Implementace systému ISPadmin

Zde naleznete všechny návody nutné k tomu, abyste zavedli systém ISPadmin do Vaší firmy. Projděte je krok po kroku. Zároveň ve spodní části stránky naleznete související užitečné odkazy.

Pro provoz aplikace ISPadmin je vyžadován dedikovaný server, popř. je možné využít jednu z podporovaných virtualních platforem (VMWARE, Proxmox). Hardwarové nároky se mohou lišit podle počtu spravovaných klientů, množství podporovaných routerů a zařízení.
Doporučujeme použit kvalitní hardware s touto doporučenou konfigurací:

Doporučené konfigurace 1 000 klientů a 100 routerů 5 000 klientů 10 000 klientů
Procesor 2GHz a více, 64bit architektura vyžadována!, doporučujeme: dvou-/čtyř- či více-jádrový Xeon Xeon 6 core (celkem 12 jader) 2 Xeon Core (celkem 24 jader)
Operační paměť 4 GB RAM a více 32 GB RAM
Pevné disky 2x 250GB a více (SATA nebo lépe SAS) v RAID1 pro systém, 1x 500GB (lépe 1000GB) pro modul NETflow
Pokud je to možné, použijte jako RAID hardwarový řadič. V jiném případě jsme schopni nastavit při instalaci softwarový raid (pozor - přes instalační utilitu nelze vytvařet softwarovy RAID). Velikost systému i po pěti letech provozu obvykle nepřesahuje 35GB + data záloh systému. Objem dat pro NetFlow se při provozu 200 Mbit/s pohybuje okolo 1,5 GB denně, což je pro 180 dní (půl roku) orientačně 300 GB.
SAS HDD (ideálně 15k RPM), Velikost minimálně 2x 300GB prostor na samotný systém a databázi a dále 2x 600GB na ukládaná data. Vhodné zvážit i nasazení SSD disků vzhledem k rychlosti čtení a zápisu. 
CD-ROM Mechanika je nutná pouze při instalaci systému a v případě závažné opravy systému. Lze tedy použít i externí CD-ROM.
COM port Pokud máte v plánu připojit k serveru svoji vlastní SMS bránu a prostřednictvím ní odesílat upomínky uživatelům, plány technikům, zprávy z Nagiosu o výpadcích zařízení atd., doporučujeme zakoupit server s tímto portem. Telefon/SMS brána se sice dá připojit i přes USB, ale instalace je problematičtější a ne vždy se podaří zařízení zprovoznit. Jistým řešením chybějícího COM portu je i přídavná rozšiřující karta s COM porty. V tom případě je ale nutné si před koupí zjistit, zda je konkrétní typ podporován Linuxem (zda jsou pro něj dostupné ovladače).
Dalším řešením je využití protokolu SMPP pro napojení odesílání SMS přes bránu připojenou v síti a používající TCP/IP protokol.

Poznámka

V případě instalace do virtuálního prostředí, kde na stejném HW je instalováno více aplikací / systémů, je zapotřebí brát v potaz, že veškeré operace v rámci jednotlivých instalací sdílejí stejné HDD a mohou vytěžovat HDD vzhledem k IOPS, které jsou disky schopné zvládnout. Neúměrným vytěžováním IOPS na HDD může být ovlivněna i samotná provozní rychlost systému ISPadmin. Doporučujeme tedy dostatečně dimenzovaný HW případně dedikované HW řešení pouze pro provoz ISPadmin. Pro vyšší počet klientů doporučujeme i oddělení databáze na samostatný HW. V případě požadavku na zjištění HW požadavků pro konkrétní počet klientů, nás prosím kontaktujte na Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript..


alert icon Pro případ výpadku elektrického napětí je vhodné připojit server na záložní zdroj UPS, protože při náhlém vypnutí systému by mohlo dojít k poškození systému či databáze.

Občas se vyskytne problém s ovladači hw raidů nebo síťových karet. I při pořízení nepodporovaného serveru lze však většinu problémů řešit dodatečně (patch jádra, kompilace ovladače nebo nakopírování instalačního archívu přes Internet atd.).

icon info2 Instalaci systému ISPadmin je také možno hostovat přímo naší firmou bez potřeby pořizovat nákladný hardware. V tomto případě je garantována stoprocentní dostupnost a bezpečnost Vašich dat. Dále je také poskytována neomezená technická podpora.

 

Existuje několik způsobů, jak provést instalaci systému ISPadmin. Každý může zvolit ten způsob, který mu nejvíce vyhovuje. Instalaci můžete provést zcela sami a na vlastním hardware nebo naopak celý systém bez námahy hostovat v našem datacentru a nechat všechny starosti na nás.

 

Hostovaná instalace
  • Nejsnadnější způsob získání a provozování systému ISPadmin
  • Instalace je plně v naší správě
  • Provoz na špičkových serverech v profesionálním data centru
  • Pravidelné systémové aktualizace jsou po celou dobu pronájmu poskytovány v rámci měsíčního paušálního poplatku za provoz
  • Komunikace je zajištěna přes VPN tunel (PPTP) přímo do Vaší sítě
  • Bližší informace, ceny a možnosti nasazení: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript., www.ispadmin.eu
Lokální instalace Pro provedení lokální instalace jsou potřeba alespoň základní znalosti linuxového systému, proto tento způsob instalace doporučujeme zkušenějším uživatelům. V opačném případě raději zvolte vzdálenou instalaci. 

Vzdálená instalace Tento návod je určen uživatelům, kteří nemají odpovídající znalosti linuxových systémů potřebné k samostatné lokální instalaci nebo těm, kteří nemají dostatek času na provedení samostatné instalace. Následující postup Vám ukáže, jak nastavit instalaci tak, aby ji mohla vzdáleně provést naše technická podpora.

Instalace na virtuální stroj Z naší strany je podporován VMware, HyperV a další. V tomto případě je však technické řešení a s tím spojená odpovědnost za provoz virtuálního stroje na Vás.

 

Po dokončení základní instalace je potřeba si zvolit symbolické DNS adresy pro přístup do administrátorského webového rozhraní a do portálu klienta. Vybraná jména musí být domény minimálně třetího řádu.
Inspirovat se můžete následujícími příklady:

 

  • Administrátorské rozhraní: ispadmin.vasefirma.cz, admin.vasefirma.cz, sprava.vasefirma.cz…
  • Klientský portál: klient.vasefirma.cz, zakaznik.vasefirma.cz, portal.vasefirma.cz, support.vasefirma.cz…

 

Pro zvolené symbolické adresy musí být vytvořeny dva DNS záznamy směřující na IP adresu instalovaného serveru ISPadmin. Tyto záznamy většinou musí na Vaši žádost nastavit Váš poskytovatel konektivity nebo si je můžete prostřednictvím nějakého svého účtu u poskytovatele nastavit sami (postup se liší od poskytovatele).

Pokud vytvořené DNS záznamy správně ukazují na Váš server, otestujte záznamy příkazem ping. Poté můžete opět pokračovat v konfiguraci systému.

 

ping admin.vasefirma.cz

 

Příkaz PING na vasefirma.cz [81.0.237.137] - 32 bajtů dat:
...
Statistika ping pro 81.0.237.137:
Pakety: Odeslané = 4, Přijaté = 4, Ztracené = 0 (ztráta 0%)

 

Pro naše účely předpokládejme, že IP adresa serveru je 10.0.0.1 přenatovaná na veřejnou IP 81.0.237.137. DNS záznamy tedy ukazují na IP 81.0.237.137 a server má nastavenou IP adresu 10.0.0.1

 

Do souboru /etc/hostname zadejte jméno serveru: admin

 

pico -w /etc/hostname

 

Do souboru /etc/hosts zapište IP adresu a hostname ve tvaru: 10.0.0.1 admin.vasefirma.cz klient.vasefirma.cz admin klient

 

pico -w /etc/hosts

 

V souboru /etc/apache2/httpd.conf upravíme označené adresy tak, aby soubor vypadal následovně:

 

pico -w /etc/apache2/httpd.conf

 

#Listen 81 ### zakomentujeme na začátku port 81
#Listen 82
#Listen 84

options FollowSymLinks

#NameVirtualHost 10.0.0.1:80 ### upravíme adresu pro virtuální hosty pro příslušné porty
#NameVirtualHost 10.0.0.1:443

### ISP Admin
<VirtualHost *:80> ### upravíme doménové jméno pro nezabezpečený přístup
ServerName admin.vasefirma.cz
DocumentRoot "/data/support_nossl/"
</VirtualHost>

## ISP Admin SSL
<VirtualHost *:443>
ServerName admin.vasefirma.cz
DocumentRoot "/data/support/ispadmin/"
AddDefaultCharset UTF-8
<Directory /data/support/ispadmin/>
Options ExecCGI
AllowOverride All
</Directory>
CustomLog /var/log/apache2/access_support_ispadmin.log combined
AddType application/x-httpd-php .php .php3 .php4
php_admin_value open_basedir "/data/support/:/tmp/:/data/:/usr/local/script/ispadmin/:/data/backup/"
php_admin_value include_path ".:/usr/local/lib/php/:/tmp/:/data/support/:/usr/local/script/ispadmin/"
php_admin_value disable_functions "openlog, exec, passthru, proc_open, proc_close, shell_exec"
php_admin_value display_errors "On"
php_admin_value safe_mode "Off"
php_admin_value safe_mode_exec_dir "/usr/local/script/ispadmin/"
php_admin_value safe_mode_allowed_env_vars none
php_admin_value safe_mode_include_dir ".:/usr/local/lib/php/:/tmp/:/data/support/:/usr/local/script/ispadmin/" php_admin_value register_globals "On"
php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript."

SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/httpd/conf/cert/server.crt
SSLCertificateKeyFile /etc/httpd/conf/cert/server.key
SSLCertificateChainFile /etc/httpd/conf/cert/ca.crt
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
</VirtualHost>

#### ISP Admin support
#<VirtualHost 192.168.1.100:80>
# DocumentRoot "/data/support_nossl/"
#</VirtualHost>

## ISP Admin support SSL
<VirtualHost *:80>
ServerName klient.vasefirma.cz
DocumentRoot "/data/support/ispadmin/new/www/clientinterface/"
AddDefaultCharset UTF-8
<Directory /data/support/ispadmin/new/www/clientinterface/>
Options ExecCGI
AllowOverride All
</Directory>
CustomLog /var/log/apache2/access_support_ispadmin_support.log combined
AddType application/x-httpd-php .php .php3 .php4
php_admin_value open_basedir "/data/support/ispadmin/:/tmp/:/usr/local/script/ispadmin/"
php_admin_value include_path ".:/usr/local/lib/php/"
php_admin_value disable_functions "openlog, exec, passthru, proc_open, proc_close, shell_exec"
php_admin_value display_errors "On"
php_admin_value safe_mode "Off"
php_admin_value register_globals "On"

# SSLEngine on
# SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
# SSLCertificateFile /etc/httpd/conf/cert/server.crt
# SSLCertificateKeyFile /etc/httpd/conf/cert/server.key
# SSLCertificateChainFile /etc/httpd/conf/cert/ca.crt
# SetEnvIf User-Agent ".*MSIE.*" \
# nokeepalive ssl-unclean-shutdown \
# downgrade-1.0 force-response-1.0
</VirtualHost>

<Directory /data/support/>
Options ExecCGI FollowSymLinks
AllowOverride None
</Directory>

<Directory /data/support/ispadmin/new/www/clientinterface/>
Options ExecCGI
AllowOverride All
</Directory>

include /usr/local/script/ispadmin/apache_ispadmin_vhost.conf

Další kroky, které je potřeba učinit:

Důrazně doporučujeme dodržovat zádady tzv. silných hesel. Tímto způsobem značně omezíte možnost kompromitování (hacknutí) systému, databáze i samotné aplikace.

alert icon V žádném případě neprovozujte ISPadmin s výchozími hesly, které obsahovala čistá instalace!

Jeden příklad: Dejme tomu, že byste chtěli nějaké snadno zapamatovatelné heslo, které ovšem vyhovuje požadavkům na silné heslo: obsahuje velká i malá písmena, čísla a speciální znaky a je dlouhé alespoň 8 znaků.

 

Slabé heslo: frantavomacka

 

Transformace slabého hesla na silné:

 

1) Místo některých malých písmen dáte velká písmena - tím splníte podmínku o velkých a malých písmenech.
2) Místo písmene "o" dáte číslovku "0", místo písmene "i" nebo "l" dáte číslovku "1" nebo na konec hesla dopíšete několik čísel - tím splníte podmínku o číslovkách v hesle.
3) Místo písmene "a" dáte speciální znak zavináč "@" nebo mezi slovy frantavomacka použitete znak podržítko "_" - tím splníte podmínku o speciálních znacích v hesle.

 

Silné heslo: Fr@nta_V0macka957

 

Přenastavte výchozí hesla do SQL databáze na svá vlastní hesla, nápovědu zobrazíte příkazem:

 

/usr/local/script/ispadmin/ispadmin_change_pass.pl

 

Změna defaultního hesla uživatele SQL DB "ispadmin":

 

/usr/local/script/ispadmin/ispadmin_change_pass.pl ispadmin ispadmin nove_heslo

 

Změna defaultního hesla administrátora SQL DB "root":

 

/usr/local/script/ispadmin/ispadmin_change_pass.pl mysql_root ispadmin nove_heslo

 

Také změňte heslo uživateli root pro přístup do systému Linux přes SSH:

 

passwd root

 

Změny hesla se nemusíte bát. Pokud by se stalo to, že si heslo změníte a nebudete vědět jaké tam máte nastavené, kontaktujte naši technickou podporu. Systém není nutné kvůli tomu reinstalovat.

Nyní opět proveďte restart serveru příkazem reboot, aby se v systému projevily všechny změny:

 

reboot

 

Po restartu systému se přihlašte ještě pomocí výchozích údajů (uživatel: admin, heslo: ispadmin) do webového rozhraní a změňte heslo správce systému “admin” v záložce Nastavení Administrátoři Administrátoři na nějaké vlastní, více bezpečné (dle zásad tvorby silných hesel).

Pro plnohodnotné používání systému ISPadmin je potřeba zakoupit a posléze oživit licenci na určitý počet klientů.

Pokud již máte Vaši instalaci správně nakonfigurovanou, v příkazové řádce spusťte příkaz pro update na poslední verzi systému ISPadmin.

Abyste předešli útokům na server a jeho následnému zneužití, je nutné nastavit přímo v ISPadminovi firewall. Pokud si přejete přistupovat na server vzdáleně, bude potřeba nadefinovat příslušná pravidla firewallu pro povolení komunikace přes ssh a další protokoly jen z opravdu nezbytně nutných IP adres(sítí). Toto provedete přes webové rozhraní administrace systému v záložce Nastavení Systémové nastavení Zabezpečení, kde SSH přístup povolíte jen pro administrátorské stanice nebo přímo jen pro celou Vaši síť.

Zásadní věc, která bezesporu patří mezi první kroky při nasazení systému, je zálohování. Je důležité si uvědomit, že celý business Vaší ISP firmy bude nyní velmi závislý na dostupnosti systému ISPadmin. Obnovení systému ze zálohy je možné provést v řádech desítek minut, což je pro firmu zajištující konektivitu stovkám domácností a desítkám firem v případě nenadálého selhání systému zcela zásadní.
Zkrátka zálohy jsou naprostý základ pro úspěšné provozování jakéhokoliv systému takového rozsahu jako je ISPadmin, proto zálohování nepodceňujte.

 

Po instalaci systému můžete přistoupit k implementaci systému ISPadmin do Vaší sítě. Zavádění našeho řídícího systému obvykle probíhá poměrně plynule a ve většině případů může běžet paralelně s postupnou odstávkou předchozího řešení.

V žádném případě se tedy nejedná o žádnou "Start-Stop" akci v průběhu jednoho odpoledne, což by mohlo mít i fatální dopady na funkčnost celé sítě. Proto doporučujeme pozvolnou aktivaci zadaných routerů způsobem, kdy postupujete od nejvzdálenějších bodů sítě směrem ke středu sítě či páteři. Takto tedy můžete ve starém systému odpojit pouze malý počet klientů, které poté jedním kliknutím připojíte. Přepnutím routeru z pasivního do aktivního režimu se propíší potřebná pravidla do jeho konfigurace a klienti budou vzápětí opět připojeni.

Kvalitní přípravou na takto zásadní změnu systému předejdete budoucím obtížím a značně snížíte výskyt obvyklých problémů při zavádění systému ISPadmin do Vaší sítě. Zároveň je ale potřeba také upozornit, že integrace takto rozsáhlého systému do sítě ISP může být značně individuální. Je tedy vhodné předem se připravit na možné komplikace a vyčlenit si pracovní síly na jejich řešení alespoň v prvních dnech integrace systému do Vaší sítě.

Následující postup by Vám měl usnadnit práci při nasazení nového řešení tak, aby byl přechod na nový systém pokud možno bezproblémový. Projděte tedy záložky systému ISPadmin podle následujících bodů v tomto článku:

 

Administrátorské účty

Prvním krokem na čisté instalaci je vytvoření administrátorských účtů, pod kterými se budou jednotliví zaměstnanci přihlašovat do systému. Je doporučeno vytvořit několik administrátorských účtů s rozdílným oprávněním k přístupu do administrace systému.

Přidávání a správa administrátorských účtů se provádí v Nastavení Administrátoři. Doporučujeme vytvořit několik administrátorských účtů s rozdílným oprávněním k přístupu do ISPadmin.
Správné zadání a používání administrátorských účtů je důležité zejména pro logování akcí v historii změn, do které můžete nahlížet prostřednictvím menu Karta klienta / Historie pro jednotlivé kontakty anebo globálně v Statistiky Historie.

 

Změna výchozích emailových adres

Abyste byli správně informováni o tom, co se v ISPadmin děje, nastavte si emailové adresy podle Vás:

  • Nastavení Systémové nastavení Obecné, ID: admin_email, checklimit_mail_copy, checklimit_mail_from, sms_notify_inbox_mail, system_mail, user_ending_contract_email
  • Nastavení Systémové nastavení Plánování, ID: planning_email_from
  • Nastavení Systémové nastavení Portál klienta, ID: ci_auth_requests_forwarding_email

 

routery

 

Číselníky související s routery

Nejprve je nutné nastavit číselníky související s routery:

 

Zadání routerů

Routery zadávejte v Hardware Routery Všechny a to vždy v režimu monitorování. Správná funkce routeru je podmíněna korektním přihlášením do služeb routeru (SNMP, SSH, API), je proto vhodné ověřit spojení na router. Dále je pro zajištění správné komunikace mezi routerem a ISPadmin nutné přidělit v Mikrotiku FULL práva uživateli, prostřednictvím kterého se bude ISPadmin k routeru připojovat.

 

IP rozsahy

Aby bylo na router možné připojovat klienty, je nutné mít vydefinované IP rozsahy. V nastavení Routované sítě daného routeru jsou vyčteny sítě, které tento router směruje.

 

Klienti, služby

Před zadáváním klientů je potřeba nastavit související číselníky: Typy služeb, Tarify, Skupiny klientů, Stavy klientů, Fakturační skupiny.

Přidejte klienty (návod zde) a přidělte jim službu (-y) (návod zde).

icon info2 Klienty můžete také hromadně importovat ze starého systému.

Jakmile budete mít routery nastavené, můžete přepnout router z režimu monitorování do normálního a teprve nyní začne ISPadmin propisovat nastavení do konfigurace routerboardu. Doporučujeme pozvolnou aktivaci zadaných routerů způsobem, kdy postupujete od nejvzdálenějších bodů sítě směrem ke středu sítě či páteři. Takto tedy můžete ve starém systému odpojit pouze malý počet klientů, které poté jedním kliknutím připojíte. Přepnutím routeru z pasivního do aktivního režimu se propíší potřebná pravidla do jeho konfigurace a klienti budou v zápětí opět připojeni.

alert icon Pokud má router nastaveno   Aplikovat pravidla firewallu, do konfigurace se propíší všichni klienti zadaní přes systém ISPadmin a celý rozsah se na konci dropne. Tím je zajištěno, že se na tento router nepřipojí "černé duše". Pokud si však přejete přidávat klienty do ISPadmin na router postupně ze starého systému, musíte tuto aplikaci pravidel firewallu dočasně vyřadit, jinak by Vám systém původní klienty "odstřihnul".

 

ÚVOD do fakturace

Fakturace je důležitou funkcí systému ISPadmin. Proto doporučujeme pročíst si úvod do fakturace a postupně se seznamovat s její funkčností.

 

icon info2 Užitečné

Mikrotik shaping Migrace systému Update Linuxu
Nastavení SMS brány Nastavení Google Maps Nastavení SNMP šablon
Dostupná rozšíření a moduly:    
Klientský portál Radius NETflow
Dealer CMTS Task Manager

KONTAKT

NET service solution, s.r.o.
Žerotínova 3056/81a
787 01 Šumperk
Česká republika