Инструкции по настройке MikroTik

Что такое Hotspot

Hotspot-ом в WiFi сетях принято считать такую точку доступа, которая обеспечивает беспрепятственный доступ к интернету после просмотра web страницы. Как правило это страница может содержать:

1. Приветствие для посетителей, с последующим приглашением к ознакомлению тематического сайта;
2. Авторизация через email\код доступа\sms\социальные сети. Этот широкий функционал позволяет собирать email потенциальных клиентов, а также предоставлять доступ к интернету по какому-то правилу – в чеке клиента гостиницы отображается пароль для доступа к WiFi на весь период прибывания.
3. Меню ресторана, кафе.

Такой вид доступа решает две основные задачи: упрощенный доступ к интернету и также рекламу сайта.

Что нужно кроме точки доступа WiFi\роутера MikroTik

Оборудование MikroTik не было бы таким популярным, если бы для каждого решения производили отдельные устройства(как в Cisco, Tp-Link, Ubiquiti). Поэтому устройство с уровнем лицензии Router OS Level 4 и прекрасными показателями аппаратных возможностей позволяют использовать службу Hotspot без привлечения дополнительного оборудования.

Предварительная подготовка точки доступа WiFi\роутера MikroTik

В качестве тестового стенда будет использоваться маршрутизатор(роутер) MikroTik hAP ac2. на котором предварительно нужно совершить два действия:

Сбросить MikroTik до заводских настроек

Настройка находится в System→Reset Configuration

Произвести базовую настройку

Для этого раздела настроек, можно воспользоваться инструкцией “Обзор и настройка роутера MikroTik hAP ac2 →”

Этапы настройки Hotspot в MikroTik

План по созданию Hotpot на маршрутизаторе(роутере) MikroTik будет состоять из последовательности:

1. Создание интерфейса для Hotspot-а.
2. Настройка сервера Hotspot-а;
3. Web страниц для Hotspot-а;
4. Создание правил Firewall, для ограничения доступа;
5. Ограничение скорости для гостевой сети.

Подготовка сетевых интерфейсов, для создания MikroTik Hotspot Server

В качестве интерфейса для Hotspot будет создан Bridge, который будет содержать в себе два виртуальных wlan на 2,4 и 5ГГц.

Создание Bridge для Hotspot

Настройка находится в Bridge→Bridge

/interface bridge
add admin-mac=86:1D:2D:DA:EB:03 arp=proxy-arp auto-mac=no name=Bridge-Hotspot

Стоит отметить присутствие параметра ARP=reply-only, который использует внутреннюю таблицу ARP. Это позволяет исключить ручное назначение IP адреса со стороны клиента. Записи в ARP таблицу будут вноситься DHCP сервером. Этот механизм позволяет повысить защищенность гостевой сети Hotspot.

Отключение ввода пароля для гостевой WiFi

Настройка находится в Wireless→Security Profiles

/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed name=Profile-Security-Hotspot \
supplicant-identity=""

Создание виртуального wlan 2,4ГГц

Настройка находится в Wireless→WiFi Interfaces

/interface wireless
add disabled=no keepalive-frames=disabled mac-address=76:4D:28:24:35:C5 \
master-interface=wlan1 multicast-buffering=disabled name=wlan3 \
security-profile=Profile-Security-Hotspot ssid=WiFi-Guest wds-cost-range=\
0 wds-default-cost=0 wps-mode=disabled

Создание виртуального wlan 5ГГц

Настройка находится в Wireless→WiFi Interfaces

/interface wireless
add disabled=no keepalive-frames=disabled mac-address=76:4D:28:24:35:C4 \
master-interface=wlan2 multicast-buffering=disabled name=wlan4 \
security-profile=Profile-Security-Hotspot ssid=WiFi-Guest wds-cost-range=\
0 wds-default-cost=0 wps-mode=disabled

Добавление виртуальных интерфейсов 2,4 и 5ГГц в Bridge-Hotspot

Настройка находится в Bridge→Ports

/interface bridge port
add bridge=Bridge-Hotspot interface=wlan3
add bridge=Bridge-Hotspot interface=wlan4

Порты Bridge-Hotspot должны выглядеть следующим образом

Запуск мастера по созданию Hotspot в MikroTik

После того, как подготовлены интерфейсы, можно приступать к запуску мастера по созданию Hotspot:

Определение интерфейса, на котором будет работать Hotspot

Настройка находится в IP→Hotspot→Servers→Hotspot Setup

Задать IP адрес интерфейса Hotspot, а также добавить правило masquerade(для работы интернета)

Определить диапазон IP адресов для DHCP сервера

Выбор сертификата для Hotspot

Определить SMTP сервер

Определить DNS сервер

Установить Server Name для Hotspot

Добавить учётную запись локального пользователя Hotspot

Успешное завершение работы мастера по установке Hotspot

После завершения работы мастера по созданию Hotspot-а можно внести некоторые изменения, касающиеся времени подключения к гостевой сети. Этот счетчик будет сбрасывать интернет соединения, вновь предлагая просмотреть главную страницу Hotspot.

Определить папку размещения страницы Hotspot

Настройка находится в IP→Hotspot→Server Profiles

Указать время нахождения пользователя в сети

Добавлять ARP запись для всех пользователей Hotspot через DHCP сервер

Настройка находится в IP→DHCP Server→DHCP

/ip hotspot profile
add hotspot-address=10.5.50.1 html-directory=flash/hotspot login-by=\
http-chap,trial name=hsprof1 trial-uptime-reset=0s

/ip pool
add name=hs-pool-10 ranges=10.5.50.2-10.5.50.254

/ip dhcp-server
add add-arp=yes address-pool=hs-pool-10 disabled=no interface=Bridge-Hotspot \
lease-time=1h name=dhcp1

/ip hotspot
add address-pool=hs-pool-10 disabled=no interface=Bridge-Hotspot name=\
hotspot1 profile=hsprof1

/ip address
add address=10.5.50.1/24 comment="hotspot network" interface=Bridge-Hotspot \
network=10.5.50.0

/ip dhcp-server network
add address=10.5.50.0/24 comment="hotspot network" gateway=10.5.50.1

/ip hotspot user
add name=adminhotspot password=adminhotspot

Именно этой настройкой определяется список пользователей, которым доступно использование Hotspot, тем самым исключает все попытки ручного изменения IP адреса.

Web форма Hotspot для MikroTik

После завершения работы мастера по созданию Hotspot, во внутренней памяти создается html страница. Для авторизации нужно использовать учётную запись, которая была введена в качестве пользователя Hotspot.

Данную страницу можно заменить на любую другую форму. Как правило это страница приветствия, с переходящей кнопкой(ссылкой).

Пример шаблона Hotspot, страница без авторизации

Это самый распространённый тип шаблона для MikroTik Hotspot, на экране выводится страничка приветствия с переходом на рекламируемый сайт.

 

Настройка правил Firewall для гостевой сети Hotspot

Исходя из того, что роутер MikroTik hAP ac2 был предварительно настроен и содержит активные правила Firewall, достаточно добавить несколько правил для Hotspot, сохранив общую структуру Firewall. Эти правила также подойдут для большинства Firewall, которые имеют определенные производственные особенности.

Разрешить пользователям Hotspot пользоваться интернетом

Настройка находится в IP→Firewall→Filter Rules

Запретить пользователям Hotspot обращаться на любой интерфейс кроме WAN

Запретить пользователям Hotspot обращаться на роутер MikroTik

/ip firewall filter
add action=accept chain=forward comment=Hotspot in-interface=Bridge-Hotspot \
out-interface-list=WAN
add action=drop chain=forward in-interface=Bridge-Hotspot out-interface-list=!WAN
add action=drop chain=input in-interface=Bridge-Hotspot

Ограничение скорости для гостевой сети Hotspot в MikroTik

В рамках примера, все гостевой сети будет выделено 10Мб.

Ограничение скорости для гостевой сети

Настройка находится в Queues→Simple Queues

/queue simple
add dst=pppoe-out1 max-limit=10M/10M name=Queue-Hotspot target=10.5.50.0/24

Также можно использовать правила приоритезации трафика.