Progetto Hotspot con Handlink WG 602 Connettività internet per Alberghi, Centri congressi, Internet cafe, Reti "ospiti" Aziendali. - Lo scopo di questo progetto è l illustrazione pratica dell installazione e configurazione dell hotspost Handlink WG602 (chiamato anche Subscriber ) nei vari scenari di distribuzione della connettività internet. - E' richiesto che la connettività ad Internet sia già presente sotto forma di link ethernet (router). Il SUBSCRIBER WG602 si occupa principalmente di: - Permettere la connettività del computer dell' ospite senza richiedere modifiche alla configurazione. - Vincolare la navigazione ad una autenticazione (username / password) che lo renda identificabile in caso di controlli e ne interrompa la connessione all'esaurimento del credito. - Inviare log del traffico ad un sistema che li archivierà in maniera da renderli disponibili qualora richiesti dalle autorità competenti. Al WG602 è collegata una stampante termica con 3 tasti ( Ag300E) associabili a profili predefiniti di creazione account: ogni volta che uno di questi pulsanti viene premuto, automaticamente viene creato uno user nel database interno del dispositivo e stampato uno "scontrino" che comunica all'utente username, password, tempo acquistato e importo. Il dispositivo dispone di 4 uscite ethernet VLAN e di antenne wireless per la copertura dell' area circostante. Da una o più uscite ethernet del Subscriber WG602 vengono redistribuite le connessioni della rete ospiti cablata alle camere o alle aree definite. Tale connettività è realizzata attraverso Switch VLAN e Access Point wireless che supportano (così come l area di copertura wireless del Subscriber WG602) la separazione degli utenti: in questo modo viene garantito, per motivi di privacy e sicurezza, che gli ospiti non possano interagire tra loro. Nella configurazione del Subscriber WG602 è identificato un computer "log" sul quale il dispositivo manda i dati relativi alla creazione e all'utilizzo degli account. 1 di 12
Indice Cosa vedranno i clienti della rete ospiti 3 Configurazione del Subscriber WG602.3-6 LOG DELLA NAVIGAZIONE DELLA RETE OSPITI Configurazione del Subscriber e del PC. 7 Esempio di file syslog salvato da Subscriber 9 Software I-station WiFi vs. Archiviazione Manuale.10 ESPANSIONE DELLA RETE OSPITE Rete Cablata SWITCH VLAN..10 Rete Wireless Access Point 10 ESEMPI E SCHEMI Esempio Scenario 1..3 Esempio Scenario 2.11 Esempio Scenario 3.12 2 di 12
Cosa vedranno i clienti della rete ospiti Collegando alla rete ospite cablata o wireless un computer e tentando di accedere a Internet, la prima schermata che appare è la seguente richiesta di autenticazione: Le credenziali saranno quelle rilasciate al cliente mediante la stampante termica o una stampante tradizionale Una volta autenticato mediante inserimento di username e password, l'utente potrà vedere un countdown che riporta il tempo di navigazione rimanente (questo si potrà accedere anche digitando nel browser http://1.1.1.1/info) : Configurazione del Subscriber WG602 Da un Pc collegato ad una delle 4 "LAN" del Subscriber, oppure connesso via wireless accedere ad http://10.59.1.1 - user e password di default = admin/admin Configurazione degli indirizzi IP: Può essere effettuata attraverso il Wizard o dal menu Advanced. Inserire sulla WAN l indirizzo IP 192.168.0.253 e come Gateway impostare 192.168.0.254 (INDIRIZZI DELL ESEMPIO SCENARIO 1- Per altre configurazioni fare riferimento ai relativi schemi). ESEMPIO SCENARIO 1 Subscriber WG602 Collegato alla Lan del Firewall sulla stessa rete aziendale PC dei Log sulla stessa rete aziendale (WAN del WG602). Agli effetti della configurazione questo schema è analogo alle reti Entry level dove router e firewall sono integrati nello stesso dispositivo. Nell' esempio vengono utilizzati i seguenti indirizzi IP: IP del Router 10.0.0.1 IP esterno del Firewall 10.0.0.2 IP esterno del Subscriber 192.168.0.3 Rete Interna 192.168.0.0: IP interno del firewall 192.168.0.254 (default gateway della rete) PC per i log 192.168.0.105 3 di 12
SCHEMA ESEMPIO SCENARIO 1 Questa è la pagina di configurazione della Rete nel Menu Advanced: 4 di 12
Selezionare Built-in Authentication per utilizzare il database interno (Advanced setup - Authentication) Configurazione dei profili di creazione utente: si possono creare i profili utente di durate e costi diversi ed assegnarli ai tasti della stampante termica. Dal menu BILLING si seleziona la modalità con cui il tempo acquistato può essere utilizzato: Prepagata Time to Finish - consuma il tempo del credito a partire dal primo login: configurazione utile per Internet cafè o Internet point; Postpagata - funziona se gestita attraverso un tastierino numerico standard collegato all' interfaccia PS2 della stampante termica. La generazione dell' account non prevede un tempo limitato di navigazione ma, in fase di checkout, permette di digitare il serial dell'ospite ottenendo la stampa di uno scontrino con il totale del tempo utilizzato. Selezione modalità di billing (Advanced setup Billing): Nelle modalità prepagate si possono creare diversi profili di tempo che si configurano dal menu Billing Profile (Advanced setup Billing): 5 di 12
Dal menu ACCOUNTING è possibile associare i profili ai 3 tasti della stampante (Advanced setup Accounting): I profili possono essere utilizzati anche attraverso una simulazione grafica della stampante termica, cliccando sul link Preview/Operate: Se si genera l account mediante la simulazione grafica lo scontrino viene riprodotto sullo schermo e può essere stampato con una stampante standard. 6 di 12
E' possibile personalizzare il layout dello scontrino così come quello della schermata di login attraverso il menu Advanced setup customization: LOG DELLA NAVIGAZIONE DELLA RETE OSPITI - CONFIGURAZIONE SUBSCRIBER E PC Nella configurazione del Subscriber è identificato un computer "log" sul quale il dispositivo manda i dati relativi alla creazione e all'utilizzo degli account per permettere, grazie all' autenticazione, la tracciabilità del traffico. Tale funzionalità richiede che sia a disposizione un computer su cui siano stati installati un programma di Syslog e un Tftp Server. Il log del Subscriber raggiunge come dettaglio l' indirizzo IP e la porta del server di destinazione. Per un dettaglio superiore sulla navigazione può essere utilizzato il sistema di log del firewall dello scenario 1 o 3 (non del 2) Installare il programma tftp sul computer : Scompattare i files in una directory (per esempio C:\tftp) e da qui lanciare l eseguibile Tftp.exe Uno dei programmi free usati più frequentemente per questa applicazione è http://tftpd32.jounin.net/ 7 di 12
Entrare nel menu settings ed abilitare le caselle Tftp server e syslog server in quanto sono i servizi di cui abbiamo bisogno. Configurazione del Subscriber per inviare i log al computer: Dal menu syslog del subscriber nel campo Syslog server on Wan inserire l indirizzo del computer sul quale è installato il server syslog. 8 di 12
Dal menu session trace del subscriber nel campo Primary TFTP server address inserire l indirizzo del computer sul quale è installato il sever syslog. ESEMPIO FILE SYSLOG SALVATO DAL SUBSCRIBER Il file si chiama syslog.txt ed è archiviato nella cartella dove è installato il programma. Ogni messaggio inzia sempre con data e ora: Creazione dell account mediante stampante: Tue Dec 06 14:45:42 2005: <166>Dec 6 14:45:42 (Id,00-90-0E-01-24-4D) (Account Create, Accumulation, 000003, 688c9f42, 1, 0:30:00, [0,30 minutes]) Impostazione del tipo di pagamento: Tue Dec 06 14:45:42 2005: <166>Dec 6 14:45:42 (Id,00-90-0E-01-24-4D) (Billing Log, Accumulation, 000003, 688c9f42, [0,30 minutes], 1, 0:30:00, 1.00, Cash) Primo login del cliente: Tue Dec 06 14:59:32 2005: <166>Dec 6 14:59:32 (Id,00-90-0E-01-24-4D) (Account Activate, 688c9f42, 192.168.0.107, 0040D011BED0, Ethernet) Primo Logout del cliente: Tue Dec 06 15:00:31 2005: <165>Dec 6 15:00:31 (Id,00-90-0E-01-24-4D) (Subscriber Trace, Accumulation, Logout, 000003, 688c9f42, 192.168.0.107, 0040D011BED0, Ethernet, Dec 6 14:59:32, Dec 6 15:00:31, 0:30:00, 0:29:01, 123491, 46113) Successivo login del cliente: Tue Dec 06 15:02:05 2005: <166>Dec 6 15:02:05 (Id,00-90-0E-01-24-4D) (Account Activate, 688c9f42, 192.168.0.107, 0040D011BED0, Ethernet) Altro Logout del cliente: Tue Dec 06 15:06:19 2005: <165>Dec 6 15:06:19 (Id,00-90-0E-01-24-4D) (Subscriber Trace, Accumulation, Logout, 000003, 688c9f42, 192.168.0.107, 0040D011BED0, Ethernet, Dec 6 15:02:05, Dec 6 15:06:19, 0:30:00, 0:24:47, 490504, 181042) ESEMPIO FILE TXT CON DETTAGLIO DELLA NAVIGAZIONE SALVATO DAL SUBSCRIBER Il nome del file riporta la data e l ora della creazione (es. 061205150601.txt). Il contenuto riporta informazioni contenenti il nome utente, data e ora, indirizzo Ip e porta originale e di destinazione. User Name Date Source IP Sourc emac Source Dest IP Dest Port Port 688c9f42 06Dec05150500 192.168.0.107 0040D011BED0 1632 207.210.221.142 80 688c9f42 06Dec05150514 192.168.0.107 0040D011BED0 1634 207.210.221.142 80 688c9f42 06Dec05150514 192.168.0.107 0040D011BED0 1635 207.210.221.142 80 9 di 12
Software I-station WiFi vs. Archiviazione Manuale L identità del cliente che utilizza la connessione può essere tracciata attraverso la fotocopia dello scontrino unita al documento di riconoscimento. Da notare anche che è buona cosa fotocopiare lo scontrino in quanto la stampa su carta termica tende a cancellarsi prima dei 5 anni durante i quali dovrebbe essere conservato. Con il programma Tftp precedentemente descritto, i file dei log sono nella cartella c:\tftp e da qui possono essere consultati e esportati qualora richiesto dalle autorità competenti. Industrial Software ha sviluppato per WG602 il Software I-station WiFi. Installato assieme all hotspot e ad uno scanner per documenti permette l archiviazione elettronica su database delle identità dei clienti ospiti e dei tracciamenti della navigazione. Per ulteriori informazioni : http://www.econnet.it Software di gestione e archiviazione dati utenti IS-Station Wi-Fi ESPANSIONE DELLA RETE OSPITE Rete Cablata SWITCH VLAN (SCHEMA ESEMPIO SCENARIO 1, 2 e 3: Switch VLAN ) Gli Switch da utilizzare devono supportare le Port-based VLAN. E necessario configurare gli switch come client isolator ovvero far sì che ogni porta comunichi con il WG602 ma non con gli altri ospiti. La porta ethernet da collegare alla LAN del SUBSCRIBER WG602 deve appartenere a tutte le VLAN create sullo switch mentre le restanti ethernet devono costituire singole VLAN. Se la porta 1 viene collegata al SUBSCRIBER WG602 e le restanti saranno per i PC ospiti o gli access point, sarà necessario configurare, ad esempio la VLAN 2 contenente le porte 1 e 2, la VLAN3 contenente le porte 1 e 3 e così via. E possibile concatenare più switch per aumentare il numero delle VLAN (controllare le caratteristiche degli switch che si vanno ad utilizzare) Rete Wireless Access Point (SCHEMA ESEMPIO SCENARIO 1, 2 e 3: AP Guest e WDS ) Premessa: la copertura wireless delle antenne integrate del SUBSCRIBER WG602 deve essere utilizzata esclusivamente per la connessione dei client nell area circostante l apparato (Rif schema esempio scen. 1,2 e 3: rete Wireless OSPITI nell area del SUBSCRIBER WG602). Non è possibile estendere quell area di copertura attraverso dei repeater bridge. Per estendere la zona wireless è necessario collegare via ethernet alla LAN uno o più access point. Qualora la zona di installazione sia raggiungibile da cablaggio gli access point possono essere configurati con lo stesso SSID in modalità access point su canali tra loro distanti ( non overlapping es. 1-6 - 12) per evitare interferenze. Se per limiti strutturali non è possibile raggiungere tutti gli access point col cablaggio è possibile configurarli tra loro in modalità WDS. IMPORTANTE : aggiungere i MAC Address degli access point al menu Passthrough del SUBSCRIBER WG602 (Advanced setup Passthrough) 10 di 12
ESEMPIO SCENARIO 2 WAN del SUBSCRIBER WG602 collegata sullo stesso switch della WAN del Firewal. PC dei Log sulla rete aziendale. Massima protezione per la rete aziendale. Sul Firewall è necessario configurare le regole di re-direzione traffico verso la macchina log Configurare Syslog e TFTP sul WG602 per mandare i log alla 10.0.0.2 - Configurare il firewall per l inoltro alla macchina 192.168.0.105 delle porte 514 e 69 UDP Nell' esempio vengono utilizzati i seguenti indirizzi IP: IP del Router 10.0.0.1 IP esterno del Firewall 10.0.0.2 IP esterno del SUBSCRIBER WG602 10.0.0.3 Rete Interna 192.168.0.0: IP interno del firewall 192.168.0.254 (default gateway della rete) PC per i log 192.168.0.105 SCHEMA ESEMPIO SCENARIO 2 11 di 12
ESEMPIO SCENARIO 3 WAN del SUBSCRIBER WG602 collegata alla DMZ del Firewal. PC dei Log sulla rete aziendale. Massima protezione per la rete aziendale. Possibilità di sfruttare la capacità di Log del firewall (se superiori a quelle dell hotspot) per archiviare la navigazione nel dettaglio. Sui log del Firewall la navigazione appare da un solo host che è l hotspot. Devono essere archiviati entrambi i log: sia quelli del firewall che quelli del subscriber avendo cura di configurare correttamente l ora in entrambi i dispositivi. In caso di controlli le autorità competenti seguiranno la traccia del session trace e se necessario potranno vedere le informzioni dettagliate nei log del firewall ;oppure viceversa potranno seguire sui report del firewall la navigazione dettagliata di un determinato orario verso un determinato sito ed andare a verificare l utente nei log dell hotspot. Sul Firewall è necessario configurare le regole di re direzione traffico verso la macchina log Configurare Syslog e TFTP sul WG602 per mandare i log alla 192.168.0.105 - Configurare il firewall consentire il traffico e il routing da 192.168.1.253 a 192.168.0.105. sulle porte 69 e 514 UDP Se il Firewall deve archiviare i propri log sullo stesso Pc è necessario che usi una porta diversa dalla 514 UDP. Nell' esempio vengono utilizzati i seguenti indirizzi IP: IP del Router 10.0.0.1 IP esterno del Firewall 10.0.0.2 IP esterno del SUBSCRIBER WG602 192.168.1.253 Rete Interna 192.168.0.0: IP interno del firewall 192.168.0.254 (default gateway della rete) PC per i log 192.168.0.105 SCHEMA ESEMPIO SCENARIO 3 12 di 12