Hotspot Wi-Fi to wygodny sposób udostępnienia połączenia internetowego klientom odwiedzającym firmę. Korzystając z oprogramowania open source, np. CoovaAP, można zamienić niedrogi router Wi-Fi w bramkę oferującą bezpieczny dostęp do sieci.
CoovaAP to alternatywny firmware do routerów stworzony na bazie OpenWRT i zaprojektowany z myślą o tworzeniu hotspotów. Oprócz funkcji typowych dla punktu dostępowego, obsługuje WDS (Wireless Distribution System). Jeśli w firmie ma pracować wiele punktów dostępowych, niektóre z nich można skonfigurować jako repeatery, żeby uniknąć połączeń kablowych.
Jedną z funkcji CoovaAP jest wewnętrzny portal, który umożliwia użytkownikom żądanie konta (przydzielane automatycznie lub zakładane przez administratora) lub może, np. służyć do wymagania od użytkowników akceptacji regulaminu. Administrator może również korzystać z funkcji limitowania przepustowości, np. definiować przepustowość dostępną dla gości. CoovaAP może nawet obsługiwać uwierzytelnianie i szyfrowanie WPA/WPA2. Ma wbudowanego klienta i serwer PPTP VPN oraz klienta OpenVPN.
Instalacja
CoovaAP można zainstalować w routerach Linksys z serii G oraz w innych routerach z chipsetem Broadcom. Wyszukiwarka obsługiwanych modeli jest na stronie DD-WRT. Ze strony domowej Coova można pobrać odpowiedni plik obrazu (należy dokładnie sprawdzić, czy pobrany został właściwy firmware, gdyż pomyłka grozi awarią routera).
Kolejnym krokiem jest wgranie firmware’u do routera. Najlepiej sprawdzić w dokumentacji routera, jak należy przeprowadzić tę operację. W przypadku routerów Linksys odpowiednia funkcja jest dostępna w panelu administracyjnym. Na stronie CoovaAP informacje o instalacji są dość skąpe, ale można skorzystać ze wskazówek dotyczących instalacji DD-WRT.
Konfiguracja podstawowych ustawień
Po wgraniu firmware’u router zrestartuje się i zacznie rozgłaszać nowe SSID – Coova. Aby połączyć się z konsolą administracyjną routera, należy użyć adresu 192.168.1.1 (nazwa użytkownika: root).
Jeśli pojawią się problemy z nawiązaniem połączenia, przyczyną może być niekompletne wyczyszczenie pamięci routera podczas instalacji firmware’u. Można ten problem rozwiązać, łącząc się z routerem przez SSH, np. z wykorzystaniem klienta PuTTY. Po zalogowaniu należy użyć komendy mtd -r erase nvram. Po restracie routera powinny zostać wczytane domyślne ustawienia.
Przed przejściem do ustawień hotspota warto skonfigurować podstawowe parametry w zakładkach System oraz Network. Po przejściu do System/Settings należy włączyć funkcję boot_wait, która pozwoli naprawić router przez TFTP, gdy oprogramowanie CoovaAP ulegnie uszkodzeniu. Z kolei na karcie Network/WAN można skonfigurować ustawienia dostępu do Internetu, jak DSL czy połączenie ze stałym adresem IP. Po przejściu do Network/Wireless można zmienić ESSID lub nazwę sieci. Przydatna jest też funkcja Isolate WLAN clients, która chroni użytkowników hotspota przed przypadkowym udostępnieniem plików innym użytkownikom.
Teraz można przejść do zakładki HostSpot i zająć się właściwą konfiguracją. Jeśli nie chcesz konfigurować zaawansowanych ustawień, wybierz z menu HotSpot Type opcję Internal Hotspot. Ta opcja oznacza, że wszystkie ustawienia i użytkownicy są konfigurowani lokalnie w punkcie dostępowym. Inne opcje z tego menu przydają się, jeśli zachodzi potrzeba zarządzania wieloma urządzeniami.
Kolejna ważna decyzja w tym oknie konfiguracyjnym dotyczy trybu Registration Mode. Jeśli zostanie wybrana opcja Configured Users, użytkownicy będą musieli znać nazwę użytkownika i hasło (konta użytkowników należy utworzyć ręcznie w zakładce Access Lists). Jeśli wybrana zostanie opcja Self Register, użytkownicy będą mogli samodzielnie tworzyć swoje konta. Ostatnią opcją dotyczącą sposobu rejestracji użytkowników jest ToS Acceptance, która umożliwia dostęp bez kont użytkowników. Użytkownicy łączący się z hotspotem będą mieli wyświetlane warunki korzystania z sieci i będą musieli je zaakceptować, zanim możliwe będzie połączenie z Internetem.
Warto także ustawić opcję HotSpot Mode, która decyduje o tym, czy strona powitalna hotspota będzie się wyświetlała tylko w przypadku połączeń Wi-Fi czy również w przypadku połączeń kablowych. Opcja HotSpot LAN Access pozwala ustalić, czy użytkownicy hotspotu będę mieli dostęp do komputerów użytkowników sieci kablowej. Z kolei opcja Owner E-mail Address służy do podania adresu e-mail, na który użytkownicy będą mogli wysyłać wiadomości, np. z żądaniem przydzielenie dostępu.
Ustawienie Web Protocol określa, czy strona logowania oraz strona z warunkami użytkowania hotspota (Terms of Service) będzie wyświetlana z wykorzystaniem protokołu HTTP czy HTTPS. W przypadku korzystania z dostępu opartego na kontach użytkowników warto ustawić protokół HTPS, zapewniający szyfrowanie SSL.
Ograniczanie ruchu (bandwidth shaping)
Jeśli użytkownicy hotspota będą mieli dostęp do Internetu, należy jeszcze skonfigurować ustawienia w zakładce Traffic Shaping – to zapobiegnie nadmiernemu wykorzystaniu dostępnej przepustowości. W tym celu przejdź do Network/Shaping. Wiąże się to z instalacją dwóch dodatkowych pakietów – wystarczy kliknąć odpowiednie odnośniki.
Aby włączyć ograniczanie ruchu, należy przy parametrze Traffic Shaping ustawić Enabled. Następnie można ustawić limity pobierania i wysyłania dla interfejsu WAN. Możliwe jest też ustawienia zaawansowanych parametrów.
Konfiguracja strony powitalnej
CoovaAP umożliwia umieszczenie na stronie powitalnej znaku firmowego czy wprowadzenie innych zmian. Procedura jest dość prosta, ale przyda się przynajmniej podstawowa znajomość HTML’a. W panelu administracyjnym przejdź do Hotspot/Portal. To okno konfiguracyjne umożliwia edycję kodu HTML poszczególnych stron i sekcji.
Można ograniczyć się do edycji samego tekstu, bez modyfikowania tagów HTML. Aby zmienić formatowania, dodać obrazki czy wprowadzić dodatkowe zmiany, należy użyć graficznego edytora, np. Nvu. Gotowy kod HTML należy skopiować do konsoli administracyjnej CoovaAP. Opcja reset to default umożliwia przywrócenie domyślnego wyglądu strony.
CoovaAP oferuje również dostęp do usługi CoovaAAA, która jest serwerem RADIUS. Jest kilka sposobów na korzystanie z tej usługi. W naszym przykładzie CoovaAP będzie działać jako wewnętrzny hotspot ze stroną powitalną, umożliwiający korzystanie z zalet CoovaAAA. W ten sposób można łatwa modyfikować zawartość strony powitalnej, a jednocześnie lepiej kontrolować dostęp do hotspotu.
CoovaAAA oferuje następujące możliwości:
- centralne zarządzanie, logowanie sesji oraz alerty;
- kody dostępu, umożliwiające obsługę różnych typów dostępu;.
- łatwiejsza kontrola przepustowości przydzielanej poszczególnym użytkownikom;
- uwierzytelnianie adresów MAC (użytkownicy nie muszą logować się ponownie).
Przygotowanie CoovaAP do używania CoovaAAA
Po zalogowaniu do panelu administracyjnego CoovaAP należy przejść do Hotspot/RADIUS. Następnie wpisz adres IP serwera RADIUS oraz uzupełnij Shared Secret. Te informacje będą wyświetlane w zakładce Home w panelu konfiguracyjnym usługi CoovaAAA site. Aby połączyć CoovaAP z kontem CoovaAAA, należy zalogować się do hotspota, używając nazwy użytkownika i hasła CoovaAAA.
Zamiast pozwalać użytkownikom na samodzielną rejestrację, CoovaAAA pozwala opcjonalnie tworzyć i akceptować na stronie logowania tzw. Access Codes. Kody można udostępnić klientom odwiedzającym siedzibę firmy, co daje większą kontrolę nad dostępem do hotspota. Z kodami można dodatkowo powiązać Access Policies. Wadą takiego podejścia jest możliwość wygenerowania maksymalnie 10 kodów.
Aby wygenerować kody, przejdź do zakładki Access/Access Codes i kliknij odnośnik New. Jedyną dostępną domeną jest code. Opcja Reset Window/Expiry przyda się później do ręcznego wyczyszczenia licznika, gdy użytkownik osiągnie limit czasu lub danych.
Otrzymany kod dostępu uzupełniony o ciąg znaków @code użytkownik musi wpisać zamiast nazwy użytkownika i hasła na stronie logowania. Przykładowo, jeśli kod dostępu to „hotspot”, użytkownik musi wpisać „hotspot@code”.
Współdzielenie dostępu
W panelu CoovaAAA w zakładce Sharing zebrane są opcje udostępniania. Należy pamiętać, że nie można tworzyć udziałów dostępnych dla lokalnych kont użytkowników, utworzonych w ramach CoovaAP. Co oznacza, że korzystanie z możliwości kontrolowania przepustowości oferowanych przez CoovaAAA wymaga oparcia dostępu do hotspota na regułach dostępu (Access Policies). W tym celu należy ustawić w CoovaAP tryb Registration Mode na Configured Users. Opcje współdzielenia są bardziej użyteczne, jeśli użytkownicy mają konta założone bezpośrednio na stronie Coova.org.
