Alle Fähigkeiten, im Detail
SecuryTik Active Mikrotik Manager
AAA-Kern, Pläne & Limits, Buchhaltung, Admin-Portal, Kundenportal, Telegram Self-Service, mehrsprachige Benutzeroberfläche – alles in einem Installationsprogramm.
FreeRADIUS im Kern
PAP/CHAP-basierte Authentifizierung mit PostgreSQL auf dem Hot Path – Limitauswertung und CoA-Warteschlangen erfolgen innerhalb der Datenbank bei jedem Interim-Update.
Authentifizierung & Abrechnung
- FreeRADIUS 3 + PostgreSQL-Backbone
- PAP- und CHAP-Authentifizierung
- PPPoE- und Hotspot-Unterstützung
- Statische IP-Überschreibung pro Benutzer
- Dynamische NAS-Registrierung – kein Neustart beim Hinzufügen/Entfernen
Hybrides CoA
- Einzelne coa_outbox-Warteschlange, ein Drainer
- CoA-Update zuerst; Automatischer Fallback auf Disconnect-Request bei NACK
- Stammt von samm-radius, nicht von FreeRADIUS
- Anzahl der Wiederholungen und Standardport konfigurierbar in samm.settings
Vier Limittypen, unendliche Kombinationen
Geschwindigkeit (Mbps) + Framed-Pool plus bis zu vier unabhängige Limits – jedes mit seinem eigenen Erschöpfungsverhalten.
Ablauf
- Tage seit der Aktivierung oder Zuweisung
- Am Auspuff: Gas geben / nächster Plan / trennen
Kontingent
- Gesamtbytes – konfigurierbar: beides, nur Download oder nur Upload
- Am Auspuff: Gas geben / nächster Plan / trennen
Täglich
- Bytes seit dem letzten Tagesreset
- Rücksetzzeit pro Umgebung konfigurierbar
- Am Auspuff: Gas geben / nächster Plan / trennen
Betriebszeit
- Kumulative Sitzungssekunden
- Unabhängig von den verbrauchten Bytes
- Am Auspuff: Gas geben / nächster Plan / trennen
Geschwindigkeitsfenster
- Geplante Geschwindigkeitssteigerungen nach Wochentag + Uhrzeitbereich
- Midnight-Crossing wird vollständig unterstützt
- Ausgenommen sind gedrosselte/erschöpfte Benutzer – die Geschwindigkeit wird nie erhöht, solange ein Limit in Kraft ist
Zwei Nutzungszähler
- user_limit_state – rücksetzbare Zähler pro Limit
- user_usage_totals / user_usage_daily – nicht rücksetzbare Abrechnungszähler, die nie auf Null gesetzt werden
- Der Administrator setzt nur den Grenzstatus zurück – die Abrechnung bleibt korrekt
Doppelte Buchführung, integriert
Rechnen Sie so ab, wie ein ISP tatsächlich abrechnet – keine Tabellenkalkulationsbrücken, kein separates Tool.
Rechnungen und Spesen
- Verlängerungsgesteuerte Rechnungsstellung in Verbindung mit Planänderungen
- PDF-Rendering (serverseitig) für Portal und Telegram -Bot
- Automatische Erkennung überfälliger Rechnungen
- Ausgabenverfolgung und -kategorisierung
Wiederverkäufer, Vermögenswerte, Abschreibungen
- Reseller-Konten mit Provisionsverfolgung
- Anlagenbestand mit Abschreibungsplänen
- Echter Kontenplan, echte Doppelbuchung – jede Transaktion ist ausgeglichen
Führen Sie das gesamte Netzwerk von einem Bildschirm aus
Kunden, Pläne, Geräte, Gutscheine, Tickets, Audit-Trail – alles rollenbewusst, sodass jeder Administrator nur das sieht, was er braucht.
Kunden & Tarife
- Kunden anlegen, bearbeiten, sperren, reaktivieren
- Planverwaltung mit Multi-Limit-Konfiguration
- Planwechsel (über Audit-Protokoll in die Warteschlange gestellt; Live-CoA-Aktualisierung)
- Bonität, Saldo und Zahlungshistorie pro Kunde
MikroTik-Inventar
- Live-Ping-Überwachung jedes Routers
- RouterOS Versions- und Identitätssynchronisierung
- Schnittstellenstatistik und -verlauf
- Firewall-Backup, geplante Wiederherstellung
- WiFi / cAPsMAN-Verwaltung
- Nur-Monitor-Modus für Nicht-NAS-MikroTiks
Anwendungsbezogenes QoS
- Ziehen Sie die von Ihren Teilnehmern genutzten Apps und Websites in acht Download-Prioritätsplätze
- Optionale Geschwindigkeitsbegrenzungen pro App und eine Gesamt-Download-Obergrenze
- Automatisch nach Kategorie verteilen — Messaging, Konferenzen, Soziales, Streaming, Downloads und mehr
- Mit einem Klick zu einem MikroTik-Queue-Tree mit Packet-Mark-Regeln kompiliert und übertragen
- Basiert auf demselben Websites & App filter, der auch das Monitoring antreibt
Hotspot-Gutscheinkarten
- Generieren Sie Stapel von Prepaid-Gutscheinkarten
- Benutzerdefiniertes, druckbares Layout
- Plan pro Charge, Ablauf und Preise
Support-Tickets
- Ticketwarteschlange für den Kundensupport mit Statusverfolgung
- Aufgabe, Kommentare, Anhänge, Verlauf
- Telegram Bot-Integration – Kunden können Tickets über den Chat öffnen
Rollenbasierte Berechtigungen
- Drei integrierte Rollen – Superadmin, Manager, Betrachter
- Berechtigungen auf Blockebene pro Seite
- Signierte Cookie-Sitzungen mit striktem SameSite
Live-Sitzungen und Berichte
- Live-Sitzungsansicht – aktuelle Online-Benutzer nach NAS
- Nutzungsberichte pro Kunde, Plan oder NAS
- Zeitreihen-Verkehrsdiagramme
Verkehrstrends und Top-Konsumenten. Ohne Rückfrage.
Abonnenten- und Sitzungstrenddiagramme, täglicher Datenverkehr pro NAS und Top-N-Bandbreitenrankings – alles vorberechnet, kein manuelles SQL.
Abonnenten- und Sitzungstrends
- Konfigurierbarer Zeitraum: Heute / 7d / 14d / 30d / 90d
- Aktive, Online- und abgelaufene Benutzerkurven im Zeitverlauf
- Zeitreihen-Snapshot, der stündlich für den Verlauf gespeichert wird
Verkehr und Top-Konsumenten
- Tägliches Up/Down-Byte-Diagramm pro NAS
- Top 10 Downloads/Uploads heute und diesen Monat
- Aufschlüsselung der Nutzung pro Plan und pro NAS
Self-Service, der die Arbeit tatsächlich entlastet
Abonnenten sehen ihren Plan, ihre Nutzung, Rechnungen und Tickets – ohne den Support zu kontaktieren.
Konto & Nutzung
- Aktueller Plan, Ablauf, Tages- und Gesamtkontingent
- Nutzungsanzeigen in Echtzeit
- Profilbearbeitung und Passwortänderung (Klartext für PAP erforderlich)
Rechnungen und Support
- Rechnungs-PDFs ansehen und herunterladen
- Support-Tickets öffnen, antworten, Dateien anhängen
- Ticketverlauf mit vollständigem Audit-Trail
Self-Service über den Chat
Kunden /starten den Bot, verifizieren ihn einmal mit ihren SAMM -Anmeldeinformationen und erledigen dann fast alles auf der Portalseite von Telegram aus.
Interaktiver Self-Service
- Einmalige Verifizierung mit SAMM Benutzername + Passwort
- Die Passwortnachricht wurde beim Empfang automatisch gelöscht
- Überprüfen Sie Plan, Kontingent, Nutzung und Ablauf
- Profil bearbeiten, Passwort ändern
- Rechnungs-PDFs im Chat ansehen und herunterladen
- Verwalten Sie Support-Tickets – Inline-Tastaturmenüs
Architektur
- Einziger getUpdates-Poller – keine Rennbedingungen
- Konversationsstatus in tg_bot_session (pro Chat gesperrt)
- Verwendet Portalabfragen wieder; Verzweigt niemals den Datenzugriff
- Der Dateiversand erfolgt nach dem Festschreiben der Transaktion und außerhalb der Dispatcher-Sperre
Eine Warteschlange, mehrere Kanäle
Alle ausgehenden Kundennachrichten fließen über eine einzige gedrosselte notif_outbox mit Priorität pro Kundenkanal.
Ereignistypen
- Verlängerungserinnerung, Ablaufmitteilung
- Kontingentwarnung, Planverlängerungsbeleg
- Zahlungsbeleg
- Manuelle Admin-Broadcasts
Kanäle und Routing
- E-Mail und Telegram Kanäle
- Kanalpriorität pro Kunde mit Fallback
- Kanalkonfiguration mit Fernet-verschlüsselten Geheimnissen
- Gedrosselte Zustellung – keine überraschenden SMTP-Rechnungen
Mehrsprachig und thematisch anpassbar
Babel-basiertes i18n mit einem Live-In-Portal-Editor und elf Versandthemen – jeder Benutzer wählt sein eigenes aus.
Sprachen
- Englisch, Arabisch (RTL), Türkisch, Französisch, Spanisch, Deutsch
- Im Konto gespeicherte Spracheinstellungen pro Benutzer
- Fügen Sie zur Laufzeit über die Admin-Benutzeroberfläche neue Sprachen hinzu
- Live-/admin/translations-Editor – kein Neustart
- Exportieren/Importieren von .xlsx-Arbeitsmappen für Übersetzer
Themes
- 11 Versandthemen – helle und dunkle Varianten
- Eine Datenthemaachse, 26 benutzerdefinierte CSS-Eigenschaften pro Palette
- Logische CSS-Eigenschaften – RTL funktioniert automatisch
- Präferenz pro Benutzerkonto gespeichert
Führen Sie SAMM überall aus – auf dem Bare-OS, Docker , MikroTik oder in der Cloud
Ein Produkt, vier Installationspfade. Wählen Sie die Oberfläche aus, die zu Ihrem Netzwerk passt – alle führen dasselbe SAMM aus, kommunizieren mit demselben Lizenzserver und werden mit derselben Version geliefert.
Bare OS – ein Befehl, ein Server
- Ubuntu 22.04 / 24.04 oder Debian 12, einzelnes idempotentes Shell-Skript
- Automatisch generiertes DB-Passwort und Signaturschlüssel beim ersten Start
- Durch erneute Ausführungen werden Upgrades sicher angewendet – kein Zustandsverlust, keine Neukonfiguration
- Integrierter WireGuard -Server und optionaler Cloudflare Zero Trust-Tunnel
Docker – Ubuntu , Windows, überall
- Multi-Arch-Image (Linux/amd64 + Linux/arm64) – ein Tag, jede CPU
- Einzeiliges Installationsprogramm unter Ubuntu /Debian oder Docker Desktop unter Windows / macOS
- Erstellen Sie ein Bundle, das pro Release an einen sha256-Image-Digest angeheftet ist – unveränderliche Upgrades
- Integriertes automatisches Cron-Update – täglicher Zugriff, keine Ausfallzeiten, wenn es nichts Neues gibt
MikroTik Container – direkt auf dem Router
- Fügen Sie die Compose-YAML in RouterOS Container → Apps → Neu → YAML ein – fertig
- Funktioniert mit arm64 MikroTik (RB5009, hAP ax², CCR2004/2116/2216) und amd64-SKUs
- Keine externe Linux -Box, kein separates Hosting – SAMM läuft dort, wo Ihr Netzwerk läuft
- Experimentell in Version 1 – die Bare-OS- oder Docker -Pfade bleiben die empfohlenen Produktionsrouten
Cloud – Hetzner, DigitalOcean, AWS, überall mit einer öffentlichen IP
- Gleiches Ein-Befehl-Installationsprogramm; Funktioniert auf jeder Ubuntu /Debian-VM bei jedem Cloud-Anbieter
- Cloudflare Tunnel veröffentlicht das Administrator-/Kundenportal, ohne Firewall-Ports zu öffnen
- Integriertes WireGuard erreicht MikroTik Router hinter NAT – keine öffentliche IP auf dem Router erforderlich
- Tägliche Backups werden in einem einzigen passwortgeschützten Archiv verschlüsselt – überall wiederherstellbar
Fünf systemd-Dienste
- samm-api — Admin + Kundenportale (FastAPI)
- samm-radius — CoA-Dispatcher, Ablauf-Sweeps
- samm-worker — MikroTik API-Synchronisierung + Ping
- samm-notification — Kanalzustellungsmitarbeiter
- samm-telegram — interaktiver Bot
Erreichen Sie jeden Router – sogar aus der Cloud
Hosten Sie SAMM überall. Ein integrierter WireGuard -Server und ein verwalteter Cloudflare -Tunnel schließen die Lücke zwischen einem Cloud-Server und MikroTik -Routern hinter NAT – keine öffentliche IP, keine Portweiterleitung.
WireGuard-Server
- SAMM erstellt mit einem Klick einen WireGuard -Server – Schlüsselpaar, Schnittstelle und Listen-Port werden für Sie generiert
- Das in der Cloud gehostete SAMM erreicht über einen verschlüsselten Tunnel MikroTik Router hinter CGNAT
- Jeder Router erhält eine sofort einfügbare Peer-Konfiguration – Tunnelaufbau ohne öffentliche IP oder Portweiterleitung
- RouterOS API-, RADIUS- und CoA-Verkehr laufen alle über denselben privaten Link
- Peer-Liste mit dem Status des letzten Handshakes im Admin-Bereich
Cloudflare-Tunnel
- Fügen Sie Ihr Cloudflare -Tunnel-Token ein – SAMM installiert und führt Cloudflared als verwalteten Dienst aus
- Bringen Sie Ihre eigene Domain mit; Die Admin- und Kundenportale werden über HTTPS live geschaltet
- Der Tunnel wählt nach außen – keine eingehenden Firewall-Regeln, keine offengelegte öffentliche IP
- Starten, stoppen und überprüfen Sie den Tunnelzustand über die Registerkarte „System“.
- Gepaart mit WireGuard – steuern Sie SAMM von überall aus, während SAMM die Router erreicht
Massenoperationen und Datenkontrolle.
Verlaufsbereinigung, Massenplanänderungen, Import/Export und Datenbanksicherungen – alles über das Admin-Panel, keine Befehlszeile.
Massenoperationen
- Massenplanänderung – N Abonnenten in einer Aktion neu zuweisen
- Massenlöschung – Entfernen Sie inaktive Abonnenten mit Bestätigung
- Verlaufsbereinigung – Bereinigen Sie alte Sitzungs-/Prüfungszeilen nach Alter
Datenportabilität
- Exportieren/Importieren Sie Abonnenten und Pläne über eine strukturierte Datei
- Datenbanksicherung und -wiederherstellung über das Admin-Panel
Kompatibel mit dem vollständigen SecuryTik-Stack
SAMM ist die Betriebsplattform, die SecuryTik bei seinen eigenen ISP-Rollouts verwendet. Verwenden Sie es eigenständig oder lassen Sie uns die gesamte Umgebung bereitstellen.
Netzwerk & ISP-Dienste
- Vollständiger ISP-Ausbau – WLAN + FTTH/GPON-Glasfaser
- MikroTik Installation, Konfiguration, ISP-Core-Routing
- Captive Portal + RADIUS-Authentifizierungsdesign
- NOC-Einrichtung und laufender 24/7-Betrieb
- SecuryTik Netzwerkdienste →
Serverinfrastruktur
- Bare-Metal- oder virtualisierte SAMM -Bereitstellungen
- HA- und DR-Design mit VMware / Proxmox
- Sicherungs- und Aufbewahrungsrichtlinien
- SecuryTik Serverdienste →
Sicherheitshärtung
- SAMM läuft hinter der verteidigten Infrastruktur
- SIEM-Integration (Wazuh/ELK) für die Aufnahme von AAA-Ereignissen
- Regelmäßige Sicherheitsüberprüfungen und Penetrationstests
- SecuryTik Cybersicherheit →
Verwalteter Betrieb
- NOC-Überwachung Ihrer SAMM -Bereitstellung rund um die Uhr
- Verwaltetes Patching, Backups, Kapazitätsplanung
- SLA-Berichterstattung
- SecuryTik verwaltete IT →