Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 2524 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

hotspot LIKE system and limitations

cylent
Hello all.

First, i connect to the internet via satellite (vsat) and bandwidth is very costly so i need a way to manage users/speeds/bandwidth.

I currently use a product called RouterOS from Mikrotik and while it does an OK job with its hotspot system it leaves much to be desired.

I am in the process of seeking an alternative to help me with my setup. a basic customer base of users through a Wisp/LAN system.

What routeros has helped me do is use its hotspot system which is really a breeze to setup and use however like i said above the product leaves much to be desired.

What i'd also like is content filtering, QoS management, virus scanning (for http content) and so on.

Currently theres three products i am looking at :  Astaro and Securepoint and Clarkconnect .. they all lack the hotspot system although Clarkconnect has a "hotlan" feature which i think is a hotspot like system... 

so i figured the next best thing is to setup users with a VPN client system.

So current questions are as follows:

1) i would first need some sort of static portal page so people can see the agreement + download the vpn client.

2) how to setup the VPN system... so if a user connects to the server they cant get any access to the internet ONLY by verifying their identity with the server.

3) However how do i limit users to specific speeds?
So if user A connects via VPN how do i limit him to lets say 64kbps down and 48kbps up?

4) QoS management. a must! 

Please advise with this.


This thread was automatically locked due to age.
Parents Reply
  • 0 in reply to Flancer
    Suggest you download the trial and have a go.

    Users can be setup on Astaro or a backend system (ie Radius etc).
    Users can access portal to download the VPN client and connect via that.
    QoS should be capable of being applied to VPN clients but I have not done this myself.

    Regards,
    Simon.
Children
  • 0 in reply to Simon Shaw
    actually i did download the trial and i have had nothing but trouble with it.

    the wizard didn't even work right. i would work my way through it and then end up on the dashboard with only one ethernet adapter working (the lan one). the one i picked for WAN didnt have any values setup nor was the dns or gateway setup. I ended up doing everything manually. 
    Then i couldn't even browse.  DNS was taking forever!
    The web proxy although set to transparent didn't work as transparent unless i enter in a proxy ip into Firefox.

    I couldn't exactly figure out the confusing menu structure (no i don't find the user interface intuitive). Heck the interface was sorta slow ... 

    Suggest you download the trial and have a go.

    Users can be setup on Astaro or a backend system (ie Radius etc).
    Users can access portal to download the VPN client and connect via that.
    QoS should be capable of being applied to VPN clients but I have not done this myself.
    I dont have a radius server .. just this one server. 
    i would love to know how to create this portal for people to download the vpn client or rather use the windows vpn wizard instead. 
    also, whats more important is limiting vpn connections to a set speed.
    (user1=56k/56k user2=unlimited and so on)

    please advise.
    just in case you're curious what hardware i have: Sempron 2800, 512ram, 36gig sata hd
  • 0 in reply to cylent
    Which version of Astaro did you try? Version 7.1 and above seems to have a much faster User Interface.

    As for DNS issues, it will depend if you were using its DHCP support and and also if you were using the Astaro unit as a DNS forwarder or you are using an external DNS server directly.
  • 0 in reply to Flancer
    I've been using 7.1 through-out this whole conversation.

    can you tell me how you achieved VPN connection speed limits?

    thats the ONLY thing i need at this point done so i can get started.

    well, and also the ability block all outgoing traffic unless a vpn connection is established.
  • 0 in reply to cylent
    In your firewall rules you can choose to only enable HTTP or any other Internet services you'd like to just within your internal network.
    Then create a new rule to allow those specific users or the entire VPN user group to allow access to more than just the Internal.

    This is one way of doing it.. I suppose there are also other possible packet filter combinations.

    As for the  bandwidth limit, you could work from :
    Network Security -> QoS -> Traffic Selector
    Create the appropriate traffic selector using the user or user groups

    Then work from :
    Network Security -> QoS -> Interface
    Then create and specify the bandwidth limit.

    I think that would be the way to do it.
  • 0 in reply to Flancer
    i see

    ok so first in traffic selector i created a traffic selector after adding the user into the user database.

    Then in INTERFACES i found the traffic selector i just created and i see theres room for others too.
    Now if there were more does that mean it'd divide the bandwidth i enter between these "Traffic selectors" or does it give each that number?

    another thing; when i create the interface it says next to it:
    Guaranteed Bandwidth: 64 kbits/s   




    I dont see where you can set the firewall rule to disallow any traffic unless a VPN connection is created.

    sorry for being a pest. its just astaro has a fuzzy interface.
  • 0 in reply to cylent
    ok let's look at the QoS part first. Based on your setup, the bandwidth part (64kb) means there is at least a minimum bandwidth of 64kb. If you want to make sure he can't go higher than that then you could puit in the value of 64kb under the specify upper limit.

    As for the firewall, you'll need a combination of rules. Packet filters in Astaro are processed from a top down method.
    For example, to achieve what you desire and assuming I am creating rules from a clean slate I would create the following rules in the following order:

    1) Source: Internal (Network), Service: Any, Destination: Internal (Network), Action: Allow

    2) Source: SSL VPN POOL, Service: Any, Destination: Any, Action: Allow

    I think something like that would be enough to restrict the non SSL VPN users to just the Internal Network.

    I am just guessing here but I think you may also need to create Masquerading rules for the SSL VPN users to the External (WAN) address and probably also create a gateway routing policy to route SSL VPN users out the External WAN.
  • 0 in reply to Simon Shaw
    It sounds to me that you might be looking for a turnkey product to do everything you're asking. I'm not sure that ASG will achieve that for you.

    Correct me if I'm wrong, but it sounds like you're running a hot spot like at a cafe or a truck stop and you want the users to be able to see your hot spot connect to it and then when they open their web browser get a page that states you can use our service if you click I understand the rules etc, is that correct?

    Or

    Are you possibly trying to have paid customer connections like at a truck stop? Where they are already a member of your user group and they simply download and install the vpn client config and off they go?

    The second setup could be done with Astaro, but it's not really a "turnkey" app. Astaro is very easy to use and setup but for either of the setups described above I could see it getting annoying fast.
  • 0 in reply to Jayson
    Actually today I reinstalled Astaro on a more powerful machine. 
    A sempron 2600 / 1.5gig ram, 36gig SATA hd

    I figured a very easy way to do what i wanted.

    Create vpn (PPTP) account groups/users. 
    and in the packet filter i just changed all Internal (lan) to pptp and voila. it works.

    The thing is now pptp is awfully and disgustingly SLOW.

    i also cant do any ping to any host like google.com or yahoo.
  • 0 in reply to cylent
    Do you have a masquerading rule for the PPTP network to the Internet? Also since you are using PPTP, did you configure a DHCP server for the PPTP network to use under Remote Access -> Advance?

    I think the slowness should be related to other factors and not the Astaro's routing/processing speed.