У цій статті ми познайомимося з інструкцією як налаштувати Hotspot і гостьовий Wi-Fi на обладнанні торгової марки MikroTik. Але для початку розберемося чим відрізняються Hotspot і гостьовий Wi-Fi.
Зміст:
Hotspot - це відкрита бездротова мережа при підключенні до якої користувач потрапляє на сторінку авторизації або рекламним банером і після авторизації або натисканні на банер користувач потрапляє в мережу Інтернет. Процедура авторизації може бути будь-який, введення логіна і пароля, соціальні мережі, реєстрація через СМС або e-mail. Мінус таких мереж в тому, що вони не дуже безпечні так як вони не захищені паролем. Але це ж є і плюсом, так як непотрібно шукати пароль від мережі, а просто пройти швидкий процес аутентифікації. Ще один великим плюсом, але вже не для користувачів мережі, а для безпосередніх організаторів, є можливість отримання маркетингової вигоди: показ реклами, отримати дані про Користувача для таргетованої реклами, статистику відвідувань як локальної зони (фізичне розміщення мережі), так і відвідування сайтів, можливість прямої монетизації виходу в інтернет. Hotspot мережі розгортаються в громадських місцях, готелях, публічних зонах, кафе, ресторанах або в ролі гостьової мережі на підприємстві.
Гостьовий Wi-Fi - це окрема бездротова мережа для доступу до мережі Інтернет. Такі мережі можуть бути повністю відкриті або захищені паролем. Ця мережа ізольована від загальної, що підвищує безпеку корпоративної мережі. Такі мережі розгортаються на базі підприємств для приватного доступу до мережі Інтернет. А також її можна розгорнути і в будинку де як правило використовується єдина мережа для всієї користувачів і пристроїв розумного будинку, і щоб гості щось там не накоїли, для них створюється окрема бездротова мережа.
Після ознайомлення з теорією переходимо до практики. У даній статті ми розглянемо кілька варіантів конфігурації Hotspot і гостьової мережі:
- Як налаштувати Hotspot на локальному пристрої.
- Як налаштувати Hotspot в мережі під управлінням CAPsMAN.
- Як налаштувати гостьову мережу на локальному пристрої.
- Як налаштувати гостьову мережу під керуванням CAPsMAN.
- Установка локального Radius сервера.
В даному прикладі настройки будуть проводитися на пристрої RB952Ui-5ac2nd (hp ac lite), RouterOS v6.48.3. Завдяки єдиній операційній системі, дані налаштування можна застосувати на будь-якому іншому пристрої MikroTik.
Як налаштувати Hotspot на локальному пристрої
Налаштування Hotspot знаходиться в (Головне меню-IP-Hotspot), але перед тим як налаштувати основний сервіс, потрібно виконати підготовчі роботи.
Створимо бездротову мережу Hotspot, але так як мережа повинна бути відкрита, потрібно створити Security Profile без ключів шифрування.
Головне меню - Wireless, вибираємо вкладку Security Profile і для створення нового профілю натискаємо «+», так як пароль налаштовувати не потрібно, тому у вкладці General задаємо ім'я профілю, в нашому випадку Hotspot і натискаємо кнопку «ОК».
Далі в меню Wireless у вкладці WiFi Interface створюємо нашу бездротову мережу Hotspot.
ВАЖЛИВО!!! Для кожної частоти потрібно створити окрему назву мережі. В даному прикладі для частоти 2,4 ГГц назва мережі буде Hotspot_WiFi, а для 5ГГц Hotspot_WiFi_5.
Головне меню – Wireless вкладці WiFi Interface, натискаємо «+» і вибираємо Virtual (створюємо віртуальну мережу на основі радіоінтерфейсу) Вкладка General даємо назву інтерфейсу «Hotspot_WiFi», а у вкладці Wireless даємо назву бездротової мережі «Hotspot_WiFi», так як у нас віртуальний інтерфейс призначаємо майстер інтерфейс, в нашому випадку це wlan1 (бездротовий інтерфейс на частоті 2,4 ГГц), далі обираємо профіль безпеки (Security Profile) ранні створений профіль Hotspot, і натискаємо кнопку «ОК». Аналогічні дії повторюємо для радіо інтерфейсу 5ГГц, відмінність буде тільки в назві мережі і у виборі майстер інтерфейсу, він буде «wlan2». Для зручності в даному прикладі назва бездротового інтерфейсу буде збігатися з Назва бездротової мережі.
Далі переходимо і створюємо окремий бридж для Hotspot інтерфейсів.
Головне меню-Bridge і у вкладці Bridge натискаємо «+» і створюємо Bridge з назвою Hotspot. Далі у вкладці Ports додаємо бездротові інтерфейси Hotspot_Wi Fi і Hotspot_WiFi_5 в створений Bridge Hotspot.
І на завершення переходимо безпосередньо до налаштувань Hotspot.
Головне меню - Hotspot, у вкладці Servers і тут скористаємося майстром налаштувань, натискаємо кнопку Hotspot Setup.
- Вибираємо інтерфейс для Hotspot, в нашому випадку це Bridge Hotspot.
- Призначаємо адресацію нашої Hotspot мережі і для того щоб мережа мала вихід в інтернет відзначаємо галочку Masquerade Network.
- Задаємо діапазон IP адрес Hotspot мережі.
- Якщо при авторизації ви не плануєте використовувати з'єднанні захищене сертифікатом SSL то вибираємо»none".
- Установка SMTP сервера, якщо налаштовувати не потрібно, то залишаємо поле за замовчуванням.
- Задаємо адресу DNS сервера, якщо в ролі DNS сервера буде виступати маршрутизатор, то залишаємо поле незаповненим.
- Поле залишаємо не заповненим.
- Створюємо тестову обліковий запис для авторизації. Надалі її можна буде видалити. Після натискання на кнопку "Next" буде створений Hotspot сервер.
Для того щоб відредагувати Hotspot сервер, у вкладку Servers вибираємо створення сервера, в нашому випадку hotspot 1, подвійним кліком заходимо на нього. Тут можна змінити ім'я сервера, змінити інтерфейс, вибрати пул IP адрес і профіль авторизації на Hotspot сервері. Також корисна кнопка "Reset HTML", після натискання на яку стартова сторінка і сторінка авторизації Hotspot сервер обнулятися до стартової.
У вкладці Server Profile налаштовується профіль для первинної авторизації користувачів і метод їх аутентифікації на сервері Hotspot.
Вибравши і відкривши подвійним кліком профіль hsprof1 (він створюється після того як ми скористалися майстром налаштувань і створили наш Hotspot сервер).
Профіль hsprof1 має всього три вкладки:
General: тут можна змінити ім'я профілю, змінити IP адресу Hotspot сервера і безпосереднє розміщення сторінки авторизації (сторінка авторизації може перебувати як на пам'яті пристрою MikroTik, так і на знімному flash носії або карті пам'яті, так і бути розміщений на віддаленому сервері).
Login: тут вибираємо безпосередній метод авторизації на Hotspot сервері, встановивши галочку на методі "Trial" можна не виконувати процедуру авторизації і підключитися до бездротової мережі.
Radius: тут можна налаштувати підключення до Radius сервера як віддаленого так і до локального. (як налаштувати локальний Radius Сервер буде розглянуто в кінці статті)
Щоб додати користувача вручну, потрібно перейти на вкладку «Users», натискаємо кнопку «+» і створюємо користувача, у вкладці General задаємо параметри, логін і пароль, також можна задати IP адресу пристрою, а також прив'язати MAC адресу пристрою. У вкладці Limits, можна задати час перебування Користувача в мережі і виділити певний обсяг трафіку.
А у вкладці "User Profiles" Hotspot сервера можна налаштувати групову політику для користувачів:
- час перебивання
- швидкість з'єднання
- маркування трафік
- постановки в чергу
- підключити скрипт
На цьому конфігурація hotspot сервера закінчена. Для того щоб змінити метод авторизації на створеному нами Hotspot сервері, досить внести зміни в сторінку «login.html«, в нашому випадку він розміщена в пам'яті пристрою в директорії»hotspot". У разі кастомізації стартової сторінки потрібно частково або повністю замінити файли в директорії «hotspot».
Як налаштувати Hotspot в мережі під управлінням CAPsMAN
І так в першій частині ми налаштували Hotspot сервер, тепер залишилося його під'єднати до мережі під управлінням контролера CAPsMAN. Налаштування самого контролера в даній статті розглядати не будемо, з нею можна ознайомитися в статті «контролер бездротової мережі» де описана покрокова настройка CAPsMAN (https://deps.ua/ua/knowegable-base/samples-of-the-technical-solutions/8009.html#a2). В рамках даної статті ми розглянемо тільки особливості настройки CAPsMAN і Hotspot. Однією з особливостей спільної роботи CAPSMAN і Hotspot, вони повинні бути налаштовані на одному пристрої. При створенні профілю Datapaths в CAPsMAN в якості інтерфейсу потрібно вказати Раннє створений Bridge Interface - »Hotspot". Третє, не забуваємо, що бездротова мережа Hotspot повинна бути відкритою. А всі інші налаштування CAPsMAN не відрізняються від звичайних.
Як налаштувати гостьову мережу на локальному пристрої
Налаштування бездротової мережі з гостьовим доступом відбувається за схожим сценарієм Налаштування Hotspot, але без налаштування самого сервера.
Приступимо безпосередньо до налаштувань.
Першими кроком ми створимо профіль безпеки для бездротової гостьової мережі (в тому випадку якщо Гостьова мережа буде відкрита, цей крок можна пропустити): Головне меню – Wireless і у вкладці Security Profiles натискаємо «+» називаємо його Guest_WiFi і задаємо пароль мережі.
Тепер створимо бездротову мережу. Головне меню-Wireless, і у вкладці WiFi Interface натискаємо «+» створюємо віртуальний інтерфейс.
Вкладка General:
- Даємо назву інтерфейсу, в нашому випадку Guest_WiFi.
- Параметри ARP вибираємо режим reply-only (це додатковий захист мережі від підстановки статичного IP адреси).
Вкладка Wireless:
- вибираємо тип роботи радіомодуля: Mode-ap bridge
- даємо назву бездротової мережі: SSID - Guest_WiFi
- вибираємо майстер інтерфейс: Master Interface-wlan1 (радіомодуль на частоті 2,4 ГГц)
- вибираємо створений нами профіль безпеки: Security Profile-Guest_WiFi
І натискаємо кнопку «ОК»
Ідентичні Налаштування повторюємо для радіомодуля 5 ГГц, замінюємо тільки назву інтерфейсу і бездротової мережі на Guest_WiFi_5, а в якості Master Interface - wla2.
Після настройки інтерфейсів, переходимо до створення інтерфейсу Bridge. Головне меню-Bridge, у вкладці Bridge натискаємо «+» для створення нового інтерфейсу, називаємо його bridge_guest. Натискаємо кнопку «ОК», і переходимо у вкладку Ports.
Додаємо раніше створені бездротові інтерфейси Guest_WiFi і Guest_WiFi_5 в bridge_guest.
Призначаємо IP адресацію нашої гостьової мережі. Головне меню-IP-Addresses, натискаємо «+» і задаємо адресацію мережі в нашому випадку 10.10.10.10 / 24 в якості інтерфейсу вибираємо bridge_guest.
Заключним етапом, налаштуємо DHCP сервер, Головне меню-IP-DHCP Server, у вкладці DHCP натискаємо кнопку DHCP Setup запускаємо майстер настройки. В якості інтерфейсу вибираємо bridge_guest і тиснемо Далі.
Після того як буде створений DHCP Server, натискаємо на нього два рази і у вкладці Generic активуємо Add ARP For Leases, це потрібно для додаткового захист мережі від підстановки статичного IP адреси.
Гостьова мережа налаштована.
Як налаштувати гостьову мережу під керуванням CAPsMAN
Тепер розглянемо приклад створення гостьової мережі через контролера мережі CAPsMAN. Повний набір інструкцій з налаштування контролера ви зможете знайти в статті «контролер бездротової мережі»(https://deps.ua/ua/knowegable-base/samples-of-the-technical-solutions/8009.html#a2), а в розрізі даної статті ми лише розглянемо додаткові параметри для налаштування гостьового доступу.
- створення профілю Datapaths: Головне меню-CAPsMAN, у вкладці Datapaths створюємо новий профіль Guest_wifi, а в якості Bridge вибираємо створений в попередньому розділі bridge_guest і натискаємо кнопку «ОК».
- створення профілю безпеки для гостьової мережі: Головне меню-CAPsMAN, вкладка Security Cfg, натискаємо «+» даємо назву профілю і встановлюємо параметри і вводимо пароль.
Установка локального Radius сервера
Для того щоб встановити локальний Radius сервер потрібно виконати кілька простих дій:
1. Завантажити пакет Extra packages router OS з офіційного сайту компанії mikrotik.com у розділі software.
ВАЖЛИВО!!! Extra packages повинен відповідати мікропроцесору вашого пристрою MIkroTik.
2. Розархівувати і знайти пакет "User-manager" і завантажити його в пам'ять пристрою MikroTik, після чого слід перевантажити пристрій (System-Reboot)
3. Після перезавантаження слід переконатися встановився пакет "User-manager" - Головне меню - System - Packeges
4. Наступним кроком буде створення адміністративного облікового запису з User-manager.
Запускаємо термінал і прописуємо наступні рядки:
/tool user-manager router add customer=admin ip-address=127.0.0.1 shared-secret=RADIUSSECRET
/tool user-manager profile add name=admin owner=admin
5. І для того щоб потрапити на Radius сервер відкриваємо браузер і вводимо IP адреса пристрою MikroTik в даному випадку 192.168.88.1/userman/