В другой жизни я записал точно такой механизм. Немного брандмауэра здесь, веб-сервер там, некоторый материал, промежуточный для включения и выключения брандмауэра для данного IP-адреса и правила по умолчанию, которое перенаправляет весь порт 80 трафиков к веб-серверу, который имеет страницу входа в систему. Легкий как пирог?Не совсем.
Во-первых, можно попытаться смотреть на nocat, проект с открытым исходным кодом сделать просто этот вид вещи.
Не пытайтесь сделать это (опишите механизм, который делает беспроводную аутентификацию через присоединенный портал), сами. Это - короткая дорога к сумасшедшему городу.
Самый простой способ сделать это самостоятельно должно выполнить 2 набора APS (если они - не-VLAN дешевки, единственный ssid потребитель APS). Один набор APS находится на частной сети с веб-сервером, сервером DHCP и сервером DNS, который отвечает IP веб-сервера для всех поисков DNS. Кто-то ищет google.com? Они добираются 192.168.66.6. Они ищут snoopy.com? 192.168.66.6. Они ищут bobsyeruncle.net? 192.168.66.6. И на том веб-сервере, Вы помещаете веб-страницу, которая говорит, "добро пожаловать в (введите компанию здесь)". "Если Вы хотите использовать беспроводную сеть, изменить Ваш ssid на "securenet", установить его на "WPA2" и "eap-ttls" (или безотносительно беспроводного подлинного протокола Вы используете, мог бы быть).
Другой APS будет, конечно, подключен к "беспроводному" интерфейсу на Вашем брандмауэре и предоставит любой доступ, который Вы считаете надлежащими для доступа беспроводной сети на Вашем сайте.
О - ожидают - Вы не используете предобщий ключ, не так ли? Если Вы, у Вас действительно нет безопасности беспроводных сетей вообще. После того как я знаю ключ, я могу шпионить за общим трафиком. Даже дрянной потребитель APS в эти дни поддерживает WPA-предприятие и радиус, и можно использовать сервер радиуса на окнах и заставить беспроводную аутентификацию работать правильно.
Для того урока необходимо будет поместить другую четверть в машину и задать другой вопрос...
Вот то, как это выполняется, где я работаю (наш сетевой парень мог, вероятно, уточнить больше):
Когда Вы соединяетесь с открытой сетью WL, Вы находитесь на 1-м общедоступном VLAN, который перенаправляет (через Сквид) весь трафик к нашей странице аутентификации. Аутентификация (через kerberos) помещает пользователя на 2-й VLAN, который имеет неограниченный доступ.
Я - немного серого в некоторых деталях там, но я уверен, что кто-то еще заполнит недостающие пятна.
Если Вы открыты для коммерческих решений, Беспроводные продукты Cisco могут сделать точно это. Вы покупаете много легких Точек доступа Aironet (достаточно для покрытия физического пространства), Контроллер беспроводной локальной сети, чтобы управлять ими и настроить веб-Аутентификацию на контроллере.
Ваш расход составляет $500/AP плюс $2 тысячи - 5 тысяч для контроллера (зависит от того, сколькими APS необходимо управлять).
Однако я должен сказать здесь, что правильно выполняемый автор Предприятия не требует никаких шагов на стороне клиента. Это просто работает. Возьмите AD, RADIUS, тот же Беспроводной Контроллер, чтобы управлять сетью, снизить корректный GPO клиентам, и - волшебство! - все находятся на беспроводной связи, прозрачно аутентифицируемой с их AD учетными данными. И затем можно использовать веб-Автора для гостевого доступа, где он принадлежит.