Wi-Fi роутеры MikroTik прекрасно подходят для того, чтобы предоставлять гостевой доступ в интернет в таких общественных местах как парки, кафе, гостиницы, торговые центры и т.п. Такой сервис еще называется HotSpot (хотспот).
MikroTik обеспечивает следующие возможности HotSpot:
- перенаправление клиентов на рекламную страничку;
- ограничение клиентов по скорости;
- ограничение клиентов по времени;
- создание гостевой Wi-Fi сети и виртуальной изолированной Wi-Fi сети для администрации.
В данной инструкции рассмотрим пример, как настроить HotSpot на Wi-Fi роутере MikroTik.
Для настройки хотспот можно использовать любой беспроводной маршрутизатор MikroTik. Маршрутизатор позволяет подключить медный или оптоволоконный кабель провайдера. Кроме того к роутеру можно подключить несколько провайдеров или организовать резервную связь через 3G USB модем.
Сброс настроек роутера
При первом подключении к роутеру с помощью программы Winbox нужно сбросить заводскую конфигурацию, нажав кнопку Remove Configuration.
Если у вас такое окно не появилось, то очистку конфигурации можно сделать следующим образом:
- Откройте меню New Terminal;
- В терминале введите команду /system reset;
- Подтвердите сброс, нажав кнопку y на клавиатуре.
После перезагрузки появится окно очистки конфигурации, в котором нужно нажать Remove Configuration.
Настройка подключения к провайдеру
Подключаем кабель провайдера в первый порт роутера. Напротив интерфейса ether1 появится буква R.
Настройка DHCP клиента
Наш провайдер выдает автоматические настройки по DHCP, поэтому выполняем следующие настройки:
- Откройте меню IP – DHCP Client.
- Нажмите кнопку “+”
- В появившемся окне в списке Interface выберите первый сетевой порт ether1.
- Нажмите кнопку Apply.
После этого на вкладке Status отобразятся IP адреса, которые получило устройство.
Настройка DNS
- Откройте меню IP – DNS;
- Поставьте галочку Allow Remote Requests, чтобы клиенты получили выход в интернет;
- Можете указать альтернативный DNS сервер Google 8.8.8.8, чтобы не зависеть от DNS сервера провайдера.
- Нажмите кнопку OK.
Настройка Bridge интерфейса хотспота
Для хотспота создадим отдельный Bridge интерфейс, в который объединим 10-й порт роутера, а в последствии и Wi-Fi интерфейс. Также присвоим Bridge интерфейсуIP-адрес хотспота.
- Откройте меню Bridge;
- Нажмите кнопку “+“
- В поле Name укажите имя интерфейса bridge1
- Нажмите OK.
Добавим в bridge1 десятый сетевой порт ether10, чтобы можно было проверить настройки с помощью ноутбука:
- Перейдите на вкладку Ports
- Нажмите кнопку “+“
- В списке Interface выберите сетевой порт ether10
- В списке Bridge выберите bridge1
- Нажмите OK.
Присвоим IP-адрес бридж интерфейсу:
- Откройте меню IP – Address
- Нажмите кнопку “+“
- В поле Address введите IP-адрес 192.168.10.1/24
- В списке Interface выберите bridge1
- Нажмите OK
Настройка MikroTik HotSpot
Настройка параметров хотспота
В роутерах MikroTik есть встроенный функционал хотспота. Приступим к его настройке.
- Откройте меню IP – Hotspot
- Нажмите кнопку Hotspot Setup
- В открывшемся окне выберите Hotspot Inerface: bridge1 и нажмите кнопку Next.
- В поле Local Address of Network указывается IP-адрес хотспота 192.168.10.1/24. Роутер автоматически его определил, поэтому жмем Next.
- В поле Address Pool of Network указывается диапазон IP-адресов, которые будут автоматически выдаваться клиентам. Оставим диапазон 192.168.10.2-192.168.10.254 без изменений и нажимаем Next.
- На запрос сертификата отвечаем none и нажимаем Next.
- IP-адрес SMTP сервера нам не нужен, поэтому ставим 0.0.0.0
- В качестве DNS сервера укажем IP-адрес сервера Google 8.8.8.8
- Имя DNS сервера оставляем пустым.
- В следующем окне имя пользователя и пароль не меняем.
После этого настройка завершена.
Ограничение клиентов хотспота по времени
К ограничению клиентов по времени нужно подойти ответственно. Сначала определите, кто ваши клиенты, и с какой периодичностью они могут пользоваться хотспотом.
Например, клиенты кафе заходят выпить кофе или пообедать и пользуются Wi-Fi не более часа. Для кафе можно поставить ограничение по времени 1 час, а по истечении этого времени заблокировать клиента на 2 часа. В таком случае клиент сможет прийти в обед или вечером и опять воспользоваться Wi-Fi. Любители позависать в интернете тоже долго сидеть не будут, и пойдут искать другую халявную Wi-Fi точку.
Для ограничения клиентов по времени, выполните следующее:
- Перейдите на вкладку Server Profiles и откройте свойства hsprof1;
- Снимите галочку с пункта Cookie и установите на Trial;
- В поле Trial Uptime Limit укажите время, в течении которого клиенту разрешено пользоваться интернетом;
- В поле Trial Uptime Reset укажите время, на которое клиент будет заблокирован после истечения разрешенного времени Trial Uptime Limit.
Если вы будете использовать хотспот с рекламой, то ставить ограничение по времени не нужно. В этом случае поставьте время работы Trial Uptime Limit 00:00:00, а время блокировки 1 минуту Trial Uptime Reset 00:01:00. Чтобы отключить механизм блокировки поставьте Trial Uptime Reset 00:00:00.
Ограничение клиентов хотспота по скорости
Для ограничения скорости клиентов, откройте вкладку User Profiles и выполните следующие настройки:
- Keepalive Timeout установите 01:00:00;
- Удалите Shared Users;
- В поле Rate Limit укажите ограничение скорости rx/tx (загрузка/отдача). Например, значение 1m/1m ограничивает скорость до 1 Мбит/с на загрузку и отдачу;
- В поле Open Status Page выберите HTTP Login.
Чтобы клиенты использовали только DNS сервер нашего роутера, необходимо изменить настройки DHCP сервера:
- Откройте меню IP – DHCP Server и перейдите на вкладку Networks;
- Откройте свойства имеющейся DNS записи и укажите в поле DNS Servers: 192.168.10.1;
- Нажмите OK.
Подключите ноутбук по кабелю в 10-й сетевой порт роутера MikroTik. Сетевая карта ноутбука должна быть настроена на автоматическое получение настроек по DHCP.
Откройте браузер и введите адрес www.google.com. Роутер автоматически перенаправит браузер на страницу авторизации хотспота. Вверху страницы будет красная ссылка Click Here, нажав на которую можно получить доступ к интернету без ввода логина и пароля.
После нажатия на ссылку Click Here вы попадете на сайт Google, значит, хотспот работает.
Список подключенных к хотспоту клиентов отображается на вкладке Active. Если открыть свойства клиента, то можно узнать его IP и MAC адрес, время работы и объем переданного трафика. Если выбрать клиента и нажать кнопку “-“, то клиент отключится от хотспота и ему придется еще раз пройти страницу авторизации.
Перенаправление клиентов на рекламную страничку
Если вы хотите клиентам показывать рекламную страницу, то нужно переделать html страницу авторизации MikroTik.
Откройте меню Files и удалите файлы alogin.html и status.html. Скопируйте файл login.html на компьютер путем перетаскивания мышкой.
Откройте в браузере файл login.html, наведите мышку на ссылку сlick here, скопируйте адрес ссылки и запишите в блокнот. Ссылка выглядит следующим образом:
$(link-login-only)?dst=$(link-orig-esc)&username=T-$(mac-esc)
Создайте в любом html-редакторе простую страничку с текстом и картинкой. Можно использовать и обычный редактор Microsoft Word, только сохранить файл как html.
Напишите текст “Зайти в сеть без просмотра сайта провайдера” и поставьте на текст гиперссылку:
$(link-login-only)?dst=$(link-orig-esc)&username=T-$(mac-esc)
На картинку поставьте гиперссылку для переадресации, например, на сайт http://google.ru/:
$(link-login-only)?dst=http://google.ru/&username=T-$(mac-esc)
Когда клиент будет в браузере вводить любой адрес, он все равно переадресуется на сайт http://google.ru/.
Будьте внимательны! Некоторые редакторы могут самостоятельно изменить адрес гиперссылки. Поэтому откройте в блокноте файл login.html и проверьте, не изменились ли они. Если ссылки изменились, исправьте их.
Вот пример, когда редактор Word вставил лишние буквы и изменил гиперссылки.
Далее сохраните файл login.html и перетащите его в роутер в папку hotspot. Не забудьте также скопировать картинки. Обычно их размещают в отделной папке.
Открываем на ноутбуке начальную страницу и видим нашу созданную рекламную страничку. Если в адресной строке браузера набрать любой адрес, то все равно попадем на рекламную страницу, пока не нажмём на картинку.
После нажатия на картинку нас перебрасывает на сайт www.google.ru, поскольку мы сделали на него переадресацию. Вместо сайта Google можно указать любой другой.
Если нажать на ссылку “Зайти в сеть без просмотра сайта провайдера“, то откроется нужный сайт без перехода на сайт провайдера (рекламный сайт).
Замечание! Некоторые браузеры (в том числе Google Chrome) могут выдавать ошибку при переходе по ссылке “Зайти в сеть без просмотра сайта провайдера” или при первом открытии браузера. Это происходит из-за неправильной обработки браузером ссылки переадресации. Поэтому рекомендуем всегда указывать переадресацию на рекламную страницу или поисковую систему.
Настройка сети для администрации
Сотрудникам организации нужно создать отдельную сеть без переадресации на страницу приветствия.
Добавление бриджа для административной сети
В меню Bridge создайте бридж интерфейс с именем bridge_work, а бридж для хотспота переименуйте в bridge_hotspot.
В меню IP – Address добавьте IP-адрес 192.168.11.1/24 для интерфейса bridge_work.
На вкладке Ports добавьте 9-й сетевой порт ether9 в бридж bridge_work, чтобы потом с помощью ноутбука проверить работу административной сети.
Настройка NAT
Откройте меню IP – Firewall, перейдите на вкладку NAT, добавьте новое правило и укажите в поле Src. Address 192.168.11.0/24.
Перейдите на вкладку Action, выберите masquerade и нажмите кнопку OK.
После этого в конце списка правил NAT появятся правила для административной сети. Выше по списку расположены правила для HotSpot, которые создались автоматически.
Настройка DHCP сервера
Откройте меню IP – DHCP Server, нажмите кнопку DHCP Setup и выполните следующие настройки:
- DHCP Server Interface – bridge_work
- DHCP Address Space – 192.168.11.0/24
- Gateway for DHCP Network – 192.168.11.1
- Address to Give Out – 192.168.11.2-192.168.11.254
- DNS Servers – 192.168.11.1
- Lease Time – 3d 00:00:00. Можно указать меньшее время аренды IP-адреса, но поскольку это административная сеть, то не желательно часто менять IP-адреса.
После этого DHCP сервер готов к работе.
Настройка ограничений скорости
Сотрудники административной сети могут качать торренты или файлы из интернета и тем самым тормозить работу других сотрудников. Чтобы этого не происходило, нужно настроить ограничения скорости для сотрудников.
Для ограничения скорости и эффективного использования пропускной способности будем использовать шейпер PCQ. Преимущество шейпера PCQ в том, что при превышении скорости клиентом, шейпер не отбрасывает данные клиента сразу, а буферизирует их, увеличивает задержку и информирует приложения о том, что нужно снизить скорость.
Первым создаем правило ограничения скорости загрузки. Откройте меню Queues, перейдите на вкладку Queues Types и создайте новую запись с следующими параметрами:
- Type Name – PCQ_Download.
- Kind – PCQ.
- Rate – 5M – ограничение скорости загрузки на одного сотрудника.
- Limit – 500 – размер буфера пакетов на одного сотрудника.
- Total Limit – 20000 – размер буфера пакетов на всех.
- Поставьте галочку Dst. Address.
- Нажмите OK.
Второе правило будет ограничивать скорости отдачи:
- Выделите предыдущее созданное правило и нажмите кнопку Copy (серая лейка).
- В поле Type Name укажите имя PCQ_Upload.
- Поставьте галочку напротив Src. Address (не Dst. Address.).
- Нажмите OK.
Мы создали два правила для ограничения скорости загрузки и отдачи. Теперь применим их для административной сети:
- Перейдите на вкладку Simple Queues.
- Нажмите “+” для создания нового правила.
- Перейдите на вкладку Advanced.
- Interface выберите bridge_work – бридж интерфейс административной сети.
- В разделе Target Upload в списке Queue Type выберите правило PCQ_Upload.
- В разделе Target Download в списке Queue Type выберите правило PCQ_Download.
Это правило ограничит скорость всем сотрудникам без добавления их в Address List.
Протестируем работу ограничений скорости. Подключаем ноутбук в 9-й сетевой порт роутера и ставим торрент на загрузку. После этого нажмите правой кнопкой мыши на интерфейсе bridge_work и выберите в меню Torch. Как видите, ограничения работают.
На этом настройка внутренней сети организации завершена. Мы создали на маршрутизаторе два бридж интерфейса:
- bridge_hotspot – для подключения гостей с переадресацией на рекламную страничку;
- bridge_work – для сотрудников организации.
Настройка Wi-Fi интерфейсов
Чтобы гости и сотрудники могли подключаться по Wi-Fi каждый к своей сети, нужно настроить Wi-Fi интерфейс роутера.
Настройка Wi-Fi сети хотспота
Откройте меню Wireless, на вкладке General укажите имя Name: wlan_hotspot и нажмите кнопку Advanced Mode для доступа ко всем настройкам беспроводного адаптера.
Перейдите на вкладку Wireless и выполните настройку основных параметров:
- Mode – ap bridge – включаем работу в режиме точки доступа.
- Band – 2GHz-B/G – стандарты работы B/G, можно выбрать и B/G/N но обычно он не дает сильной прибавки в скорости, однако создает проблемы с подключением некоторых устройств.
- Frequency – 2412 – частота работы.
- SSID – TECHNOTRADE-Wi-Fi – имя беспроводной сети, нужно указывать название своей организации, что бы поднять в самый верх списка сетей можно спереди указать восклицательный знак – !.
- Radio Name – TECHNOTRADE-MAIN – имя точки доступа, отображается при сканировании сети. При большом количестве устройств их нельзя будет различать по SSID, т.к. он одинаковый у всех, а имя точки доступа будет у каждого устройства свое.
- Scan List – 2400-2500 – диапазон сканирования сетей.
- Wireless Protocol – 802.11 – работа в режиме стандартного вайфая.
- Frequency Mode – superchannel – включение всех доступных частот, хоть стандартный вайфай и работает на стандартных частотах, иногда бывает нужно просканировать сеть на предмет помех и вне его.
- Default Authenticate – отключение галочки позволяет включить режим ограничения по минимальному уровню сигнала.
- Default Forward – отключение галочки позволяет заблокировать обмен трафиком между клиентами беспроводной сети.
На вкладке Data Rates выберите Rate Selection: advanced, параметр Rate Configured и уберите все галочки со скоростей B режимов вверху и внизу.
На вкладке Advanced произвести следующие настройки:
- Distance – indoors – установка минимального расстояния до клиентов.
- Periodic Calibration – enabled – включение автоматического переопределения уровня шума.
- Calibration Interval – 00:00:10 – интервал переопределения 10 секунд.
- Hw. Protection Mode – RTS/CTS – включение механизма защиты от скрытого узла, когда клиенты не слышат друг друга, например находятся за толстой бетонной стеной, это помогает увеличить пропускную способность сети.
- Preamble Mode – both – включение короткой и длинной преамбулы пакетов, можно поставить и просто short, но возможно не все устройства смогут подключиться к сети.
Перейдите на вкладку HT и поставьте 4 галочки напротив каналов chain. Это позволит включить режим MIMO и получить высокие скорости передачи данных, но дальность Wi-Fi покрытия будет меньше.
На вкладке WDS ничего не меняем, поскольку ноутбуки и смартфоны, которые будут подключаться к Wi-Fi точке, не поддерживают этот режим.
На вкладке Nstreme снимите галочку Enable Polling.
На вкладке Tx Power выберите Tx Power Mode: All Rates Fixed и укажите максимальную выходную мощность передатчика 18 dBm.
Не нужно стремиться ставить высокую выходную мощность Wi-Fi точки доступа. Мощность беспроводных передатчиков смартфонов и планшетов обычно находится в пределах 6-16 dBm. Если вы на Wi-Fi точке поставите максимальную мощность, то может получиться ситуация, когда клиенты будут видеть точку, но подключиться не смогут. Это происходит из-за того, что у клиентов слабые сигналы и Wi-Fi точка не слышит их из за своей высокой мощности.
На вкладке Current Tx Power отображается установленная мощность для каждой скорости и канала, а также суммарная мощность по двум каналам.
Настройка административной Wi-Fi сети
Настроим закрытую Wi-Fi сеть предприятия. Для этого нам понадобится создать новый профиль безопасности и настроить его параметры. Откройте меню Wireless, перейдите на вкладке Security Profiles, нажимаем кнопку “+” и укажите следующие параметры:
- Name – profile_work – имя профиля, обычно указывают такое же как и имя сети.
- Mode – dynamic keys – выбор шифрования с динамическими ключами.
- Authentication Types – WPA PSK и WPA2 PSK – включаем оба типа аутентификации.
- Unicast и Group Chiphers – tkip и aes ccm – и оба режима шифрования для совместимости.
- WPA и WPA2 Pre-Shared Key – 12345678 – вводим ключ сети, минимум 8 символов.
Теперь создадим виртуальную точку доступа для административной сети организации:
- Откройте меню Wireless и перейдите на вкладку Interfaces.
- Нажмите “+” и выберите в выпадающем списке Virtual AP (виртуальная точка доступа).
- В поле Name введите имя wlan_work.
- Нажмите кнопку Advanced Mode для расширенной настройки.
На вкладке Wireless укажите следующие настройки:
- SSID – TECHNOTRADE-WORK – имя беспроводной сети.
- Master Interface – wlan1_hotspot – реальный беспроводной адаптер, при создании еще нескольких виртуальных точек, нужно выбирать его в качестве главного.
- Security Profile – profile_work – профиль шифрования.
- Снимите галочки Default Authenticate и Default Forward.
Откройте вкладку Access List и нажмите “+”, чтобы создать новое правило ограничения по уровням сигналов:
- Signal Strength Range в интервале -77..120, что позволяет принимать клиентов только в том случае, если уровень сигнала лучше, чем -77. Если не предполагается делать сеть с роумингом, например на начальном этапе когда всего одна точка доступа, то вместо -77 можно указать -90, тогда смогут подключаться клиенты даже с самыми слабыми сигналами. Тут важно понимать, что разные беспроводные устройства имеют разную мощность передатчика, например в одном и том же месте адаптер ноутбука подключится к точек с уровнем -70 и сможет работать, а адаптер телефона будет пытаться подключиться с сигналом -80 и не сможет попасть на точку. Для выхода из этой ситуации следует либо устанавливать беспроводные устройства как можно чаще по помещениям, либо изменения минимального уровня сигнала до -80, либо создание еще одной виртуальной точки специально для телефонов и смартфонов, где будет указано другое ограничение уровней сигналов, для этого в правиле нужно указать конкретный интерфейс, на котором работать.
- Снимите галочку Forwarding чтобы клиенты беспроводной сети не могли обмениваться данными между собой.
Добавляем Wi-Fi интерфейсы в соответствующие бриджы
Теперь добавим каждый Wi-Fi интерфейс в свой бридж.
Добавляем Wi-Fi интерфейс хотспота в свой бридж:
- Откройте меню Bridge и перейдите на вкладке Ports.
- Нажмите “+”.
- Выберите Interface: wlan_hotspot
- Выберите Bridge: bridge_hotspot.
Аналогично добавляем Wi-Fi интерфейс административной сети в свой бридж:
- Откройте меню Bridge и перейдите на вкладке Ports.
- Нажмите “+”.
- Выберите Interface: wlan_work.
- Выберите Bridge: bridge_work.
Проверка работы беспроводных сетей
Сканируем на ноутбуке беспроводные сети. Ноутбук нашел две наши Wi-Fi сети:
- TECHNOTRADE–Wi-Fi – хотспот для бесплатного выхода в интернет с просмотром рекламной странички.
- TECHNOTRADE-WORK – беспроводная сеть для сотрудников организации.
Подключаемся к сети TECHNOTRADE-Wi-Fi для проверки работы хотспота. В списке беспроводных клиентов на вкладке Registration видно, что клиент подключился через интерфейс wlan_hotspot.
Подключаемся ноутбуком к беспроводной сети TECHNOTRADE-WORK и смотрим список подключенных клиентов. Теперь подключение прошло через интерфейс административной сети wlan_work.
Если в меню Log посмотреть логи маршрутизатора, то видно, что ноутбук сначала подключился к HotSpot и получил IP-адрес 192.168.10.253, а потом подключился к рабочей сети с IP-адресом 192.168.11.253.
Изоляция трафика между несколькими Wi-Fi точками
Если в вашей беспроводной сети будет использоваться много Wi-Fi устройств, то рекомендуем присвоить имя центральному маршрутизатору. Это позволит легко находить главный роутер в списке всех устройств.
Откройте меню System – Identity и введите имя, например, TECHNOTRADE_Router.
Если вы планируете установить несколько Wi-Fi точек в сети, то нужно позаботиться об изоляции клиентского трафика между точками. Если этого не сделать, то клиенты разных Wi-Fi точек будут обмениваться данными друг с другом и появится широковещательный мусорный трафик, который создаст лишнюю нагрузку на сеть.
Чтобы изолировать клиентский трафик нужно сделать следующее:
- Каждую Wi-Fi точку подключать к центральной точке в отдельном VLAN.
- Чтобы изолировать трафик в каждом VLAN и иметь доступ к сети из любой Wi-Fi точки, нужно объединить их в Bridge интерфейс с изоляцией трафика.
Откройте меню Bridge, перейдите на вкладку Filters и создайте новый фильтр. На вкладке General откройте раздел Bridges и выберите в полях In. Bridge и Out. Bridge наш бридж интерфейс bridge_hotspot.
Перейдите на вкладку Action, выберите drop и нажмите кнопку OK.
После этого трафик между клиентами будет заблокирован и они не смогут общаться друг с другом. Это позволит исключить в сети мусорный широковещательный трафик и повысить пропускную способность.
Установка пароля администратора
В конце измените стандартный пароль администратора на роутере MikroTik.
Откройте меню System – Users, откройте свойства пользователя admin, нажмите кнопку Password и укажите новый пароль.
Теперь маршрутизатор MikroTik полностью готов к работе. Его можно установить в кафе или гостинице и организовать хотспот с переадресацией на рекламную страничку.
Свежие комментарии