Как реализовать бесплатный Wi-Fi с рекламой на Cisco?

Question

[vanomel]

Есть свободная сеть Wi-Fi, роутер Cisco 1841, доступ в интернет и желание давать доступ в интернет после просмотра рекламы. Читал на Хабре пост "Бесплатный Wi-Fi, с небольшой изюминкой" и там рассказано, как это можно сделать на linux.
У меня есть возможность взгромоздить вебсервер, который выполнял бы точно такие же процедуры. Моё видение такое:

Клиент регистрируется в сети Wi-Fi и получает адрес по DHCP от маршрутизатора. При попытке выйти на любой сайт он попадает на страничку, где смотрит рекламу и выполняет указанные действия, что запускает некий скрипт, который изменяет параметры роутера для этого IP адреса и клиент пользуется полноценным интернетом.

Вопрос следующий. Нужно подсказать, как это лучше реализовать, не нужно конкретики, но и не хотелось бы изобретать велосипед. Как перенаправить все запросы определенных пользователей по http на локальный сервер? Необходимо иметь возможность исключать из этого списка пользователей для предоставления полноценного интернета.

На что стоит обратить внимание при написании скрипта управления роутером?

Answer 1

[JDima]

1) Проще всего сделать два SSID, один для полноценного просмотра, другой для редиректа через сервер.
2) Прогон трафика через прокси и обратно можно сделать средствами policy-based routing либо разделением на vrfы и статическими маршрутами в каждом (но тогда 100% трафика будет идти через прокси, что в целом тоже неплохо).

Если в требовании «Как перенаправить все запросы определенных пользователей по http на локальный сервер?» можно выделить «определенных пользователей» по IP адресу, то PBR определенно выглядит интереснее.
Только не забудьте сделать его в обе стороны.

Comments

[vanomel]

А в чём смысл двух ssid? Пользователь сам будет выбирать смотреть ему рекламу или нет? Второй свободный если сделать скрытым, то замучвешься объяснять как добавить его в устройства разные. За второе спасибо, попаю.

Answer 2

[amario]

Не знаю, умеет ли ваше беспроводное оборудование web authentication, но это самое то, что вы хотите (наверное).

Как перенаправить все запросы определенных пользователей по http на локальный сервер? Необходимо иметь возможность исключать из этого списка пользователей для предоставления полноценного интернета.

«погуглите» на тему dhcp option proxy server.

Comments

[JDima]

«погуглите» на тему dhcp option proxy server.

Такой подход можно применять только в полностью контролируемом окружении. В случае публичного вайфая — только перенаправление трафика на самом сетевом оборудовании. Иначе будет работать не пойми как.

[vanomel]

Беспроводное оборудование — простенькие точки доступа, мозги только у роутера есть. На счет dhcp proxy спасибо, погуглю.

Answer 3

[Wott]

firewall, где по дефолоту все форвардится на http сервер, а тем кто прошел «авторизацию» на этом сервере создается правило для свободного выхода наружу, которое убивается при истечении времени аренды адреса.

Comments

[vanomel]

Это уже написано в описании вопроса. Сам вопрос в другом, почитайте внимательно.

[Wott]

ага, два раза :)

вы спрашиваете
>Как перенаправить все запросы определенных пользователей по http на локальный сервер?
я отвечаю
>firewall, где по дефолоту все форвардится на http сервер
и так далее

по русски же вроде написано, местами правда, но все же…

[vanomel]

Не, вопрос как это реализовать именно на CISCO, а не в общем.

[Wott]

о, извените, все оказывается написано по ссылке.
но в целом слабые циски — еще тот геморрой при нестандартных конфигах, я бы не стал на них нагружать еще и фильтрацию. хотя наверное если поставить auth-proxy и пошаманить с radius можно и сделать нечто похожее, но в живую я такое не делал. Я бы не стал трогать циску. а взял бы какой-нить i3 низкотемпературный и на нем бы сделал и fw и httpd и все скрипты и еще бы статистику бы собирал и прочее

Answer 4

[charon]

а я советую пересмотреть идею. Иностранный мир движется к бесплатному вай-фаю, например, openwireless.org. Даже Брюс Шнайер несколько лет назад написал, что его домашняя точка доступа открыта для всех. Боюсь, даже если у вас и получится, то скоро кругом будет полно совсем бесплатных точек, и вашей просто не будут пользоваться.

Comments

[vanomel]

Сейчас так и сделано, все свободно. Там, где стоят наши точки бесплатного вайфая ещё не будет на нашем веку — ближайший интернет нормальный есть за 150 километров. Люди к нам ездят и рядом на машинах встают чтобы попользоваться высокоскоростным доступом в интернет. Хотелось бы чтобы все было не просто так и они знали кто им предоставляет доступ. Тем более тут идет речь не о закрытом доступа, а всего лишь о первоначальной странице с информацией.

Answer 5

[vvh1te]

Ты в любом случае поднимаешь linux с web- сервером, может проще все сделать на нем уже по готовой инструкции?
Могу скинуть доработанные версии скриптов где реализована простенькая система блокировки по мак адресам.