分类 wifidog配置 下的文章

WiFidog简介

WIFIdog是一种新的认证方式,这种认证方式的优势在于安全性高,不容易被破解验证。
客户端发出初始化请求,比如访问www.baidu.com
网关的防火墙规则将这个请求重定向到本地网关的端口上。这个端口是Wifidog监听的端口。
Wfidog提供一个HTTP重定向回复,重定向到Web认证页面,重定向的Url的Querystring中包含了Gateway的ID,Gateway的FQDN以及其他的信息。
用户向认证服务器发出认证请求。
网关返回一个(可以是自定义的)splash(也称作“登录”)页面。
用户提供他的凭据信息,比如用户名和密码。
成功认证的话,客户端将会被重定向到网关的自己的web页面上,并且带有一个认证凭据(一个一次性的token)
用户就是用获取到的凭据访问网关。
网关去认证服务器询问token的有效性。
认证服务器确认token的有效性。
网关发送重定向给客户端,以从认证服务器上获取 成功提示页面,重定向到 http://portal_server:port/portal_script 这个位置。
认证服务器通知客户请求成功,可以上网了。
整个过程如下图所示
1.png

本文章由 http://www.wifidog.pro/2015/01/23/wifidog%E7%AE%80%E4%BB%8B-1.html 整理编辑,转载请注明出处

Wifidog网关协议v1

网关心跳(Ping协议)

Wifidog将ping协议做为心跳机制向认证服务器发送当前状态信息。这可以实现为认证服务器每个节点的状态生成中央日志。
Wifidog客户端在conf文件中进行设置,目的是通过http定期启动thread(ping_thread.c)向认证服务器发送状态信息。信息格式如下:

http://auth_sever/ping/?
gw_id=%s    
sys_uptime=%lu    
sys_memfree=%u    
sys_load=%.2f    
wifidog_uptime=%lu

通过系统调用wifidog客户端收集的数据

Headers
HTTP/1.0\r\n" 
"User-Agent: WiFiDog %s\r\n" 
"Host: %s\r\n" 
"\r\n",

一个标准的HTTP需求应该是:

GET /ping/?gw_id=001217DA42D2&sys_uptime=742725&sys_memfree=2604&sys_load=0.03&wifidog_uptime=3861 HTTP/1.0

User-Agent: WiFiDog 1.1.3_beta6

Host: auth.ilesansfil.org

认证服务器认证协议

这个页面描述了当用户已经被认证并允许访问互联网时,为了认证用户和进程,wifidog网关和认证服务器之间的信息传送。
Wifidog客户端将定期的启动一个thread来报告每个用户的连接状况。目前它被用来报告每个用户输入/输出计数器,以显示用户依然在现,并允许认证服务器将不再连接的用户断开。
以下是发给每个在线用户的信息

auth_server:/auth/index.php?
stage=
ip=
mac=
token=
incoming=
outgoing=

注意:stage=计数器/登录,取决于是否是新客户端
即使输入输出变量会在所有信息中出现,但他们只对处于counter阶段的信息有效。其它情况下输入输出经常设置为0。
在做回复时,认证服务器会以有效身份或新用户信息,或者认证服务器错误提示形式进行回复。
回复格式如下:

Auth:

新用户状态为:

0 - AUTH_DENIED - User firewall users are deleted and the user removed.

6 - AUTH_VALIDATION_FAILED - User email validation timeout has occured and user/firewall is deleted

1 - AUTH_ALLOWED - User was valid, add firewall rules if not present

5 - AUTH_VALIDATION - Permit user access to email to get validation email under default rules

-1 - AUTH_ERROR - An error occurred during the validation process

注意:认识服务器错误一般不会改变防火墙或用户状态

标准的URL为:

GET /auth/?stage=counters&ip=7.0.0.107&mac=00:40:05:5F:44:43&token=4f473ae3ddc5c1c2165f7a0973c57a98&incoming=6031353&outgoing=827770 HTTP/1.0

User-Agent: WiFiDog 1.1.3_beta6

Host: auth.ilesansfil.org

网关重定向浏览

客户端浏览器在不同情况下会被重定向到其它页面:
初始化请求:
基于捕捉,客户端会被网关重定向到以下URL:

login/?gw_address=%s&gw_port=%d&gw_id=%s&url=%s

例如:https://auth.ilesansfil.org/login/?gw_id=0016B6DA9AE0&gw_address=7.0.0.1&gw_port=2060

初始化请求之后:
当请求被处理并且客户端已经被重定向到网关时
如果服务器回复AUTH_DENIED:注意你通常在标准认证服务器上看不到这样的提示。客户端将不会被重定向回网关。

gw_message.php?message=denied 

如果服务器回复AUTH_VALIDATION:

gw_message.php?message=activate 

如果服务器回复AUTH_ALLOWED:这是门户重定向

portal/?gw_id=%s 

如果服务器回复AUTH_VALIDATION_FAILED:注意你将不会在标准认证服务器看到此回复。客户端将不会重定向回网关。

gw_message.php?message=failed_validation

认证服务器重定向浏览器:
基于成功登录,客户端将被重定向到网关。 http://" . $gw_address . ":" . $gw_port . "/wifidog/auth?token=" . $token
URL示例:http://7.0.0.1:2060/wifidog/auth?token=4f473ae3ddc5c1c2165f7a0973c57a98

本文章由 http://www.wifidog.pro/2015/01/20/wifidog%E7%BD%91%E7%AE%A1%E5%8D%8F%E8%AE%AE.html 整理编辑,转载请注明出处

wifidog 配置,实现强制网关跳转

最开始想用openwrt,刷了一个,结果发现不会用,里面的配置太复杂了,被wan lan搞晕了,一直无法联网,因为在公司路由器本来就在一个局域网下,没办法请公司SA帮忙搞了下,也没有搞定,换DDWRT吧,这个可是有中文页面的,顿时亲了很多。

ddwrt确实方便很多了,不过一定要注意呀,因为我要用WIFIDOG,之前下了几个版本都没有wifidog的配置,好像可以自己装,没试过,因为最开始测试用的wiwiz,下载到路由器上以后,没法安装,最后直接下了dd-wrt.v24_nokaid_generic.bin这个版本的ddwrt,上面可以直接配置wifidog.org相当的方便。

wifidog认证服务用authpuppy.org,web服务配置(nginx)

if(!-e$request_filename){
    rewrite^(.*)/index.php last;
}

ddwrt=>services=>hotspot

gateway id这个很重要,认证服务需要这个

服务器路径一定要注意哈,加/,这个最开始老是不对,研究了很久。发现原来路径里面少了个/,导致无法访问到正确的认证接口,如果是路径的最后还要多加个/哦。亲

认证服务配置
nodes页面里面加一个node,默认会有一个的啦。定义gw_id 就是刚才ddwrt wifidog里面配置的那个。
然后去下载一个plugin,做验证的,apAuthLocalUserPlugin,就它了吧。安装以后里面可以配置,页面信息,注册等等。
现在客户端连接上你的WIFI,去测试下吧,应该可以了哦,亲。
下面说下自己开发wifidog服务接口的问题。
我只实现了4个接口地址,不晓得其他的还有那些哈。E文看的不是很懂,需要的自己可以看http://dev.wifidog.org/wiki/doc/developer/WiFiDogProtocol_V1

/login这个是连接的时候访问的登陆接口,登陆成功以后,返回一个302转向到http://gw_server:gw_port/wifidog/auth?token=xxx,你的token,这样子就可以了。至于是否需要用户名密码等登陆方法。看你自己咯。

/auth这个接口太重要了,之前各种没法验证的原因都是因为没有访问到这个,路由器在刚才拿到login的token之后,会再次访问这个接口,带上一些其他参数如ip/mac等,当然也包括token,服务器可以再次做验证,这个接口的重要是返回给路由器成功与否,结果如下:
Auth: Number
Number如下:
0-AUTH_DENIED
6-AUTH_VALIDATION_FAILED
1-AUTH_ALLOWED
5-AUTH_VALIDATION
-1-AUTH_ERROR
返回1是成功了。

/ping这个接口很简单,返回结果内容包含Pong字符串就可以了。
/port哦,这个还是有点重要的,是认证通过之后,路由器自动定向的页面,当然如果你需要返回到用户之前的页面,在/login接口的时候,路由器传入了一个url地址,那个是用户真的想访问的地址哈。

本文章由 http://www.wifidog.pro/2015/01/19/wifidog%E8%B7%B3%E8%BD%AC.html 整理编辑,转载请注明出处

wifidog认证有效时间

在wifidog的认证配置文件中,参加ClientTimeout是5,CheckInterval是60,是不是5分钟以后,再次使用网络的时候,会提示让我再次进行认证?事实上不是这样子的。

ClientTimeout 5 没有单位
CheckInterval 60 单位秒

检测客户端掉线时间 = CheckInterval x ClientTimeout ,是所说的5分钟,但是判断条件不是上述那样,是客户端不在线(走掉、或关闭wifi)后5分钟,wifidog认为该客户端掉线,就将其踢掉,该客户端再次连接时,是需要重新认证的!

如果是5分钟内不管客户端在不在线都踢掉,那要改变判断条件。

本文章由 http://www.wifidog.pro/2015/01/16/wifidog-%E6%9C%89%E6%95%88%E6%97%B6%E9%97%B4.html 整理编辑,转载请注明出处