Das vollständige Betreiberhandbuch — von der ersten Installation bis zum täglichen Betrieb.
25 Themen8 AbschnitteEin-Befehl-Installation
Schnellinstallation
In Minuten online, mit einem Befehl.
Führen Sie eine einzige Zeile auf einem frischen Ubuntu- oder Debian-Server aus — der Bootstrapper
holt das neueste Release und installiert den gesamten SAMM-Stack für Sie.
SAMM — S ecuryTik A ctive M ikrotik M anager – ist eine vollständige ISP-Verwaltungsplattform für MikroTik PPPoE
& Hotspot-Netzwerke. Ein Installationsprogramm verwandelt einen nackten Linux -Server in einen vollständigen AAA.
Abrechnungs- und Abonnentenverwaltungssystem.
Für wen SAMM gedacht ist
SAMM wurde für Mobilfunk-ISPs, Glasfaserbetreiber und Hotspot-Anbieter entwickelt MikroTik RouterOS . Wenn Sie Abonnenten über PPPoE oder Hotspot authentifizieren und dies benötigen
Erzwingen Sie Geschwindigkeitsstufen, Datenobergrenzen, Ablaufdaten und Abrechnung – SAMM erledigt alles von dort aus
ein Bildschirm.
So funktioniert es
SAMM hält den Hot-Pfad nahe an der Datenbank. FreeRADIUS behandelt alle
Authentifizierungs- und Abrechnungspaket; bei jedem Buchhaltungs-Interim-Update, das es abruft
PostgreSQL-Funktionen dienen direkt dazu, die Nutzung zu akkumulieren und Grenzwerte auszuwerten – es gibt keine
Python-Roundtrip, während Abonnenten online sind.
Vier Ausführungsebenen arbeiten über eine einzige Datenbank zusammen:
FreeRADIUS (unlang + rlm_sql) — authenticates
every packet; on each Interim-Update it accumulates bytes/uptime and evaluates limits inside Postgres.
samm-radius — runs time-driven sweeps (expiry, daily reset, speed
windows) and is the only process that sends Change-of-Authorization packets.
samm-worker — pings routers and syncs MikroTik device metadata over the API.
samm-api — the admin & customer portals; admin actions are queued
to the database and applied by samm-radius, never sent as CoAs directly.
Die fünf Dienste
Dienst
Rolle
samm-api
Admin-Portal + Kunden-Self-Service-Portal + REST API
samm-radius
Leert den CoA-Postausgang; führt Ablauf-/Tagesreset-/Geschwindigkeitsfenster-Sweeps durch
samm-worker
Pingt Router; synchronisiert MikroTik-Gerätemetadaten über die API
samm-notification
Liefert E-Mail- & Telegram-Benachrichtigungen über eine gedrosselte Warteschlange
samm-telegram
Führt den interaktiven Telegram-Self-Service-Bot aus
Eingebautes WireGuard-VPN, Cloudflare-Tunnel, sechs Sprachen, anpassbare Benutzeroberfläche.
Benachrichtigungen
Verlängerungs-, Ablauf-, Kontingent- und Quittungswarnungen per E-Mail und Telegram.
Der Rest dieses Handbuchs ist eine Anleitung für jeden dieser Bereiche. Nutzen Sie das Menü
links oder beginnen Sie mit Installation.
Erste Schritte
Installation
SAMM installiert alles, was es braucht – FreeRADIUS , PostgreSQL, nginx, WireGuard ,
cloudflared und die fünf SAMM -Dienste – in einem Schritt. Das Installationsprogramm ist idempotent : Durch erneutes Ausführen wird eine vorhandene Installation aktualisiert und
Überschreibt niemals Ihre Konfiguration oder generiert Ihr Datenbankkennwort neu.
SAMM läuft überall – wählen Sie den Installationspfad, der zu Ihrem Netzwerk passt:
Option A/B – Bare- Linux -Server (empfohlen für die Produktion): Ein-Befehl oder manuelle Installation auf Ubuntu /Debian.
Option C – Docker Compose: dasselbe SAMM wie Container; Multi-Arch (amd64 + arm64), sodass es überall auf Ubuntu , Windows Docker Desktops, Apple -Silicon-Macs läuft.
Option D – MikroTik RouterOS 7 Container: Fügen Sie die Compose-YAML direkt in Ihren Router ein. Keine externe Linux -Box erforderlich.
Voraussetzungen
Ein frischer Server: Ubuntu 22.04 LTS, Ubuntu 24.04 LTS oder Debian 12.
Nur Server-Linux — Desktop-Varianten werden nicht unterstützt.
Root-/sudo-Zugriff und eine Internetverbindung.
systemd und ein Host, auf dem PostgreSQL lokal installiert werden kann (eine Instanz wird für Sie eingerichtet).
Dieses Bootstrap-Skript lädt das neueste SAMM-Release-Paket von GitHub herunter, entpackt es
und führt das vollständige Installationsprogramm automatisch aus. In wenigen Minuten erledigt.
Option B — manuelle Installation aus einem Release-Paket
Laden Sie die neueste samm-<version>.tar.gz von der
GitHub-Releases-Seite herunter,
dann auf dem Server:
tar -xzf samm-<version>.tar.gz
cd samm-<version>
sudo bash install.sh
Sie können auch aus einer auf einem anderen Rechner erzeugten Zip-Datei deployen — das Installationsprogramm
rsynct die Quelle selbst nach /opt/samm:
Ändern Sie das Admin-Passwort sofort nach Ihrer ersten Anmeldung.
Option C – Installation mit Docker Compose
Wenn Sie SAMM lieber als Container ausführen möchten – dasselbe Produkt, anders verpackt –
Verwenden Sie die Docker Compose-Distribution unter github.com/mhdhaidarah/samm-docker .
Auf jedem Host mit Docker verfügbar:
Dadurch wird Docker installiert, falls es fehlt, und ein docker-compose.yml + .env wird abgelegt.
in /opt/samm-docker/ und startet den Stack. Das Bild mhdhaidarah/samm wird aus demselben kompilierten Bundle wie die Bare-OS-Installation erstellt – Closed-Source-Konstruktion.
Multi-Arch seit Version 2.2.6 – das gleiche Tag wird für linux/amd64 und linux/arm64 ausgeliefert. docker pull wählt transparent die richtige Variante aus, sodass der Installationspfad auf einem 64-Bit-Intel/AMD-Server, einem Apple -Silicon-Mac mit Docker Desktop oder einem ARM- MikroTik -Gerät (RB5009, hAP ax², CCR2004/2116/2216) mit der Containerfunktion von RouterOS 7 identisch ist.
Auf Hosts, auf denen das Weiterleiten von curl an bash nicht zulässig ist (gesperrte Boxen,
strenge Egress-Richtlinien), können Sie die betriebsbereite Compose-Datei direkt abrufen:
git clone https://github.com/mhdhaidarah/samm-docker.git
cd samm-docker
cp .env.example .env
$EDITOR .env # set POSTGRES_PASSWORD and SAMM_PUBLIC_HOST
docker compose up -d
Einige Funktionen sind noch nicht in der Docker -Variante enthalten (gestufte Lizenzsperre, dynamisches FreeRADIUS -Neuladen).
Die integrierten Admin-Seiten WireGuard und Cloudflare Tunnel sind in der Docker -Variante absichtlich ausgeblendet – sie verwalten systemd-Dienste auf Hostebene, die nicht aus dem Container heraus erreichbar sind. Wählen Sie oben Option A oder B aus, wenn Sie diese integriert benötigen, oder führen Sie cloudflared / wg-quick auf dem Docker -Host direkt neben SAMM aus. Siehe die Docker Variant's README für die vollständigen v1-Vorbehalte und den manuellen Installationspfad.
Unter Windows ( Docker Desktop) – nur zur Evaluierung
Nicht für die Produktion empfohlen. Windows-Ruhezustand/Ruhezustand/Deckel schließen
stoppt die Behälter; boot-restart wird nur ausgelöst, wenn WSL startet (nicht beim Windows-Start); die
Der Cron für die tägliche automatische Aktualisierung wird nur ausgeführt, solange die WSL aktiv ist. Nutzen Sie es dann zur Evaluierung/Demo
Stellen Sie die Produktion auf einer Linux VM (Hyper-V, Proxmox, ESXi) oder einer kleinen physischen Box (z. B. einem
NUC, auf dem Ubuntu Server ausgeführt wird).
Installieren Docker Desktop für Windows (ermöglicht die Einrichtung des WSL2-Backends beim ersten Start).
Dann greifen Sie aus PowerShell – kein WSL-Terminal erforderlich – auf das Compose-Bundle und starten Sie den Stack:
mkdir C:\samm-docker
cd C:\samm-docker
curl.exe -fLO https://github.com/mhdhaidarah/samm-docker/releases/latest/download/docker-compose.yml
curl.exe -fLO https://github.com/mhdhaidarah/samm-docker/releases/latest/download/env.example
copy env.example .env
notepad .env # set POSTGRES_PASSWORD and SAMM_PUBLIC_HOST (your Windows LAN IPv4)
docker compose pull
docker compose up -d
Beobachten Sie den Start des Stacks in Docker Desktop → Container — die Gruppe samm entfaltet sich in 7 Dienste. Sobald alle grün sind, öffnen Sie das Admin-Portal und melden Sie sich mit diesen Zugangsdaten an:
Entfernen: docker compose down -v aus dem Installationsverzeichnis
(das -v löscht das Postgres-Volume und den Fernet-Schlüssel – sichern Sie sie zuerst, wenn Sie Daten hinzugefügt haben).
Option D – Installation auf einem MikroTik -Router ( RouterOS 7)
Gleiches SAMM , kein Linux -Feld erforderlich. Wenn Ihr MikroTik -Gerät das -Container- -Paket unterstützt und über ein USB-Laufwerk oder eine microSD-Karte verfügt, können Sie den gesamten Stapel direkt auf dem Router ausführen. Das Image wird mit mehreren Archen geliefert ( linux/amd64 + linux/arm64 ), sodass Geräte wie RB5009, hAP ax², CCR2004/2116/2216 die richtige Variante transparent abrufen.
Unterstützt: arm64 MikroTik – RB5009, hAP ax², CCR2004-1G-12S+2XS, CCR2116, CCR2216. amd64-SKUs – CCR2004-1G-2XS-PCIe (amd64), x86 RouterOS , CHR auf amd64-Hypervisoren. Nicht unterstützt: armv7-/mipsbe-/smips-/tile-/ppc-Geräte (hEX, RB750, ältere RB-Modelle) – keine Containerunterstützung oder zu wenig RAM/CPU für den Stack von SAMM .
1. Bereiten Sie den Router vor
Installieren Sie das Paket Container (von extra_packages.zip auf mikrotik.com/download – laden Sie das passende Container-*.npk über Dateien hoch und starten Sie es dann neu). Aktivieren Sie dann den Containermodus (einmalig, erfordert einen Neustart):
2. Formatieren und mounten Sie die Festplatte (ext4)
Stecken Sie ein USB-Laufwerk oder eine microSD-Karte ein (≥ 8 GB empfohlen – Postgres + Bildebenen summieren sich). Auf dem Router:
/disk print
# note the disk slot, e.g. "usb1-part1" or "disk1"
/disk format-drive usb1-part1 file-system=ext4 label=samm
Überprüfen Sie nach der Formatierung, ob die Festplatte bereitgestellt und beschreibbar ist:
/disk print detail
# look for "type=ext4" and a mount point like "/usb1-part1"
3. Fügen Sie die Compose-YAML in die Container-App ein
Öffnen Sie in WebFig oder WinBox Container → Apps → + Neu → YAML . Fügen Sie die unten stehende Compose-Datei in das YAML-Feld ein, legen Sie die Festplatte, die Sie in Schritt 2 formatiert haben, als Speicherort fest und senden Sie sie ab. RouterOS ruft jedes Bild ab und verbindet die Dienste für Sie.
Ersetzen Sie vor dem Einfügen von jeden change-me-strong-random-string durch das GLEICHE starke Zufallspasswort (≥ 24 zufällige Zeichen) – es geht beim ersten Start in Postgres und jeder SAMM -Dienst verwendet es zum Herstellen einer Verbindung. Erstellen Sie eines mit einem Passwort-Manager oder führen Sie pwgen 32 1 auf einer beliebigen Linux -Box aus.
4. Überprüfen und verbinden Sie MikroTik mit SAMM
Sobald alle 7 Container laufen, öffnen Sie das Admin-Portal in einem Browser und melden Sie sich mit diesen Zugangsdaten an:
Ändern Sie das Admin-Passwort sofort. RADIUS-Authentifizierung + Accounting werden auf UDP 1812 + 1813 auf dem Router selbst bereitgestellt, sodass der MikroTik-RADIUS-Client auf 127.0.0.1 mit dem in System → RADIUS festgelegten gemeinsamen Geheimnis verweisen kann.
Experimentell in Version 1. Die Containerfunktion von RouterOS ist schlanker als die von Docker Compose – Dienstnamen-DNS, Abhängigkeitsreihenfolge ( depend_on ) und Live-Neustarts verhalten sich anders. Wenn sich der Stack auf Ihrer Hardware nicht richtig verhält, greifen Sie auf die Ausführung von Docker auf einer kleinen Linux -Box (NUC, Pi 4, Linux VM) neben MikroTik zurück. Dort funktioniert dieselbe Compose-Datei mit vollständiger Compose-Semantik.
Nicht-interaktive Optionen
Alle Eingabeaufforderungen können mit Umgebungsvariablen vorab beantwortet werden, sodass das Installationsprogramm
unbeaufsichtigt laufen kann:
Variable
Wirkung
DB_PASS
Dieses Datenbankpasswort anstelle eines automatisch generierten verwenden (nur bei Erstinstallation)
CF_TOKEN
Cloudflare-Tunnel-Connector mit diesem Zero-Trust-Token installieren
SAMM_HTTP_PORT
nginx-Lauschport erzwingen (überspringt die Port-80-Erkennungsaufforderung)
SAMM_VERBOSE
1 streamt rohe Befehlsausgabe anstelle des Fortschrittsbalkens
Das Installationsprogramm wird als farbige Live-Fortschrittsanzeige ausgeführt – ein Prozentbalken und ein
Checkliste pro Phase. Die Rohausgabe jeder Phase wird erfasst /var/log/samm-install.log ; Bei einem Fehler werden die letzten 30 Zeilen gedruckt.
Komponente
Details
FreeRADIUS 3
Mit PostgreSQL-Backend und dynamischen NAS-Clients konfiguriert; validiert mit freeradius -CX
PostgreSQL
Datenbank, Schema und alle SQL-Migrationen angewendet — jede Migrationsdatei ist idempotent
Python venv
Alle Abhängigkeiten aus requirements.txt erstellt; Übersetzungskataloge kompiliert
nginx
Reverse-Proxy wird additiv hinzugefügt — bestehende Sites werden nie entfernt. Verwendet Port 80 wenn frei; sonst wird ein alternativer Port abgefragt
5 services
samm-api, samm-radius, samm-worker, samm-notification, samm-telegram — alle als systemd-Einheiten aktiviert
WireGuard
Pakete installiert; später konfiguriert unter System → VPN
cloudflared
Binärdatei wird immer installiert; das Tunnel-Token ist bei der Installation optional oder wird später unter System → Cloudflare Tunnel hinzugefügt
Alle Anmeldedaten — das Datenbankpasswort und die Sitzungs-Signaturschlüssel — werden
bei der ersten Installation automatisch generiert.
Interaktive Aufforderungen
Alle Aufforderungen erfolgen vorab, bevor die Installation beginnt:
Cloudflare-Token — fügen Sie ein Zero-Trust-Connector-Token ein, um
SAMM ohne offene Ports online zu veröffentlichen, oder drücken Sie Enter, um es zu überspringen und später zu konfigurieren.
HTTP-Port — wenn Port 80 bereits belegt ist, lässt das Installationsprogramm
diese Sites unberührt und fragt nach einem alternativen Port (Standard 8080).
Installationszusammenfassung
Wenn das Installationsprogramm fertig ist, druckt es eine Zusammenfassung mit der Admin-URL, dem Standard-
Login, dem gewählten HTTP-Port, den Datenbank-Anmeldedaten und den Konfigurationspfaden:
============================================================
SAMM is installed and running.
Admin portal : http://localhost/admin/login
Default login : admin / admin <- CHANGE AFTER FIRST LOGIN
Config files : /etc/samm/samm.yaml /etc/samm/api.env
============================================================
Aktualisieren
Zum Aktualisieren laden Sie den neuen Quellcode und führen das Installationsprogramm erneut aus:
git -C /opt/samm pull # or unpack a newer release bundle
sudo bash /opt/samm/install.sh
Durch die erneute Ausführung wird die Quelle erneut synchronisiert, der Venv aktualisiert, alle Migrationen erneut angewendet.
lädt die FreeRADIUS - und Nginx-Konfigurationen neu und startet jeden Dienst neu. Deine Konfiguration
Dateien und der bei der Erstinstallation gewählte HTTP-Port bleiben behalten .
Tipp
SAMM kann sich auch selbst aktualisieren – siehe Lizenzierung & Aktualisierungen .
Aktivieren Sie automatische Updates oder wenden Sie sie bei Bedarf über System → Lizenz an.
Air-Gapped & Remote-DB
SAMM liefert nur SAMM – FreeRADIUS , PostgreSQL, Nginx und der Rest werden abgerufen unter
Installationszeit von Upstream-Apt-Repos, daher müssen Air-Gap-Installationen diese vorab bereitstellen
Pakete. Legen Sie für ein Remote-PostgreSQL den DSN in /etc/samm/samm.yaml fest.
nach der Installation.
Erste Schritte
Erste Schritte
Fünf kurze Aufgaben bringen eine neue Installation auf den Punkt, an dem Abonnenten sich verbinden und abgerechnet werden können.
1 · Erste Anmeldung
Öffnen Sie http://<Ihr-Server>/admin/ (verwenden Sie den HTTP-Port aus der
Installationszusammenfassung, falls nicht 80) oder Ihre Cloudflare-Tunnel-URL.
Melden Sie sich mit admin / admin an.
Ändern Sie das Passwort sofort unter System → Admins
oder über das Profilmenü in der oberen Leiste.
2 · Ersten Router hinzufügen
Gehen Sie zu MikroTik → NAS und klicken Sie auf Router hinzufügen.
Geben Sie die IP des Routers, einen Kurznamen und ein RADIUS-Shared-Secret ein. Für MikroTik-
Geräte können Sie optional API-Anmeldedaten für die Live-Gerätesynchronisation hinzufügen.
Fügen Sie auf dem MikroTik einen RADIUS-Server hinzu, der auf den SAMM-Host (Ports 1812/1813)
zeigt, mit demselben Shared Secret, und aktivieren Sie RADIUS für PPP / Hotspot.
Es ist kein FreeRADIUS Neustart erforderlich – SAMM löst NAS-Clients dynamisch aus dem auf
Datenbank. Das vollständige Verfahren finden Sie unter Router (NAS) .
oder lassen Sie den Einrichtungsassistenten konfigurieren MikroTik für Sie.
3 · Tarif erstellen
Ein Plan definiert die Geschwindigkeit, die Limits und den Preis, den Sie verkaufen. Gehe zu Benutzer → Pläne → Neuer Plan . Vollständige Feldreferenz: Pläne & Grenzen .
4 · Abonnenten hinzufügen
Gehen Sie zu Benutzer → Neukunde und geben Sie die Anmeldedaten ein
Anmeldeinformationen und wählen Sie einen Plan aus. Der Teilnehmer kann sich sofort verbinden. Für Prepaid
Hotspot-Zugriff, generieren Sie stattdessen Gutscheinkarten .
5 · Lizenz aktivieren
Bei einer Neuinstallation wird unregistriert mit einer Mindeststufe ausgeführt. Offen System → Lizenz und aktivieren, um die Beschränkungen aufzuheben – siehe Lizenzierung & Ebenen .
Ein Tarif ist die Dienstdefinition, die Teilnehmern zugewiesen wird — er legt
Geschwindigkeit, Limits und Preis fest. Erstellen Sie Tarife, bevor Sie Benutzer hinzufügen.
Tarif erstellen
Gehen Sie zu Benutzer → Tarife.
Klicken Sie auf Neuer Tarif.
Füllen Sie das Formular aus und klicken Sie auf Tarif speichern.
Jedes Limit ist ein Schalter — aktivieren Sie nur die, die Sie benötigen. Dasselbe Modal bearbeitet einen vorhandenen Tarif (öffnen Sie das ⋮-Menü der Zeile → Bearbeiten).
Tariffelder
Feld
Bedeutung
Name
Eindeutiger Tarifname, z. B. Home-50M
Preis
Pro Abrechnungszeitraum berechnet, wenn Rechnungsstellung verwendet wird
Download-/Upload-Geschwindigkeit
z. B. 50M, 512K, 1G — als MikroTik-Ratenlimit erzwungen
Limit: Ablauf
Das Abonnement endet eine feste Zeit nach Aktivierung (Tage/Monate/Stunden/Minuten)
Limit: Kontingent
Eine Gesamtdatenobergrenze (kombiniert, nur Download oder nur Upload) für das gesamte Abonnement
Limit: Betriebszeit
Eine Obergrenze für die kumulierte Verbindungszeit — die Summe aller Sitzungsdauern
Limit: Tägliche Nutzung
Eine Datenobergrenze, die jeden Tag zur konfigurierten täglichen Reset-Zeit zurückgesetzt wird
Unbegrenztes Fenster
Schnelles Hinzufügen eines Geschwindigkeitsfensters — der vollständige Editor befindet sich auf der Speed-Windows-Seite des Tarifs
IP-Pool
Optionaler RADIUS-Framed-Pool-Name für die Adressvergabe
Automatische Verlängerung
Bei Ablauf eine neue Periode starten statt Tarif zu wechseln oder zu trennen
Die vier Limits
Jeder Grenzwert ist unabhängig und optional. Wenn mehrere festgelegt sind, checkt SAMM sie ein feste Reihenfolge – Ablauf → Kontingent → Betriebszeit → täglich – und die erste
Erschöpft entscheidet über die Aktion.
Limit
Verfolgt
Bei Erschöpfung
Ablauf
Kalenderzeit seit Aktivierung
Zu einem anderen Tarif wechseln oder trennen
Kontingent
Verwendete Gesamtbytes
Zu einem anderen Tarif wechseln oder trennen
Betriebszeit
Kumulative Sitzungssekunden
Zu einem anderen Tarif wechseln oder trennen
Täglich
Bytes seit dem letzten Tagesreset
Drosseln (zu einem langsameren Tarif wechseln) bis zum nächsten Tagesreset
Für jedes Limit legen Sie fest, was bei Erschöpfung passiert: Wählen Sie einen nächsten Plan um den Teilnehmer zu wechseln, oder belassen Sie es bei – trennen – . Für den Alltag
Die Begrenzung des nächsten Plans wirkt als Drossel – der Abonnent kehrt zum ursprünglichen Plan zurück
beim nächsten täglichen Reset automatisch.
Geschwindigkeitsfenster
Ein Geschwindigkeitsfenster überschreibt die Grundgeschwindigkeit des Plans für festgelegte Stunden – für
Beispiel: ein Fenster mit unbegrenzter Geschwindigkeit nach Mitternacht. Klicken Sie auf eine Planzeile, um sie zu öffnen Speed Windows -Editor, der die Kontrolle über den Wochentag hinzufügt und unterstützt
Fenster, die Mitternacht überschreiten. Wenn mehrere Fenster übereinstimmen, wird die Höchstgeschwindigkeit Einer gewinnt.
Hinweis
Gedrosselte oder limiterschöpfte Teilnehmer werden von Speed Windows ausgeschlossen —
SAMM hebt die Geschwindigkeit nie an, während ein Limit aktiv ist.
Zwei Nutzungskonzepte
SAMM speichert die Nutzung an zwei Orten und vermischt sie nie:
Zurücksetzbare Zähler — der Status pro Limit. Wird durch einen Admin-
Reset und durch den täglichen Reset auf Null gesetzt.
Abrechnungszähler — nicht zurücksetzbare Lebensdauer-Summen. Nie auf Null gesetzt,
damit Berichte und Rechnungen korrekt bleiben.
Tarife verwalten
In der Liste „Pläne“ werden die Geschwindigkeit, die Abonnentenzahl, die aktiven Limits und die Geschwindigkeit jedes Plans angezeigt
Fenster. Im ⋮-Menü einer Zeile können Sie sie bearbeiten, ihre Geschwindigkeitsfenster öffnen, sie aktivieren/deaktivieren,
Springen Sie zu seinen Abonnenten oder löschen Sie es (nur wenn es keine Abonnenten hat). Bearbeiten
Die automatische Verlängerung bietet an, die Änderung an alle aktuellen Abonnenten weiterzugeben .
Abonnenten & Tarife
Abonnenten
Ein Teilnehmer (Kunde / Benutzer) ist ein PPPoE- oder Hotspot-Konto, das
sich gegenüber SAMM authentifiziert. Jedem Teilnehmer wird genau ein Tarif zugewiesen.
Abonnenten erstellen
Gehen Sie zu Benutzer und klicken Sie auf Neuer Kunde.
Formular ausfüllen und speichern — der Abonnent kann sich sofort verbinden.
Feld
Bedeutung
Benutzername *
Der PPPoE/Hotspot-Anmeldename — muss eindeutig sein
Passwort *
Das Anmeldepasswort (gespeichert für PAP/CHAP RADIUS-Auth)
Vor-/Nachname
Der Name des Teilnehmers
Mobil / E-Mail / Adresse
Kontaktdaten — für Benachrichtigungen und Rechnungen verwendet
Tarif *
Der zuzuweisende Diensttarif
Ablaufüberschreibung
Optionales manuelles Ablaufdatum statt des vom Tarif berechneten
Automatische Verlängerung
Tariffzeitraum automatisch bei Ablauf verlängern
Die Abonnentenliste
Auf der Seite „Benutzer“ wird jeder Abonnent mit einem auf einen Blick sichtbaren Statuspunkt, dem zugewiesenen, aufgeführt
Plan und wie viel von jedem Limit noch übrig ist – tägliche Nutzung mit Fortschrittsbalken, Kontingent
verbleibende, verbleibende Betriebszeit und verbleibende Tage. Nach Status filtern (Alle / Aktiv / Gesperrt).
/ Abgelaufen / Online) oder suchen Sie nach Benutzername, Name oder Mobiltelefon.
Das Tarif-Wechsel-Abzeichen
Ein einzelnes Abzeichen ist der Plan des Abonnenten. Zwei durch einen Pfeil verbundene Abzeichen Dies bedeutet, dass der Abonnent sein Tageslimit erreicht hat und vorübergehend auf Gas gesetzt wird
Plan – sie werden beim nächsten täglichen Zurücksetzen auf den Originalzustand zurückgesetzt.
Abonnenten verwalten
Rechtsklick auf eine Zeile — oder über das ⋮-Menü — für alle Aktionen pro Teilnehmer:
Aktion
Was es macht
Ansehen / Bearbeiten
Detailseite öffnen oder Kontaktdaten, Passwort und Ablauf bearbeiten
Aktivieren / Deaktivieren
Konto sperren — Online-Abonnenten werden getrennt
Ablauf verlängern
Fügt die Tarifdauer zur verbleibenden Zeit hinzu; erzeugt eine Rechnung, wenn der Tarif einen Preis hat
Betriebszeit / Kontingent / Täglich zurücksetzen
Den gewählten Limiterzähler auf null setzen
Nutzung
Nutzungsgrafiken und Sitzungsverlauf öffnen
Löschen
Abonnenten und alle Verlaufsdaten entfernen — aktive Sitzungen werden zuerst getrennt
Wie Aktionen wirksam werden
Zurücksetzungen, Planänderungen und Verlängerungen werden in einem Prüfprotokoll in die Warteschlange gestellt und von dort angewendet samm-radius Tick – normalerweise innerhalb weniger Sekunden. Wenn der Abonnent ist
online sendet SAMM auch eine Live-Aktualisierung. Siehe CoA & Live-Änderungen .
Die Nutzungsansicht
Die Aktion Nutzung öffnet eine detaillierte Verkehrsseite für einen Abonnenten.
mit einem 7d / 14d / 30d / 90d Periodenwähler. Es werden drei Schlagzeilen gemeldet: heutiger -Verkehr (mit der Aufteilung von Upload/Download und den Online-Minuten), der Traffic dieses Monats und die kumulierte Online-Zeit für den Monat. Darunter befindet sich ein Tages-Traffic-Diagramm des Uploads
Download und eine vollständige Sitzungsverlaufstabelle : die Start- und Stoppzeit,
Dauer, Bytes nach unten und oben, das NAS und die Beendigungsursache jeder Sitzung.
Massenoperationen
Besitzer, Ablauf, Status oder automatische Verlängerung für viele Abonnenten gleichzeitig ändern – oder
Um viele zu löschen, verwenden Sie Massenänderungen und Bulk
Werkzeuge löschen. Um Abonnenten in großen Mengen aus einer Tabelle zu erstellen, verwenden Sie Exportieren/Importieren.
Abonnenten & Tarife
Hotspot-Karten
Für den Prepaid-Hotspot-Zugang generieren Sie einen Stapel von Gutscheinkarten statt einzelner Abonnenten. Jede Karte ist ein eigenes Benutzername/Passwort-Paar
Geschwindigkeit und Grenzen, tausendfach generiert und zur Weitergabe ausgedruckt.
Kartengruppe erstellen
Gehen Sie zu Benutzer → Hotspot-Karten und klicken Sie auf Neue Gruppe.
Füllen Sie das untenstehende Formular aus und klicken Sie auf Gruppe erstellen — SAMM generiert
die Anmeldedaten jeder Karte automatisch.
Abschnitt
Felder
Identität
Eindeutiger Gruppenname, Beschreibung, optionales Benutzernamen-Präfix, Anzahl der zu generierenden Karten (bis zu 10.000)
Anmeldedaten
Benutzername- und Passwort-Format (Zahlen / Buchstaben / alphanumerisch) und Länge
Geschwindigkeitslimit
Download- und Upload-Geschwindigkeit — 256k, 6M, 1G; 0 = unbegrenzt
Übertragungslimit
Unbegrenzt, kombinierte Obergrenze oder separate Download-/Upload-Obergrenzen (MB / GB / TB)
Zeitlimits
Uptime-Obergrenze, Ablauf nach erster Anmeldung und ein Gruppen-"Gültig bis"-Stichtag
Der Ablauf beginnt mit der ersten Anmeldung jeder Karte gültig bis ein festes Haltbarkeitsdatum ist – Karten können danach nicht mehr verwendet werden,
ob sie jemals aktiviert wurden oder nicht.
Kartenstatus
Status
Bedeutung
Unbenutzt
Generiert, aber nie angemeldet
Aktiv
In Verwendung, innerhalb der Limits
Erschöpft
Ein Limit (Kontingent, Betriebszeit oder Ablauf) wurde erreicht
Deaktiviert
Manuell deaktiviert
Drucken & Nachverfolgung
Öffnen Sie eine Gruppe, um ihre Karten anzuzeigen, und drucken Sie sie zur Verteilung als PDF aus
(Das Drucklayout verwendet Ihr ISP-Logo aus den Einstellungen) und überprüfen Sie die Nutzung pro Karte. Karte
Der Datenverkehr erscheint auch in Berichten unter
Registerkarte „Karten“ und jede Gruppe verfügt über eine eigene Buchhaltungsansicht.
Netzwerk & Router
Router (NAS)
Ein NAS (Network Access Server) ist ein Router, der Teilnehmer
über RADIUS gegenüber SAMM authentifiziert. Jeder Router, der Teilnehmerverkehr trägt,
benötigt einen NAS-Datensatz.
Router hinzufügen
Gehen Sie zu MikroTik → NAS und klicken Sie auf Router hinzufügen.
Füllen Sie die folgenden Felder aus und speichern Sie.
Feld
Bedeutung
NAS-IP / Hostname
Die Adresse des Routers, wie sie vom SAMM-Host gesehen wird
Kurzname
Eine freundliche Bezeichnung, die in der gesamten Benutzeroberfläche angezeigt wird
Typ
mikrotik aktiviert Live-Gerätesynchronisation und Konfigurations-Push; andere Typen sind nur RADIUS
Geheimnis
Das RADIUS-Shared-Secret — muss exakt mit dem Router übereinstimmen, sonst schlägt die Authentifizierung fehl
CoA-Port
UDP-Port, an den SAMM Change-of-Authorization-Pakete sendet (MikroTik-Standard 3799)
API-Port / Benutzer / Passwort
MikroTik-API-Anmeldedaten, die SAMM zum Lesen von Geräteinformationen und zum Push von Konfigurationen verwendet
Kein Neustart erforderlich
SAMM löst NAS-Clients dynamisch aus der Datenbank auf — das Hinzufügen oder Entfernen eines
Routers erfordert nie einen FreeRADIUS-Neustart.
Die NAS-Liste
Jeder Router wird in einer Tabelle angezeigt – ID, NAS-IP/Hostname, Kurzname, Typ, eine Maskierung Geheimnis (klicken Sie auf die Zelle, um es anzuzeigen), die CoA- und API-Ports und a
Live- Ping- -Ergebnis mit Roundtrip-Zeit. Das Suchfeld filtert nach IP,
Kurzname oder Beschreibung.
Das Menü ⋮ jeder Zeile enthält die Aktionen pro Router: Gerät anzeigen und Informationen aktualisieren (nur MikroTik ), Bearbeiten , Push
RADIUS-Konfiguration (nur MikroTik ) und Löschen Sie . Eröffnung eines
Die Zeile vom Typ mikrotik springt direkt zu ihr Geräteseite .
Nachbarn entdecken
Klicken Sie auf Nachbarn erkennen, um nach MikroTik-Geräten im
Netzwerk zu scannen und sie als NAS-Einträge hinzuzufügen, ohne jede Adresse von Hand einzugeben.
RADIUS-Konfiguration zum Router übertragen
Für MikroTik NAS-Einträge bietet das ⋮-Menü der Zeile Push RADIUS config — SAMM konfiguriert den Router für Sie über die API, anstatt dass Sie ihn manuell eingeben müssen. Du
Bestätigen Sie die SAMM -Server-IP (sie muss vom Router aus erreichbar sein) und die Authentifizierung.
Buchhaltungs- und CoA-Ports; SAMM erstellt oder ersetzt dann einen RADIUS-Eintrag auf dem Router:
Einstellung
Wert
Kommentar
SAMM — das Tag, das SAMM verwendet, um diesen Eintrag später zu finden und zu aktualisieren
Dienst
hotspot, ppp
Adresse / Geheimnis
Der SAMM-Host, mit dem Shared Secret aus diesem NAS-Eintrag
Zeitüberschreitung
3000 ms
Eingehende CoA
Akzeptiert, auf dem bestätigten CoA-Port
Der Dialog zeigt ein Ergebnisprotokoll, wenn der Push abgeschlossen ist.
Die MikroTik-Seite konfigurieren
Wenn Sie den Router stattdessen manuell konfigurieren:
Fügen Sie einen RADIUS-Server hinzu, der auf den SAMM-Host zeigt, mit demselben Shared
Secret, aktiviert für PPP / Hotspot.
Verwenden Sie Auth-Port 1812, Accounting-Port 1813.
Akzeptieren Sie eingehendes CoA auf Port 3799.
Stellen Sie das Accounting-Interim-Update-Intervall auf etwa 60 Sekunden —
so oft akkumuliert SAMM die Nutzung und wertet Limits aus.
Nur-Monitor-Geräte
Ein als Monitor hinzugefügter Router erscheint im Inventar MikroTik und
wird angepingt und synchronisiert, hat aber keine RADIUS-Rolle – es kann keine Abonnenten authentifizieren. Benutzen
Damit können Sie Router im Auge behalten, die keine Abonnenten-NAS sind.
Netzwerk & Router
MikroTik-Verwaltung
Wenn ein Router über API-Anmeldeinformationen verfügt, SAMM verwaltet er diese direkt über MikroTik API – keine WinBox, kein SSH. Die MikroTik Der Abschnitt enthält eine Live-Bestandsaufnahme jedes Routers und jedes Gerät öffnet eine Detailseite mit
Fünfzehn Registerkarten, die fast jeden Teil von RouterOS über Ihren Browser konfigurieren.
MikroTik-Monitor
MikroTik → Monitor zeigt eine Karte pro Router, ausgelegt
als Gitter. Jede Karte meldet – aktualisiert von samm-worker und live abgefragt
alle 30 Sekunden – der Erreichbarkeitspunkt, RouterOS -Version, CPU-Last und Kernanzahl,
Speichernutzung, Anzahl aktiver Sitzungen, Betriebszeit und Zeitpunkt der letzten Probe.
Eine Karte ist entweder mit NAS gekennzeichnet (ein Router, der sich auch authentifiziert).
Abonnenten über RADIUS) oder Monitor (ein zur Überwachung hinzugefügtes Gerät).
nur). Hinzufügen MikroTik registriert ein neues Gerät; Jetzt aktualisieren erzwingt eine sofortige Umfrage. Nur-Monitor-Karten verfügen über ein Rechtsklick-Menü – Öffnen, Bearbeiten,
Informationen aktualisieren, löschen.
Die Geräteseite — sechzehn Registerkarten
Öffnen Sie ein beliebiges Gerät für seine vollständige Verwaltungsseite. Die Registerkarten fallen in vier Gruppen.
Überwachung
Registerkarte
Was es zeigt
Übersicht
Geräteinformationen, Systeminformationen und Leistungsverlaufsdiagramme (CPU, Speicher, Sitzungen im Zeitverlauf)
Schnittstellen
Jede Schnittstelle mit ihrem Live-Status sowie dem Verkehrsverlauf pro Schnittstelle
Webseiten
Websites & Apps, die auf dem Router angezeigt werden, und eine Leistungsverlaufsansicht dieses Datenverkehrs
Verwaltung
Die Registerkarte Manager → Allgemein ist die Verwaltungsseite für das Gerät: Identität (der Routername), Zeit (Uhr, Zeitzone und
NTP) und Tools (Neustart, Ping und andere Ein-Klick-Router-Aktionen).
Netzwerkkonfiguration
Registerkarte
Was Sie konfigurieren
Bridge
Erstellen Sie LAN-Brücken und wählen Sie aus, welche physischen Schnittstellen (Ports) dazu gehören
VLAN
VLAN-Schnittstellen hinzufügen und verwalten
IP
Drei Unterregisterkarten: Statisch (statische und dynamische Adressen), DHCP-Client (Adresse vom Upstream abrufen), DHCP-Server (Adressen verteilen, mit einer Live-Lease-Tabelle)
DNS
DNS-Server und Cache sowie ein Websites & App-Filter – DNS-basierte Inhaltsblockierung
WiFi / CAPsMAN
Wi-Fi-Schnittstellen mit ihren Konfigurationen und Sicherheitsprofilen; und der CAPsMAN-Controller – Konfigurationen, Bereitstellungsregeln und Remote-CAPs
QoS
Anwendungsbezogene Download-Priorität — ziehen Sie die vom Websites-&-App-Filter erkannten Apps und Websites in acht Prioritätsplätze, begrenzen Sie die Geschwindigkeit beliebiger Apps und übertragen Sie alles als Queue Tree auf den Router
Dienste & Wartung
Registerkarte
Was Sie konfigurieren
PPPoE
PPPoE-Server, PPP-Profile, IP-Pools und das RADIUS-Accounting-Zwischenaktualisierungsintervall
Hotspot
Hotspot-Server, Hotspot-Profile und Benutzerprofile, DHCP/IP-Pools und die Anmeldeseite des Captive-Portals
Internet
WAN-Uplinks – SAMM -verwaltete WANs und Standardrouten, wobei alle vorhandenen Nicht- SAMM -WANs schreibgeschützt angezeigt werden
Firewall
Filterregeln, eine Router-Sicherheitsanalyse, Konnektivität & Ziele, Sicherheitsmodule und Firewall-Backups
Aktualisierung
RouterOS -Updates – Wählen Sie einen Update-Kanal aus, prüfen und wenden Sie installierte Pakete an und überprüfen Sie sie
Assistent
Die geführte Ersteinrichtung finden Sie weiter unten
Das PPPoE-Interim-Update-Intervall
Auf der Registerkarte PPPoE legt Zwischenaktualisierung fest, wie oft
Der Router sendet RADIUS-Accounting-Interim-Update-Pakete an SAMM . SAMM verwendet diese Pakete, um
Sammeln Sie Byte- und Betriebszeitzähler und bewerten Sie die Kontingent-, Tages- und Betriebszeitlimits – Ohne sie wird die Durchsetzung eingeschränkt und die Live-Sitzungszähler bleiben stehen .
Der empfohlene Wert beträgt 5m .
Die Hotspot-Anmeldeseite
Auf der Registerkarte Hotspot verwalten Sie die Anmeldeseite des Captive-Portals:
Behalten Sie die MikroTik Standardseiten bei und wenden Sie eine der integrierten Vorlagen an.
oder wenden Sie eines Ihrer gespeicherten Designs an. SAMM beinhaltet ein visuelles Design
Editor und eine Vorlagengalerie – passen Sie eine Anmeldeseite an und übertragen Sie sie direkt auf die
Hotspot des Routers.
Anwendungsbezogenes QoS
Der Reiter QoS verwandelt die Apps und Websites, die SAMM auf dem
Router bereits erkennt, in einen Download-Prioritätsplan. Ziehen Sie jede App aus dem Pool in einen von acht
Prioritätsplätzen — Platz 1 wird bei Engpässen zuerst bedient, Platz 8 zuletzt; Apps,
die im Pool verbleiben, werden nicht geformt. Optional begrenzen Sie die Download-Geschwindigkeit beliebiger Apps (zum Beispiel
10M) und legen eine Gesamt-Download-Obergrenze fest, um die die Prioritäten konkurrieren. Automatisch nach
Kategorie verteilen ordnet alles mit einem Klick an — Messaging und Konferenzen zuerst, Massen-
Downloads und Speedtests zuletzt.
Beim Übertragen kompiliert SAMM die Plätze zu einem MikroTik-Queue Tree
(markiert mit SAMM:qos, parent=global) mit passenden Packet-Mark-Firewall-
Regeln, höchste Priorität zuerst. Er basiert auf demselben Websites-&-App-Filter-
Katalog, der auch das Monitoring antreibt, sodass nur tatsächlich auf dem Router erkannte Apps erscheinen — und das Entfernen
von SAMM QoS löscht jedes SAMM:qos-Objekt wieder vom Router, ohne Ihre Zähler
anzutasten.
Der Einrichtungsassistent
Die Registerkarte Assistent sammelt alles in neun kurzen Schritten und verschiebt es
Am Ende übertragen Sie die vollständige Konfiguration in einem Stapel auf den Router. Bis zu Ihnen wird nichts verschickt
Bestätigen Sie den letzten Überprüfungsschritt.
Willkommen & discover – SAMM prüft den Router und zeigt, was ist
bereits konfiguriert, sodass Sie diese Elemente im Push überspringen können.
Bridge-Schnittstelle – Benennen Sie die LAN-Bridge.
Bridge-Ports – Wählen Sie aus, welche physischen Schnittstellen der Bridge beitreten.
DNS – Upstream-Resolver festlegen (Ein-Klick-Voreinstellungen für Google , Cloudflare , Quad9 und mehr), Cache-Größe und optional ein DNS-Inhaltsfilter.
Internet – Fügen Sie einen oder mehrere WAN-Uplinks hinzu (statisch / DHCP / PPPoE).
RADIUS zu SAMM – Richten Sie den Router auf Ihren SAMM -Host
Authentifizierung, Buchhaltung und CoA.
Dienste – Wählen Sie aus, ob der Assistent einen PPPoE-Server erstellt, a
Hotspot-Server oder beides.
PPPoE-/Hotspot-Details & Firewall – Pools, Profile, Lease
Zeiten, plus die Firewall & NAT-Regeln.
Rezension & push – Sehen Sie sich die genaue Liste der Befehle an
gesendet, und schieben Sie sie dann alle an den Router.
Benutzerbasierte Geschwindigkeit kommt von RADIUS
Der Assistent erstellt ein einzelnes PPPoE-/Hotspot-Profil – es erfolgt kein Push pro Ebene
Profile. Die Geschwindigkeit jedes Abonnenten wird von SAMM in der RADIUS-Antwort bei der Anmeldung übermittelt.
Planänderungen erfordern also nie eine Router-Änderung.
Netzwerk & Router
CoA & Live-Änderungen
CoA (Change-of-Authorization) ist die Art und Weise, wie SAMM die eines Abonnenten ändert
Sitzung, während sie online sind – um ihre Geschwindigkeit zu erhöhen oder zu verringern oder sie zu trennen –
ohne darauf zu warten, dass sie sich wieder verbinden.
Wie eine Änderung einen aktiven Abonnenten erreicht
SAMM pusht niemals eine Router-Änderung direkt durch einen Tastenklick. Jede Administratoraktion folgt einem sicheren Pfad:
Die Aktion wird in einem Überwachungsprotokoll als Befehl in der Warteschlange aufgezeichnet.
Der Dienst samm-radius entleert die Warteschlange beim nächsten Tick, gilt
die Änderung und stellt – wenn der Abonnent online ist – ein CoA in die Warteschlange.
Der CoA-Postausgang wird geleert und das Paket wird an den Router gesendet.
Zeitgesteuerte Ereignisse – Ablauf, Geschwindigkeitsfensterkanten, tägliche Zurücksetzungen – speisen denselben Postausgang.
Die Obergrenze für die Latenz liegt bei einem Tick von samm-radius (standardmäßig 30 s; niedriger).
(Sie können es in den Einstellungen für eine strengere Durchsetzung festlegen.)
Hybrides CoA
SAMM sendet zunächst ein CoA-Update , um die bestehende Sitzung zu ändern. Wenn
Der Router lehnt es nach den konfigurierten Wiederholungsversuchen ab, SAMM greift automatisch auf a zurück Disconnect-Request – der Abonnent stellt die Verbindung wieder her und nimmt die neue Verbindung entgegen
Einstellungen. Diese Hybridstrategie funktioniert für MikroTik Firmware-Versionen.
Die CoA-Postausgangsseite
Benutzer → CoA-Postausgang ist die Live-Ansicht dieser Warteschlange. samm-radius ist der einzige Absender – das Admin-Panel sendet niemals ein CoA
direkt – und es leert die Warteschlange bei jedem Tick. Die Seite wird jeden Tag automatisch aktualisiert
30 Sekunden.
Sechs Zähler stehen an der Spitze der Seite: Ausstehend, Gesendet, NACK (erneuter Versuch), Fertig,
Fehlgeschlagen und Insgesamt . Filtern Sie die Tabelle nach Status und Aktion
( aktualisieren oder trennen ), oder suchen Sie nach Benutzername, NAS-IP oder
Grund.
Status
Bedeutung
ausstehend
In der Warteschlange und wartet auf den nächsten Tick von samm-radius
gesendet
Wird an den Router gesendet und wartet auf seine Antwort
nack
Der Router hat das CoA-Update abgelehnt – SAMM versucht es erneut und fällt dann auf eine Verbindungsunterbrechung zurück
erledigt
Erfolgreich angewendet
fehlgeschlagen
Nach Erreichen des Wiederholungslimits aufgegeben – bewegen Sie den Mauszeiger über das Abzeichen für den letzten Fehler
In jeder Zeile werden der Benutzer, der Router, die Aktion, die Anzahl der Versuche, der Grund sowie die erstellten und erstellten Daten angezeigt
mal verschickt. Mit Aktionen pro Zeile können Sie ein fehlgeschlagenes oder ungültiges Paket wiederholen . Stornieren Sie eine noch in Bearbeitung befindliche Datei oder öffnen Sie Attribute für
Überprüfen Sie die genauen RADIUS-Attribute, die das Paket trägt. Das Sidebar-Badge zählt
ausstehende Zeilen; Das Dashboard verfolgt Ausfälle rund um die Uhr. Ein gesundes System behält diese Warteschlange bei
fast leer.
Täglicher Betrieb
Dashboard & Live-Sitzungen
Die beiden Bildschirme unter Übersicht sind der Ausgangspunkt
jede Schicht – das Dashboard für den Zustand des gesamten Systems, Live-Sitzungen für
genau, wer gerade verbunden ist.
Dashboard
Übersicht → Dashboard ist der Startbildschirm des Bedieners. A
Periodenauswahl oben – Heute, 7. Tag, 14. Tag, 30. Tag, 90. Tag – legt fest
Fenster für das Trenddiagramm und die datumsgebundenen Zahlen.
Die sechs KPI-Kacheln
Jede Kachel ist ein Live-Zähler und eine Verknüpfung – klicken Sie darauf, um direkt zur gefilterten Liste hinter der Zahl zu springen.
Kachel
Zeigt
Öffnet
Jetzt online
Abonnenten mit einer aktiven RADIUS-Sitzung jetzt
Benutzer gefiltert nach Online
Aktive Abonnenten
Aktive Konten mit der Gesamtanzahl der Abonnenten darunter
Benutzer gefiltert nach Aktiv
Abgelaufen
Abonnenten, deren Abonnement abgelaufen ist ohne festgelegten nächsten Tarif
Benutzer gefiltert nach Abgelaufen
CoA-Warteschlange
Ausstehende CoA-Pakete plus die Anzahl der in den letzten 24 Stunden fehlgeschlagenen
Gesamt-NAS-Einträge plus die Anzahl der derzeit nicht erreichbaren
Der MikroTik -Monitor
Unbezahlte Rechnungen
Rechnungen, die noch Zahlungsabwicklung benötigen
Rechnungen gefiltert nach Unbezahlt
Benutzer & Live-Sitzungsdiagramm
Ein tägliches Snapshot-Liniendiagramm stellt drei Serien über den ausgewählten Zeitraum dar – aktive Benutzer , Online-Sitzungen und abgelaufene Benutzer – so sind Wachstum und Abwanderung auf einen Blick sichtbar.
Pipeline-Gesundheit
Dieses Panel ist der Herzschlag der Durchsetzungsmaschine. Auf einem gesunden System
Warteschlangen liegen bei oder nahe Null – eine Zahl, die hoch bleibt, weist auf einen festgefahrenen Dienst oder einen anderen hin
Router lehnt Änderungen ab.
Metrik
Was es bedeutet
samm-radius Warteschlange
Ausstehende CoAs warten auf den nächsten Tick – sollten innerhalb von Sekunden gelöscht werden
Fehlgeschlagene CoA (24 Std.)
Null auf ein gesundes System; Eine Zahl ungleich Null bedeutet, dass ein Router CoAs ablehnt
Audit-Protokoll ausstehend
In der Warteschlange befindliche Administratoraktionen wurden von samm-radius noch nicht angewendet
Sitzungen gedrosselt
Abonnenten werden derzeit durch ein Limit auf eine reduzierte Geschwindigkeit beschränkt – erwartet, kein Fehler
Sitzungs-Snapshot
Die Anzahl der Live-Sitzungen – sollte verfolgt werden: Jetzt online
Aktive Tarife
Die Größe Ihres Plankatalogs
Der Durchsetzungspfad
Administratoraktionen werden in die Warteschlange samm.audit_log gestellt. der Samm-Radius tick entleert sie und gibt CoAs in samm.coa_outbox aus. Der vollständige Pfad ist
in CoA & Live-Änderungen .
Tabellen der aktuellen Aktivitäten
Vier Tabellen unter dem Diagramm geben einen fortlaufenden Überblick über das, was gerade passiert ist, jeweils mit einem Alle anzeigen Link zur vollständigen Seite:
Aktueller CoA-Postausgang – Aktion, Benutzer, Status (erledigt/ausstehend/nack/fehlgeschlagen), Anzahl der Versuche, Grund und Zeit.
Letzte Administratoraktionen – Aktion, Ziel, der Akteur, der sie ausgelöst hat, ob sie bereits angewendet wurde, und Zeit.
Aktuelle Abonnenten – die neuesten Konten mit ihrem Status und dem Zeitpunkt der letzten Authentifizierung.
Router – jedes NAS mit einem erreichbaren/nicht erreichbaren/keine Daten-Zustandspunkt.
Live-Sitzungen
Übersicht → Live-Sitzungen listet jeden Abonnenten auf
Router melden sich derzeit über RADIUS-Accounting als online. Die Seite wird alle 30 Sekunden automatisch aktualisiert ; ein Handbuch Aktualisieren Die Schaltfläche befindet sich in der Kopfzeile.
Liste filtern
Suche – entspricht dem Benutzernamen, der Frame-IP oder der NAS-IP und wird während der Eingabe übermittelt.
Router – schränken Sie die Liste auf die Sitzungen auf einem einzelnen NAS ein.
Nur gedrosselt – zeigt nur die Abonnenten an, die ein Limit mit reduzierter Geschwindigkeit hält.
Pro Seite – 20, 50, 100 oder 200 Zeilen.
Was jede Zeile zeigt
Spalte
Bedeutung
Benutzer
Benutzername – Links zur Detailseite des Abonnenten
Zugewiesene IP
Die vom Router dieser Sitzung zugewiesene Adresse
Router
Der NAS-Kurzname und seine IP-Adresse
Tarif
Der aktuelle Plan des Abonnenten
Effektive Geschwindigkeit
Die aktuell auf dem Router erzwungene Geschwindigkeit – die Plangeschwindigkeit, die durch jedes aktive Geschwindigkeitsfenster angepasst wird. Ein gedrosseltes -Abzeichen bedeutet, dass der Abonnent durch ein Limit auf einer reduzierten Geschwindigkeit gehalten wird.
Down / Up
Live-Byte-Zähler für die Sitzung
Online
Wie lange dauert die Sitzung?
Gestartet
Wann die Sitzung begann
Eine Sitzung trennen
Die Schaltfläche Disconnect in einer Zeile stellt einen CoA-Disconnect in die Warteschlange.
für genau diese Sitzung (Grund admin_manual ) nach einer Bestätigungsaufforderung.
Der Abonnent scheidet sofort aus; Wenn ihr Konto noch aktiv ist, steht es ihnen frei, dies zu tun
wieder verbinden. Verfolgen Sie das Paket im CoA-Postausgang .
Täglicher Betrieb
Berichte & Analytik
Übersicht → Berichte ist die Analyseansicht – Abonnent
Trends, Verkehr im Laufe der Zeit und die intensivsten Benutzer und Karten in Ihrem Netzwerk.
Bereich auswählen
Jede Zahl auf der Seite ist an einen Datumsbereich gebunden. Wählen Sie eine Voreinstellung – 7d, 14d, 30d, 90d – oder geben Sie explizit start und ein Endtermine und klicken Sie auf Anwenden . Eine Ladeauflage deckt ab
die Seite, während eine Abfrage mit großer Reichweite wie 90d ausgeführt wird.
Abonnenten- & Sitzungstrends
Ein Liniendiagramm mit drei Reihen über dem ausgewählten Bereich: Aktiv Abonnenten, Online- Sitzungen und Abgelaufene Abonnenten. Verwenden Sie es, um Wachstum, Abwanderung und die Auslastung Ihres Netzwerks zu erkennen.
Täglicher Datenverkehr
Ein gestapeltes Balkendiagramm mit Upload- und Download- Bytes
pro Tag. Wenn Sie mit der Maus über einen Tag fahren, werden die Upload- und Download-Zahlen sowie eine Kombination angezeigt insgesamt in der Tooltip-Fußzeile.
Top-10-Listen
Vier Tabellen zeigen Ihre Konten mit dem höchsten Datenverkehr, jeweils geordnet nach Volumen in GB:
Liste
Ränge
Top 10 Download heute
Größter Download seit dem letzten Tagesreset
Top 10 Upload heute
Größter Upload seit dem letzten Tagesreset
Top 10 Download Monat
Größter Download in diesem Kalendermonat
Top 10 Upload Monat
Größter Upload in diesem Kalendermonat
Datenverkehr nach Entität
Eine paginierte, durchsuchbare Tabelle des Datenverkehrs pro Konto. Zwei Registerkarten wechseln die Liste:
Benutzer – jeder Abonnent mit seinem Namen, Plan und dem heutigen
Upload/Download in MB und der Upload/Download dieses Monats in GB.
Karten – jede Hotspot-Karte mit ihrer Gruppe, ihrem Status usw
Verkehrsaufteilung heute/Monat.
Das Suchfeld filtert die Tabelle während der Eingabe. die
Der Selektor pro Seite benötigt 20 bis 200 Zeilen. Jede Zeile ist mit verlinkt
die Detailseite dieses Abonnenten oder dieser Karte.
Exportieren
Berichte sind eine Analyseansicht auf dem Bildschirm. Damit Rohzeilen in einer Tabellenkalkulation verarbeitet werden können,
Verwenden Sie zum Herunterladen Extras → Exportieren/Importieren Benutzer, Pläne oder NAS als CSV / XLSX.
Täglicher Betrieb
Buchhaltung & Abrechnung
SAMM verfügt über ein integriertes doppeltes Buchhaltungssystem –
Rechnungen, Ausgaben, Quittungen, Zahlungen, Wiederverkäufer, Anlagevermögen und vollständige Finanzen
Aussagen. Es gibt kein separates Abrechnungsprodukt zur Integration und keinen Buchhalter
nötig, um die Bücher klar zu halten.
Sie berühren nie Soll und Haben
Jede Aktion – eine Zahlung erfassen, eine Ausgabe hinzufügen, eine Kartengruppe verkaufen –
bucht automatisch einen ausgeglichenen Journaleintrag im Hauptbuch. Du
Arbeiten Sie in einfachen Worten (Rechnungen, Ausgaben, Quittungen); SAMM behält den doppelten Eintrag bei
Bücher hinter den Kulissen und beweist, dass sie in der Probebilanz ausgeglichen sind.
Die Seite Buchhaltung ist in zehn Registerkarten unterteilt.
Übersicht
Die finanzielle Momentaufnahme. An der Spitze stehen vier Schlagzeilen:
Kennzahl
Bedeutung
Kassenbestand
Gesamtsaldo über alle Kassen- & Bankkonten
Geld, das Ihnen zusteht
Forderungen — unbezahlte Kunden- und Wiederverkäuferrechnungen
Geld, das Sie schulden
Verbindlichkeiten — unbezahlte Ausgaben
Gewinn diesen Monat
Einnahmen minus Ausgaben für den aktuellen Monat
Unten: eine Tabelle mit allen Bargeld- und Bargeldbeträgen. Bankkonto mit seinem Saldo und ein Einnahmen-Ausgaben-Diagramm über die letzten 1, 2, 3, 6 oder 12 Monate.
Rechnungen
Eine Rechnung ist eine von Ihnen ausgestellte Rechnung. Klicken Sie auf Neue Rechnung und füllen Sie aus:
Feld
Bedeutung
Kunde
Tipp-Suche nach dem Konto, das abgerechnet wird
Umsatzkategorie
Auf welches Einnahmekonto der Verkauf gebucht wird
Standardmäßig wird der Tarif in Einstellungen → Abrechnung verwendet.
Positionen
Eine oder mehrere Beschreibungs-/Mengen-/Einheitspreiszeilen – Zwischensumme, Steuer und Gesamtsumme werden live berechnet
Rechnungen werden auch automatisch generiert, wenn der Plan eines Abonnenten abgeschlossen wird
wird erneuert (durch die Aktion Ablauf verlängern des Benutzers oder durch automatische Verlängerung), vorausgesetzt
Der Plan hat einen Preis. Die Liste wird nach Status gefiltert: unbezahlt, teilweise, fällig,
bezahlt – und sucht nach Rechnungsnummer oder Kunde. Öffnen Sie eine beliebige Rechnung dafür
Detailseite und ein druckbares PDF; Abonnenten können ihre eigenen Exemplare von herunterladen
Kundenportal und Telegram Bot.
Ausgaben
Eine Ausgabe ist Geld, das für den Betrieb des ISP ausgegeben wird. Neue Ausgabendatensätze a
Kategorie (das Spesenkonto), der bezahlte Kreditor, der Betrag, das Anfallsdatum und eine
optionales Fälligkeitsdatum. Für jede Ausgabe gelten die gleichen unbezahlt/teilweise/fällig/bezahlt .
Lebenszyklus als Rechnung, Detailseite und druckbares Gutschein-PDF .
Quittungen & Zahlungen
Auf diesen beiden Registerkarten werden die tatsächlichen Bargeldbewegungen erfasst – unabhängig von der Rechnung oder Ausgabe
dass es verursacht hat.
Quittungen – Geld in : Von einem Kunden erhaltenes Bargeld, a
Wiederverkäufer oder andere Einnahmen, die auf einem Ihrer Geldkonten landen. Eine Rechnung ist die
Rechnung; Die Quittung ist das dafür eingegangene Geld.
Zahlungen – Geld aus : Barzahlung gegen eine Ausgabe oder
an einen Wiederverkäufer.
Durch das Erfassen einer Quittung oder Zahlung wird die zugehörige Rechnung oder Ausgabe verschoben hat bezahlt und bucht den entsprechenden Hauptbucheintrag.
Kunden & Kartenverkäufe
Auf der Registerkarte Kunden wird der laufende Kontostand jedes Kunden aufgeführt
schulde dir was. Kartenverkäufe decken den Prepaid-Hotspot-Umsatz ab: Es werden die verkauften Karten erfasst Kartengruppen und Wiederverkäufer . Ein Wiederverkäufer kauft die ganze Karte
Gruppen von Ihnen auf einer Rechnung und verkauft die einzelnen Karten dann an Endbenutzer weiter; ihr
Der geschuldete Restbetrag ist der Betrag, den sie Ihnen noch auszahlen müssen.
Anlagen & Kassenkonten
Vermögenswerte – Registrieren Sie Anlagevermögen (Router,
Fahrzeuge, Ausrüstung). SAMM verfolgt ihren Wert und Wertverlust im Laufe der Zeit.
Bargeld – verwalten Sie Ihr Bargeld und Bargeld. Bankkonten ,
und Ihre Kapitalkonten : Eigenkapital, wo eine Einlage erfolgt
Geld, das der Eigentümer in das Unternehmen einzahlt, und eine Abhebung ist abgehobenes Geld. Kapital
ist kein Umsatz und erscheint nie in der Gewinn- und Verlustrechnung. Verlust.
Berichte — die Finanzberichte
Die Registerkarte Berichte ist die Ansicht des Buchhalters. Jeweils fünf Aussagen
datumsbezogen und exportierbar als PDF :
Bericht
Beantwortet
Gewinn & Verlust
Einnahmen vs. Ausgaben und Nettogewinn über einen Zeitraum. Periodenabgrenzungsbasis – Einnahmen zählen, wenn sie in Rechnung gestellt werden, Ausgaben, wenn sie anfallen, nicht, wenn Bargeld bewegt wird.
Bilanz
Ab einem Datum: Ihr Eigentum (Vermögenswerte) im Vergleich zu Ihren Schulden (Verbindlichkeiten) plus Eigenkapital. Ein ausgeglichenes -Abzeichen bestätigt die Übereinstimmung der beiden Seiten.
Cashflow
Pro Geldkonto – Eröffnungssaldo, Geldeingänge, Geldausgänge, Schlusssaldo über einen bestimmten Bereich.
Fälligkeit
Ausstehende Forderungen und Verbindlichkeiten sind nach Altersgruppen sortiert, sodass Sie überfällige Rechnungen verfolgen und immer einen Überblick über Rechnungen haben.
Erweitert
Die rohen Bücher: Hauptbuch (jede Zeile eines Kontos mit laufendem Saldo), Probesaldo (Überprüfung der ausgeglichenen Bücher), das Journal und ein Aktivitätsprotokoll.
Die Saldokontrolle
Im Testsaldo müssen die Soll- und Habenspalten jedes Kontos angegeben werden
völlig gleich – das ist der Beweis, dass die Bücher solide sind. Sollte es jemals aus dem Gleichgewicht geraten,
es weist auf einen Buchungsfehler hin, der untersucht werden sollte.
Täglicher Betrieb
Support-Tickets
SAMM verfügt über einen integrierten Helpdesk. Abonnenten erheben Tickets über das Kundenportal oder
Wenn Sie den Telegram -Bot verwenden, kann ein Administrator einen im Namen eines Abonnenten öffnen, und Ihr Team funktioniert
sie alle von Benutzer → Support-Tickets .
Die Ticket-Warteschlange
Die Warteschlange listet jedes Ticket auf – Nummer, Kunde, Betreff, Priorität, Status usw
Öffnungs- und Datum der letzten Aktualisierung sowie die Anzahl der Nachrichten. Filtern Sie es mit:
Statuschips – einer pro Ticketstatus, jeder trägt ein Live
zählen, sodass die Auslastung auf einen Blick ersichtlich ist.
Priorität – Normal, Moderat oder Kritisch.
Aktiv/Zurückgezogen – ein Kunde kann ein Ticket zurückziehen, das er nicht hat
längerer Bedarf; Zurückgezogene Tickets sind standardmäßig abgeblendet und ausgeblendet.
Suche – nach Ticketnummer, Betreff oder Kunde.
Das Badge in der Seitenleiste zählt offene Tickets, sodass nichts übersehen wird.
Ein Ticket öffnen
Neues Ticket ermöglicht es einem Administrator, ein Ticket für einen ausgewählten Kunden zu erstellen –
Wählen Sie den Kunden aus und legen Sie dann einen Betreff, eine Priorität und eine Beschreibung fest. Abonnenten öffnen auch
ihre eigenen über das Kundenportal oder den Telegram -Bot.
An einem Ticket arbeiten
Öffnen Sie ein Ticket, um den vollständigen Konversationsthread zu lesen. Von dort aus können Sie:
Dem Kunden antworten – eine öffentliche Nachricht, die der Abonnent sieht
ihr Portal und über den Telegram -Bot.
Fügen Sie eine interne Notiz hinzu – eine Nachricht nur für Mitarbeiter, die vor dem verborgen ist
Kunde, für Übergabenotizen zwischen Ihrem Team.
Ändern Sie den Status und die Priorität des Tickets.
Klicken Sie mit der rechten Maustaste auf eine beliebige Zeile – oder verwenden Sie die Schaltfläche ⋮ – für denselben Status, dieselbe Priorität und dieselbe Antwort
und interne Notizaktionen, ohne die Warteschlange zu verlassen.
Täglicher Betrieb
Benachrichtigungszentrum
SAMM hält Abonnenten automatisch auf dem Laufenden – über E-Mail und Telegram – und ermöglicht das Versenden von Nachrichten. Die
Der samm-notification -Dienst liefert alles über eine gedrosselte Warteschlange.
Die Seite System → Benachrichtigungscenter verfügt über sechs Registerkarten.
Übersicht
Die Landing-Registerkarte – Live-Zählungen (in der Warteschlange, gesendet, heute gesendet, fehlgeschlagen, übersprungen,
deaktiviert), den Status jedes Lieferkanals und einen Feed der aktuellsten
Benachrichtigungen.
Kanäle
Konfigurieren Sie, wie Nachrichten gesendet werden SAMM . E-Mail verwendet eine eigene Benachrichtigung
Konto, getrennt vom Passwort-Wiederherstellungs-SMTP in Einstellungen . Telegram verwendet einen Bot-Token. Jeder Abonnent wählt im Kundenportal aus, welche Kanäle er nutzen möchte
wollen und können ganz darauf verzichten.
Nachrichten
Die Nachrichten- -Vorlagen , ein Satz pro Ereignis. Bearbeiten Sie den Wortlaut
Benachrichtigungen – Verlängerungserinnerungen, Quittungen und mehr – damit jede Nachricht versendet wird
in deiner eigenen Stimme und Sprache.
Regeln & Timer
Auf dieser Registerkarte wird festgelegt, wann und wie automatische Benachrichtigungen ausgelöst werden. Für jedes von Ihnen kontrollierte Ereignis:
Ob die Regel auf ist.
Deaktivierung ignorieren – wenn diese Option aktiviert ist, erreicht die Nachricht jeden Abonnenten
auch wenn sie sich abgemeldet haben. Reservieren Sie es für wichtige Transaktionsnachrichten.
Zeitpunkt – zum Beispiel, wie viele Tage vor Ablauf einer Verlängerung
Erinnerung wird gesendet.
Lieferung & Drosselung – der Worker leert die Warteschlange eins
Charge pro Tick; Die Stapelgröße und das Tick-Intervall bestimmen zusammen, wie schnell Nachrichten gesendet werden
gehen aus, sodass eine große Sendung niemals Ihren Mailserver überschwemmt.
Zu den Ereignissen, die SAMM einzeln ausgegeben werden können, gehört die Erneuerungserinnerung .
(bevor ein Abonnement abläuft), die Ablaufmitteilung (wenn es abläuft),
die -Kontingentwarnung (da die Datenobergrenze zur Neige geht), die -Zahlung
Quittung (wenn eine Zahlung erfasst wird) und Plan verlängert .
Rundsendung
Senden Sie eine einmalige Nachricht – ein Wartungsfenster, eine Preisänderung – an eine ausgewählte Gruppe von
Abonnenten. Die Übertragung durchläuft dieselbe gedrosselte Warteschlange wie bei der automatischen Übertragung
Benachrichtigungen.
Postausgang
Jede Nachricht SAMM wurde in die Warteschlange gestellt oder gesendet, mit ihrem Zustellungsstatus pro Nachricht, also Sie
kann bestätigen, dass eine Benachrichtigung beim Abonnenten eingegangen ist, oder sehen, warum dies nicht der Fall war.
System
WireGuard VPN
SAMM kann normalerweise einen WireGuard VPN-Server auf dem Host SAMM ausführen
für Remote-Administratorzugriff auf die SAMM -Box und Verwaltungszugriff auf die MikroTiks
dahinter. Die Verwaltung erfolgt vollständig über System → VPN . Nein
Schale benötigt.
Server-Registerkarte
Klicken Sie auf Schlüssel generieren , um das Serverschlüsselpaar zu erstellen. Die Der öffentliche Serverschlüssel wird nach der Generierung angezeigt – Clients benötigen ihn.
Legen Sie den Listen Port (UDP, Standard 51820 ) fest Server-Tunnel-Adresse (das CIDR auf der wg0 -Schnittstelle,
Standardwert 10.254.254.1/24 ) und der Client-IP-Bereich –
Die Start- und Endadressen SAMM werden automatisch an neue Peers verteilt.
Aktivieren Sie VPN aktivieren WireGuard und klicken Sie auf Speichern – SAMM ruft die Schnittstelle wg0 auf. Der Schalter ist gesperrt, bis der Server die Tasten betätigt
existieren.
Clients-Registerkarte
Klicken Sie auf Client hinzufügen , geben Sie dem Peer einen Namen und SAMM weist ihm den zu
nächste Adresse aus dem Kundenkreis. Für jeden Peer können Sie seine Konfigurationsdatei herunterladen.
Scannen Sie einen QR-Code mit der mobilen App WireGuard oder kopieren Sie den fertigen Code MikroTik RouterOS Befehle, um einen Router in das VPN einzubinden. Gleichaltrige können sein
ein-/ausschaltbar oder gelöscht; Statusfarben zeigen an, ob jeder verbunden, veraltet oder ist
noch nie gesehen.
Schlüssel neu generieren ist destruktiv
„Schlüssel neu generieren“ ändert das Schlüsselpaar des -Servers . Jeder bereits bereitgestellte Client
In der Konfigurationsdatei ist der alte öffentliche Serverschlüssel integriert und die Verbindung wird erst dann unterbrochen, wenn Sie dies tun
Verteilen Sie die aktualisierte Konfiguration erneut. Die Benutzeroberfläche verbirgt dies hinter einem Dialog zur Typbestätigung.
System
Cloudflare-Tunnel
Ein Cloudflare Zero Trust-Tunnel veröffentlicht SAMM im öffentlichen Internet , ohne die Firewall-Ports zu öffnen – nützlich, wenn der Host SAMM inaktiv ist
hinter NAT. Die Verwaltung erfolgt über System → Cloudflare Tunnel .
Dienststatus
Die Seite wird mit einer Statuskarte geöffnet, die den Status des Connectors meldet:
Zustand
Bedeutung
Läuft
Der Tunnel ist aktiv und leitet Datenverkehr weiter
Gestoppt
Konfiguriert, aber derzeit nicht aktiv
Nicht konfiguriert
Das Binary ist vorhanden — Token einfügen zum Einrichten
Nicht installiert
Führen Sie install.sh erneut aus, um die Binärdatei cloudflared zu installieren
Es zeigt auch die Cloudflared Version und ob die
Connector ist auf automatischer Start beim Booten eingestellt.
Tunnel konfigurieren
Im Cloudflare Zero Trust-Dashboard
( one.dash.cloudflare.com ), öffnen Sie Netzwerke → Tunnel und Erstellen Sie einen Tunnel .
Wählen Sie den Connector Cloudflared , benennen Sie den Tunnel und speichern Sie ihn. Auf
Kopieren Sie im Installationsschritt nur das Token – die lange Zeichenfolge danach --token .
Fügen Sie es in SAMM ein und klicken Sie auf Tunnel konfigurieren . SAMM übergibt die
Token an cloudflared und startet den Connector.
Fügen Sie in Cloudflare einen öffentlichen Hostnamen hinzu: Ihre gewählte Adresse,
Typ HTTP , URL localhost:80 (Proxy durch Nginx –
empfohlen) oder localhost:8000 (direkt zur API).
Innerhalb weniger Sekunden wird das Statusabzeichen grün und SAMM ist auf der erreichbar
öffentlicher Hostname. Nach der Konfiguration können Sie mit Ein-Klick-Aktionen Starten , Stoppen oder Neustarten des Connectors, Ersetzen
Token , um ihn zu drehen, oder Tunnel entfernen (ein Typ- REMOVE - zur Bestätigung
Aktion).
Keine offenen Ports, Token nie in der Datenbank
Der Tunnel stellt eine ausgehende -Verbindung zum Edge von Cloudflare her – nein
Firewall-Port jemals auf dem Server geöffnet ist. Der Token wird weitergeleitet an cloudflared und gespeichert unter /etc/cloudflared/ ; SAMM niemals
speichert es in der Datenbank. TLS endet am Rand von Cloudflare , sodass SAMM selbst ausgeführt wird
einfaches HTTP auf dem Loopback.
System
Einstellungen
System → Einstellungen enthält die Live-, Hot-Reloadable-Funktion
abstimmbare Elemente. Die Daemons lesen sie beim nächsten Tick erneut – kein Neustart des Dienstes
benötigt . Die Einstellungen sind in Registerkarten organisiert.
Allgemeine Einstellungen
Einstellung
Standard
Steuerung
samm-radius interval
30 s
Wie oft zeitgesteuerte Ereignisse ausgewertet und CoAs gesendet werden
samm-worker interval
60 s
Router-Ping + MikroTik-API-Synchronisationstakt
Buchungs-Zwischenintervall
60 s
Das an Router übertragene Buchhaltungsintervall
Tägliche Rücksetzzeit
00:00
Wann tägliche Nutzungszähler zurückgesetzt werden
Server-Zeitzone
UTC
Zeitzone für Geschwindigkeitsfenster und den täglichen Reset
CoA-Standardport
3799
Standard-UDP-Port für CoA-Pakete
Maximale CoA-Wiederholungen
3
Wiederholungen vor dem Disconnect-Request-Fallback
Verringern Sie das Samm-Radius-Intervall für eine strengere Durchsetzung. Heben Sie es an, um die Belastung zu verringern.
ISP-Registerkarte
Legen Sie Ihre ISP-Identität fest und laden Sie ein ISP-Logo hoch. Die Größe des Logos wird geändert
automatisch und erscheint auf gedruckten Hotspot-Karten und Rechnungs-PDFs.
E-Mail-Registerkarte
Konfigurieren Sie den SMTP-Server, der für Passwort-Wiederherstellungscodes verwendet wird, an die gesendet wird
Administratoren und Kunden (Host, Port, SSL/STARTTLS, Benutzername, Absenderadresse, Passwort).
Klicken Sie auf Verbindung testen , um die Anmeldeinformationen zu überprüfen, ohne E-Mails zu senden.
Zwei E-Mail-Konten
Die Registerkarte „E-Mail“ dient hier nur der OTP-/Passwortwiederherstellung. Das Konto, für das verwendet wird
Kunden- -Benachrichtigungen werden separat im konfiguriert Benachrichtigungscenter .
System
Administratoren & Rollen
System → Administratoren verwaltet, wer sich beim Administrator anmelden kann
Portal und was jede Person tun kann. Es gibt zwei Registerkarten: Administratoren und Rollen .
Admin-Konten
Erstellen Sie einen Administrator mit einem Benutzernamen, einem Passwort, einer optionalen E-Mail-Adresse und einer Rolle. Aus einer Reihe
Im Menü ⋮ können Sie die Rolle oder das Passwort bearbeiten, das Konto deaktivieren oder löschen. Nur ein Superadmin kann andere Administratoren verwalten.
Rollen & Berechtigungen
Eine -Rolle gewährt Zugriff pro Bereich. Der integrierte Superadministrator Die Rolle hat immer vollen Zugriff und kann nicht geändert werden. Erstellen Sie benutzerdefinierte Rollen für eine begrenzte Anzahl
Zugriff – Eine neue Rolle beginnt ohne Zugriff, bis Sie ihre Berechtigungen festlegen.
Für jeden Bereich von SAMM (Abonnenten, Pläne, NAS, Buchhaltung, Tools, Einstellungen usw.) wird eine Rolle auf eine von drei Ebenen festgelegt:
Ebene
Bedeutung
Nicht erlaubt
Der Bereich ist vollständig aus der Seitenleiste ausgeblendet
Ansehen
Nur-Lese-Zugriff
Bearbeiten
Vollzugriff — erstellen, ändern, löschen
Datensichtbarkeitsbereich
Jede Rolle hat auch einen Geltungsbereich. Alle Kunden & anzeigen Karten bedeutet die
Rolle sieht jeden Datensatz; Wenn die Option deaktiviert ist, sehen die Administratoren nur die Abonnenten und Karten sie selbst erstellt – ideal für Wiederverkäufer oder Filialmitarbeiter.
Die Lizenz ist immer erreichbar
Die Seite System → Lizenz ist absichtlich ausgenommen
die Berechtigungsmatrix – sie ist der Wiederherstellungspfad aus einem Lockdown und darf niemals einer sein
vor jedem Admin verborgen.
System
Tools
Der Abschnitt Tools bündelt Massen- und Wartungsdienstprogramme.
Sicherung & Wiederherstellung
Erstellen Sie vor jeder größeren Änderung einen vollständigen Datenbank-Snapshot. Ein Backup ist ein komprimiertes Backup pg_dump -Archiv, das auf dem Server gespeichert ist, jedes mit einem SAMM -Header.
Backup erstellen – optional eine Notiz hinzufügen; Kreuzen Sie Nutzung & überspringen an.
History für einen kleineren, schnelleren Dump, der umfangreiche Protokolltabellen weglässt.
Laden Sie ein Backup auf Ihren PC herunter oder laden Sie ein hoch
vorherige SAMM Sicherung zurück auf den Server.
Wiederherstellung überschreibt die aktuelle Datenbank – geschützt durch a
Geben Sie „ RESTORE “ ein, um den Dialog zu bestätigen.
Verlaufsbereiniger
Löschen Sie alte Protokoll- und Verlaufszeilen dauerhaft, um Speicherplatz in der Datenbank freizugeben. Wählen Sie ein
Retention-Voreinstellung auswählen und bestätigen. Der Reiniger schneidet geschlossene RADIUS-Sitzungen nach der Authentifizierung ab
Aufzeichnungen, tägliche Nutzungs-Rollups, Router-/Schnittstellenverlauf, Einschränkungsprotokolle, angewandte Prüfung
Einträge und fertige CoA-Zeilen. Es berührt niemals Live-Sitzungen in der Warteschlange
Befehle, ausstehende CoAs oder die nicht rücksetzbaren Nutzungsgesamtwerte auf Lebenszeit.
Zuerst eine Sicherung erstellen
History Cleaner löscht dauerhaft. Führen Sie bei Bedarf vor der Reinigung ein Backup durch
die Daten später.
Export / Import
Massenexport und -import für Benutzer, Pläne und NAS als .csv oder .xlsx . Laden Sie eine Vorlage herunter (die richtigen Spalten plus a
Beispielzeile) oder eine Momentaufnahme der aktuellen Daten, füllen Sie diese aus und laden Sie sie wieder hoch. Jede Zeile ist
validiert und auf einem Vorschaubildschirm angezeigt – Duplikate und ungültige Zeilen
werden angezeigt, und Sie entscheiden, ob Duplikate übersprungen oder an Ort und Stelle aktualisiert werden sollen – und zwar vorher
alles ist geschrieben.
Massenänderungen
Wenden Sie eine Änderung – Besitzer, Ablaufdatum, Status oder automatische Verlängerung – auf alle an
Abonnent, der einem Filter entspricht, in einem einzigen Durchlauf. Wählen Sie die Änderung aus, erstellen Sie den Filter
(Status/Plan/Eigentümer/Suche), überprüfen Sie die Übereinstimmungsliste und bestätigen Sie.
Massenlöschung
Durch Filter ausgewählte Abonnenten oder Hotspot-Karten auf einmal dauerhaft löschen.
Durch das Löschen eines Abonnenten werden auch dessen Nutzungsverlauf, Sitzungen, RADIUS-Accounting usw. entfernt
Rechnungen und trennt alle Live-Sitzungen. Wird durch einen Typ- DELETE -Dialog zur Bestätigung gesteuert.
System
Sprachen & Themes
Sprachen
Die Admin- und Kundenportale sind vollständig übersetzbar. Im Lieferumfang sind sechs Sprachen enthalten: Englisch, Arabisch (von rechts nach links), Türkisch, Französisch, Spanisch und Deutsch . Jeder Benutzer wählt seine Sprache aus der oberen Leiste oder aus
Profil; Die Auswahl wird pro Konto gespeichert.
Der Übersetzungseditor
Ein Superadmin kann Übersetzungen live bearbeiten System → Übersetzungen – kein Neustart, keine Dateibearbeitung.
Der Editor erstellt auch völlig neue Sprachen und importiert/exportiert Übersetzungen
Arbeitsmappen als .xlsx , sodass Sie SAMM in jede von Ihnen bereitgestellte Sprache lokalisieren können.
Themes
SAMM liefert 11 visuelle Themen , hell und dunkel. Jeder Benutzer wählt eine aus
Thema aus der oberen Leiste; Die Vorschau wird sofort aktualisiert und pro Konto gespeichert. IT
Terminologie wird nie übersetzt, sodass technische Bildschirme in jeder Sprache präzise bleiben.
System
Audit-Protokoll
System → Audit-Protokoll ist die Aufzeichnung von Administratoraktionen –
und die Befehlswarteschlange, die sie ausführt. Wenn Sie einen Zähler zurücksetzen, einen Plan ändern,
oder einen Abonnenten erneuern möchten, schreibt SAMM die Aktion hier, anstatt einen Live-Router zu berühren
direkt.
Jeder Eintrag zeigt die Aktion, ihr Ziel, den Administrator, der sie ausgelöst hat, und wann sie ausgeführt wird
passiert ist und ob es bereits angewendet wurde. Die
Der samm-radius -Dienst entleert ausstehende Einträge bei seinem nächsten Tick und wo
Bei Bedarf wird ein CoA ausgegeben, um eine Live-Sitzung zu aktualisieren. Das Sidebar-Badge zählt weiterhin Einträge
ausstehend; Das Pipeline-Gesundheitspanel des Dashboards verfolgt den Rückstand.
Warum eine Warteschlange
Das Weiterleiten jeder Administratoraktion durch das Audit-Protokoll bedeutet, dass Änderungen genau übernommen werden
ein Prozess in einer vorhersehbaren Reihenfolge – es gibt nie einen Wettlauf zwischen dem Webportal und
ein Router.
Lizenzierung
Lizenzierung & Stufen
Jede SAMM -Installation wird pro Gerät lizenziert – der Plan bleibt bestehen
diese Installation, sodass Sie mehrere SAMM Server ausführen können, jeder auf seiner eigenen Ebene. Die Stufensätze
drei numerische Großbuchstaben.
Stufe
AAA-Benutzer
Hotspot-Karten
NAS / Router
Nicht registriert
25
200
1
Kostenlos
100
500
2
Pro
2,000
5,000
5
Pro Max
unbegrenzt
unbegrenzt
unbegrenzt
Bei einer Neuinstallation wird unregistriert mit der Mindestuntergrenze ausgeführt. Jedes Feature ist
Verfügbar auf jeder Stufe – die Stufe legt nur die Obergrenzen fest. Erstellen eines Abonnenten, einer Karte oder
NAS, die über die Obergrenze hinausgehen, sind blockiert, bis Sie ein Upgrade durchführen. Es gehen niemals Daten verloren .
Aktivieren & upgraden
Öffnen Sie System → Lizenz .
Aktivieren Sie es, indem Sie sich mit Ihrem SecuryTik -Konto anmelden – oder verwenden Sie es Verknüpfen Sie dieses Gerät mit , auf dem ein von Ihnen genehmigter Code angezeigt wird samm.securytik.com ohne Eingabe
Ihr Passwort auf dem Server. Das Gerät wird am Frei aktiviert.
Um höher zu kommen, fordern Sie Pro oder Pro Max bei an
Dieselbe Seite – ein SecuryTik -Administrator überprüft und genehmigt sie.
Auf der Seite „Lizenz“ wird bei Bedarf auch die Lizenz erneut überprüft und Ihre aktuelle Lizenz angezeigt
Verwendung gegen jede Kappe. Verknüpfung mit Gerät aufheben, die Installation wird auf das zurückgesetzt
unregistrierte Ebene ohne Löschen von Daten.
Wenn eine bezahlte Lizenz abläuft
SAMM löscht niemals Daten. Eine abgelaufene Lizenz tritt ordnungsgemäß zurück:
Phase
Was passiert
Warnung
Ein Erinnerungsbanner; alles läuft weiter
Kulanz
Ein kurzes Zeitfenster zur Reaktivierung; Abonnenten bleiben online
Weiche Sperrung
Hintergrunddienste werden gestoppt; RADIUS führt die Authentifizierung etwa sieben Tage lang fort
Harte Sperrung
Die Dienste werden mit Ausnahme der Reaktivierungsseite gestoppt
Durch die Reaktivierung zu einem beliebigen Zeitpunkt wird jeder Dienst automatisch neu gestartet – alle Abonnentendaten und der Verlauf bleiben erhalten.
Automatische Updates
Die automatische Aktualisierung erfolgt unabhängig von der Lizenzierung – Aktualisierungen jeder Stufe und einer abgelaufenen Lizenz
blockiert es nie. SAMM sucht täglich nach einer neuen signierten Version. Von System → Lizenz , zwischen der Sie wechseln können benachrichtigen (Standardeinstellung: ein Banner mit der Schaltfläche Jetzt bewerben ) und automatisch (unbeaufsichtigt anwenden). Jedes Update wird überprüft, gesichert und angewendet
Ort. Sie können das Installationsprogramm auch jederzeit erneut ausführen – es führt ein idempotentes Upgrade durch.
Für Ihre Abonnenten
Kundenportal & Bot
SAMM bietet jedem Abonnenten zwei Self-Service-Oberflächen – ein Webportal und ein Telegram bot – damit sie die Nutzung überprüfen und bezahlen können, ohne Sie zu kontaktieren.
Das Kundenportal
Abonnenten melden sich mit ihrem SAMM -Benutzernamen im SAMM -Site-Stammverzeichnis ( / ) an
und Passwort. Das Portal verfügt über:
Seite
Was der Abonnent sieht
Übersicht
Kontostatus, Plan, Ablauf, heutige und monatliche Nutzung, etwaige ausstehende Rechnungen
Nutzung & Sitzungen
Gesamte Downloads/Uploads, Betriebszeitbudget und vollständiger Sitzungsverlauf
Meine Tarife
Der aktuelle Plan sowie der Katalog der verfügbaren Pläne
Meine Rechnungen
Rechnungsverlauf mit PDF-Download mit einem Klick
Support-Tickets
Öffnen und verfolgen Sie Support-Tickets
Profil
Kontaktdaten bearbeiten, Passwort ändern, Sprache einstellen & Thema, Benachrichtigungen verwalten
Über Profil verbindet ein Abonnent sein Telegram -Konto und bestellt
ihre bevorzugten Benachrichtigungskanäle oder lehnt Benachrichtigungen vollständig ab. Wenn sie
Wenn Sie ihr Passwort vergessen, wird ihnen ein OTP-Code per E-Mail zugesandt (dafür ist die erforderlich). E-Mail-Registerkarte konfiguriert).
Der Telegram-Bot
Der Dienst samm-telegram führt einen interaktiven Self-Service-Bot aus. A
Der Abonnent sendet /start , verifiziert sich einmal mit seinem SAMM -Benutzernamen und
Passwort (der Bot löscht die Passwortnachricht sofort) und kann sie dann vollständig löschen
aus dem Chat:
Überprüfen Sie den Plan, das Kontingent, die Nutzung und das Ablaufdatum
Rechnungen als PDF ansehen und herunterladen
Aktualisieren Sie ihr Profil und ändern Sie ihr Passwort
Öffnen und verfolgen Sie Support-Tickets
Der Bot liefert auch die automatischen Benachrichtigungen – Verlängerungserinnerungen, Ablauf
Benachrichtigungen, Kontingentwarnungen und Quittungen – für Abonnenten, die Telegram verbunden haben.
Referenz
SAMM betreiben
Fast alles wird über das Admin-Portal erledigt. Diese Seite ist die Shell-Referenz für den seltenen Fall, dass Sie sie benötigen.
Dienstverwaltung
# Restart all SAMM services
systemctl restart samm-api samm-radius samm-worker samm-notification samm-telegram
# Live logs for one service
journalctl -u samm-api -f
journalctl -u samm-radius -f
# Validate the FreeRADIUS config after any change
freeradius -CX
Admin-CLI
Für schnelle Abonnentenvorgänge über die Shell. Jeder Befehl wird in die Warteschlange für die Prüfung gestellt
log und beim nächsten samm-radius Tick angewendet – genau wie die UI-Aktionen.
CLI="sudo -u samm /opt/samm/venv/bin/python -m samm_radius.cli"
$CLI reset-quota alice # reset a limit counter
$CLI reset-daily alice
$CLI reset-uptime alice
$CLI reset-expiration alice
$CLI change-plan alice home-50M # switch a subscriber's plan
Konfigurationsdateien
Datei
Enthält
/etc/samm/samm.yaml
Der Datenbank-DSN, die Verbindungspoolgrößen und die Protokollebene
/etc/samm/api.env
Geheimnisse der Portalsitzung und die SMTP-Einstellungen für die Kennwortwiederherstellung
/etc/samm/secret.key
Der Verschlüsselungsschlüssel für gespeicherte Router-API-Passwörter
Diese Dateien bleiben über Upgrades hinweg erhalten und werden nie überschrieben
eine erneute Ausführung des Installationsprogramms. Laufzeit-Tuables (Schleifenkadenzen, tägliche Rücksetzzeit, CoA).
Ports) leben stattdessen in Einstellungen und
ohne Neustart anwenden.
SAMM aktualisieren
Entweder lassen Sie SAMM sich von System → Lizenz aktualisieren,
oder führen Sie das Installationsprogramm erneut aus – siehe Installation → wird aktualisiert. Bei beiden Pfaden werden Migrationen erneut angewendet und Dienste neu gestartet. Ihre Konfiguration und
Daten bleiben unberührt.
Sicherung & Wiederherstellung
Verwenden Sie Extras → Backup & Stellen Sie vollständig wieder her
Datenbank-Snapshot vor jeder größeren Änderung. Um auf einem neuen Host neu zu erstellen, installieren Sie SAMM und
Stellen Sie dann das Backup wieder her.
Referenz
FAQ & Fehlerbehebung
Welche Betriebssysteme unterstützt SAMM ?
Ubuntu 22.04 LTS, Ubuntu 24.04 LTS und Debian 12. Nur Serverqualität Linux –
Desktop-Varianten werden nicht unterstützt. Das Installationsprogramm erwartet systemd, ein neues
PostgreSQL-Installation (eine davon ist für Sie eingerichtet) und Root-Zugriff.
Benötige ich eine Internetverbindung, um SAMM auszuführen?
Nein. SAMM läuft vollständig auf Ihrem eigenen Server und authentifiziert Abonnenten lokal
über RADIUS. Der einzige ausgehende Datenverkehr ist ein periodischer Lizenz-Heartbeat an den SecuryTik -Lizenzserver, damit Ihr Plan validiert bleibt.
Kann ich SAMM in der Cloud ausführen oder muss es vor Ort sein?
Beides funktioniert. Die meisten Betreiber betreiben On-Prem neben ihren Kernroutern; einige rennen
auf einer kleinen Cloud-VM mit einem Cloudflare Zero Trust-Tunnel zurück. Die einzige Voraussetzung
besteht darin, dass die MikroTik -Router den SAMM -Server über die RADIUS-Ports erreichen können
(1812/1813 UDP) und dass SAMM die Router über die MikroTik API erreichen kann.
Muss ich FreeRADIUS neu starten, wenn ich einen Router hinzufüge oder entferne?
Nein. SAMM löst NAS-Clients dynamisch aus der Datenbank auf und fügt daher Folgendes hinzu:
Bearbeiten oder Entfernen eines Routers in MikroTik → NAS tritt ohne Neustart in Kraft.
Wie schnell wird eine Planänderung oder ein Zähler-Reset wirksam?
Administratoraktionen werden in die Warteschlange gestellt und vom Dienst samm-radius angewendet
sein nächster Tick – standardmäßig innerhalb von 30 Sekunden. Wenn der Abonnent online ist, SAMM sendet außerdem ein Live-CoA, um die Sitzung zu aktualisieren. Verringern Sie das Samm-Radius-Intervall in System → Einstellungen für engeres Timing.
Was passiert mit meinen Daten, wenn eine kostenpflichtige Lizenz abläuft?
Es wird nie etwas gelöscht. Eine erloschene Lizenz tritt durch Verwarnung, Gnade usw. zurück
Soft Lockdown (RADIUS authentifiziert sich etwa eine Woche lang weiter) und schließlich ein Hard
Sperrung. Bei einer Reaktivierung zu einem beliebigen Zeitpunkt wird jeder Dienst mit intakten Daten neu gestartet.
Ist SAMM kostenlos? Was fügt Pro hinzu?
Die Free-Stufe ist für immer kostenlos und beinhaltet alle Funktionen. Pro und Pro Max
Schalten Sie keine Funktionen frei – sie erhöhen die Obergrenzen für AAA-Benutzer, Hotspot-Karten usw
Router. Siehe Lizenzierung & Ebenen .
Ein Abonnent kann sich nicht authentifizieren – wo fange ich an?
Überprüfen Sie, ob das gemeinsame RADIUS-Geheimnis des Routers genau mit dem NAS-Eintrag übereinstimmt.
dass der Router für PPP / Hotspot RADIUS aktiviert ist und dass der Teilnehmer
Das Konto ist aktiv und nicht abgelaufen. Beobachten Sie journalctl -u samm-api -f und das FreeRADIUS -Protokoll und bestätigen Sie, dass der Router den SAMM -Host über UDP erreichen kann
1812/1813.
Mehr Hilfe benötigt?
Senden Sie eine E-Mail an [email protected] , um einen Fehler zu melden oder
eine Funktion anfordern.