В этой статье мы познакомимся с инструкцией как настроить Hotspot и гостевой Wi-Fi на оборудовании торговой марки MikroTik. Но для начала разберемся чем отличаются Hotspot и гостевой Wi-Fi.
Содержание:
Hotspot – это открытая беспроводная сеть при подключении к которой пользователь попадает на страницу авторизации или рекламным баннером и после авторизации или нажатии на баннер пользователь попадает в сеть интернет. Процедура авторизации может быть любой, ввод логина и пароля, социальные сети, регистрация через СМС или e-mail. Минус таких сетей в том, что они не очень безопасны так как они не защищены паролем. Но это же является и плюсом, так как ненужно искать пароль от сети, а просто пройти быстрый процесс аутентификации. Еще один большим плюсом, но уже не для пользователей сети, а для непосредственных организаторов, является возможность получения маркетинговой выгоды: показ рекламы, получить данные о пользователе для таргетированной рекламы, статистику посещений как локальной зоны (физическое размещение сети), так и посещения сайтов, возможность прямой монетизации выхода в интернет. Hotspot сети разворачиваются в общественных местах, отелях, публичных зонах, кафе, ресторанах или в роли гостевой сети на предприятии.
Гостевой Wi-Fi – это отдельная беспроводная сеть для доступа к сети интернет. Такие сети могут быть полностью открыты или защищены паролем. Эта сеть изолирована от общей, что повышает безопасность корпоративной сети. Такие сети разворачиваются на базе предприятий для частного доступа к сети интернет. А также ее можно развернуть и в доме где как правило используется едина сеть для всей пользователей и устройств умного дома, и чтобы гости что-то там не натворили, для них создается отдельная беспроводной сеть.
После ознакомления с теорией переходим к практике. В данной статье мы рассмотрим несколько вариантов конфигурации Hotspot и Гостевой сети:
- Как настроить Hotspot на локальном устройстве.
- Как настроить Hotspot в сети под управлением CAPsMAN.
- Как настроить Гостевую сеть на локальном устройстве.
- Как настроить Гостевую сеть под управлением CAPsMAN.
- Установка локального Radius сервера.
В данном примеры настройки будут производиться на устройстве RB952Ui-5ac2nD (hAP ac lite), Router OS v6.48.3. Благодаря единой операционной системе, данные настройки можно применить на любом другом устройстве MikroTik.
Как настроить Hotspot на локальном устройстве
Настройка Hotspot находится в (Главное меню – IP – Hotspot), но перед тем как настроить основной сервис, нужно проделать подготовительные работы.
Создадим беспроводную сеть Hotspot, но так как сеть должна быть открыта, нужно создать Security Profile без ключей шифрования.
Главное меню – Wireless, выбираем вкладку Security Profile и для создания нового профиля нажимаем «+», так как пароль настраивать не нужно, поэтому во вкладке General задаем имя профиля, в нашем случае Hotspot и нажимаем кнопку «ОК».
Далее в меню Wireless во вкладке WiFi Interface создаем нашу беспроводную сеть Hotspot.
ВАЖНО!!! Для каждой частоты нужно создать отдельное название сети. В данном примере для частоты 2,4ГГц название сети будет Hotspot_WiFi, а для 5ГГц Hotspot_WiFi_5.
Главное меню – Wireless вкладке WiFi Interface, нажимаем «+» и выбираем Virtual (создаем виртуальную сеть на основе радиоинтерфейса) Вкладка General даем название интерфейса «Hotspot_WiFi», а во вкладке Wireless даем название беспроводной сети «Hotspot_WiFi», так как у нас виртуальный интерфейс назначаем мастер интерфейс, в нашем случае это wlan1 (беспроводный интерфейс на частоте 2,4ГГц), далее выбираем профиль безопасности (Security Profile) ранние созданный профиль Hotspot, и нажимаем кнопку «ОК». Аналогичные действия повторяем для радио интерфейса 5ГГц, отличие будет только в названии сети и в выборе мастер интерфейса, он будет «wlan2». Для удобства в данном примере название беспроводного интерфейса будет совпадать с название беспроводной сети.
Далее переходим и создаем отдельный бридж для Hotspot интерфейсов.
Главное меню – Bridge и во вкладке Bridge нажимаем «+» и создаем Bridge с названием Hotspot. Далее во вкладке Ports добавляем беспроводные интерфейсы Hotspot_WiFi и Hotspot_WiFi_5 в созданный Bridge Hotspot.
И в заключении переходим непосредственно к настройкам Hotspot.
Главное меню – Hotspot, во вкладке Servers и здесь воспользуемся мастером настроек, нажимаем кнопку Hotspot Setup.
- Выбираем интерфейс для Hotspot, в нашем случае это Bridge Hotspot.
- Назначаем адресацию нашей Hotspot сети и для того что бы сеть имела выход в интернет отмечаем галочку Masquerade Network.
- Задаем диапазон IP адресов Hotspot сети.
- Если при авторизации вы не планируете использовать соединении защищенное сертификатом SSL то выбираем «none».
- Установка SMTP сервера, если настраивать не нужно, то оставляем поле по умолчанию.
- Задаем адрес DNS сервера, если в роле DNS сервера будет выступать маршрутизатор, то оставляем поле не заполненным.
- Поле оставляем не заполненным.
- Создаем тестовую учетную запись для авторизации. В дальнейшем ее можно будет удалить. После нажатия на кнопку «Next» будет создан Hotspot сервер.
Для того что бы отредактировать Hotspot сервер, во вкладку Server выбираем создании сервер, в нашем случае hotspot1, двойным кликом заходим на него. Здесь можно изменить имя сервера, сменить интерфейс, выбрать пул IP адресов и профиль авторизации на Hotspot сервере. Также полезная кнопка «Reset HTML», после нажатия на которую стартовая страница и страница авторизации Hotspot сервер обнуляться до стартовой.
Во вкладке Server Profile настраивается профиль для первичной авторизации пользователей и метод их аутентификации на сервере Hotspot.
Выбрав и открыв двойным кликом профиль hsprof1 (он создается после того как мы воспользовались мастером настроек и создали наш Hotspot сервер).
Профиль hsprof1 имеет всего три вкладки:
General: здесь можно изменить имя профиля, сменить IP адрес Hotspot сервера и непосредственное размещение страницы авторизации (страница авторизации может находиться как на памяти устройства MikroTik, так и на съемном flash носителе или карте памяти, так и быть размещен на удаленном сервере).
Login: здесь выбираем непосредственный метод авторизации на Hotspot сервере, установив галочку на методе «Trial» можно не выполнять процедуру авторизации и подключиться к беспроводной сети.
Radius: здесь можно настроить подключение к Radius Серверу как удаленному так и к локальному. (как настроить локальный Radius Сервер будет рассмотрено в конце статьи)
Чтобы добавить пользователя вручную, нужно перейти на вкладку «Users», нажимаем кнопку «+» и создаем пользователя, во вкладке General задаем параметры, логин и пароль, также можно задать IP адрес устройству, а также привязать MAC адрес устройства. Во вкладке Limits, можно задать время пребывания пользователя в сети и выделить определенный объем трафика.
А во вкладке «User Profiles» Hotspot сервера можно настроить групповую политику для пользователей:
- время перебивания
- скорость соединения
- маркировка трафик
- постановки в очередь
- подключить скрипт
На этом конфигурация Hotspot сервера закончена. Для того чтобы изменить метод авторизации на созданном нами Hotspot сервере, достаточно внести изменения в страничку «login.html», в нашем случае он размещена в памяти устройства в директории «hotspot». В случае кастомизации стартовой страницы нужно частично или полностью заменить файлы в директории «hotspot».
Как настроить Hotspot в сети под управлением CAPsMAN
И так в первой части мы настроили Hotspot сервер, теперь осталось его подсоединить к сети под управлением контролера CAPsMAN. Настройку самого контролера в данной статье рассматривать не будем, с ней можно ознакомиться в статье «Контроллер беспроводной сети» где описана пошаговая настройка CAPsMAN ( https://deps.ua/knowegable-base-ru/primery-tehnicheskih-reshenij/8007.html#a2). В рамках данной статьи мы рассмотрим только особенности настройки CAPsMAN и Hotspot. Одной из особенностей совместной работы CAPSMAN и Hotspot, они должны бить настроены на одном устройстве. Втрое - при создании профиля Datapaths в CAPsMAN в качестве интерфейса нужно указать раннее созданный Bridge Interface – «Hotspot». Третье, незабываем, что беспроводная сеть Hotspot должна быть открытой. А все остальные настройки CAPsMAN не отличаются от обычных.
Как настроить Гостевую сеть на локальном устройстве
Настройка беспроводной сети с гостевым доступом происходит по схожему сценарию настройки Hotspot, но без настройки самого сервера.
Приступим непосредственно к настройкам.
Первыми шагом мы создадим профиль безопасности для беспроводной гостевой сети (в том случае если гостевая сеть будет открыта, этот шаг можно пропустить): Главное меню – Wireless и во вкладке Security Profiles нажимаем «+» называем его Guest_WiFi и задаем пароль сети.
Теперь создадим беспроводную сеть. Главное меню – Wireless, и во вкладке WiFi Interface нажимаем «+» создаем виртуальный интерфейс.
Вкладка General:
- Даем название интерфейса, в нашем случае Guest_WiFi .
- Параметры ARP выбираем режим reply-only (это дополнительная защита сети от подстановки статического IP адреса).
Вкладка Wireless:
- Выбираем тип работы радиомодуля: Mode – ap bridge
- Даем название беспроводной сети: SSID - Guest_WiFi
- Выбираем мастер интерфейс: Master Interface - wla1 (радиомодуль на частоте 2,4ГГц)
- Выбираем созданный нами профиль безопасности: Security Profile - Guest_WiFi
И нажимаем кнопку «ОК»
Идентичные настройки повторяем для радиомодуля 5ГГц, заменяем только название интерфейса и беспроводной сети на Guest_WiFi_5, а в качестве Master Interface - wla2.
После настройки интерфейсов, переходим к созданию интерфейса Bridge. Главное меню - Bridge, во вкладке Bridge нажимаем «+» для создания нового интерфейса, называем его bridge_guest. Нажимаем кнопку «ОК», и переходим во вкладку Ports.
Добавляем ранее создание беспроводные интерфейсы Guest_WiFi и Guest_WiFi_5 в bridge_guest.
Назначаем IP адресацию нашей гостевой сети. Главное меню – IP – Addresses, нажимаем «+» и задаем адресацию сети в нашем случае 10.10.10.10/24 в качестве интерфейса выбираем bridge_guest.
Заключительным этапом, настроим DHCP сервер, Главное меню – IP – DHCP Server, во вкладке DHCP нажимаем кнопку DHCP Setup запускаем мастер настройки. В качестве интерфейса выбираем bridge_guest и жмем далее.
После того как будет создан DHCP Server, кликаем на него два раза и во вкладке Generic активируем Add ARP For Leases, это нужно для дополнительной защита сети от подстановки статического IP адреса.
Гостевая сеть настроена.
Как настроить Гостевую сеть под управлением CAPsMAN
Теперь рассмотрим пример создание гостевой сети через контролера сети CAPsMAN. Полный набор инструкций по настройке контролера вы сможете найти в статье «Контроллер беспроводной сети» (https://deps.ua/knowegable-base-ru/primery-tehnicheskih-reshenij/8007.html#a2), а в разрезе данной статьи мы лишь рассмотрим дополнительные параметры для настройки гостевого доступа.
- создание профиля Datapaths: Главное меню – CAPsMAN, во вкладке Datapaths создаем новый профиль Guest_wifi, а в качестве Bridge выбираем созданный в предыдущем разделе bridge_guest и нажимаем кнопку «ОК».
- создание профиля безопасности для гостевой сети: Главное меню – CAPsMAN, вкладка Security Cfg, нажимаем «+» даем название профилю и устанавливаем параметры и вводим пароль.
Установка локального Radius сервера
Для того что бы установить локальный Radius сервер нужно выполнить несколько простых действий:
1. Скачать пакет Extra packages Router OS с официального сайта компании mikrotik.com в разделе software.
ВАЖНО!!! Extra packages должен соответствовать микропроцессору вашего устройства MIkroTik.
2. Разархивировать и найти пакет «User-manager» и загрузить его в память устройства MikroTik, после чего следует перегрузить устройство (System-Reboot)
3. После перезагрузки следует убедиться установился ли пакет «User-manager» - Главное меню- System-Packeges
4. Следующим шагом будет создание административной учетной записи с User-manager.
Запускаем терминал и прописываем следующие строки:
/tool user-manager router add customer=admin ip-address=127.0.0.1 shared-secret=RADIUSSECRET
/tool user-manager profile add name=admin owner=admin
5. И для того что бы попасть на Radius сервер открываем броузер и вводим IP адрес устройства MikroTik в данном случае 192.168.88.1/userman/
