佐须之男 发布的文章

wifidog 稳定性测试

最近很多网友都说wifidog原版不是很稳定,那么怎么测试稳定性?
测试方法有两种:1是通过手机登陆网站;2是通过软件发送多个连接请求来达到测试wifidog处理请求的能力,也就是其稳定性。
测试环境:将刷好的带wifidog认证的路由接入Internet和测试机(电脑或者手机)。使用电脑连接到路由后台,以调试模式运行wifidog,以便随时监控wifidog。
测试条件:wifidog启动中并且测试机没有进行过认证。
预期结果:wifidog死掉或者重启。
方法一:通过多台手机登录网站发送连接请求(登录新浪视频和搜狐视频会不停地发送连接请求),查看后台监控wifidog异常,增加手机链接到测试路由并登陆网站直到wifidog死掉或者重启。
方法二:通过http_load软件发送网站连接请求,查看后台监控wifidog异常,逐渐增加发送连接请求次数直到wifidog死掉或者重启。

本文章由 http://www.wifidog.pro/2014/12/18/wifidog-%E7%A8%B3%E5%AE%9A%E6%80%A7.html 整理编辑,转载请注明出处

wifidog 小知识点

wifidog 用于无线热点的认证,它是下一代取代NoCat 的软件。
1)和NoCat相比,wifidog 网关协议它更小,有更少的依赖,并运行在嵌入式设备;在认证服务器端,它更多的是可定制的,并且是面向资本基础设施建设门户网站和社区的目的;实践方面,nocat 需要打开一个窗口来保持连接,而wifidog,不用。

2)那么wifidog是怎么工作呢?
网关协议使用防火墙规则来控制通过路由器的流量,当一个用户试图访问网络时,网关将会把浏览器导向认证服务器,在认证服务器上他们可以登录或注册,然后网关和认证服务器沟通是否允许用户访问网络。网关本身也会每隔X分钟向认证服务器发包,表明网关还在工作。细节可以参考wifidog 的流程图:
FlowDiagram.png

3)网关协议运行在具有Netfilter + iptables 的Linux机器上。认证服务器运行在任何支持PHP的Web服务器。当然网关协议和认证服务器可以同时安装在一个linux 机器上。

4)wifidog 认证是不区分有线无线的

5)wifidog 的网关协议和认证服务器都是可以修改的

6)确保ipt_mac.ko和ipt_mark.ko内核模块已经insmod,这些模块都是iptables 的可选部分,iptables这些部分默认不是打开的。

7)auth server交互可以使用xml或者json格式

本文章由 http://www.wifidog.pro/2014/12/18/wifidog-%E6%B3%A8%E6%84%8F%E7%82%B9.html 整理编辑,转载请注明出处

Wifidog协议分析

版本:20090925
1.Flow:
图片1.png

流程描述:
这里把所有和服务器相关的根目录设置成 ‘/’,这个地方可以修改,但服务端也需要相应修改访问目录,这里使用 ‘/'。
如修改成根目录为wifidog,则第二步需要修改成
http://auth_server/wifidog/login/?gw_id=xxx&gw_address=xxx&gw_port=xxx&url=xxx, 这里不做细节讨论
1)客户端浏览器访问www.baidu.com

2)路由器将浏览器请求重定向到auth server:http://auth_server/login/?gw_id=xxx&gw_address=xxx&gw_port=xxx&url=xxx,url 就是访问的www.baidu.com

3)客户端浏览器访问auth server:

http://auth_server/login/? 
gw_id=[GatewayID, default: "default", 如果在.conf里不设置,默认是网关的内网mac 地址]
gw_address=[GatewayAddress, 内网的IP],(内网的IP:192.168.1.1)
gw_port=[GatewayPort, wifidog 监听的端口] (默认是2060)
url=[user requested url] (www.baidu.com), 会使用url 编码

4)Auth Server返回一个login页面。

5)客户端浏览器输入用户名和密码登录。如果不需要校验username 和 password,可以直接忽略4-5步进入到第6步, 从网关协议的code里没有找到相关验证login的内容

6)Auth server 重定向客户端的请求到路由器, http://GatewayIP:GatewayPort/wifidog/auth?token=[auth token], token由auth server 生成, 用来检验客户端是否合法登陆(这里目录wifidog 是网关在wifidog目录下建了一个关于auth 访问的回调函数,如果auth server 重定向浏览器时不加这个功能,需要网关协议相应修改,这里使用带wifidog目录的url)

7)客户端带着第6 步的token使用上面的重定向url访问路由器,触发网关协议关于auth文件的访问回调

8)网关在auth文件的回调里,会使用如下url到auth server验证第7 步客户端发过来的token:http://auth_server/auth/?stage=login&ip=xxx&mac=xxx& token=xxx&incoming=xxx&outgoing=xxx&gw_id=xxx

auth_server/auth/?
stage=login //新的客户端认证
ip=
mac=
token=
incoming=
outgoing=
gw_id=
ip/mac/token 是客户端的信息,incoming/outgoing是用户连接计数信息
stage是请求类别,counters/login/logout,表示已认证的保活/新认证用户/超时删除用户

这里路由器会等待auth server的回复auth code做进一步处理,Auth Server返回Auth Code的格式 Auth: 1, Auth后面带空格。

9)Auth Server检查token:
Wifidog 网关处理如下几种Auth code

0 - AUTH_DENIED - User firewall users are deleted and the user removed.
6 - AUTH_VALIDATION_FAILED - User email validation timeout has occured and user/firewall is deleted
1 - AUTH_ALLOWED - User was valid, add firewall rules if not present, 认证允许通过
5 - AUTH_VALIDATION - Permit user access to email to get validation email under default rules
-1 - AUTH_ERROR - An error occurred during the validation process 

所以Auth server可以返回如上几种Auth Code

10)对于AUTH_ALLOWED,路由器重定向客户端到 http://auth_server/portal/?gw_id=xxx,表明认证通过, gw_id 还是上面的那个值。
对于AUTH_DENIED, 重定向到http://auth_server/gw_message.php? message= denied
对于AUTH_VALIDATION,重定向到http://auth_server/gw_message.php? message= activate
对于AUTH_VALIDATION_FAILED,重定向到http://auth_server/gw_message.php? message= failed_validation

11)客户端访问http://auth_server/portal/?gw_id=xxx,Auth server 确认客户端请求成功,auth server 将客户端重定向回www.baidu.com, 认证完成。

2.Timeout检查:
路由器会隔一段时间(在wifidog.conf设置)给auth server发个http://auth_server/auth/?stage=counters&ip=xxx&mac=xxx& token=xxx&incoming=xxx&outgoing=xxx&gw_id=xxx,更新每一个客户端的traffic counters,并重新认证之前已经认证通过的客户端。
1)路由器对于timeout的客户端向auth server发送个logout请求包: http://auth_server/auth/?stage=logout&ip=xxx&mac=xxx& token=xxx&incoming=xxx&outgoing=xxx&gw_id=xxx
2)Auth server 的返回码,和stage=login的返回码一样:

0 - AUTH_DENIED - User firewall users are deleted and the user removed.
6 - AUTH_VALIDATION_FAILED - User email validation timeout has occured and user/firewall is deleted
1 - AUTH_ALLOWED - User was valid, add firewall rules if not present, 认证允许通过
5 - AUTH_VALIDATION - Permit user access to email to get validation email under default rules
-1 - AUTH_ERROR - An error occurred during the validation process
  1. 网关的保活协议:Ping - pong协议,网关和auth server的交互,表明wifidog的网关还活着。http://auth_server/ping/?gw_id=xxx&sys_uptime=xxx&sys_memfree&sys_load=xxx&wifidog_uptime=xxx, 等auth server回复字符串”Pong”。收到Pong路由器并没有做什么,这个可以自定义。

本文章由 http://www.wifidog.pro/2014/12/18/wifidog-%E5%8D%8F%E8%AE%AE%E5%88%86%E6%9E%90.html整理编辑,转载请注明出处

OpenWRT-Wifidog之利用Luci认证

上一篇文章:OpenWRT下实现Portal认证(WEB认证) 我介绍了OpenWRT环境下实现Wifidog认证的办法,文末我曾经写道“有的人可能还会问,能不能把这些脚本集成到路由器当中,我的回答是能,只要你的脚本的功能不多,问题应该不大,但是这么做的风险比较大,路由的负载比较高,导致路由的运行会很不稳定,甚至经常死机,这也是笔者亲身实践的结果,所以笔者不建议这么做”。

折腾间突然冒出一个想法,既然OpenWRT有uhttpd和Luci作为Web服务提供图形配置界面,那么可否把Wifidog的认证页面集成到Luci当中呢?之前笔者曾经测试把Wifidog的Web认证页面集成到OpenWRT当中,其实现方法是用传统的LMNP方案,即在OpenWRT上安装Nginx、PHP和Mysql,部署Wifidog的认证服务。但是效果十分不理想,OpenWRT将长期处于高负载状态,甚至影响到了用户的正常上网,稳定性也得不到保证,经常死机,故这种方案不可取,也是我不建议这么做的原因。

OpenWRT中集成了uhttp和Luci作为Web服务提供图形配置界面。uhttpd是一个轻量级的Web服务器,而Luci是用Lua这种轻量级的脚本语言编写的,其性能十分优秀,这也是OpenWRT选择他们的原因。

详细研究Lua和Luci的文档以及相关资料后,终于实现了这个想法,并把程序编译成ipk(下载见文末),需要说明的是Wifidog需自行安装。

安装完成后,Wifidog的默认登录地址是http://192.168.1.1/cgi-bin/luci/login/(路由的lan IP不是192.168.1.1的需自行修改),默认的用户名是root,密码是admin,注意须在Wifidog开启的情况下登录才能成功。如果想新增用户和修改密码,修改/etc/wifidog.auth文件,其格式为username:password,中间用英文半角冒号分隔,每个用户分别占一行。

关于安装完成后Wifidog的配置,我在ipk里加入了wifidog.conf.example,安装完成后位于/etc/目录下,但仍需要根据你的环境作相应的配置,需要配置的参数有ExternalInterface、GatewayInterface、GatewayAddress,其中ExternalInterface指的是你的路由的WAN的接口,如果是VLAN接口就填写VLAN接口;GatewayInterface指的是你的路由的LAN的接口,一般是br-lan;GatewayAddress指的是你的路由的LAN的IP地址。关键配置AuthServer已经提供,如果你想了解AuthServer的配置细节,你可以参见本博客的相关文章。
如果你有HTML+CSS甚至是DIV+CSS编程基础和经验,你可以自定义登录认证页面,其htm页面位于/usr/lib/lua/luci/view/wifidog/文件夹下,CSS等资源文件位于/www/wifidog/文件夹下。
经过测试,其稳定性果然提高不少。不过笔者仍然建议,如果你的WIFI接入用户数大于10,独立的认证服务器仍然是很有必要的。另外,特别提醒,如果你的WIFI是开放的,Luci配置登录界面也会暴露,你的ROOT密码如果过于简单,就会存在安全风险。

附件下载:
http://talk.withme.me/download/luci-app-wifidog-authmini_1.0-1_all.ipk(全平台通用)

本文章由 http://www.wifidog.pro/2014/12/17/OpenWRT-Wifidog.html 整理编辑,转载请注明出处