Eltex HD WiFi — первые впечатления.

Posted: 2019-10-08 in Hardware, IT, Networks
Метки:,

Всем привет. Сегодня я немного поделюсь впечатлениями от мощных точек доступа WiFi отечественного производителя — компании Eltex.
У них много всякого железа, и первый раз я познакомился с их продукцией на примере Voip-шлюзов и свитчей доступа MES, оставшись ими более чем доволен.
Если вам интересно про их беспроводные железяки — лезем под кат.

Задача довольно распространённая — организовать крупную точку WiFi-доступа в публичном месте с толпами народу. Ну а поскольку место публичное, а страна действия — Роисся, то для спокойной работы такого хотспота и снижения уровня демонической угрозы данному хотспоту весьма желательна доп. авторизация sms-ками.

Обычно для таких хотспотов либо берут набор самых простых точек доступа, и делают хитрый шлюз на микротике (там есть почти готовые решения), либо прикручивают что-то самописное к Ubiquity UniFi-контроллеру. Однако для высокоплотного WiFi с кучей клиентов на квадратный метр дешевые точки доступа — дохлый номер, а UniFi-решение требует контроллера во внутренней сети, что не всегда удобно. С точками Eltex был шанс обойтись без своего сервера внутри сети, не потеряв в качестве работы радиосети.

Итак, наш сегодняшний поциент — Eltex WOP-2AC. Есть и более продвинутая версия этой дрыны под большее число клиентов — WOP-12AC. В плане настроек они идентичны.

Очень зачетная функция — работа в кластере без выделенного сервера, для построения которого точкам требуется находится в одном L2-сегменте.
Количество настроек в такой точке доступа весьма велико:

Сам кластер берет на себя как минимум синхронизацию настроек, то есть ли вы создали новый SSID на одной точке кластера, эта настройка применится и на остальных точках. Однако для работы хотспота нужен отдельный сервер, который делает сложную авторизацию смс-ками, показывает приглашения и рекламку. Для этого есть готовое решение — SoftWLC. Ставить его надо по правильной инструкции.

Например, на основной странице продукта и даже вот тут инструкция не совсем правильная, хотя схемы включения там верные. =)

Поскольку SoftWLC — это целый набор костылей и велосипедов сложный программный комплекс промышленного класса, с кучей сервисов, томкатом, нгинксом, радиусом, пачкой зависимостей и двумя базами данных, то ставить его надо в отдельную виртуалку. Unprivileged LXC контейнер из проксмокса подойдёт идеально. Основное замечание — куча старых манов пишет про установку на убунту-14. Однако ставя по подобному ману, вы обломитесь, как минимум при попытке поставить древнюю джаву из старого репозитория. Нужно ставить по правильной версии мануала, который полагается на убунту-16 — в этом случае сетап прошел без проблем.
В моём случае образ занял 4.4 Гб, но авторы рекомендуют диск ставить минимум 40 Гб, поскольку базы данных могут расти довольно значительно.

Серверу нужно выдать адрес, доступный со всех точек доступа. В нашем случае у SoftWLC будет внешний IP + доменное имя третьего уровня, это позволит использовать все сложные сценарии автоматического конфигурирования точек из самых кривых клиентских сетей.

В процессе настройки таких точек и портала в обязательном порядке надо копаться вот в этой документации. Она местами сумбурна, а местами там могут быть описаны дикие сценарии, но при этом могут быть пропущены какие-то простые, но важные вещи.
Мне первый раз прислали именно такую ссылку, с идеей сделать два GRE/IPSec туннеля через их маршрутизатор ESR-серии =) .

Ну а поскольку получить лишний вендор-лок ещё и на маршрутизатор я совершенно не хотел, мне был интересен в первую очередь более простой вариант.

В SoftWLC входят много всяких компонентов, и в мануале активно склоняют к использованию EMS — это такая монструозная Java-софтень для управления всем семейством элтексовского железа.

Например, после добавления точек доступа в системе появилися критический алерт, что точки в кластере — это может нарушать некоторые сценарии управления.

Сам EMS — это отдельно лицензируемая коммерческая клиент-серверная софтина, клиент которой запущен через IcedTea, в бесплатной демо-версии поддерживающая лишь небольшое количество устройств:

Однако сам подход EMS подразумевает, что управляемые устройства доступны через свои маршрутизируемые сети, и у каждого устройства свой уникальный IP-адрес, для чего и предлагается для точек доступа организовывать отдельные GRE/IPSec туннели для удалённого управления точками, находящимися в немаршрутизируемых сетях (типа клиентских за натом). Например, у вас не получится напрямую добавить две точки доступа за натом, ограничившись только пробросом портов, то есть чтобы они висели на одном внешнем IP, но за разными портами. Для крупных сетей, построенных с нуля на элтексе, или больших долгосрочных инсталляций такой подход может быть оправдан. Но надо понимать, что это в определённом виде вендор-лок.

Однако эта часть вовсе не обязательна, если вам нужен только хотспот с смс и шейпером, и все основные настройки делаются в веб-морде точки доступа и в «конструкторе порталов».

Сперва смотрим, что наши точки в кластере:

На базе одной аппаратной точки можно вещать несколько разных SSID, каждый со своими правилами. Создаем VAP — виртуальную точку доступа:

Поскольку это публичный вайфай, мы ставим тип авторизации Open (Security = None), включаем авто-переключение в 5GHz (Band Steer) и Station Isolation.
Важно, что в настройках VAP никаких данных о портале нет, мы просто конфигурим SSID и запоминаем его номер — 0. Важно заметить, что для работы хотспота отдельно включать RADIUS не обязательно — хотспот и так будет авторизовывать клиентов.

Тут сработает кластер — на остальные точки настройки реплицируются автоматически, поэтому лазить по всем веб-мордам точек совершенно не требуется.

Теперь открываем настройки Captive Portal:

Включаем его, и меняем в адресе Roaming Service URL только имя хоста на наше. Номер порта и путь не трогаем !
Затем в Instance Configuration создаём настройку нового портала:

И вот тут есть важный момент, который не очень прозрачно разъяснён в документации — есть внутреннее имя настройки — portal1, оно используется только на точке доступа для привязки к конкретному SSID, а есть Virtual Portal Name — MYPORTAL1, это параметр, который должен быть в точности прописан на сервере хотспота в конструкторе порталов.

Также меняем имя хоста в параметре External URL. Порт и путь не меняем !
Тут нет отдельных URL для порталов — все точки ссылаются на один и тот же путь к серверу SoftWLC :8080/eltex_portal, а различия между разными порталами сделано параметром Virtual Portal Name, который и задает имя портала на сервере. RADIUS акканутинг тоже не является обязательной настройкой, и может быть активирован позднее, когда портал заработает.

Сохраняем это, и в секции Captive Portal — VAP Configuration делаем привязку нашей VAP 0 к настройке портала portal1 :

На этом настройка точек доступа завершена.

Остальные настройки делаются на сервере SoftWLC.

Надеюсь, вы после завершения процесса установки усилили пароли. Кроме SSH от операционки (там лучше вообще только вход по ключам сделать), у нас есть ДВА разных пароля в самом SoftWLC — один для EMS (http://IP:8080/ems/jws), общения с которым мне почему-то всячески хотелось избежать :D, и второй — для управления хотспотом, общий для сервисов управления порталами (http://IP:8080/epadmin) и для веб-морды к статистике хотспота (http://IP:8080/wifi-cab)

Открыв /epadmin, созаём новый портал, имя которого будет в точности совпадать с Virtual Portal Name, прописанным на точках. Это очень важно !

После этого нам понадобится SSH-доступ к SoftWLC, надо добавить настройки сервиса отправки SMS.

За работу с смс-сервисами в SoftWLC отвечает демон eltex-ngw, документацию по которому обязательно надо прочитать. Я настраивал работу через smsc.ru.

Теперь по конфигам.

Сперва в главном конфиге NGW задаём конфиг той системы отсылки смс, которая будет использована:

/etc/eltex-ngw/notification.properties
sms.gate.outgoing.sms.config=smsc_gate.conf

Тут важно помнить, что есть два метода работы с SMSC.ru — это либо простое http-api (smsc_gate.conf) самого сервиса, либо протокол SMPP (smpp_gate.conf). Отправка СМС через SMPP у меня не заработала (хотя этот способ более правильный, у приложения NGW меньше привилегий на сервисе), а вот способ через http-api заработал сразу.

правим конфиг /etc/eltex-ngw/smsc_gate.conf, проверяем вот эти опции:

SMSC_LOGIN=company-login@mail.srv
SMSC_PASSWORD=P@$$W0rD
SMSC_SENDER=YOUR_SENDER_NAME

Рестартим eltex-ngw, пробуем соединиться с точкой доступа TEST_5G — всё должно работать. Также в процессе настройки может помочь таблица кодов ошибок портала.
Если не работает, логи не помогают (детализация логов в конфигах настраивается, но некоторые ситуации могут быть непонятны), а курение документации не позволяет достичь просветления — можно им написать в тикетницу, там довольно оперативно помогают.

В итоге у нас получился хостспот с смс-ками без лишнего самописного кода (для UniFi мне в своё время пришлось немного сговнокодить) на готовом решении, способный держать много клиентов и который вендор-локнут только по используемым точкам, без привязок к маршрутизатору ESR и построения сложных топологий с туннелями.

Что касается питания — точкам нужен PoE+, потребление в простое 4-5 Вт. Адаптеры от Ubiquity не подходят — точка просто не включится (хотя кое-кто из поставщиков утверждал обратное).

Я запитывал точки от EX4200-24T-8PoE — там есть мониторинг потребления на PoE порту. Сами точки работают стабильно, никаких нареканий на этот счёт нет.
Обновление прошивок и их качество тоже без нареканий.

Надеюсь, эта заметка была вам полезна.

- комментарии
  1. Кирилл:

    Спасибо, очень интересно.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.