树莓派3构建低成本WISP认证系统

原创于 2025-10-26 11:25:19 发布 · 696 阅读

17 ·

CC 4.0 BY-SA版权

文章标签：

#树莓派3 #FreeRadius #Mikrotik #Daloradius #认证

基于安装在树莓派3上的Mikrotik热点和Freeradius服务器的低成本认证架构性能测试——面向农村小型无线服务提供商

摘要

农村地区的小型无线互联网服务提供商（WISP）一直在为其基础设施寻找安全且经济高效的解决方案。因此，本文提出了一种基于树莓派3上安装的Mikrotik热点和Freeradius服务器的低成本认证农村小型WISP架构。对该架构的性能进行了测试，结果表明该系统的应用效果非常积极。本研究的意义源于所测试的低成本WISP基础设施解决方案的引入。

关键词 Radius · freeradius · Daloradius · Mikrotik · 树莓派3 · 认证

1 引言

如今，无线互联网服务提供商（WISP）在全球范围内被广泛使用，尤其是在农村地区应用的小型WISP。小型指的是无线客户端数量在100至300个之间。值得一提的是，WISP运营商面临着一些严峻挑战，如计费系统、安全和成本问题。为此，本文提出了一种架构以解决这些挑战。首先，使用radius服务器来解决安全问题，包括对网络流量进行认证、授权和计费操作，从而为WISP提供安全保障，其中采用并配置了自由radius服务器作为radius服务器。此外，使用Daloradius作为网页管理工具，协助WISP运营商创建、管理和监控客户配置文件。

关于成本，提议的架构使用树莓派3来托管radius服务器，而MikroTik路由器作为主WISP路由器、热点以及覆盖客户端区域所需的接入点。表1显示了这些设备成本的一个示例。

示意图0

表1 设备成本

设备品牌	型号	成本（美元）
树莓派3	B	35 [1]
Mikrotik	CCR1009‐7G‐1C‐1S + PC	495 [2]
Ubiquiti	UniFi AP‐Outdoor	415 [3]

上表显示了在农村地区以最少的设备启动无线服务提供商（WISP）的成本有多么低廉。同时，可根据需要通过增加接入点来扩展规模。

图1如下所示为小型无线互联网服务提供商架构，其中互联网线路通过光纤或以太网连接到MikroTik。该图表明，radius服务器与MikroTik路由器之间存在连接，用于AAA操作。同时，在同一图中还显示，接入点连接到MikroTik，以为该区域的客户端提供无线网络。

2 实施：设备设置和配置

小型WISP的提议架构的设置包括以下步骤：

• radius服务器

radius是远程认证拨号用户服务的缩写，提供安全解决方案和用户身份管理。该安全解决方案依赖于分布式客户端‐服务器模型，并进行用户身份认证。此外，Radius是用于认证、授权和计费（AAA），作为访问控制器，并通过挑战或响应方法对用户进行身份验证。这意味着用户的身份管理即为用户的分配与分类[4]。认证过程是验证用户身份以访问网络和/或服务的审查阶段。通常，此过程从客户端开始，客户端向服务器端发送一个或多个唯一的代码组合，例如用户名、密码、PIN码和指纹。在服务器端，会进行比对，以确定这些唯一代码是否存在于数据库中。如果验证通过，服务器将向用户返回授予的权限和权利；反之，若未通过验证，服务器将拒绝用户的权限和访问请求。同样，授权阶段是分配用户可在网络上访问的任何服务的过程，因此当用户声明使用网络时，即可获得授权。最后，计费过程由网络接入服务器和AAA服务器执行，记录用户在网络中的活动，例如持续时间（开始和终止时间）、访问的数据等。这些日志信息存储在AAA服务器中，可用于计费、审计或网络管理等各种用途[5–7]。

本文中，radius服务器是安装了free radius和Daloradius的树莓派3B型。在树莓派3B型上设置free radius服务器和Daloradius的安装。

• freeradius

是由 Daniël de Kok 和 Miqual van Smoorenburg 于 1999 年开发的 radius 服务器应用。通常，radius 应用用于通过不同类型的连接实现远程访问服务，例如拨号、虚拟专用网络（VPN）、无线接入点和以太网交换机[7]。

• Daloradius

是一个基于Web的工具管理平台，用于 freeradius 开发的 radius 服务器，使用 PHP 和 JavaScript 编写。Daloradius 使用数据库抽象层，使其兼容多种数据库系统，如 MySQL、PostgreSQL、SQLite 和 MSSQL。通常，Daloradius 被用作热点工具管理，适用于互联网服务提供商（ISP）。Daloradius 提供了多种功能，包括互联网用户管理、图形化报告、计费，并集成谷歌地图实现地理定位（GIS）。此外，Daloradius 具备对 freeRadius 数据库执行 CRUD（创建、读取、更新和删除）操作的功能。使用 Daloradius 的目的是通过网页浏览器在 Linux 操作系统上轻松管理热点和无线账户的 radius 服务器[8]。

在当前研究阶段，freeradius 应用程序及其相关要求和 Daloradius 的安装均在树莓派3上进行，并通过以下命令验证 freeradius 状态：

systemctl status freeradius

示意图1

2.1 在启动时启用 free radius

运行以下命令以启用自由radius服务器在系统启动时自动运行，因为默认情况下它不会在启动时运行。这是为了防止意外的系统重启或停止而采取的谨慎措施。

sudo systemctl enable freeradius

2.2 访问daloradius网页界面

要访问Web界面，请打开网页浏览器并输入URL http://192.168.1.11/daloradius/login.php，以重定向到Daloradius登录页面。然后使用用户名和密码 administrator / radius，并点击登录按钮。您应看到如图3所示的页面。

示意图2

2.3 将freeradius与Mikrotik热点连接

编辑包含将使用半径的相关服务信息的文件 /etc/freeradius/3.0/clients.conf ，使用以下命令：

nano /etc/freeradius/3.0/clients.conf

然后根据你的信息添加以下内容：

客户端 mt {
    IP地址 = 192.168.1.7    # Mikrotik IP地址
    密钥 = testing123
    子网掩码 = 24
}

2.4 Mikrotik

Mikrotik拥有基于Linux的硬件（即路由器、交换机、天线及其他配套设备）和软件（MikroTik RouterOS），用于提供互联网连接。Mikrotik由约翰·特鲁利和阿尔尼斯·雷克斯坦斯于1996年创建。简单来说，Mikrotik是一种用于管理网络活动的路由器操作系统[9]。本研究中使用了MikroTik路由器1009。

在此阶段，Mikrotik被配置为IP地址为192.168.1.7、DNS名称为gazastrip.ps、IP地址池为192.168.2.3 – 192.168.2.254的热点。下图4显示了如何将其连接到radius服务器。

• 在您的 Mikrotik 热点服务器配置文件中启用 radius 选项，如下图4所示：

示意图3

• 然后在 Mikrotik 的 radius 界面中启用热点选项，并添加代表树莓派 IP 地址的 radius 服务器 IP 地址，如前所述。图5说明了此步骤。

示意图4

3 测试半径与Mikrotik之间的连通性

使用 daloradius 网页界面创建用户名和密码作为示例 – mal‐masri / p@ssw0rd，然后在客户端设备上通过 Mikrotik热点登录，如图6、7 和 8 所示。

示意图5

示意图6

示意图7

4 结果

测试此类系统的性能可以通过客户端完成通过radius服务器的认证过程所需的时间来衡量，如提议的架构中所示。因此，使用两种工具来测量该时间。第一种工具是应用程序运行时长，然后收集并报告系统资源使用情况[10]。此外，它采用多个参数来返回系统的资源使用情况，例如：返回实际时间、用户时间和系统时间。实际时间、用户时间和系统时间表示进程在实际、用户和系统模式下直接使用的CPU秒总数（以秒为单位）。[10]。第二种工具是radclient应用程序，它是一个作为freeradius组成部分的radius客户端应用。其主要作用是向radius服务器发送随机RADIUS数据包，然后显示回复。freeradius可用于监控和测试radius服务器配置中的任何更改，或检查radius服务器是否正在运行且可用[11]。值得一提的是，radclient应用程序接受多个参数，因此，针对本研究的目的，使用‐p num参数以同时发送多个并行请求，而无需等待每个请求的响应[12]。

为了测量时间，运行以下命令，该命令将运行 radclient 程序发送 300 个并发请求，如下图 Fig.9 所示。

time /usr/bin/radclient -p 300 localhost:1812 auth radius p@ssw0rd

示意图8

结果显示，发送300个并发请求所需的实际时间为4.46分钟，这意味着安装在树莓派3上的radius服务器每4.46分钟可处理300个并发认证请求。因此，每个客户端请求所需的处理时间约为0.9秒（4.46分钟/300）。

5 结论

本研究结果表明，树莓派3可以很好地用作小型WISP中的radius服务器，因为认证300个并发请求所需的时间非常短，符合本研究的设想。此外，还需指出的是，连接速度和无线网络带宽等其他延迟因素可能会增加认证过程所需的时间。因此，实际所需时间可能比0.9秒多出几秒钟。

6 建议

由于树莓派3在技术领域以最小的计算机著称，因此需要考虑一些其他问题，例如散热。因此，在温度超过允许上限之前，应为树莓派配备散热系统。此外，研究人员建议使用功能更强的树莓派4（相较于树莓派3性能更高），这可能会带来更好的性能表现。