Mikrotik настройка hotspot wifi с авторизацией по номеру
Обновлено: 06.07.2024
Для настройки авторизации пользователей гостевой сети Wi-Fi с помощью сервиса Global Hotspot следуйте данной инструкции. Сервис предназначен для идентификации и хранения идентификационных данных пользователей.
Для настройки идентификации на MikroTik надо запустить мастер конфигурации, скопировать и вставить список полученных команд в терминал роутера. Последовательность действий одинакова и подходит для всех моделей роутеров MikroTik (RouterOS). Роутер обязательно должен быть подключен к интернету до начала настройки!
Для начала зарегистрируйте личный кабинет и войдите в него. Данные для входа будут отправлены на e-mail после регистрации.
Данная инструкция применима для MikroTik с конфигурацией по умолчанию (т.е. вы только достали его из коробки). Удалять конфигурацию рекомендуется тем, кто не знает тонких настроек и у кого инфраструктура состоит только из одного роутера. Для тех, кто хочет только настроить работу hotspot, нужно выбрать конфигурацию для настроенного устройства в шаге 3.10. Если ваш роутер MikroTik уже настроен или вы используете CAPsMAN, то рекомендуем использовать расширенную инструкцию.
Шаг 0: Подключение MikroTik к компьютеру
Подключите MikroTik к компьютеру. Как правило, 1 порт используется для подключения к провайдеру, а все остальные порты — для подключения компьютеров в локальной сети. Вам нужен один из них.
Схема подключения MikroTik
Шаг 1: Загрузка ПО WinBox
ПО WinBox — это программа для настройки оборудования, работающего под под управлением RouterOS.
Шаг 1.1
Загрузите WinBox с официального сайта MikroTik
Шаг 1.1.1
Загрузите WinBox из роутера, если нет доступа к Интернет
Шаг 2: Запуск ПО WinBox
Шаг 2.1
Запускаем WinBox и подключаем роутер
ВНИМАНИЕ! Удалять конфигурацию рекомендуется тем, кто не знает тонких настроек и у кого инфраструктура состоит только из одного роутера. Для тех, кто хочет только настроить работу hotspot, нужно выбрать конфигурацию для настроенного устройства в шаге 3.10. Все подробно описано в расширенной инструкции. Если вы сомневаетесь, обратитесь в службу технической поддержки в чате или по телефону.
Шаг 2.2
Удаляем старую конфигурацию во вкладке System > Reset configuration
Шаг 2.2.1
Удаление старой конфигурации
Шаг 3: Создание конфигурации с помощью мастера настройки
После регистрации в личном кабинете Вам нужно выполнить несколько простых шагов, чтобы сервис заработал на Вашем устройстве:
- Создать тему на базе шаблона.
- Создать профиль и привязать к нему тему.
- Создать место и привязать к нему профиль.
- Создать конфигурацию для своего типа оборудования.
- Настроить свое оборудования по инструкции в мастере конфигураций.
- Подключиться к сети Wi–Fi и проверить.
Шаг 3.1
Выберите шаблон
Шаг 3.2
Создайте тему на базе шаблона
Шаг 3.3
Назовите тему
Шаг 3.4
Создайте профиль
Шаг 3.5
Назовите профиль
Шаг 3.6
В оформлении профиля выбираем созданную тему
Шаг 3.7
Создаем место и выбираем созданный профиль
Шаг 3.8
Создание конфигурации с помощью мастера настройки
Шаг 3.9
Выбор типа устройства
Шаг 3.10
Выберите тип роутера: новый или уже настроенный
Шаг 3.10
Выбор версии конфигурации
Шаг 3.11
Полный файл настроек для Mikrotik. Для нового и настроенного роутеров файлы отличаются
Шаг 3.12
Копируем настройки в буфер обмена
Шаг 4: Загрузка конфигурации в MikroTik
Шаг 4.1
Вставляем скопированные настройки конфигурации в терминал роутера
Подключитесь к Wi–Fi и проверьте результат. Если вы сделали все правильно, то при подключении к Wi–Fi вы попадете на созданную страницу авторизации.
Если у вас возникли трудности, обратитесь в службу техподдержки (чат в личном кабинете или позвоните нам).
Шаг 5: Настройка времени сессии
Эти настройки рекомендуется менять по вашему усмотрению. Особенно для гостиниц и отелей.
Для гостиниц, баз отдыха, хостелов, санаториев и т.п. заведений мы настоятельно рекомендуем увеличить время активности и неактивности. Оптимальными значениями было бы 24 часа. При увеличении времени неактивности время жизни DHCP должно быть больше времени неактивности в 1,5 раза или как минимум на пару часов.
Запустите Winbox и нажмите кнопку New terminal. В открывшемся окне выполните эти команды:
1) Создать шаблон сертификата
2) Создать сертификат для hotspot
3) Подписать сертификат
set [find name=Hotspot] trusted=yes
Как добавить устройства в исключения для MikroTik (доступ к интернету без авторизации)
Иногда нужно, чтобы некоторые устройства имели доступ в интернет по Wi-Fi без авторизации. Такие устройства как телевизоры, кассы, терминалы, рабочие телефоны, компьютеры и ноутбуки можно добавить в лист для доступа к интернету без запроса авторизации.
Запустите Winbox и зайдите во вкладку IP/Hotspot. Далее есть 2 варианта действий:
- Устройство уже подключено к гостевой сети Wi-Fi и он есть в списке Hosts.
- Добавить mac-адрес устройства в исключения вручную.
Вариант 1
Готово, mac-адрес в списке исключений.
Вариант 2
Добавить mac-адрес устройства в исключения вручную. Создадим новую запись во вкладке IP/Hotspot/IP Bindings.
На данном этапе подключите маршрутизатор Mikrotik к интернету и произведите первоначальные/базовые настройки (DNS, Wi-Fi, TimeZone и т.д.) с помощью программы Winbox.
Данная инструкция рассчитана на тех, кто знает что такое Mikrotik и имеет базовые познания в его настройке.
Обновление прошивки
Загрузите последнюю прошивку, System > Packages > Check for Updates. В окне нажмите Download&Install. Необходима прошивка не менее версии 6.32, иначе маршрутизатор не сможет работать в режиме хотспота.
Добавление bridge
Добавление портов в bridge
Настройка Wi-Fi
Эта дополнительная настройка доступна для серий Mikrotik AP которые имеют встроенный WiFi интерфейс.
Активируйте WiFi интерфейс
Wireless > Interfaces tab > select wlan1 >
Произведите настройки режима работы, канала. Укажите желаемый SSID
На вкладке HT включите галочки
На вкладке Wireless Security Profiles проверьте:
Name: default
Mode: none
Создание Hotspot
Перейдите в меню IP > Hotspot > Servers Tab, Hotspot Setup и запустите мастер создания hotspot.
Выбираем hotspot интерфейс hs-bridge
Указываем доменное имя
Изменение настроек Hotspot
Изменим имя hotspot сервера, указав значение Serial Number (System > RouterBoard )
Use RADIUS: Checked
Default Domain:
Location ID:
Location Name:
Mac Format: XX:XX:XX:XX:XX:XX
Accounting: Checked
Interim-Update: 00:01:00
Nas Port Type: 19 (wireless-802.11)
Данная статья содержит материалы со встречи пользователей MikroTik в Минске 3 июня 2016 года. Это выступление Кардаша Александра Владимировича на MUM Belarus 2016 о настройке системы SMS авторизации через сервис iGoFree на оборудовании MikroTik. Содержит типовую схему внедрения сервиса компании ООО " Уолкерс Системс " в сетевую инфраструктуру мест, где необходимо организовать публичный доступ к интернету через Wi-Fi сеть. Слайды с презентации Евгения Осипова можно скачать по этой ссылке .
Настройка начинается с подключения маршрутизатора к интернету. В самом простом случае следует вставить Ethernet кабель от провайдера в первый порт MikroTik и роутер получает IP через DHCP client. Кроме того по умолчанию на первом порту сделан scr-nat masqurade. Если необходима постоянная доступность интернета, можно настроить резервирование через 3G модем. С модемами Huawei поддерживающими Hi-Link нужно создать DHCP client на интерфейсе lte2 указав в поле Default Route Distance (метрика или цена маршрута) значение большее чем на основном канале. Далее следует сделать в IP/Firewall/NAT правило scr-nat action Masquarade на интерфейс lte2 созданный 3G модемом.
Настроим OpenVPN client на MikroTik. Для этого откроем окно с интерфейсами и плюсиком добавим новый интерфейс:
Введём IP адрес сервера OpenVPN и логин пароль для доступа к нему. Хэшкод MD5 и алгоритм шифрования AES c ключём 128 бит:
Настроим точку доступа wlan1 вещающую Wi-Fi сеть персонала заведения в котором устанавливается система авторизации. Выбираем узкие каналы в 20 mHz которые позволяют достич максимальной дальности Wi-Fi сигнала. Связано это с тем, что энергия точки доступа распределяется на более узкую полосу, позволяя иметь в два раза большую силу сигнала на удалённых участках сети. Иначе сказать полезный сигнал Wi-Fi будет сильнее выделятся на уровне шумов. Кроме того на узких каналах можно разместить больше точек доступа разнеся их даже на 1, 5, 9, 13 канал максимально заполнив радиочастотный спектр полезным сигналом. Выбрав Wireless Protocol 802.11 можно обеспечить максимальную совместимость с Wi-Fi устройствами клиентов заведения, ведь обычные устройства не поддерживают проприетарных полинговых проколов MikrоTik.
Создадим виртуальную точку доступа Wi-Fi в которой будет использоваться SMS авторизация:
Индификатор сети SSID Walkers.Free профиль сети default, который не содержит пароля. Чтобы предотвратить ARP спуфинг клиентов друг другом (атака человек по середине позволяющая перехватывать трафик пользователя не использующего шифрования) снимаем галочку Default Forward и тем самым запрещаем передавать данные между клиентами подключенными к свободной Wi-Fi сети.
Мы хотим сделать одну сеть с индификатором Walkers.Free на четырёх точках доступа Wi-Fi позволяющую использовать SMS авторизацию. Проще всего это сделать с помощью технологии VLAN на основе меток. Кадры основной сети не будут иметь меток, а кадры дополнительной будут помечаться id 1, 2, 3. Создаём vlan1 с id 1 на интерфейсе bridge-local:
По аналогии создаём vlan2 с id 2 и vlan3 c id 3:
Создадим bridge1 на котором будет работать хотспот:
Добавим в bridge1 vlan1, vlan2, vlan3 и виртуальную точку доступа Wi-Fi wlan2:
Зафильтруем на вкладке Filters трафик между vlan1, vlan2, vlan3 и wlan2, чтобы клиенты подключённые к разным точкам доступа не могли передавать данные между собой:
Пропишем IP адрес на интерфейсе на котором мы будем делать HotSpot. В нашем случае это bridge1 хотя можно прописать и на wlan2:
Настроим с помощью мастера DHCP сервер:
Согласимся с предложенной сетью 10.130.92.0/24:
Согласимся с предложенным мастером шлюзом:
Ввиду того, что в свободной сети Walkers.Free не будет размещаться сетевое оборудование можно использовать весь пул свободных IP адресов кроме 10.130.92.1:
Время аренды IP адреса по умолчанию 10 минут, нажмём Next ничего не меняя:
В сети персонала рекомендую выставить DHCP "authoritative" в Yes (DHCP авторитетный - Да), что заставит DHCP отвечать на запросы клиентов максимально быстро и отключить неавторитетные DHCP сервера в сети. Также выставить галочку "Add ARP for leases" для того чтобы в ARP таблицу автоматически добавлялись сопоставления IP с MAC.
На вкладке RADIUS поставим галочку Use RADIUS, что означает что список пользователей (MAC адресов) будет храниться на радиус сервере ООО "Уолкерс Системс":
Добавим список хостов и IP адресов к которым разрешён доступ без авторизации на HotSpot, чтобы пользователи могли увидеть страничку авторизации:
Что касается папки hotspot на самом роутере, то оно не годится нам и его следует заменить на то что мы предоставим: скачать
Номера телефонов и MAC адреса пользователей хранятся на FreeRadius сервере. Настроим подключение роутера к серверу. Укажем IP адрес его, сервис для которого он используется и пароль:
Сведения о трафике пользователей собираются на внешнем сервере (коллекторе) работающим с протоколом netflow. В данном примере показана работа по протоколу 9-ой версии. Включим сенсор netflow на роутере поставив галочку в поле Enable. Выберем интерфейс с которого нужно собирать статистику, для того чтобы в анализаторе не было дублированных данных выбираем только интерфейс на котором есть наши пользователи. Нажав кнопочку Terget добавляем IP адреса серверов (коллекторы netflow). Собирать данные можно на нескольких серверах. Данные которые можно увидеть в анализаторе будут содержать IP адрес, протокол и порт по которому происходит передача данных от пользователя и к нему. Также собираются сведения о количестве трафика и времени использования интернета.
Следует сделать также scr-nat с Action masquarade на интерфейс ведущий к серверам: FreeRADIUS, NetFlow коллектору:
Можно также обратить внимание на правила с буквой D (от dynamic), автоматически добавленые HotSpot
Настроим правила фильтрации трафика. Если на маршрутизаторе реальный (статический) IP адрес в интернете рекомендуем проверить наличие в цепочке input на внешнем интерфейсе разрешающих правил с connection state: established и related. Если необходимо, можно разрешить ICMP, WEBBOX, WINBOX, SSH, Telnet. Остальной трафик к внешему интерфейсу лучше закрыть действием drop, что позволит уменьшить атаки на такие сервисы роутера как DNS и др.. Также следует в цепочке forward запретить доступ из сети с SMS авторизацией в сеть персонала и сетевого оборудования 10.130.92.0/24 -->> 192.168.0.0/16 действие Drop.
Настроим hEX PoE lite поддерживающий пассивный PoE и позволяющий строить недорогие сети в местах где невозможно запитать Wi-Fi точки доступа, кроме как по ethernet кабелю. На схеме он выделен красным:
Используем его как свитч и поэтому добавим ether1-gateway и группу портов 2-5 в local-bridge. Вторым действием можно добавить vlan1, vlan2, vlan3 с метками 1, 2, 3 прикрепив их к этому бриджу. Дополнительно, если необходимо, можно удалить IP адресс 192.168.88.1/24 c маршрутизатора, выключить DHCP сервер, и навесить DHCP-client на local-bridge:
Далее настроим одну из конечных Wi-Fi точек доступа mAP lite:
Настроим сеть персонала кафе на mAP lite выбрав предварительно созданный profile1 где содержатся параметры шифрования и пароль доступа к сети:
Создадим виртуальную точку доступа vlan2 с SSID Walkers. Используем профиль default который не содержит пароля. Запрещаем forward клиентов данными между друг другом:
Вешаем vlan1 с id 1 на bridge-local:
Создаём новый bridge1 без настроек:
Добавляем виртуальный локальный интерфейс vlan1 и виртуальный беспроводной интерфейс wlan2 (SSID Walkers.Free) в bridge1:
Дополнительно по аналогии с hEX PoE lite можно удалить IP адрес 192.168.88.1/24, DHCP сервер, правила фильтрации.
Настройка закончена! Конфигурацию хотспота с SMS авторизацией для mAP-2n можно скачать по этой ссылке. Логин: admin пароля нет.
Если смотреть на реалии сегодняшнего дня, то почти у каждого посетителя имеется мобильный гаджет, который подключаются к бесплатной публичной сети WiFi вашего заведения. Рассмотрим как можно “прокачать” публичную сеть WiFi чтобы кроме предоставления интернета, она умела приносить еще и пользу для развития вашего бизнеса. Для решения данной задачи на помощь к нам придет устройство MikroTik c его базовым функционалом из коробки hotspot. Используя данный функционал вы можете не просто предоставлять интернет пользователю, а еще и показывать страницу-приветствия с информацией о вашем бренде. Так же это является отличным способом оповестить клиента об акциях и скидках.
Но каждая рекламная кампания или акция не вечна, а с её окончанием приходит новая, которая требует очередных изменений в вашей рекламной странице-приветствия, с последующим залитием файлов на устройство. Выполнять эти действия каждый раз вручную, согласимся, не самая перспективная затея. А если таких устройств несколько и они разнесены территориально.
Рассмотрим как можно автоматизировать управление hotspot`ом используя сервис WiFi Point. Данный сервис позволит вам сэкономить большое количество времени по настройке и дальнейшем обслуживанием устройств. Вдобавок вы получите дополнительный функционал который превратит Ваш обычный роутер в мощный маркетинговый инструмент.
Приступим настройке маршрутизатора. Рассмотрим в качестве примера настройку модели MikroTik hAP lite RB941-2nD. Справедливости ради, можно сказать, что для данной задачи подойдет любой беспроводной маршрутизатор фирмы MikroTik, все зависит от того где планируется использовать устройство. Данная модель хорошо себя зарекомендовала как бюджетный, надежный WiFi роутер, который подойдет для небольшого кафе или любого другого заведения.
1. Подключение
Подключим кабель интернет-провайдера в первый порт маршрутизатора, а во второй сетевой кабель соединенный собственно с нашим компьютером на котором и будем производить дальнейшую настройку.
Маршрутизаторы фирмы MikroTik имеют в арсенале несколько способов настройки. Мы будем использовать вариант с использованием штатной программы Winbox.
Собственно запустив программу Winbox на вкладке Neighbors мы увидим свой роутер. Выбираем, нажав мышкой на мак адрес устройства, введем логин admin (по умолчанию), пароль оставляем пустой. После этого нажимаем на кнопку Connect
При первом подключении к роутеру появится следующее окно:
В данной статье рассмотрим работу со стандартными параметрами, поэтому нажмем кнопку OK, в противном случае базовую настройку маршрутизатора необходимо будет произвести самостоятельно. В базовой настройке уже настроен DHCP клиент, проверим что он получил IP адрес и все работает. Для этого перейдем в меню IP - DHCP Client
Видим что DHCP клиент получил все необходимое. На этом шаге на роутере уже должен появится интернет, проверим это открыв меню Tools - Ping. В поле Ping To указываем 8.8.8.8 и нажимаем кнопку Start. Если у вас результат как на картинке ниже, то это означает что доступ к сети интернет получен и можно продвигаться далее
2. Обновление прошивки
Обновим роутер до последней стабильной прошивки. Для этого перейдем в меню System - Packages
Нажмем кнопку Check for Updates. В окне выбираем Stable и нажимаем кнопку Download&Install. Роутер скачает прошивку и будет автоматически перезагружен. После этого снова необходимо будет подключиться к нему через WinBox
3. Настройка аккаунта администратора
Изменим стандартный пароль администратора. Откроем меню System - Users.
Выберем свойства пользователя admin и нажимаем Password для создания нового пароля
4. Настройка гостевого интерфейса Wi-Fi
Создадим для хостпота отдельный интерфейс Bridge. Для этого переходим в меню Bridge нажимаем + .
В появившемся окне в поле Name указываем название интерфейса wifi-bridge. На этом создание моста заверено.
Добавим в только что созданный мост WiFi интерфейс, для этого перейдем во вкладку Ports
Исходя из того что видим на картинке, WiFi интерфейс добавлен в мост из стандартной конфигурации. Изменим значение поля Bridge на новый выбрав wifi-bridge
5. Настройка WiFi интерфейса
Откроем меню Wireless. Для изменения дважды кликнем на wlan1. Во вкладке Wireless укажем режим параметры Mode, Band, Channel width, SSID. В параметре SSID указываем желаемое название сети которое будут видеть гости.
Теперь наша беспроводная сеть доступна к подключению.
6. Создание и настройка Hotspot
Перейдем в меню IP - Hotspot и нажмем кнопку Hotspot Setup, которая запустит мастер настройки.
На первом шаге указываем наш bridge-интерфейс wifi-bridge который создали ранее.
На втором шаге мастера настроек, указываем подсеть для hotspot - 10.10.10.1/24. Включаем галочку Masquerade Network
На третьем шаге укажем выдаваемый диапазон адресов для гостей
На четвертом шаге оставляем без изменений
Настройки на пятом шаге также оставим по умолчанию
На шестом шаге настроек DNS сервера указываем адрес 10.10.10.1
Восьмой шаг оставляем без изменений
7. Изменение настроек Hotspot
Первое что необходимо выполнить - это изменить имя hotspot сервера. Для этого откроем меню System - RouterBoard и скопируем поле serial number которое и будет являться новым именем (поле Name в настройках хотспота). Также ограничим количество адресов на устройство сделал равным 1.
На следующем шаге изменим профиль пользователя. Перейдя во вкладку User Profiles - default установим параметр keep-alive timeout равный 5 минутам.
Теперь изменим профиль сервера, перейдя на вкладку Server Profiles.
Переходим на следующую вкладку Radius.Выставляем галочки Use RADIUS, Accounting. Значение Interim Update выставляем 00:01:00.
8. Настройка Walled Garden IP List
Создадим четыре правила в Walled Garden IP List
Чтоб не создавать эти правила в ручную, откроем меню NewTerminal и вставим следующий код:
Результатом выполненного кода будут созданные правила
9. Изменение страницы авторизации
Для замены родной страницы hotspot на страницу для работы с сервисом WiFi Point выполним следующие действия: перейдем в меню System - Scripts и нажмем на +.
В поле Name введем ReplaceLogin. В поле Source вставим код:
Нажмем кнопку Apply, а затем Run Script.
10. Ограничения скорости
Сервис позволяет ограничивать скорость для посетителей, данные параметры можно изменять в Личном кабинета ( меню Площадки). Но вначале необходимо изменить стандартные настройки типов шейперов в меню Queues вкладка Queues Types
Изменим в типах default и default-small поле kind на значение sfq.
Для корректной нарезки скоростей шейпером отключим Fast Path. Перейдем в настройки Bridge:
Так же отключим Fast Path еще в меню IP - IP Settings
11. RADIUS
Авторизации посетителей на сервисе происходит по RADIUS протоколу. Настроим взаимодействие роутера и сервиса, добавив в меню RADIUS новый сервер:
Service: ставим галочку на hotspot
12. Настройки мониторинга состояния площадки
Создадим скрипт для мониторинга состояний в админ-панеле сервиса. Для этого перейдем в меню System - Scheduler, и создадим новое правило в планировщике:
:local mac [system routerboard get serial-number];
:if ( [system routerboard get routerboard] = yes ) do
:set mac [system routerboard get serial-number]
:set mac [interface ethernet get ether1 mac-address]
13. Настройка площадки
Настройка площадки подошла к концу, теперь произведем настройки в Личном кабинете сервиса WiFi Point. Для дальнейшей работы нам необходимо зарегистрироваться по ссылке и авторизоваться в панеле.
Перед созданием площадки необходимо создать шаблон дизайна. В данной статье мы будем использовать уже существующие шаблоны из WiFi Point Маркет. Переходим в данное меню:
В данном меню выберем шаблон наиболее подходящий тематике нашей площадки (к примеру кафе)
После нажатия кнопки “Получить” в меню Шаблоны дизайнов появится шаблон из маркета, который можно отредактировать потом под свои задачи указав текст, логотип, цветовую гамму и фон страницы.
Перейдем в меню Wi-Fi Площадки - Все площадки. Каждый роутер соответствует новой площадке. Создадим новую площадку.
Заполните поле Название. В поле Дизайн Площадки выбираем доступный шаблон.
В данной статья мы будем рассматривать быстрый цикл авторизации без смс и ваучеров, собственно его и укажем в поле Цикл авторизации. Более детально с логикой работы каждого из циклов можно ознакомится в документации.
Открываем вкладку Настройки устройства. Укажем тип оборудования Mikrotik (RouterOS). В поле Station ID вводим серийный номер нашего роутера (меню в Winbox System - RouterBoard).
Настройка в панеле подошла к концу, нажимаем кнопку Создать. Теперь самое время приступить к тестам.
14. Тест
Подключаемся к сети WiFi. Если все верно настроили, то вы должны увидеть страницу-приветствия. После нажатия Продолжить посетитель получит доступ в Интернет.
Если вы хотите использовать площадку в маркетинговых целях и проводить рекламные кампании, то для этого переходим в меню Дополнительно-Реклама. В данном меню собственно создается сам баннер и рекламная кампания.
Выполнив несложные действия по настройке маршрутизатора, вы получили инструмент который готов приносить пользу и прибыль вашему бизнесу. При подключении посетитель будет видеть страницу-приветствия с логотипом и названием вашего бизнеса, что будет повышать узнаваемость вашего бренда. Сервис имеет гибкий функционал, который можно использовать в различных целях будь то просто брендированная страница авторизации либо рекламная информация или опрос посетителей. Пройдя регистрацию на сайте WiFi Point вы получите 1 месяц тестового периода, чтоб оценить весь функционал и преимущества инструмента взамен обычной работы роутера.
Читайте также: