Wi-fi c web-авторизацией. freeradius dd-wrt chillispot –
В этой статье мы будем организовывать гостевой доступ к интернету с web-авторизацией.
Сразу поясню, что мы должны иметь в начале и что по итогу должно получиться в конце.
Итак, имеем:
— обычный маршрутизатор с dd-wrt на борту к примеру D-link DIR-300 как наиболее дешевый вариант либо что-то другое, это не важно. Маршрутизатор соответственно поддерживает Wi-fi и имеет доступ в интернет.
— компьютер, с установленной Unix подобной ОС. На нем мы расположим сервер авторизации. В статье описана установка на FreeBSD, но это тоже не важно, можете использовать как Debian, так и Ubuntu, как наиболее распространенные, либо что-то другое. Процесс настройки будет отличаться незначительно.
Что будем иметь по итогу:
Пользователь подключается к открытой Wi-fi сети, при попытке открыть любой сайт через браузер видит приветственное сообщение о владельце точки и о способах получения доступа, либо любую другую лабуду, которую сами придумаете.
Далее пользователь получает от вас логин и пароль, либо находит их на приветственной странице, либо просто нажимаем кнопу «Продолжить», вводит их в соответствующие поля, авторизуется и получает долгожданный доступ в интернет. У вас как владельца точки есть возможность назначить каждого пользователя определенной группе, в свою очередь вы можете регулировать скорость доступа, а также время пребывания в сети для каждой группы. После чего у пользователя опять выскочит приветственное сообщение с просьбой ввести логин и пароль.
(Подобная схема к примеру на текущий момент реализована в сети ресторанов Макдональдс)
Все это дело организовываем с помощью:
FreeRadius — сервер авторизации
chillispot — есть на маршрутизаторе с dd-wrt
Для управления поднимем простенький web-сервер, mysql, phpmyadmin.
1 этап настройка маршрутизатора с dd-wrt
Открываем через web-интерфейс наш маршрутизатор. Настраиваем от настроек по умолчанию, поэтому вводим в браузере 192.168.1.1 и попадаем в меню.
Далее будут приводиться мои настройки сети, делайте также, либо подставляйте по примеру свои значения.
1. Вкладка Administration, в поля Router username, router password и re-enter to confirm вводим свои значения.
Тем самым установив свои пароли вместо стандартных для доступа к роутеру.
2. Вкладка Setup — подвкладка Basic Setup , Настраиваем Wan Setup (доступ к интернету)
3. Там же заполняем Поля Router IP и DHCP.
В настройках DHCP уберите флажок «DHCP-Authoritative» и нажмите Apply Settings
4. Вкладка Wireless, в поле Wireless Network Name (SSID) введите имя будущей Wi-fi сети
5.Вкладка Services -> подвкладка Hotspot
Chillispot — Enable — думаю итак понятно без комментариев
Separate Wifi from the LAN Bridge — Enable — этим мы отделяем LAN порты от Wi-fi сети
Primary Radius Server IP/DNS — ip сервера с FreeRadius
Backup Radius Server IP/DNS — ставим значение из предыдущего поля
DNS IP — Внешний DNS (У меня он 192.168.0.1, так как у меня на нем и DNS)
Remote network внутренняя сеть для Wi-fi клиентов
Redirect URL — приветственная страница radius-сервера, должна располагаться на сервере с Freeradius, ее мы сделаем чуть позже
Shared Key — ключ. testing123 ключ по умолчанию, желательно придумать свой, впоследствии в настройках не забываем указывать именно свой ключ
DHCP interface — интерфейс через который подключаются Wi-fi клиенты
2 этап Настройка FreeRadius
Устанавливаем FreeRadius, не забываем поставить галочку напротив MYSQL
Редактируем конфигурационный файл /usr/local/etc/raddb/radiusd.conf
Находим строчку
и проверяем что выставлено именно no
Раскомментируем строчку
Следующий файл для редактирования /usr/local/etc/raddb/sites-available/default
Ищем секции
И во всех раскомментируем строчку
Этим мы подготовили freeradius для связи с mysql
Далее редактируем файл /usr/local/etc/raddb/clients.conf
Ищем секцию client localhost {…
и меняем
на
на
где, 192.168.0.20 ip адрес маршрутизатора с wi-fi
Выставляем свой ключ
Не забываем прописать в /etc/rc.conf строчку
3 этап Настройка MySQL
Начнем с установки
Добавляем в /etc/rc.conf
Выставляем пароль для рута
Теперь заходим в консоль MySQL и вводим только что установленный пароль
Если вход прошел успешно — продолжаем, создаем базу данных для пользователей и самих пользователей
Далее либо скачиваем с официального сайта архив с freeradius(http://www.freeradius.org/download.html) и находим там файлы schema.sql nas.sql ippool.sql, либо ищем их по пути /usr/local/etc/raddb/sql/mysql. Ну и на крайний случай выкладываю тут
Из папки с этими файлами импортируем таблицы в нашу базу данных
Проверим все ли прошло успешно:
Мы должны увидеть список из следующих таблиц:
nas, radacct, radcheck, radgroupcheck, radgroupreply, radippool, radpostauth, radreply, usergroup.
4 этап Привязываем FreeRadius к MySQL
Редактируем файл /usr/local/etc/raddb/sql.conf
Прописываем туда реквизиты доступа к созданной базе «user_radius«, «user_radius_password«, «db_radius«.
Теперь создадим тестового юзера для проверки в базе MySQL. Для этого выполним
Не забываем перезагрузить freeradius.
Проверяем соединение командой
Здесь всплывут 2 подводных камня:
1. Выше мы уже настроили FreeRadius на то, что клиентом у нас является 192.168.0.20 — то есть временно на период теста меняем обратно на 127.0.0.1 и перезагружаем freeradius.
2. У меня вышла вот такая ошибка:
radclient:: Failed to find IP address for office.local
radclient: Nothing to send.
Чтобы ее исправить необходимо добавить в файл /etc/hosts запись о своем хосте
127.0.0.1 Имя_хоста
Если соединение прошло успешно то в выводе команды мы должны увидеть слова «Access—Accept»
5 этап настройка Веб-сервера с PHP, SSL и поддержкой CGI
Следующим этапом будет настройка веб-сервера с SSL (нужен для страницы авторизации) c поддержкой выполнения CGI скриптов(тоже для страницы авторизации), и с поддержкой php (это для phpmyadmin) как это все сделать можно прочитать здесь.
6 этап Настройка страницы авторизации
После того как у нас появился работающий Веб-сервер нам необходимо настроить страницу авторизации. Кстати это именно та страница, на которую ссылается роутер с dd-wrt в своих настройках.
Для этого скачиваем архив содержащий нужный нам файл hotspotlogin.cgi тут http://www.chillispot.info/download.html
если не получилось, выкладываю тут на всякий случай
Устанавливать ничего не нужно, просто ищем в архиве файл hotspotlogin.cgi и копируем его в папку для cgi скриптов веб-сервера. Не забываем выставить права на выполнение
Также необходимо раскомментировать в нем строку «$uamsecret = » и вставить свое значение (у нас это testing123).
Если все выше настроено успешно, то при подключении к сети и попытке открыть любой сайт должна открываться страница формируемая hotspotlogin.cgi.
Кстати дизайн страницы можно менять как душе угодно. Предполагаю, что если вы дошли до этой точки настройки, то должны сами разобраться в коде и как это сделать.
7 этап Настройка dialupadmin
Далее процесс настройки приводит нас к мысли что здорово было бы иметь веб-интерфейс для управления hotspot’ом, и базой данных.
Чтобы не увеличивать статью до километровых размеров опустим установку PhpMyAdmin для управления базой, благо инфы по этой теме в интернете навалом.
Опишем установку веб-интерфейса для управления hotspot’ом. Из бесплатных остановимcя на dialupadmin, который идет в комплекте с freeradius. Возможно не самое лучшее решение, но свои минимальные функции выполняет. В принципе можно обойтись и без него, и делать все вручную через базу, так как сам по себе он мне показался «не очень», но тем не менее информация о его настройке не будет лишней.
Для этого либо скачиваем архив с FreeRadius http://www.freeradius.org/download.html (Возможно ранее вы его уже скачали).
И находим там папку dialup_admin, либо ищем ее по пути где-то здесь /usr/share/freeradius-dialupadmin/htdocs /var/www/dialup. Но скорее всего ее там может не оказаться.
Создаем папку для dialupadmin в папке веб-сервера, и перепишем в нее файлы из одноименной папки в архиве.
Здесь я опускаю настройку веб-сервера для папки dialupadmin. Можете положить все в папку по умолчанию и не париться с настройками, либо настроить веб-сервер как вам удобно.
Примечание: в dialupadmin по умолчанию нет никакой встроенной аутентификации, поэтому не забудьте ее сделать средствами веб-сервера поставив пароль на папку.
Приступим к настройке dialupadmin
Сразу сделаю небольшое отступление, если в процессе настройки вы столкнетесь с подобной ошибкой (точно не помню на каком этапе она может возникнуть)
Fatal error: Call to undefined function import_request_variables() in /usr/local/www/dialupadmin/conf/config.php on line 9
То читаем здесь
Продолжим,
Редактируем файл ..dialupadmin/conf/admin.conf
в строке ниже вместо XXXXXX выставляем свой ключ. Например у нас в примере это testing123
Здесь вместо «crypt» выставляем «clear»
Далее настройки базы, в строках ниже указываем свои значения:
Обратите внимание на строку
Если не хотите чтобы отображалась информация об ошибках после отладки, замените на «false»
Теперь необходимо добавить таблицы в нашу базу данных
Их можно найти по пути ..dialup_admin/sql/mysql
Но не все так просто, из-за чьей-то криворукости, не будем выяснять чьей, необходимо перед импортом таблиц их немного подправить, иначе можем натолкнуться на подобное
Error: File ‘/usr/local/www/dialup_admin/conf/naslist.conf’ does not exist or is not readable
Error: File ‘/usr/local/www/dialup_admin/conf/captions.conf’ does not exist or is not readable
Warning: file(/usr/local/www/dialup_admin/conf/username.mappings): failed to open stream: No such file or directory in /usr/local/www/dialupadmin/conf/config.php on line 88
Warning: Invalid argument supplied for foreach() in /usr/local/www/dialupadmin/conf/config.php on line 89
Итак файлы userinfo.sql и badusers.sql в 5 строке удаляем
«DEFAULT ‘0’ «
Также стоит обратить внимание на соответствия названий таблиц в базе и файле ..dialupadmin/conf/admin.conf . С этим могут быть связаны выше описанные ошибки.
Не факт конечно, что вскоре это все не поправят, но на всякий случай привожу все возможные грабли.
Заходим в папку ..dialupadmin/sql/mysql/ и импортируем таблицы (можете это сделать через PhpMyAdmin)
8 этап Добавление данных
Заходим через браузер в веб-интерфейс dialupadmin и создаем 2 группы:
Нажимаем кнопку «New Group» и в поле «Group name» вводим название «Default«, нажимаем кнопку «Create»
Таким же образом создаем группу «Full Bandwidth«.
группа Default будет для гостей здесь мы поставим ограничение скорости, и меньшее время сессии
Full Bandwidth для Vipов.
Заходим через PhpMyAdmin в базу и добавляем записи в таблицу radgroupcheck
id: 1
GroupName: Default
Attribute: Auth-Type
op: ==
Value: Local
id: 2
GroupName: Full Bandwith
Attribute: Auth-Type
op: ==
Value: Local
Теперь добавляем записи в таблицу radgroupreply
id: 1
GroupName: Default
Attribute: Session-Timeout
op: =
Value: 3600
id: 2
GroupName: Default
Attribute: Idle-Timeout
op: =
Value: 600
id: 3
GroupName: Default
Attribute: Acct-Interim-Interval
op: =
Value: 60
id: 4
GroupName: Default
Attribute: WISPr-Redirection-URL
op: =
Value: http://www.google.com
id: 5
GroupName: Default
Attribute: WISPr-Bandwidth-Max-Up
op: =
Value: 128000
id: 6
GroupName: Default
Attribute: WISPr-Bandwidth-Max-Down
op: =
Value: 256000
Следующие атрибуты для группы “Full Bandwidth”:
id: 7
GroupName: Full Bandwidth
Attribute: Session-Timeout
op: =
Value: 3600
id: 8
GroupName: Full Bandwidth
Attribute: Idle-Timeout
op: =
Value: 600
id: 9
GroupName: Full Bandwidth
Attribute: Acct-Interim-Interval
op: =
Value: 60
id: 10
GroupName: Full Bandwidth
Attribute: WISPr-Redirection-URL
op: =
Value: http://www.google.com/
И краткая расшифровка:
Session-Timeout — время в секундах сессии, до разрыва, когда пользователю необходимо будет перелогиниться
WISPr-Redirection-URL — страница куда будут попадать пользователи после открытия сессии, если оставить пустым то переадресация происходить не будет
WISPr-Bandwidth-Max-Up, WISPr-Bandwidth-Max-Down — максимальная скорость интернета на upload и download.
Надеюсь у вас все получилось и в итоге мы имеем готовый хотспот.:)
Как выбрать оборудование
Выбор оборудования Wi-Fi даже для дома – это уже не так просто. В зависимости от задач и бюджета, можно кратко определить для себя что вам требуется и на основании этого сделать выбор. Ниже пройдемся по основным технологиям беспроводных сетей.
Коротко о базовых стандартах IEEE 802.11
Выводы: разница между оборудованием с поддержкой IEEE 802.11ac и IEEE 802.11ax может быть существенной, а клиентских устройств с поддержкой IEEE 802.11ax на предприятии может не быть еще несколько лет.
Коротко о стандартах безопасности Wi-Fi
При выборе оборудования лучше чтобы оно поддерживало следующие стандарты шифрования:
Выводы: поддержка WPA3 весьма желательна, только если нет задачи суровой экономии на оборудовании и приобретении точек доступа из серии SOHO (хотя и там все больше и больше производителей добавляют поддержку WPA3 на старших моделях).
Коротко о роуминге Wi-Fi
Роуминг — это отдельная и сложная тема для обсуждения, но попробуем очень емко и коротко разобраться в сути этого вопроса. Есть два принципиальных типа механизма перехода клиента от одной точки доступа к другой:
Brake before make — клиентское устройство отключается от текущей точки доступа, затем подключается к другой точке доступа. В случае использования 802.1x это в среднем занимает 700мс плюс задержка до RADIUS сервера. Технологии:
Make before brake — клиентское устройство заранее проводит “4-way handshake” с новой точкой доступа, и уже только после этого отключается от текущей точки доступа и переключается на новую точку доступа. Технологии:
Выводы: главное помнить, что решение о роуминге принимает только клиентское устройство, а приведенные выше технологии только помогают устройству принять правильное решение о переходе с одной точки доступа на другую, а некоторые технологии позволяют помочь это сделать с минимальным временем простоя. Ключевые технологии, поддержку которой лучше точно иметь на оборудовании — это FT IEEE 802.11r и Optimized roaming.
Коротко про защиту от DoS атак
Между клиентским устройством и точкой доступа есть два вида трафика:
Зашифрованный пользовательские данные;
Не зашифрованные служебные данные.
Ниже варианты технологий, которые защищают соединение между клиентским устройством и точкой доступа, не позволяя злоумышленнику отправить ложные сообщения, такие как, de-auth фреймы, которые будут отключать соединение:
PMF (Protected Management Frame), стандарт IEEE 802.11w. Позволяет шифровать служебные сообщения (Management frame, Control frame), можно сделать это опциональным или обязательным параметром (если все клиентские устройства поддерживают PMF);
MFP (Management Frame Protection), проприетарный протокол, требует чтобы клиентское устройство было совместимо с CCXv5 (Cisco Compatible Extension). Так как CCXv5 широко распространен на клиентских устройствах, поэтому можно рассмотреть MFP к реализации;
В 802.11ac и 802.11ax шифрование служебных сообщений уже определено в самих стандартах.
Выводы: если нет возможности использовать только 802.11ac и 802.11ax, то необходима поддержка IEEE 802.11w (в опциональном режиме) или MFP (только в особенных случаях).
Коротко про Rogue AP
Будет плюсом, если система Wi-Fi будет иметь возможность детектировать сторонние точки доступа и как-то с ними бороться. Например, если злоумышленник настроит Wi-Fi с SSID идентичный вашему, то у него будет возможность перехватить пароль при попытке пользователя подключиться к сети. Базовый функционал:
Коротко про Band select
Технология Band select позволяет отключать клиента от диапазона 2.4 ГГц, если клиент поддерживает работу в диапазоне 5 ГГц. Это позволяет повысить емкость сети. Данный механизм может навредить работе Wi-Fi, но будет хорошо, если у выбранного оборудования будет такой функционал.
Коротко про Beamforming
Технология Beamforming позволяет формировать индивидуальную диаграмму направленности для конкретного клиента, тем самым улучшая радио канал. Но не стоит основательно полагаться на эту технологию, так как это только хорошее дополнение и оно не может быть учтено при радио планировании.
Как и где расположить точки доступа
Планирование (в том числе и моделирование) Wi-Fi сети может включать в себя несколько основных этапов:
Как проверить радио покрытие
Радио замеры — это не просто пройти с ноутбуком и построить тепловую диаграмму Wi-Fi. На практике встречается очень много ошибок в радио замерах, поэтому ниже приведены основные моменты, которые надо учесть до радио замеров:
Убедиться что все точки доступа работают (банально, но если какое-то количество точек будет выключено, радио замеры придется доделывать или переделывать);
Убедиться что все радио модули всех точек доступа включены;
Зафиксировать значения мощностей передачи точек доступа на момент радио замеров и убедиться что значения соответствуют требованиям (если произвести замеры на максимальных, минимальных или разных мощностях то будет сложно оценить как будет выглядеть радио покрытие после изменения настроек мощности);
Убедиться что адаптер, которым производятся замеры поддерживает все каналы Wi-Fi, которые могут быть использованы на точках доступа (иначе могут быть странные пятна на покрытии, в то время как пользователи могут быть подключены с хорошим уровнем сигнала);
Для ускорения сканирования радио эфира лучше выбрать только те каналы, которые разрешены на точках доступа (иначе придется медленно ходить, чтобы адаптер успевал перебирать все каналы);
Выключить технологию Beamforming на время радио замеров (если она используется), так как она дает не стабильный результат. Альтернативно, можно не подключаться к сети (кстати, и смартфон в кармане тоже), тогда радио замеры не будут содержать результат работы Beamforming. Но в этом случае не будет возможности проводить замеры таких параметров как delay и throughput;
Закрывать все двери во время радио замеров, так как они не радио прозрачные могут значительно влиять на результат.
Микроволновки
И напоследок, пример влияния микроволновки на скорость передачи данных по Wi-Fi.
В эксперименте выбрана микроволновка Panasonic, точка доступа Extreme Networks, ноутбук HP ProBook, анализатор спектра Chanalyzer Pro. Ноутбук расположен на столе в 1 метре от микроволновки, беспроводной адаптер ноутбука подключен к сети 2.4 ГГц. Уровень сигнала на ноутбуке от точки доступа -35 дБм.
Спектральный анализ до включения микроволновки:
Спектральный анализ после включения микроволновки:
Разница в пропускной способности сети Wi-Fi до и после включения микроволновки:
Общие вопросы настройки wi-fi
1) Мощности передатчиков Wi-Fi
В идеале, мощность передачи должна быть выставлена автоматически, но контроллер не всегда принимает правильные решения, поэтому рекомендуется ограничить выбор мощности минимальными и максимальными значениями, при этом не забывать что EIRP должен удовлетворять установленным нормам страны.
Для того чтобы не было асинхронности в канале, мощность передатчика точки доступа должна быть не выше чем мощность передатчика клиентского устройства.
Тоже самое, но на практике:
В таблице ниже приведены примерные мощности Wi-Fi для разных типов устройств
Следует учитывать уровни мощности клиентских устройств, чтобы не было ассиметрии на радио канале.
Ассиметрия = TxPower_AP – TxPower_Client – RxSens_AP – Rx_Sens_Client
Ввиду того, что чувствительность приемника на точке доступа как правило чуть выше чем у клиентского устройства, мощность передачи точки доступа может быть чуть выше, чем мощность передачи клиентского устройства, но на практике на это лучше не полагаться.
Следующий аспект выбора мощности — это EIRP (Effective Isotropic Radiated Power, (Эквивалентная изотропная излучаемая мощность)
EIRP = TxPower_AP(dB) Antenna_gain (dB)
Пример максимально разрешенных EIRP на разных каналах в диапазоне 5 ГГц в России и Великобритании:
2) Выбор каналов Wi-Fi
В диапазоне 2.4 ГГц все просто: только три не пересекающихся канала: 1, 6, 11. Ширина каналов в диапазоне 2.4 ГГц должна быть 20 МГц (если только вы не один в лесу). Выбор полосы в 40 МГц уменьшит количество не перекрываемых каналов с 3 шт до 1 шт, а так же усилит влияние от других точек доступа и итоговая скорость передачи данных может даже понизиться.
В диапазоне 5 ГГц, как правило, хватает каналов из двух диапазонов: UNII-1 и UNII-2. Если в процессе настройки или проектирования выявится потребность использования дополнительных каналов, их можно будет расширить, ссылаясь на перечень разрешенных к использованию каналов.
Ширина каналов в диапазоне 5 ГГц может быть 20/40/80 МГц. Как показывает практика, выбор 80МГц не всегда ведет к стабильной работе, поэтому выбор в пользу 40МГц наиболее оптимален. В сетях большим количеством и высокой плотностью точек доступа следует выбирать ширину канала 20 МГц.
3) Отключение низких скоростей или Optimized roaming
Ниже приведена наиболее общая рекомендация по отключению низких скоростей. Рекомендуется делать по-другому только в случае специфичных клиентских устройств.
4) Роуминг
Для комфортного восприятия голоса необходимо чтобы delay был не более 200мс, а packet loss не более 2%, поэтому роуминг наиболее критичен для разговоров или видео связи.
FT (Fast BSS Transition), стандарт IEEE 802.11r, позволяет создавать пре-аутентификацию с точками доступа заранее, что может сократить время роуминга с 700 мс до 50-100 мс. Рекомендуется включить в адаптивном режиме для совместимости с беспроводными устройствами, которые не поддерживают данный стандарт;
Radio Resource Management, стандарт IEEE 802.11k, позволяет точкам доступа выполнять определение состояния радиоэфира и передавать эти данные беспроводным устройствам. Стандарт IEEE 802.11k не рекомендуется включать без явной надобности, т.к. фреймы с данными IEEE 802.11k могут не поддерживаться клиентскими устройствами и вызвать отключение устройства от БЛВС. Применение стандарта возможно только после тестирования технологии на всех типах беспроводных устройств;
Стандарт IEEE 802.11v делится на два компонента. Первый компонент стандарта позволяет установить повышенный тайм-аут для клиента, не требуя от него частых сообщений keep-alive, что экономит энергию. Второй компонент стандарта описывает процедуру перехода клиентского устройства на смежный диапазон после получения информации от точки доступа. Рекомендуется включить первый компонент (в ключе сохранения энергии). Применение второго компонента не требуется и возможно только после тестирования технологии на всех типах беспроводных устройств;
Optimized roaming. Для принудительного переключения беспроводных клиентов на ближайшую точку доступа и решения проблемы “sticky-client” требуется выключить низкие скорости соединения (было описано выше).
5) Beamforming
Если оборудование поддерживает технологию beamforming, то ее можно включить, но не стоит забывать, что одно из условий корректной работы технологии beamforming на точках доступа с внешними антеннамми — это корректное расположение антенн в пространстве, они должны быть расположены в одинаковом направлении, а не так как показано на маркетинговых слайдах.
6) 802.11e (WMM – Wireless Multimedia)
Особенность Wi-Fi — это наличие общей среды передачи данных для всех устройств. Так называемый Air-Time является ограниченным и общим ресурсом для всех участников сети Wi-Fi. SCMA/CD заменяется на SCMA/CA. Какое из устройств Wi-Fi на рисунке ниже первым получит доступ к среде?
Стандартом 802.11e предусмотрены разные окна ожидания (contention windows) для разных категорий доступа. Чем меньше окно ожидания, тем больше шансов получить первым доступ к среде передачи. Есть три режима WMM:
7) Пример таблицы параметров SSID
Настройки всех SSID удобно свести в одну таблицу, например:
Точки доступа
Звездный бульвар, дом 19к1Москва, Россия
7 (495) 974-3333[email protected]ВконтактеYoutube
Юридические моменты
Чтобы однажды не было мучительно больно, лучше сразу изучить что разрешено, что запрещено, а для чего требуется согласование. Вот что надо узнать из законодательства той страны, где планируется развернуть Wi-Fi:
Разрешенные для использования каналы;
Разрешенные мощности точек доступа Wi-Fi, а вернее, максимально разрешенные EIRP (сумма мощности передатчика и коэффициента усиления антенны);
Возможность использование диапазона 5 ГГц на улице или необходимость получения согласования (конечно, только если требуется уличный Wi-Fi).