Per-user bandwidth restriction — задействовав эту опцию опцию, можно регулировать полосу пропускания каждого клиента, поставив ограничения на скорость скачки и закачки. В настройках RADIUS сервера можно переопределить параметры по умолчанию. Чтобы отключить ограничения, либо снимите галочку в поле включения параметра, либо выставите значения 0 или «пусто» в полях установки скорости полосы пропускания. В большинстве случаев для более или менее комфортного веб-серфинга достаточно выставить ограничения 128-256кбит( все зависит от общей полосы предоставляемой вам провайдером интернета).

Authentication – здесь как не сложно догадаться выбирается тип аутентификации, всего их три: No Authentication(без аутентификации), Local User Manager (аутентификация основанная на базе локальных пользователей), RADIUS Authentication ( аутентификация на сервере аутентификации RADIUS). В нашем случае следует выбрать Local User Manager, поэтому отмечаем этот тип.(Все настройки связанные с аутентификацией на RADIUS сервере пропускаем).

HTTPS login — параметр отвечающий за шифрование передаваемой серверу аутентификационной информации( в нашем случае код ваучера). В самом простом варианте этот параметр можно оставить пустым, но коды доступа будут «летать» в открытом виде, а можно и обезопасить соединение передачи аутентификационной информации активировав данный параметр. Единственным недостатком, на мой взгляд, включения шифрования будет «паника» браузера клиента на сертификат сервера не подписанный авторизованными центрами сертификации. Здесь приходит в голову три варианта:

  • Настроить точку доступа как открытую и не включать параметр HTTPS login, недостатками данной конфигурации будет отсутствие всяческого шифрования клиентского трафика и постоянная «сигнализация» ОС клиента ссылающаяся на не безопасную Wi-Fi сеть, кого то из клиентов это как минимум может насторожить.
  • Включить уровень защиты на точке доступа WPA2 с шифрованием трафика по алгоритму AES. HTTPS login можно не задействовать. Недостатком данного метода может быть настройка клиентом до аутентификации на странице hotspot wi-fi адаптера на работу с WPA2. И еще одним недостатком данного метода может быть желательная периодичность смены ключа шифрования(PSK) точки доступа.
  • Оставить точку доступа открытой, но задействовать параметр HTTPS login, недостатком этого метода по мимо «сигнализации» ОС по поводу не безопасной сети Wi-Fi будет еще «сигнализация» по поводу само подписанного сертификата HotSpot.

    • Самым щадящим для клиента, на мой взгляд, будет второй метод, а если вы все таки активируете параметр HTTPS login, то вам нужно будет сгенерировать самоподписанный сертификат, заполнив поля ниже. Сгенерировать сертификат можно на странице Cert Manager.

    Portal page contents – здесь вы можете загрузить альтернативную страницу аутентификации разработанную под вашу компанию. Самую простую страницу можно сделать по аналогии:

    <html>
<head>
<title>pfSense captive portal</title>
</head>
<body>
<center>
<h2>Портал Аутентификации</h2>
Добро пожаловать в Wi-Fi Сеть нашего кафе!  На этой странице введите свой код доступа, чтобы начать пользоваться сетью INTERNET.
<p>
<form method="post" action="$PORTAL_ACTION$">
 
   <input name="auth_voucher" type="text">
   <input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$">
   <input name="accept" type="submit" value="Continue">
</form>
</body>
</html>

    Authentication error page contents - в этой форме загружаются собственные HTML / PHP страницы, которые будут выведены клиенту при неудачной аутентификации. В эти станицы вы также можете включить "$ PORTAL_MESSAGE $", в результате чего все ошибки RADIUS сервера, если таковые имеются также будут отображены.

    Logout page contents – если вы активировали параметр Logout popup window для всплывающей страници отвечающей за ручное отключение от hotspot, здесь эту страницу можно загрузить.

    Применяем параметры, нажав SAVE.

    Вкладка Pass-through MAC отображает данные пользователей, которым разрешен доступ «мимо» страници аутентификации. Здесь можно задать MAC адрес компьютера и ограничение полосы пропускания для данного MAC. Можно добавлять, редактировать и удалять как вручную, так и с помощью параметров указанных в предыдущей вкладке Enable Pass-through MAC automatic additions, Enable Pass-through MAC automatic addition with username. Поскольку доступ по MAC достаточно легко обойти, к этой вкладке и добавлению клиентов которым разрешен доступ автоматом на основе их MAC нужно относиться с осторожностью.

    Вкладка allowed IP addresses позволяет добавлять правила для IP адресов к которым и от которых разрешены соединения минуя страницу аутентификации. Это может быть применено в отношении Web сервера на котором хранятся изображения для страници аутентификации или DNS-сервера из другой подсети.

  • any x.x.x.x All Все соединения до IP-адреса разрешены
  • x.x.x.x any Al Все соединения с IP-адреса разрешены
  • All connections Все соединения с и до IP-адреса разрешены

    • На этом все, до встречи в следующих статьях настройки hotspot.

    Автор:Э_L_A_Y