Настройка Wi-Fi точки доступа Mikrotik с авторизацией по номеру

Обновлено: 06.07.2024

Шлюз MikroTik HotSpot обеспечивает аутентификацию клиентов перед доступом к общедоступным сетям.

Возможности HotSpot Gateway:

  • различные методы аутентификации клиентов с использованием локальной базы данных клиентов на маршрутизаторе или удаленного сервера RADIUS;
  • учет пользователей в локальной базе данных на маршрутизаторе или на удаленном RADIUS-сервере;
  • система ограждения-сада, доступ к некоторым веб-страницам без авторизации;
  • модификация страницы входа, где можно разместить информацию о компании;
  • автоматическое и прозрачное изменение любого IP-адреса клиента на действительный адрес;
  • начиная с версии 6.48 HotSpot может сообщать DHCP-клиентам, что они находятся за закрытым порталом (RFC7710);

Точка доступа может надежно работать только при использовании IPv4. Точка доступа использует правила NAT брандмауэра, которые в настоящее время не поддерживаются для IPv6.

Подкатегории

Список справочных подстраниц

Примеры использования

Список примеров

Настройка точки доступа

Самый простой способ настроить сервер HotSpot на маршрутизаторе — использовать команду /ip hotspot setup. Маршрутизатор попросит ввести параметры, необходимые для успешной настройки HotSpot. По завершении будет добавлена ​​конфигурация по умолчанию для сервера HotSpot.

Что было создано:

Параметры, запрашиваемые в процессе установки

Параметр Описание
интерфейс точки доступа ( строка; По умолчанию: разрешить) Имя интерфейса, на котором будет запускаться HotSpot. Чтобы запустить HotSpot на интерфейсе моста, убедитесь, что общедоступные интерфейсы не включены в порты моста.
локальный адрес сети (IP; по умолчанию: 10.5.50.1/24) Адрес шлюза HotSpot
маскировать сеть (да | нет; по умолчанию: да) Необходимо ли маскировать сеть HotSpot, когда правило yes добавляется в /ip firewall nat с помощью action=masquerade
пул адресов сети (string; по умолчанию: да) пул адресов для сети HotSpot, который используется для изменения IP-адреса пользователя на действительный адрес. Полезно при предоставлении доступа к сети мобильным клиентам, которые не желают изменять свои сетевые настройки.
выберите сертификат (none | import-other-certificate; По умолчанию: ) Выберите сертификат SSL, если требуется метод авторизации HTTPS.
ip-адрес smtp-сервера (IP; По умолчанию: 0.0.0.0) IP-адрес SMTP-сервера, на который перенаправляются сетевые SMTP-запросы HotSpot (25 порт TCP)
dns-серверы (< em>IP; по умолчанию: 0.0.0.0) Адреса DNS-серверов, используемые для клиентов HotSpot, конфигурация берется из меню /ip dns шлюза HotSpot
dns name (string; по умолчанию: "") доменное имя сервера HotSpot, требуется полное качественное доменное имя, для пример www.example.com
имя пользователя локальной точки доступа (строка; по умолчанию: "admin") имя пользователя один автоматически созданный пользователь HotSpot, добавленный в /ip пользователя горячей точки
пароль пользователя' (string; По умолчанию: ) Пароль для автоматически созданного пользователя HotSpot

IP-точка доступа

Меню предназначено для управления серверами HotSpot роутера. Можно запустить HotSpot на интерфейсах Ethernet, беспроводной сети, VLAN и моста. Для каждого интерфейса допускается один сервер HotSpot. Когда HotSpot настроен на интерфейс моста, установите интерфейс HotSpot как интерфейс bridge, а не как порт моста, не добавляйте общедоступные интерфейсы к портам моста. Вы можете добавить серверы HotSpot вручную в меню /ip hotspot, но рекомендуется запустить /ip hotspot setup, который добавит все необходимые настройки.

  • имя (текст): имя или идентификатор сервера HotSpot
  • address-pool (name / none; по умолчанию: none): адресное пространство, используемое для изменения любого IP-адреса клиента HotSpot на допустимый адрес. Полезно для предоставления доступа к общедоступной сети мобильным клиентам, которые не хотят изменять свои сетевые настройки.
  • idle-timeout (time / none; по умолчанию: 5m): период бездействия для неавторизованных клиентов. При отсутствии трафика от этого клиента (буквально клиентский компьютер должен быть выключен), по истечении таймаута, пользователь удаляется из списка хостов HotSpot, его используемый адрес становится доступным
  • keepalive-timeout (time / none; по умолчанию: none): значение, указывающее, как долго хост может оставаться вне досягаемости, чтобы быть удаленным из HotSpot.
  • время ожидания входа (время / нет; по умолчанию: нет): период времени, по истечении которого, если хост не был авторизован в системе, запись хоста удаляется из таблицы хостов. Цикл повторяется до тех пор, пока хост не войдет в систему.Включите, если есть ситуации, когда хост не может войти в систему после несанкционированного пребывания в таблице хостов.
  • interface (название интерфейса): интерфейс для запуска HotSpot
  • addresses-per-mac (integer/unlimited; по умолчанию: 2): количество IP-адресов, разрешенных для привязки к MAC-адресу, когда несколько клиентов HotSpot подключены к одному MAC-адресу
  • profile (имя; по умолчанию: по умолчанию) — профиль HotSpot по умолчанию для сервера HotSpot, который находится в /ip профиле точки доступа

keepalive-timeout (только для чтения; время): точное значение keepalive-timeout, применяемое к пользователю. Значение показывает, как долго хост может оставаться вне досягаемости, чтобы быть удаленным из HotSpot

IP-точка доступа активна

Активное меню HotSpot показывает всех клиентов, прошедших аутентификацию в HotSpot, меню носит информационный характер, здесь ничего нельзя изменить.

IP-хост

В таблице хостов перечислены все компьютеры, подключенные к серверу HotSpot. Таблица хостов носит информационный характер и в ней нельзя изменить какое-либо значение

  • mac-address (только для чтения; MAC-адрес): MAC-адрес пользователя HotSpot
  • адрес (только для чтения; IP-адрес): исходный IP-адрес клиента HotSpot
  • to-address (только для чтения; IP-адрес): новый адрес клиента, назначенный HotSpot, он может совпадать с исходным адресом.
  • сервер (только для чтения; имя): имя сервера HotSpot, к которому подключен клиент
  • bridge-port (только для чтения; имя): /interface порт моста, к которому подключен клиент, значение неизвестно, если точка доступа не настроена на мосту
  • время работы (только для чтения; время): значение показывает, как долго пользователь находится в сети (подключен к точке доступа)
  • idle-time (только для чтения; время): время бездействия пользователя
  • idle-timeout (только для чтения; время): значение времени простоя клиента (неавторизованный клиент)
  • keaplive-timeout (только для чтения; время): значение тайм-аута keepalive для неавторизованного клиента
  • байты на входе (только для чтения; целое число): количество байтов, полученных от неавторизованного клиента.
  • packet-in (только для чтения; целое число): количество пакетов, полученных от неавторизованного клиента
  • bytes-out (только для чтения; целое число): количество байтов, отправляемых неавторизованному клиенту
  • packet-out (только для чтения; целое число): количество пакетов, отправленных неавторизованному клиенту

Привязки IP

Подменю: /ip hotspot ip-binding

Меню IP-Binding HotSpot позволяет настроить статические преобразования NAT One-to-One, позволяет обходить определенных клиентов HotSpot без какой-либо аутентификации, а также позволяет блокировать определенные хосты и подсети из сети HotSpot

  • все — будут применяться ко всем серверам точек доступа
    • .
  • обычный — выполняет NAT One-to-One в соответствии с правилом, транслирует адрес в адрес
  • bypassed – перевод выполняется, но клиент не может войти в HotSpot.
  • заблокировано - трансляция не выполняется и пакеты с хоста отбрасываются

Файлы cookie

Подменю: /ip hotspot cookie

Свойство Описание
домен (строка ) Имя домена (если оно отделено от имени пользователя)
истекает через (время) Срок действия файла cookie
mac-address (MAC) MAC-адрес клиента
пользователь (строка) имя пользователя HotSpot

Использование опции DHCP для рекламы URL-адреса HotSpot

Большинство устройств, таких как современные смартфоны, выполняют некоторую фоновую проверку, чтобы определить, не находятся ли они за закрытым порталом. Они делают это, запрашивая известную веб-страницу и сравнивая содержимое этой страницы с тем, что должно быть. Если содержимое отличается, устройство предполагает наличие страницы входа и создает всплывающее окно с этой страницей входа.

Это происходит не всегда, так как эта "известная веб-страница" может быть заблокирована, занесена в белый список или недоступна во внутренних сетях. Чтобы улучшить этот механизм, был создан RFC 7710, позволяющий HotSpot информировать всех DHCP-клиентов о том, что они находятся за устройством авторизованного портала и что им необходимо пройти аутентификацию для получения доступа в Интернет, независимо от того, какие веб-страницы они запрашивают или не запрашивают. .

В Minim мы отвечаем на вопросы клиентов о настройке маршрутизаторов MikroTik для выполнения различных функций. В этом блоге мы расскажем, как настроить маршрутизаторы MikroTik для работы HotSpot Gateway.

Точки доступа отлично подходят для малых предприятий, которые хотят предоставлять Wi-Fi своим клиентам, не беспокоясь о компрометации своей сети. Это также может быть полезным инструментом для компаний в ситуации с сотрудником WFH. Какой бы ни была причина, по которой вы хотите настроить MikroTik с активированной функциональностью шлюза HotSpot, мы предоставим вам шаги, необходимые для этого.Наше руководство ниже основано на настройке сервера MikroTik HotSpot от Мудасира Мирзы, которую мы также рекомендуем прочитать — мы также добавили некоторые полезные детали.

Если вы еще не ознакомились с нашим блогом о первоначальной настройке маршрутизатора MikroTik, начните с него. В противном случае читайте дальше, чтобы узнать, как настроить маршрутизатор MikroTik для шлюза HotSpot.

Как настроить маршрутизатор MikroTik для работы HotSpot Gateway

Назначение и функции HotSpot

Шлюз MikroTik HotSpot обеспечивает аутентификацию клиентов перед доступом к общедоступным сетям. HotSpot надежно работает только при использовании протокола IPv4; HotSpot использует правила NAT брандмауэра, которые не поддерживаются IPv6.

Возможности шлюза HotSpot:

  • Различные методы аутентификации клиентов с использованием локальной клиентской базы данных на маршрутизаторе или удаленном сервере RADIUS
  • Учет пользователей в локальной базе данных на маршрутизаторе или на удаленном RADIUS-сервере
  • Система Walled-garden, доступ к некоторым веб-страницам без авторизации
  • Изменения страницы входа для компаний
  • Автоматическое и прозрачное изменение любого IP-адреса клиента на действительный адрес

Настройка точки доступа MikroTik

Самый простой способ настроить сервер HotSpot на маршрутизаторе MikroTik — через портал WebFig. Войдите в свой маршрутизатор, вставив его IP-адрес в строку поиска и введя свои учетные данные администратора.

Вы должны перейти на главный экран. Найдите кнопки в правом верхнем углу с надписью Quick Set, WebFig и Terminal. Нажмите кнопку Терминал.

Во-первых, нам нужно настроить интерфейс, подключенный к глобальной сети. Введите ниже в терминал и нажмите Enter:

IP-адрес add address=192.168.1.5/24 network=192.168.1.0 широковещательный=192.168.1.255 interface=ether1

Примечание: вы не сможете скопировать и вставить код в терминал. Вам нужно будет ввести его, поэтому будьте осторожны, чтобы не ошибиться!

Теперь нам нужно настроить второй интерфейс для нашей локальной сети. Введите ниже в терминал и нажмите Enter:

IP-адрес add address=10.10.0.1/24 network=10.10.0.0 широковещательный=10.10.0.255 interface=ether2

Теперь оба интерфейса настроены.

Настройка DNS

Далее мы настроим DNS-сервер.

  1. Нажмите кнопку вверху с надписью WebFig. Вы должны перейти к экрану с несколькими кнопками в левой части экрана.
  2. Выберите стрелку раскрывающегося списка IP, затем нажмите DNS. Заполните соответствующую информацию, предоставленную вашим интернет-провайдером, и убедитесь, что установлен флажок Разрешить удаленные запросы.
  3. Примените настройки, затем перейдите к кнопке "Маршруты" в левой части экрана.

Настройка маршрутов

  1. Нажмите кнопку "Добавить" в верхней части экрана.
  2. В разделе Шлюз введите IP-адрес шлюза вашего интерфейса WAN. Примените настройки, затем перейдите к кнопке HotSpot в левой части экрана.

Настройка точки доступа

  1. Нажмите кнопку с надписью Настройка HotSpot в верхней части экрана. Выберите ether2, так как это интерфейс, подключенный к локальной сети.
  2. На следующем экране будет запрошен локальный адрес сети. Здесь ничего менять не нужно, поэтому просто нажмите «Далее».
  3. На следующей странице запрашивается диапазон IP-адресов, который будет использоваться DHCP-сервером для предоставления IP-адресов клиентам. Убедитесь, что диапазон IP-адресов подходит для сервера. Когда закончите, нажмите "Далее".
  4. Выберите «нет» для сертификата. Нажмите "Далее".
  5. Нажмите "Далее".
  6. Нам не нужно вносить какие-либо изменения в этот экран, поскольку мы уже настроили его на предыдущем шаге. Нажмите "Далее".
  7. Теперь вам нужно определить имя вашего сервера, с помощью которого клиенты смогут получить доступ к странице входа в HotSpot через веб-браузер. Введите нужное имя и нажмите «Далее».
  8. Последний шаг — создать пользователя. По умолчанию он создает пользователя admin без пароля. Здесь вы можете установить пароль и имя пользователя для пользователя по умолчанию. Измените значения, если хотите, затем нажмите "Далее".

Теперь ваш сервер HotSpot настроен. Попробуйте войти в систему, чтобы убедиться, что все работает правильно.

Minim является партнером программного обеспечения Made for MikroTik и предоставляет инструменты для простой настройки этих маршрутизаторов. Ознакомьтесь с конфигурациями по умолчанию, которые Minim предоставляет для безопасности маршрутизатора MikroTik.

Если вы используете Mikrotik, который уже работает в производственной сети, мы рекомендуем вам сделать резервную копию вашей текущей конфигурации. Перейдите в «Файлы» > «Резервное копирование», затем нажмите, чтобы создать резервную копию текущих конфигураций в файл. При необходимости перетащите новый файл резервной копии на рабочий стол, чтобы сохранить его локально.

Добавление IP-адресов в Mikrotik


Добавьте IP-адрес для своей сети Hotspot, выбрав IP > Адреса. Убедитесь, что вы назначаете IP-адрес правильному интерфейсу, к которому будет подключен коммутатор или точка доступа для сети точки доступа. Также рекомендуется добавлять комментарии к вновь добавленной подсети .

Настройка сервера точки доступа

Чтобы настроить сервер точки доступа, выполните следующие действия:

  1. Нажмите IP > Точка доступа.
  2. Нажмите кнопку «Настройка точки доступа», чтобы открыть мастер.
  3. Выберите правильный интерфейс для сети точки доступа и нажмите "Далее".
  4. Проверьте IP-адрес сервера, который должен быть адресом, который вы создали для сети точки доступа, и нажмите "Далее".
  5. Проверьте диапазон IP-адресов, автоматически выбранный для пользователей точки доступа, и нажмите "Далее".
  6. Игнорируйте настройку сертификата сервера, по крайней мере пока, и нажмите "Далее".
  7. Примите IP-адрес SMTP-сервера по умолчанию (0.0.0.0) или проигнорируйте этот параметр и нажмите "Далее".
  8. Убедитесь, что адрес DNS-сервера из вашего интернет-соединения введен, и нажмите «Далее». Если вы не хотите использовать DNS-сервер от вашего поставщика восходящей линии связи и предпочитаете вместо этого использовать общедоступный DNS, вы можете создать его здесь и нажать «Далее».
  9. Наконец, создайте пользователя локальной точки доступа, как это требуется в процессе настройки; затем нажмите "Далее".

Сервер точки доступа


Дважды щелкните по созданному новому серверу точки доступа (обычно с именем ‘hotspot1’) и выполните следующие действия:

  1. В параметре «Пул адресов» выберите «Нет» в раскрывающемся списке (причина: адреса назначаются DHCP, поэтому это избыточно и может вызвать проблемы).
  2. Установите время ожидания входа в систему равным пяти минутам (00:05:00). Если устройство не авторизовалось в течение этого времени, запись хоста будет удалена из таблицы хостов. Этот цикл повторяется до тех пор, пока устройство не будет аутентифицировано.
  3. Нажмите кнопку "Сбросить HTML" справа и подтвердите, нажав "Да".

Профиль сервера

Редактируйте профиль сервера, созданный на последнем шаге (по умолчанию с именем hsprof1), дважды щелкнув его.


Профиль пользователя

Отредактируйте профиль пользователя, дважды щелкнув его и выполнив следующие действия:

  1. Если в параметре «Тайм-аут поддержания активности» есть значение, нажмите стрелку вверх справа от него, чтобы отключить тайм-аут поддержания активности.
  2. Убедитесь, что флажок ДОБАВИТЬ MAC COOKIE OPTION снят.
  3. Выберите вкладку «Сценарии» и вставьте следующую строку в раздел «При выходе»: /ip hotspot host remove [find where address=”$address” и !authorized и !bypassed]

    4. Привязки IP (необязательно)

    IP-Binding позволяет указать подсеть, которая может проходить аутентификацию только на сервере точки доступа. Это также помогает устранить нежелательный трафик.

    Чтобы разрешить аутентификацию только в сети Hotspot.

    • Добавьте сетевой адрес точки доступа в поле адреса.
    • Установить сервер = весь или конкретный сервер
    • Тип набора = обычный

    Чтобы заблокировать нежелательные хосты/подсети из сети HotSpot (устранение нежелательного трафика).

    • Добавить маршрут с четырьмя нулями (0.0.0.0/0) в поле адреса.
    • Установить сервер = весь или конкретный сервер
    • Установить тип = заблокировано


    Примечание. Убедитесь, что правило удаления добавлено последним в списке. Он заблокирует весь трафик, если он будет добавлен в топ.

    Список IP-адресов окруженного стеной сада

    Список IP-адресов Walled-garden позволяет добавлять URL-адреса или веб-сайты, доступные для клиентов без авторизации. Здесь мы добавим URL-адрес платежного портала, страницу регистрации и страницу входа.


    Очереди

    1. Выберите вкладку "Типы очередей", а затем дважды щелкните маленькую очередь по умолчанию, чтобы открыть ее.
    2. Измените значение типа малой очереди по умолчанию на "SFQ" и оставьте настройки по умолчанию.

    SFQ и RED лучше всего подходят для больших подключений. Однако RED случайным образом отбрасывает пакеты, когда соединение начинает перегружаться. Это нормально для больших каналов, таких как 1 Гбит/с, которые не должны часто перегружаться. Это не так хорошо для домашнего интернета, что вы ожидаете регулярного превышения этих ограничений. Вы не хотите отбрасывать UDP-трафик. Игры и VoIP плохо справляются с потерей пакетов.

    SFQ вставит задержку, которая замедлит TCP-соединения, как правило, без потери пакетов. Слабость SFQ — ресурсы, потребляемые маршрутизатором. Однако у современных MikroTik более чем достаточно ресурсов для управления SFQ. Как правило, для установки рекомендуется использовать SFQ.

    mikrotik- 01 (1)

    Если вы когда-либо пытались настроить маршрутизаторы MikroTik, вы, вероятно, знаете, что это может занять много времени, а интерфейс Winbox не очень удобен в использовании. Мы в Tanaza создали облачный инструмент, который позволяет настроить точки доступа Wi-Fi Mikrotik за считанные секунды. Если не верите… посмотрите наше видео, оно всего 2 минуты!

    После того как вы создали и назвали свой SSID, вы можете настроить параметры входа в точку доступа. Вы можете применить один из шаблонов по умолчанию к своей странице входа или создать свою собственную страницу входа с нуля, используя редактор заставки Tanaza.

    Вот обзор настроек, которые вы можете применить к своей странице входа в Hotspot:

    Добавить методы входа.

    Это первое, что нужно сделать, так как вам нужно выбрать, какие методы аутентификации лучше всего подходят для вашей бизнес-модели и места, где есть Wi-Fi. Таназа предлагает:

    Аутентификация на основе ваучеров в сочетании с методами входа через социальные сети или другими методами может работать для предоставления «пробного» бесплатного доступа к Wi-Fi в течение определенного периода времени, после чего пользователям необходимо повторно пройти аутентификацию через оплаченный ваучер WiFi.

    Показывать рекламу.

    Вы можете изменить настройки маршрутизаторов Mikrotik таким образом, чтобы на заставке показывались ваши графические и видеорекламные объявления. В отличие от системы точек доступа MikroTik, которая время от времени показывает рекламу на странице статуса, системы точек доступа Tanaza показывают рекламу перед аутентификацией, непосредственно на странице входа. Загружаемые объявления могут быть любого формата и могут чередоваться случайным образом или в зависимости от времени или ссылаться на внешние веб-сайты, которые перечислены в огороженном саду.

    Пользовательские виджеты HTML

    Для создания точки доступа Wi-Fi Mikrotik с помощью Tanaza вам не нужны навыки программирования. Редактор перетаскивается и очень прост в использовании. Но если вы хотите добавить пользовательский HTML-виджет, вы можете это сделать!

    Система точки доступа WiFi Tanaza совместима с некоторыми широко используемыми маршрутизаторами MikroTik, включая RB951-2HND, RB951-G-2HND и RB951-UI-2HND. Здесь перечислены все совместимые маршрутизаторы, но мы постоянно работаем над поддержкой новых устройств. Если вы не можете найти свою модель в списке, проверьте наши скоро поддерживаемые устройства или запросите свою модель, используя эту форму.

    В то время как MikroTik разрешает облачное управление только устройствами своей «облачной серии», название которых начинается с CCR (облако-маршрутизатор) или CCS (облако-ядро), Tanaza позволяет облачное управление и создание публичных точек доступа, управляемых облаком, на Топ распространенных моделей роутеров MikroTik.

    Да, Tanaza позволяет управлять пользователями через собственную систему. RouterOS и диспетчер пользователей MikroTik не активируются, если вы создаете точку доступа Tanaza WiFi для своего Mikrotik.

    Система точки доступа Tanaza включает в себя функции контроля злоупотреблений, позволяющие вам ограничивать продолжительность сеанса каждого конкретного пользователя, количество сеансов в день и некоторые другие параметры. Это также позволяет заносить MAC-адреса в черный список и отображать индивидуальное сообщение на странице остановки.

    По умолчанию вам не нужно настраивать какой-либо сервер Radius для AAA (аутентификация, авторизация, учет), чтобы создать точку доступа Wi-Fi MikroTik с Tanaza. Вам также не нужен шлюз MikroTik Hotspot.

    На странице входа в систему Tanaza все реализовано внутри и не использует сервер MikroTik RouterOS Radius, поэтому вам не нужно делать ничего особенного, чтобы ваша точка доступа заработала.

    Страница входа в Tanaza не может работать с внешними серверами Radius.

    Вы по-прежнему можете использовать облачную инфраструктуру Tanaza для управления, мониторинга и контроля ваших точек доступа из облака, создания собственной внешней заставки и, при необходимости, включения сервера Radius, если вам нужно настроить свой собственный.

    Сетевым администраторам разрешено создавать свой огороженный сад, записывая как домены, так и IP-адреса.

    Читайте также: