF Sense?)
-Caché de Webs y youtube en mi servidor para economizar ancho de banda (Que me recomiendan?, solo conozco Squid y eso por que viene con el BrazilFW)
-Alguna otra sugerencia??
 
Te recomiendo que tengas una opción de CACHE para que puedan acceder tus clientes rápidamente y no se queden esperando, lo malo es que necesitaras buen espacio de almacenamiento, máxime si es de Youtube. Yo tengo un disco duro de 800Gb que contiene la cache.

Squid puedes usarlo pero mejor si lo montas tu mismo.

Haz la prueba de 30 días con SISLAND SERVER y me cuentas: lee un poco de que trata y lo que hace:
http://www.sislandserver.com

Sumando la eficiencia del control de acceso y ancho de banda de SislandServer a la potencia del "super caché" de ThunderCache logras un rendimiento varias veces superior con el mismo enlace a internet.

¿que piensas de Thundercache?

gN71.png


ThunderCaché se instala en un equipo aparte y opera como proxy externo o complementario.

Digamos que ThunderCaché reemplaza las funciones proxy interno + videocaché de SislandServer con una tecnología muy potente y novedosa especialmente preparada para redes grandes y exigentes.

Aunque investigando lo puedes montar con mikrotik pero nada te limita y puedes montarlo con BrazilFW también

Si buscas Thundercache + Mikrotik puedes encontrar mucha informacion en Google

FreeRadius.. Wow! empezaré a buscar y te cuento.

Mientras tanto te digo que empecé con CLEAROS Community Edition y luego me pase a SislandServer
 
Debes iniciar sesión o registrarte para participar.
Volver
Arriba