Настройка сервиса "САИ-WiFi" в шлюзах безопасности ZyWALL/USG

Как настроить шлюз безопасности серии ZyWALL/USG для работы с сервисом "САИ-WiFi"?


"САИ-WiFi" представляет сервис аутентификации и идентификации клиентов по СМС в корпоративных и публичных сетях Wi-Fi для выполнения требований законодательства, согласно постановлению Правительства РФ от 31.07.2014 №758 и 12.08.2014 №801. Такой метод подключения к Wi-Fi сети требуется при организации публичного доступа в Интернет в ресторанах, отелях, торговых центрах и других общественных местах.
 
Для работы с сервисом вам потребуется оборудование поддерживающее работу внешнего RADIUS-сервера и c возможностью Hotspot (хотспот или сетевой сервис для подключения пользователей к сети). Шлюзы безопасности серии ZyWALL/USG имеют необходимые для этого функции — они оснащены встроенным контроллером точек доступа Wi-Fi, который позволяет выполнять аутентификацию на RADIUS-сервере и имеет поддержку внешнего веб-портала аутентификации.
 
Далее приведем пример настройки сервиса "САИ-WiFi" (saiwifi.ru) в шлюзах безопасности ZyWALL/USG.
Предположим, что публичный хотспот организован следующим образом: Беспроводная сеть WLAN развернута на точке доступа ZyXEL серии NWA/WAC. На ней используется выделенный гостевой vlan публичной сети Wi-Fi. Точка доступа подключена кабелем Ethernet к шлюзу безопасности серии ZyWALL/USG, который выполняет функции встроенного контроллера беспроводной сети. Точка доступа серии NWA/WAC настроена в режиме управляемой или подчиненной точки доступа (Managed AP).
 
Перед настройкой оборудования нужно зарегистрироваться на сайте сервиса https://saiwifi.ru и войти в личный кабинет.
При регистрации потребуется указать тарифный план для хотспот-аутентификации, параметры оборудования (вендор, модель, IP-адрес и др.). После чего в личном кабине вам будет присвоено имя устройства вида sai****** и выдан параметр Radius secret (секретное слово).
 
Теперь можно приступить к настройке шлюза безопасности ZyWALL/USG.
 
1. Выполните настройки внешнего RADIUS-сервера.
Настройки находятся в меню Object > AAA Server на вкладке RADIUS.
Щелкните по иконке Add, чтобы открыть окно для создания новой записи с настройками внешнего сервера RADIUS.
В поле Name впишите произвольное название этой записи с настройками (например, SAI).
В подразделах Authentication Server Settings и Accounting Server Settings укажите IP-адрес основного сервера RADIUS 176.111.96.30 и резервного 92.63.105.213, как показано на скриншоте ниже.
Для работы сервиса RADIUS используется стандартный номер порта 1812.
В поле Key впишите пароль, который используется для шифрования сообщений между сервером RADIUS и шлюзом безопасности ZyWALL/USG.
Значение поля Key нужно взять из личного кабинета сервиса "САИ-WiFi", оно должно соответствовать значению параметра Radius secret.
Ниже в этом же окне в подразделе General Server Settings впишите в поле NAS IP Address адрес сервера RADIUS 176.111.96.30, а в поле NAS Identifier имя устройства NAS ID, используемое для идентификации в САИ-WiFi (sai******). Значение параметра NAS ID (имя) нужно взять из личного кабинета сервиса.
2. Далее создайте метод Аутентификации SAI. Сделать это можно в меню Object > Auth. Method > Authentication Method.

Обращаем ваше внимание, что обязательно нужно создать 2 метода: local и group SAI.
3. Отключите использование протокола HTTPS. Сделать это можно в меню System > WWW > Service Control.
Ниже в этом же окне в подразделе Authentication в поле Client Authentication Method укажите созданный ранее метод Аутентификации (в нашем примере это SAI).
4. Перейдите в меню Object > Address на вкладку Address и добавьте следующие адреса:
а) серверов RADIUS и ЕСИА (176.111.96.30, 92.63.105.213 и 109.207.2.205);
б) vlan публичной сети Wi-Fi, пользователи которой будут проходить аутентификацию и идентификацию по СМС через сервис САИ-WiFi (в нашем примере это подсеть 192.168.5.0).
5. Затем на вкладке Address Group создайте группу адресов для более удобного использования в дальнейшем, включив в нее адреса из пункта 4a.
6. Перейдите к настройке веб-портала (к настройке перенаправления на внешнюю веб-страницу аутентификации).
Откройте вкладку Authentication Type в меню Web Authentication.
В поле Type установите значение Web Portal. В поле Profile Name укажите имя профиля (в нашем примере это saiwifi). Далее установите значение External Web Portal и заполните поля:
а) в поле Login URL впишите адрес http://hotspot.saiwifi.ru/?nasid=номер&
где вместо «номер» укажите имя устройства, используемое для идентификации в САИ-WiFi; это NAS-Identifier (имя), который был получен из личного кабинета сервиса "САИ-WiFi";
б) в полях Welcome URL и Session URL нужно вписать сайт, который вы хотите увидеть после прохождения успешной авторизации (в нашем примере указан сайт http://ya.ru).
7. Далее на вкладке General включите веб-аутентификацию (установите галочку в поле Enable Web Authentication) и настройте Web Authentication Policy Rule.
Нужно создать 2 правила:
а) Доступ до серверов SAI и ECИA (см. 4а) сделать без авторизации (unnecessary).
б) Доступ в Интернет из гостевого vlan (SAI_SUBNET; см. 4б) сделать с обязательной авторизацией (SSO/force).
8. В этом пункте приведена необязательная настройка. При необходимости, вы можете настроить ограничение длительности интернет-сессии клиентов Wi-Fi.
Для этого надо обратиться к разделу Configuration > Object > User/Group и щелкнуть на radius-users, чтобы открыть окно с настройками пользователей сервера RADIUS. Укажите в поле Reauthentication Time значение длительности сессии в минутах, отличное от нуля.
 

KB-5114

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 2 из 3

Комментарии

0 комментариев