分类 wifidog流程 下的文章

Wifidog_FAQ--part2【网关,认证服务器】

网关常见问题:
关于Wifidog网关的问题

问:我的客户端在1到5分钟后会断开链接
答:跟其它解决方法不同,Wifidog无需一直打开认证页面用脚本来保持连接。网关只会在数秒中没有获得任何来自客户端的流量时,才判断为超时断开连接。确保客户端没有因为闲置而超时,网关将会在每个时间间隔来重新ping每个客户端来检测流量。遗憾的是,有些所谓防火墙设置很讨厌,防ping,造成检测时完全丢包被误判为离线。这也是经常超时的原因。

问:运行网关的要求是什么?
答:网关的要求是:
1) Linux的操作系统
2) Linux内核当中编译了netfilter 及iptables
3) IP信息包过滤系统
也可以视情况而定的进行宽带限制:
1) iproute2,特别是tc
问:我如何安装?
答:Wifidog跟其它开源项目一样,使用标准的自动化工具,使得安装更加便捷。打开TAR包获取来自SVN的最新资源,然后按以下步骤:
./autogen.sh
make
make install

如果你没有用make install来安装,二进制文件会保存在src/wifidgo。

问:我如何在Linksys WRT54G家庭路由器安装它?
答:如果你不习惯使用Linux并且不知道如何编辑这些问题,你可以使用别人编辑的OpenWRT和Wifidog。他们肯定会为你的特殊版本的OpenWRT编译。注意的是开源版本的IPK包或者由你自己的资源建立的,都是我们唯一提供服务的包。如果你使用了由其它组织发布的包,你必须向他们寻求服务。
1) 下载一个重新编辑的OpenWRT固件镜像
2) 通过路由器的网络接口安装固件镜像。
3) 重点:在你安装Wifidog之前,确保连接在你OpenWRT路由器的客户端能够正确的使用网络
4) 下载一个官方由Wifidog项目建立的.IPK文件。
5) 安装Wifidog
6) 按照文件的说明操作,一切将不言自明。

问:我可以登录,但当我点击开始按钮时,我被返回到登录界面
答:确保ipt_mac.o核心模块和ipt_mark核心模块已加载完毕。这些是IP信息包过滤系统的可选部分,经常被默认设置否认。在大多数Linux发布中,核心模块被配置在"/etc/modules.conf" or "/etc/modules".
认证服务器常见问题
Wifidog认证服务器相关问题

问:运行认证服务器的要求是什么?
答:1)网络服务器:Apache,IIS
2) 拥有PHP5模块的网络服务器
3) PostgreSQL >= 8.0
根据不同的特性,你需要:
1) 为RSS支持,扩大PHP DOM。
2) 为RADIUS认证支持,PEAR Radius。
3) 为网络相薄的内容,Phlick API。

问:我可以用MySQL代替PostgreSQL吗?
答:不可以。不考虑支持MySQL。要做到支持两者并要保证质量,是非常有压力的。这不是你的简单的互联网应用或者CMS。如果你想了解更多,在邮箱列单里有长篇文档。

问:CMS太复杂了,我想将HTML代码加到门户网页。
答:我们意识到我们需要提供一个更好的文档。然而这个问题的答案很简单。你只要简单的使用“TrivialLangstring”目录,在文本框里加入一些HTML代码,并将这目录与门户网页绑定在一起就可以了。

问:我可以用XML格式提取热点状态数据吗?
答:可以,可以输出XML格式的热点状态数据列表。事实上,谷歌地图整合Wifidog部分就是依赖这一特性。Ile Sans Fil也在他的主页面上使用XSL样式表来创建特定格式的展示。

问:我的认证服务器之前特别快,但现在越来越慢,甚至无加载
答:你需要
1) 建个脚本,经常运行一下VACUUM ANALYZE(清理数据库表垃圾空间并优化查询)
2) 确保上诉脚本能正常运行
3) 如果发现你的认证服务器逐渐变慢,动行一次VACUUM FULL ANALYZE,然后进入第二步
注解:如果你有规律的运行VACUUM ANALYZE,那么你就不需要VACUUM FULL ANALYZE。然而如果你很长时间没有运行VACUUM ANALYZE了,那么你需要运行一次VACUUM FULL ANALYZE.
问题在于没有进行资料移除处理,那么联接和节点表格会逐渐增加。简单的数据移除不会收回被旧元组占用的空间,只是使他们能够被重新利用。如果你长时间没有运行VACUUM,你可能会有大量一天内无法用完的空余元组。VACUUM FULL ANALYZE弥补了这点。你必须每处理20M时运行一次VACUUM,这样可以避免XID产生更多信息。
选择性的运性周期性VACUUM,可以使autovacuum daemon在近期的PostgreSQL版本中得以实现。那时当数据库符合要求,PostgreSQL将自动移除此数据库。

问:认证页上有错误信息出现
答:检查认证服务器上显示的常见警告错误信息。

问:法语和日语字出现乱码
答:确认config.php有合适的设置区域。你也可能需要去规定Apache的字符集,把这行加入到你的httpd.conf:
AddDefaultCharset UTF-8

问:我的服务器不能发送邮件
或者会得到下列错误提示
1 PHPMailer无法发送邮件。错误是:不能实例化mail函数
答:默认状态下,wifidog是通过PHPMailer来使用PHP 的mail()函数的。这信息是实际上是错误的。它是想说呼叫PHP的 mail()函数失败,大概是因为你的系统里没有安装邮件客户端。你也可以:
1) 安装一个,并且确保他能够成功发送邮件
2) 将wifidog/config.php改换成SMTP服务器来代替mail()
3) 有时PHP能够用mail()来发送邮件但仍无效

本文章由http://www.wifidog.pro/2014/12/26/wifidog-%E6%95%99%E7%A8%8B.html整理编辑,转载请注明出处

Wifidog_FAQ-part1

一般常见问题

关于Wifidog 强制网络门户的一般问题

问:Wifidog 是什么?
答:Wifidog 是用来创建无线热点的软件。它是替代NoCat 的下一代产品。如果想了解更多相关细节和历史,请浏览Wifidog 主页。

问:谁开发了Wifidog?
答:ile Sans Fil 技术团队创建了Wifidog 项目。有一些人仍然参与其中,并且有来自世界各地的成员加入。

问:谁可以使用Wifidog?
答:在获得合法许可的前提下,任何人都可以使用Wifidog。这是一个GPL软件。实际上,我们都喜欢得到的答案是面向“每个人”,然而这是不现实的。Wifidog的主要目标用户是网络管理员,热点管理员和“知道他们在做什么的”黑客。可能产生的情况是一般终端用户不会受益,或者能够正确地设置和持续管理Wifidog安装。如果此软件曾得到一次完整的指向-点击缓解,使我们感觉到普通使用者能够进行安全管理,那么我们会将文件升级。

问:它能做什么?
答:1)强制网络门户可以使热点拥有者与使用者之间进行交流。
2)Wifidog网关是为GNU/Linux服务器和嵌入式linux设备而设计。例如:拥有OpenWRT的Linksys WRT54G。
3)支持多语种检索(通过浏览器检测或用户选择),能够使用PO Eeditor增加更多语种
4)通过Ping命令来检测网络活动用以维持用户(热点用户)联络,以此取代不科学的javascript脚本检测方式。这使得掌上电脑,手机和其它没有javascript 服务的设备可以进行联接。
5)可以为不同种类的热点提供服务
6)用户可以直接从任何热点建立一个工作帐号。新用户可以从任何热点进行登录,建立他们的帐号,并且允许确认邮件15分钟。如果他们不进行操作,他们将被断开联接并必须重新注册。
7)热点使用“双向心跳包”监测,所以中央服务器可以了解哪个热点/节点在线,不依赖动态DNS和防火墙等等。
8)可以生成自动节点。

问:它由什么组成?
答:它由两部分组成:
1) 客户端是守护进程,它安装于每一个无线路由器
2) 认证服务器是网络应用,它可安装于管理中心

问:它与NoCat之间有哪些不同?
答:它的客户端更小,没有过多对其他软件包的依赖,并且在嵌入式设备中运行良好。在认证服务器方面,可制定性更高,适合建设热点门户和社区。

问:它是如何运作的?
答:客户端守护进程通过防火墙规则来控制路由器的流量。当一个新用户试图打开一个网页,客户端将透明地将他们重定向至认证服务器以便登录或注册新用户。客户端和认证服务器将协商如何处理该上网用户和是否允许其访问网络。客户端每X分钟就向认证服务器发起请求,以便对其进行动态统计及资料更新,内容包括:正常运行时间,负载,上网用户的流量监测以及在/离线状态。

问:它是如何运行的?
答:客户端可在任何Linux机器中运行,但机器中需安装netfilter 以及iptables 。认证服务器运行于任何支持PHP的web服务器。

问:我可以在同一个Linux box中安装并运行Wifidog认证服务器和Wifidog网关吗?
答:可以。

问:如果要使用Wifidog,我的系统必须要有无线网卡吗?还是只要有个无线路由器就可以?
答:在网关运行的机器不需要无线网卡,但是对于每个无线客户端,Wifidog被设置在入口,网关必须被链接在第二层到以太网关接口处。实际上,无线路由器必须被用作是纯粹的接入点,只有将LAN端口(不是WAN端口)和在网关运行的机器的接口相联接才能实现。

问:我需要使用无线接入点吗?如果不使用无线接入点,我可以使用Wifidog无线路由器吗?
答:一些无线路由器做nat,这种情况会使从无线路由器中获取的MAC地址将客户端的MAC地址进行替换。如果产生这种问题,Wifidog的身份验证将失效,因为它依赖MAC地址去允许/不允许进入。

问:我可以写自己的客户端吗?
答:当然可以,但是为什么呢?我们已经完成了所有的工作。客户端已经用C语言写好,并且足够轻量级,这使得它在像Linksys WRT54G这样的嵌入式环境中都可以平稳运行。这个客户端是久经测试的,并且相当的稳定。它已被广泛用于ile Sans Fil部属的热点中。

问:我可以写自己的认证服务器吗?
答:重申一次,我们已经完成了所有的工作。但是如果你觉得我们所提供的不适合你的需求,并且你希望从头开始写你自己的服务器,整个系统中的客户端必须使用同一种协议。

问:Wifidog的界面是什么样的?
答:客户端是在后台运行的守护进程。没有终端用户所关注的立即可视的用户界面,但它可以为管理员提供一个简单的命令行和基于网络的界面来查询状态。

问:我可以从哪里获取帮助?
答:如果你需要获取关于Wifidog安装的技术支持,你的信息需包括:
1) 你的Wifidog客户端的版本(ipk 或者你自己编辑的版本)
2) 配置安装(请删除默认配置)
3) Wifidog除错输出信息(命令:Wifidog-f-d 7)

问:我可以使用Wifidog在运行无身份验证的热点运行吗?
答:可以,只要将每个无身份验证的热点在网络设置页面中激活便可。

问:我可以只运行Wifidog网关吗(没有认证服务器)?
答:不可以,这不是Wifidog设计的初衷。你可以试试NoCatSplash,它是为此而设计的。

问:Wifidog支持RADIUS,WISP或者WPA吗?
答:目前Wifidog支持RADIUS用户认证和流量统计。

本文章由 http://www.wifidog.pro/2014/12/26/wifidogFAQ.html 整理编辑,转载请注明出处

如何理解wifidog 认证有效时间 - timeout

在wifidog.conf 里有两个参数是比较重要的:
CheckInterval 60 单位秒
ClientTimeout 5

这两个参数主要是用来检查接入网关的客户端是否超时,具体值根据需要自定义,这里以60 和 5 做讲解。
这里先说下一个知识点:
我们知道wifidog是起线程来实现不同的功能,比如监听http 请求,超时检查, ping协议,wdctl 控制wifidog 进程的线程等,这里加入我们不需要ping 协议,那么我们就可以把ping 协议的线程注释掉:

    /* Start heartbeat thread */
    result = pthread_create(&tid_ping, NULL, (void *)thread_ping, NULL);
    if (result != 0) {
        debug(LOG_ERR, "FATAL: Failed to create a new thread (ping) - exiting");
            termination_handler(0);
    }
    pthread_detach(tid_ping);

这里需要注意一下,注释掉这个线程之后可能会引起一个问题,auth server不能访问了!这是因为默认wifidog 在刚启动时会把auth server 的iptables 放通:
fw_init->iptables_fw_init->iptables_fw_set_authservers, 我们需要来看下这个函数做了些什么事:

    void iptables_fw_set_authservers(void)
    {
        const s_config *config;
        t_auth_serv *auth_server;

        config = config_get_config();

        for (auth_server = config->auth_servers; auth_server != NULL; auth_server = auth_server->next)                
        {
                if (auth_server->last_ip && strcmp(auth_server->last_ip, "0.0.0.0") != 0) 
                {
                        iptables_do_command("-t filter -A " TABLE_WIFIDOG_AUTHSERVERS " -d %s -j ACCEPT", auth_server->last_ip);
                        iptables_do_command("-t nat -A " TABLE_WIFIDOG_AUTHSERVERS " -d %s -j ACCEPT", auth_server->last_ip);
                }
        }

    }

我们看到把auth server的last ip放通了,last ip是什么?last ip实际上是在连接auth server之前用dns 包得到的auth server 最新的IP地址(详见函数_connect_auth_server),那么问题就在这,last ip 是在连接server时才会更新的,但在iptables初始化时,并没有做连接的动作,不过在ping 协议里却是有的,ping 协议会在刚启动时连接auth server,所以关于auth server的iptables 会生效,如果单纯把ping 协议关了,有可能存在不能访问auth server 页面的情况,这里需要注意一下。

同理不需要wdctl 线程,也可以注释掉:

    /* Start control thread */
    result = pthread_create(&tid, NULL, (void *)thread_wdctl, (void *)safe_strdup(config->wdctl_sock));
    if (result != 0) {
            debug(LOG_ERR, "FATAL: Failed to create a new thread (wdctl) - exiting");
            termination_handler(0);
    }
    pthread_detach(tid);

了解了线程的作用,我们重点讲解下超时检查的这个线程:

    result = pthread_create(&tid_fw_counter, NULL, (void *)thread_client_timeout_check, NULL);
    if (result != 0) {
        debug(LOG_ERR, "FATAL: Failed to create a new thread (fw_counter) - exiting");
        termination_handler(0);
    }
    pthread_detach(tid_fw_counter);

这个线程做什么的? 咋一看是用来更新流量的,其实就是更新流量,同时把一段时间没流量更新的客户端踢掉,注意重点,是一段时间没有流量更新的客户端,而不是不管你有没有上网过一段时间都把你踢掉!这个是很重要的条件,因为前者需要和auth server接口做交互,后者可以直接在网关里实现。下面我们来看下代码:
thread_client_timeout_check,这个函数会在每CheckInterval 时间做一次事情,做什么呢?fw_sync_with_authserver:
先去调用iptables_fw_counters_update,这个函数会把每一个客户端的incoming 和outgoing 也就是上下行流量更新下,也会更新一个last_uodated的东西,这个变量其实就是最后一个更新客户端outgoing 流量的时间,更新条件就是客户端记录的流量比iptables 看到的流量小了,换句话说这个客户端还在上网。更新完这些变量之后回到fw_sync_with_authserver:
接着就是把每一个客户端的流量情况上报给auth server,同时对于客户端p1(p1是所有客户端中的一个)
if (p1->counters.last_updated +(config->checkinterval * config->clienttimeout) <= current_time)
下线处理:iptables 设置阻拦此客户端,从客户端列表中删除此客户端,通知auth server该客户端下线。
last_updated变量的作用就在这,结合前面讲的,last_updated是最后有访问外网流量行为即outgoing有变化时的时间,如果最后一次访问外网时间 + 检查流量间隔时间(CheckInterval 60 单位秒 * ClientTimeout 5)不大于当前时间,也就是说,已经有CheckInterval 60 单位秒 * ClientTimeout 5 时间没上网了,那么就做下线处理。
这里为什么是(CheckInterval 60 单位秒 * ClientTimeout 5)? 可以这么理解,网关每CheckInterval 60检查一次流量,检查了ClientTimeout 5 次发现有个客户端都没有访问外网没有outgoing 增加,那网关就认为该客户端已经下线了。

那么要是我想实现不管客户端上不上网,过了(CheckInterval 60 单位秒 * ClientTimeout 5)时间我就是要让客户端重新认证怎么做? 很简单:
在client 的结构体里添加个online_time 的字段,在append client时把online_time 字段更新到当前时间(time(NULL)),然后在fw_sync_with_authserver检查时间时,把if条件换成,如果online_time + (CheckInterval 60 单位秒 * ClientTimeout 5) 大于等于当前时间time(NULL),就踢掉,两个当前时间一个是添加客户端时的时间,一个是超时验证时的时间,所以不会相同。

本文章由 http://www.wifidog.pro/2014/12/26/wifidog-%E8%B6%85%E6%97%B6%E6%A3%80%E6%9F%A5.html 整理编辑,转载请注明出处

WiFidog简介

WIFIdog是一种新的认证方式,这种认证方式的优势在于安全性高,不容易被破解验证。
客户端发出初始化请求,比如访问www.baidu.com
网关的防火墙规则将这个请求重定向到本地网关的端口上。这个端口是Wifidog监听的端口。
Wfidog提供一个HTTP重定向回复,重定向到Web认证页面,重定向的Url的Querystring中包含了Gateway的ID,Gateway的FQDN以及其他的信息。
用户向认证服务器发出认证请求。
网关返回一个(可以是自定义的)splash(也称作“登录”)页面。
用户提供他的凭据信息,比如用户名和密码。
成功认证的话,客户端将会被重定向到网关的自己的web页面上,并且带有一个认证凭据(一个一次性的token)
用户就是用获取到的凭据访问网关。
网关去认证服务器询问token的有效性。
认证服务器确认token的有效性。
网关发送重定向给客户端,以从认证服务器上获取 成功提示页面,重定向到 http://portal_server:port/portal_script 这个位置。
认证服务器通知客户请求成功,可以上网了。
整个过程如下图所示:
1.jpg

本文章由http://www.wifidog.pro/2014/12/25/wifidog%E7%AE%80%E4%BB%8B.html 整理编辑,转载请注明出处