Splynx servidor Radius

Splynx ISP framework consiste en diferentes subsistemas. Una de las partes principales y más importantes del framework es el servidor Splynx Radius. Puede autentificar PPPoE, DHCP, IPoE, Hotspot, Wireless o Static IP/MAC. La solución Splynx también proporciona una gestión inteligente del ancho de banda y otras características útiles.

El servidor Splynx Radius se utiliza para realizar tareas AAA.
Autenticación – El equipo de red realiza una comprobación sobre el servidor Radius, comprueba si el usuario/contraseña del dispositivo o usuario de conexión es correcto. Si coincide con la entrada en el servidor Radius, el dispositivo o usuario puede acceder al equipo o obtener el servicio.
Atorización – Define qué acciones se permiten para el usuario o dispositivo y su nivel de privilegios.
Estadísticas – Estadísticas de uso de Internet o información sobre lo que se hizo en los equipos.

1. Administración AAA.
Autenticación: Con Splynx puede configurar que cuando el administrador acceda al equipo, sus credenciales serán verificadas en la base de datos del servidor Radius.
Si su nombre de usuario/contraseña es correcto, podrá acceder al equipo. Si no, no tendrá acceso. Este es un enfoque muy conveniente comparado con el inicio de sesión local.
Imagine cuándo contrata a un nuevo administrador y necesita actualizar cientos de routers, APs y switches para crear su usuario local en todas partes.
O puede darle un usuario/contraseña común, pero cuando la persona deja la compañía, debera cambiar esas credenciales en todas partes.
Es mejor conectar todos los dispositivos de red al servidor Radius y verificar el inicio de sesión del administrador utilizando el protocolo Radius.
Autorización: significa que se pueden implementar diferentes niveles de acceso. Algunos administradores pueden cambiar las configuraciones, algunos sólo pueden ver y leer configuraciones.
Estadísticas: Splynx almacena la información de cuando el administrador entró a la unidad y lo que se hizo en ella.

A continuación se muestran tutoriales que muestran cómo configurar el inicio de sesión de administrador con el servidor Radius Splynx en diferentes plataformas:

Mikrotik: Radius admin login to Mikrotik routers

Administrative login to Cisco devices

2. Clientes AAA.
El servidor Splynx Radius soporta diferentes formas de autenticación central de los clientes en la red de proveedores de Internet. Siempre depende de la topología del ISP y de la tecnología que decide utilizar. Las tecnologías de acceso son ampliamente utilizadas y sus ventajas y desventajas se describen a continuación:

PPPoE – Fácil de mantener e implementar. El cliente en el dispositivo CPE configura el nombre de usuario y contraseña y todas las configuraciones de red CPE se reciben desde PPPoE NAS (Network Access Server). También proporciona cifrado si es necesario y conteo para obtener estadísticas de uso. Tenía problemas con MTU en el pasado, pero en los últimos años estos problemas fueron corregidos por los principales proveedores.

IPoE (or DHCP) – DHCP se basa en la dirección MAC del cliente. También se puede vincular al puerto del switch donde el cliente está conectado (opción DHCP 82). Algunos proveedores no proporcionan capacidad de recoger estadísticas (routers Mikrotik)

Autenticación Wireless – Cuando el ISP tiene una red inalámbrica, necesita mantener el acceso de los dispositivos CPE a sus puntos de acceso. Para ello se utilizan varios métodos de autenticación inalámbrica, como una contraseña dentro de los protocolos TDMA o listas de acceso inalámbricas.

Hotspot – El cliente tiene que introducir su nombre de usuario y contraseña en la página web antes de usar Internet. Muchas redes de puntos de acceso permiten un acceso limitado y gratuito y luego cobran a los clientes por un uso adicional o planes avanzados.

Direccionamiento IP estático – Algunos ISP no tienen una administración central de autenticación y configuran direcciones IP estáticas a dispositivos CPE. Con la plataforma Mikrotik RouterOS, Splynx puede gestionar incluso los clientes que tienen IPs estáticas en Vlan por cliente o un conexión IPv4 sencilla. También Splynx puede tomar estadísticas de los routers de Mikrotik para esos clientes.

A continuación se presentan manuales para diferentes tipos de autenticación de usuario en Splynx ISP Framework:

Mikrotik: DHCP using Radius

Mikrotik: PPPoE and other PPP tunnels using Radius

Mikrotik: Hotstpot with Radius

Mikrotik: Static IP addressing with API authentication/accounting

Mikrotik: Local DHCP with Mikrotik API

Ubiquiti: Wireless authentication with Radius

Ubiquiti: PPPoE authentication on Edge Routers

Soporte de los routers Ubiquiti EdgeRouter con el protocolo pppoe mediante el Radius

Los routers UBNT EdgeRouter pueden funcionar como el servidor PPPoE con la autenticación CPE proporcionando estadísticas, bloqueando usuarios finales, configurando la limitación de velocidad y las reglas de FUP.

Se dividen en estas partes:

1. La configuración del servidor EdgeRouter pppoe con el soporte del servidor Radius
2. La configuración del servidor EdgeRouter pppoe para los paquetes entrantes del Radius
3. La agregación del router EdgeRouter a Splynx
4. La conexión del cliente a PPPoE y la comprobación del funcionamiento correcto
5. La instalación de otras herramientas útiles al router Edgerouter

1. La configuración del servidor EdgeRouter pppoe con el soporte del servidor Radius

El primer paso es actualizar el sistema a la versión 1.5 o superior porque el soporte de los atributos Radius se ha añadido a EdgeOS en esa versión. Aquí se describe la versión EdgeOS v1.8.5.
Se puede realizar la actualización en CLI con los siguientes comandos:
add system image http://dl.ubnt.com/..
add system image new-version-1085.tar


El segundo paso consiste en definir una dirección IP para la comunicación entre el servidor Radius y el router EdgeRouter.
Aquí es 10.0.1.166. Hay que configurarla como la IP principal del router EdgeRouter con el comando (en el modo de configuración):

set system ip override-hostname-ip 10.0.1.166

Luego se configurará el servidor PPPoE con la configuración obligatoria:

edit service pppoe-server

set authentication mode radius

set authentication radius-server 10.10.10.65 key 12345

set client-ip-pool start 10.5.50.2

set client-ip-pool stop 10.5.50.200

set interface eth2

También se puede configurar el Radius en el explorador web:

Edge_Radius

2. La configuración del servidor EdgeRouter PPPoE para los paquetes entrantes

Esta parte es importante porque sirve para cambiar planes, desconectar a los clientes y aplicar las reglas de FUP. En todos estos casos envía el Radius de Splynx los paquetes al router EdgeRouter.
El puerto configurado es 3779 desde UBNT. El paquete entrante se procesará con el comando en EdgeOS:

sudo cp /opt/vyatta/etc/pppoe-server/start-pppoe-radius-disconnect /config/scripts/post-config.d/

Después, el router se reiniciará.

Una vez recibidos los paquetes, se utilizará el fichero pppoe-radius-disconnect.log para la depuración:

tail /var/log/pppoe-radius-disconnect.log

Un ejemplo de la salida, una vez recibido un paquete para la desconexión por el sistema EdgeOS:

cola

3. La agregación y la configuración del router EdgeRouter en Splynx

Añada el router a Splynx con el comando Networking -> Routers y elija NAS Type Ubiquiti.

U1

Se pueden asignar otros atributos a la configuración de tipo NAS (en Config -> Networking -> Radius).
Para los túneles PPPoE se configuran predeterminadamente los atributos de la limitación de velocidad del servidor Radius.

U2
4. La conexión del cliente a PPPoE y la comprobación del funcionamiento correcto

Aquí se puede conectar un usuario PPPoE al router EdgeRouter y comprobar el funcionamiento correcto.
A través del comando show pppoe-server se puede averiguar cuántos usuarios están conectados al servidor pppoe.

Show_pppoe

Se puede ver en Splynx si un cliente está en línea y obtener sus estadísticas.

En línea

Una vez hecho clic sobre el botón de la desconexión, el cliente desaparecerá de la lista en línea volviendo a conectarse al iniciar la sesión lo que supone que el router EdgeRouter recibió el paquete entrante del servidor Radius del sistema Splynx.

5. La instalación de otras herramientas útiles al router Edgerouter

Los túneles de cliente PPPoE se crean dinámicamente y no se visualizan en el panel web. Hay que obtener estadísticas del rendimiento lo que es fácil de hacer por instalar el software bwm-ng. Éste está en el repositorio Debian lo que significa que primero hay que añadir nuevos repositorios y luego instalar el bwm-ng.
Cómo se añaden nuevos repositorios:

configure

set system package repository wheezy components 'main contrib non-free'

set system package repository wheezy distribution wheezy

set system package repository wheezy url http://http.us.debian.org/debian

set system package repository wheezy-security components main

set system package repository wheezy-security distribution wheezy/updates

set system package repository wheezy-security url http://security.debian.org

commit

save

exit

Después, la herramienta se instalará.

apt-get install bwm-ng

Para obtener el rendimiento en Kbps de los clientes con pppoe, ahora se puede poner en funcionamiento el bwm-ng -u bits.
La siguiente imagen muestra un ejemplo de la salida de bwm-ng:

BWM-NG

Ahora, ¡se puede configurar el servidor Radius de Splynx con el router UBNT EdgeRouter usando así un router rápido con el rendimiento de un millón de paquetes por segundo en una unidad compacta y asequible!
Si tendrá cualquier dificultad, mire nuestro foro – https://splynx.com/forums/ o presente un ticket – https://splynx.com/my-tickets/

Administración de ancho de banda inteligente – el módulo de FUP

Muchos ISP usan en su red Fair User Policy (FUP), reduciendo la velocidad a tales usuarios que, descargando o cargando, excederán una cierta cantidad de datos. Hemos pasado esta idea creando un módulo configurable lo más posible.

El sistema de gestión Splynx para los ISP contiene la administración de ancho de banda inteligente. La velocidad de clientes se puede definir según una transferencia mensual, semanal e incluso diaria. Además, se puede configurar un tiempo en línea máximo en horas por un cliente.

¿Quiere proporcionar a sus usuarios la velocidad doble durante la noche? ¿O desea facilitarles una transferencia ilimitada en los fines de semana? ¿O sólo quiere reducir la velocidad, una vez excedido el límite diario de los datos descargados? ¡Hágalo ahora mismo con Splynx!

PlansFUP settings are located in Plan under arrow button

La configuración de FUP está en el “Plan“ bajo el botón de flecha.
Miremos un ejemplo. Tenemos un plan de 5 Mbps para descargar y cargar. Tenemos la regla que no se contará a los clientes cualquier transferencia en los fines de semana dándoles, a la vez, la velocidad de 7 Mbps. Siguen las primeras reglas. La primera es la “transferencia ilimitada en los fines de semana“:

Don't count weekends

Y el aumento de la velocidad de 5 Mbps un 40 % en los fines de semana:

7Mb on weekends

Luego podemos comprobar qué regla valdrá para el sábado:

2016-04-01 08.38.44 pm

 

El siguiente paso es definir 10 GB como el límite diario de datos descargados reduciendo la velocidad a 2 Mbps, una vez excedido este límite.

high_download

El uso mensual total configuraremos a 100 GB. Una vez alcanzado este límite, el usuario sólo tendrá a disposición 1 Mbps. Una vez alcanzado el límite 110 GB, el usuario se bloqueará y se fijarán tarifas para otros datos.

Total

Cómo se puede ver en la última imagen, para la administración de ancho de banda se ha creado FUP completamente comprensible para la velocidad de 5 Mbps. ¡Use nuestro módulo de FUP y cree su propias reglas! La limitación de velocidad se hace a través del servidor Radius mediante los atributos CoA en cualquier dispositivo de apoyo o mediante la API de Mikrotik en el RouterOS.

Cuentas, facturación y finanzas en el sistema Splynx

En una actividad empresarial siempre depende del beneficio. Los ISP deben comprobar los pagos de sus clientes, expedir facturas, procesar a aparear los pagos, gestionar el flujo financiero.

finance_dashboard

 

Splynx tiene una herramienta de facturación eficaz con cuatro partes principales:
1. Transacciones
2. Facturas
3. Pagos
4. Requisitos

1. Transacciones
El proceso de facturación entero se basa en transacciones.
La transacción es un asunto principal para facturar y se añade siempre y cuando hayan un flujo o cambios en el balance de la cuenta del cliente:

a. Splynx contará el importe por cada periodo de facturación automáticamente. El administrador puede configurar el día de facturación el primer día de un mes y el cliente se cobrará por un mes calendario.
Además, Splynx sabe hacer una facturación en distintos días para distintos clientes. Por ejemplo, un cliente tendrá como su día de facturación el día 15 de un mes y otro el día 20. Esta acción crea una transacción tipo “+ Debido“.

b. Una transacción se creará después de que un cliente haya pagado. Se puede pagar por una transferencia bancaria, en efectivo o mediante una pasarela de pagos en línea. Splynx apareará el pago con la cuenta del cliente creando una transacción de pago. La transacción será de tipo “- Credito“.

c. Se creará una transacción siempre y cuando el administrador añada o quite dinero desde el balance de cliente.

d. Una corrección eventual también se realizará mediante una transacción.

El sistema de transacciones proporcionará un resumen claro sobre la historia y los cambios del balance de un cliente y los porqués de su cambio.

Billing_transaction

 

2. Facturas

Se pueden usar opciones de trabajar con o sin facturas.
Si no se expidan facturas, Splynx usará el resumen de cada cliente para contar el importe por cada periodo de facturación sin expedir un documento de cuentas.
Si se expiden las facturas, Splynx lo hace automáticamente o las expide el administrador a mano. Se pueden crear las facturas en grupo o por separado. Los PDF de facturas son completamente personalizables. Se pueden exportar todos los documentos creados por Splynx a diferentes formatos para impresión o se pueden enviar a los usuarios finales.
Un ejemplo de la factura completamente personalizada a nuestro cliente:

factura_example

 

3. Pagos

Splynx va procesando los pagos. El cliente puede pagar en efectivo en la oficina de la compañía. En tal caso se usa el módulo de caja en efectivo por el cual se insertan los pagos en el sistema. El acceso del operador-cajero está limitado, sólo puede aceptar e insertar los pagos y mirar los detalles de los clientes. También el administrador puede insertar los pagos en el sistema.

Los ISP suelen tener distintos métodos de pagos. Soportamos transferencias bancarias o la creación de órdenes de pago SEPA. Se procesan las transferencias bancarias automáticamente por las unidades de procesamiento de Splynx. Éstas son los módulos pequeños para cada formato de fichero bancario.
La siguiente imagen muestra un ejemplo del procesamiento automático bancario:

Payments

Los órdenes de pagos SEPA son ficheros creados por Splynx que los envía al banco que transfiere dinero de las cuentas de clientes a la cuenta de la compañía. Splynx soporta los formatos SEPA diferentes y el formato de cualquier país europeo.

Pasarelas de pago. Vamos añadiendo sin cesar las pasarelas de pago como paypal, etc. El cliente puede pagar a la compañía a través del portal de acceso o en la página web de la pasarela de pago en línea. Una vez recibido el pago por Splynx, se añadirá una transacción.

4. Requisitos
Los requisitos son los documentos no imponibles creados por Splynx. A veces las compañías no expiden facturas, pero envían a los clientes un requisito de pago o una factura pro forma.
Una vez creado el requisito, el balance del cliente no se cambia. La principal razón de tal acción es prevenir que se pague el IVA de los clientes morosos.

Una vez pagado el importe mencionado en un requisito, la compañía puede expedir una factura de impuestos.

La siguiente imagen muestra un ejemplo de tal documento:

proforma

La herramienta de facturación Splynx es completamente personalizable y escalable con la capacidad de realizar miles de transacciones cada mes. Nuestros clientes utilizan esta herramienta por todo el mundo. Siempre sabemos configurarla de acuerdo con los requisitos locales.
Aquí hay cuatro tutoriales en vídeo que describen la función de cada parte de la herramienta de facturación.

Transacciones

Servicios

Facturas

Pagos

Autenticación de dos factores en Splynx

Splynx siempre hace caso a la seguridad. Las informaciones se deben guardar y procesar seguramente. Las contraseñas en nuestra base de datos son cifrados igual a todos los códigos. ¿Pero qué sucederá si alguno de sus administradores tiene una contraseña débil y una gente incorrecta obtendrá el acceso a su sistema Splynx?

Para impedirlo, hemos empezado a soportar la autenticación de dos factores cuando los administradores inician sesión en el sistema Splynx. ¿Qué significa esto? Esto significa que, una vez insertado el nombre de usuario y la contraseña, hay que también insertar un código temporal creado por una aplicación especial en su teléfono móvil. Por ejemplo, se trata de las aplicaciones Google Authenticator, Authy o 1Password. Esto es la manera más segura del acceso en el mundo de Internet contemporáneo.

Se creará en el primer paso un nuevo acceso del administrador que pertenecerá a uno de nuestros administradores de la red.

new_admin

Después, se permitirá en la cuenta “newadmin“ del sistema Splynx la autenticación de dos factores.

enable_2_factor

Abra la aplicación en su móvil (aquí se trata de Google Authenticator) y visualice el código QR.

Scan_QR_code

Se creó un código de autenticación en la aplicación. Éste use:

Authenticator

Al acceder al sistema Splynx, el “newadmin“ debe rellenar el código único.

 

login