¿Cómo funciona el WIFI gratis de restaurantes y hoteles?

Tras realizar un pequeño estudio en varios locales comerciales que ofrecen el servicio de wifi gratuito, y tras hablar con sus propietarios, observamos distintas situaciones, y alguna que otra cosa bastante curiosa:

  • La mayoría de propietarios considera que el servicio ofrecido por la empresa correspondiente es demasiado caro.
  • Varios propietarios reportaban que el rendimiento de la red bajaba significativamente conforme pasaba el tiempo, y así se lo hacían saber los clientes.
  • Un empleado de uno de los locales nos contó que desde que se puso el servicio de wifi gratuito, el acceso a internet desde el TPV se cortaba constantemente.

Nos vamos a centrar en el segundo y tercer punto. En esta entrada voy a contar solo uno de los casos:

El primer paso que seguimos fue volver al local para ver como estaba desplegado todo lo relativo a la red del negocio (datáfonos, red privada, wifi pública, dispositivos con salida a internet, etc.), y lo que nos encontramos no fue precisamente bueno.

La instalación, realizada por un técnico que, según nos contaron, tenía la orden de dejar en funcionamiento tanto una red privada (para el negocio) como una pública (para los clientes), consistía únicamente en el router proporcionado por el propio ISP, configurado de forma que ofrecía una segunda red wifi, pero sin aplicar ninguna consideración de seguridad (y el propio router ofrecía opciones de aislamiento de los clientes, VLANs y segmentación).

Arquitectura encontrada

Explicado a grosso modo, tanto los clientes con sus móviles y portátiles, como los datáfonos y TPV estaban en la misma red, totalmente visibles los unos con los otros.

Nueva arquitectura

Lo primero que hicimos, fue descartar completamente la “arquitectura” que había desplegada y trazar una nueva con el objetivo de obtener un nivel mínimo de seguridad. Teníamos que tener en mente los dispositivos que iban a estar conectados, las redes que habría que configurar, y los dispositivos que nos harían falta para ello.

En este caso, se optó por trabajar en base al siguiente esquema:

Nueva arquitectura

Redes privadas 1 y 2

Se configuró el router del ISP para que emitiera dos puntos de acceso distintos, pero con la peculiaridad de que cada uno de ellos estuviera asignado a una VLAN distinta, de forma que los empleados (o técnicos, en caso de ser necesario), no tuvieran la capacidad de interceptar los datos transmitidos por los datáfonos wifi.

El primer punto de acceso (Red Privada 1) iba a servir para que los empleados pudieran utilizar la salida a internet con total comodidad, además de también dar salida a la Raspberry Pi que se encargaba de nutrir de contenidos a las TVs (Youtube, Twitch, etc.).

El segundo punto de acceso (Red Privada 2) iba a servir únicamente para dar salida a internet a los datáfonos wifi. Anotar que esta red se configuró como oculta, que si bien no es la panacea, algo ayuda.

Red pública (Router OpenWRT)

La configuración de esta red ya tenía algo mas de chicha. El objetivo era añadir a la instalación un segundo router con OpenWRT (con salida a internet a través del router del ISP), que, además de mostrar un portal cautivo y permitir limitar tanto la velocidad como el tiempo de conexión para cada uno de los clientes, sus clientes estuvieran completamente aislados respecto a los clientes de las otras dos redes.

Como el problema principal para el propietario era el coste, optamos por utilizar un router que tenía él mismo por casa, un TP-Link TL-WR841N (4MB flash, 32MB ram).

En Internet, Tutoriales
  • Comenta: