MikroTik: HotSpot
Создание двух сетей (для сотрудников и hotspot) используя CAPsMAN
Предварительные настройки
В примере в качестве сервера используется RB951Ui-2HnD, в качестве точки доступа будет выступать RB941-2nD-TC (hAP lite) и RBmAPL-2nD (mAP lite).
Распределение портов:
1 -
WAN (Для выхода в Интернет с белым IP адресом)
2 -
LAN (Для администрирования через локальную сеть организации)
3,4 -
LAN-WiFi (Включает 2 vlan: vlan_hotspot, vlan_work)
5 - Для ITS
Сперва необходимо произвести сброс всего оборудования к заводским настройкам. Установить обновлённую прошивку, в примере используется версия RouterOS 6.37.1 на обоих устройствах. Затем выполняется настройка локальной сети на сервере. Выполнить это можно с помощью QuickSet
или в меню IP/Addresses
.
Настройка сети
В меню IP/DHCP Server
необходимо указать:
DHCP Server Interface | Ether5 |
DHCP Address Space | 192.168.99.0/24 |
Gateway for DHCP Network | 192.168.99.1 |
Address to Give Out | 192.168.99.2-192.168.99.254 |
DNS Servers | 192.168.99.1 |
Для работы в качестве DNS сервера необходимо установить галочку ✔ Allow Remote Requests
в разделе настроек IP/DNS
. Так же можно в меню IP/DHCP Server
на вкладке Networks
указать DNS сервер провайдера и альтернативный 8.8.8.8.
Для того чтобы компьютеры получали доступ в интернет, необходимо настроить Firewall и NAT на роутере MikroTik.
Настройка NAT
add action=netmap chain=srcnat out-interface=ether1 to-addresses=БЕЛЫЙ IP
add action=netmap chain=dstnat dst-address=БЕЛЫЙ IP to-addresses=192.168.22.2
Настройка LAN-WiFi
В разделе Bridge
необходимо создать мост с именем bridge_lan
и добавить в него 3 и 4 сетевые порты.
В меню IP/Addresses
указываем IP-адрес на бридж - 192.168.111.1/24.
В меню IP/DHCP Server
необходимо указать:
DHCP Server Interface | bridge_lan |
DHCP Address Space | 192.168.111.0/24 |
Gateway for DHCP Network | 192.168.111.1 |
Address to Give Out | 192.168.111.2-192.168.111.254 |
DNS Servers | 192.168.111.1 |
Необходимо создать VLAN, чтобы объединить все сети с локальной.
В меню Interface на вкладке VLAN создаём новый VLAN с номером 10 на сетевом интерфейсе bridge_lan
, назначаем ему имя vlan_10_hotspot
.
Создаём ещё один VLAN с номером 11 на сетевом интерфейсе bridge_lan
, назначаем ему имя vlan_11_work
.
Настройка отдельной сети WIFI для сотрудников
В разделе Bridge необходимо создать Bridge с именем bridge_work, добавляем интерфейс vlan_11_work
в bridge_work
.
В меню IP/Addresses
указываем IP-адрес на мост: 192.168.11.1/24
В разделе IP/DHCP Server
нажимаем кнопку DHCPSetup и указываем следующие данные:
DHCP Server Interface | bridge_work |
DHCP Address Space | 192.168.11.0/24 |
Gateway for DHCP Network | 192.168.11.1 |
Address to Give Out | 192.168.11.2-192.168.11.254 |
DNS Servers | 192.168.11.1 |
Lease Time | 2d 00:00:00 |
Время аренды можно указать и меньше, например 1 день, или вообще 1 час, но так как это все же рабочая сеть, то частая смена адресов не желательна.
Настройка HotSpot
В разделе Bridge
нужно создать новый мост, указываем имя bridge_hotspot
. Он нужен для последующего подключения беспроводного адаптера и других беспроводных точек. Так же на него будет привязан IP-адрес хотспота.
В меню Bridge
добавляем интерфейс vlan_10_hotspot
в bridge_hotspot
.
В меню IP/Address
добавляем адрес на бридж, указываем 192.168.10.1/24 и выбираем интерфейс bridge_hotspot.
Настройка hotspot выполняется в меню IP - Hotspot - Hotspot Setup.
В пошаговой настройке hotspot необходимо указать:
Интерфейс hotspot (В нашем случае это bridge_hotspot
.)
Cеть, в которой будет работать HotSpot (например: 192.168.10.1/24
)
Пул адресов, который будет выдаваться для устройств, подключённых к HotSpot.
SSL сертификат (при наличии)
Адрес
SMTP-сервера, необходимо указать его IP, если планируете использовать внутренний
SMTP-сервер.
-
Имя/пароль администратора.
В случае успешной настройки, система выдаст сообщение о завершении настройки, и в списке серверов появится hotspot1
.
Далее идёт процесс настройки сервера hotspot!
В меню IP/Hotspot/Server Profiles
можно выполнить более тонкую настройку авторизации или же включить использование Radius сервера.
В меню IP/Hotspot/User Profiles
выполняется настройка профиля для пользователей. (например параметр shared users
ограничивает количество авторизации с одной связки имя/пароль на нескольких устройства одновременно).
Создание новых пользователей производится в меню IP/Hotspot/User
. Можно выполнить детальную настройку для каждого пользователя (имя,пароль, профиль и многое другое).
Open Status Page
выбираем HTTP Login
, чтобы пользователей перебрасывало на страницу авторизации.
Имеется возможность заменить стандартную форму авторизации на необходимую вам, предварительно необходимо загрузить файлы в память устройства и указать путь к веб-интерфейсу HotSpot, параметр HTML directory
в меню IP/Hotspot/Server Profiles
Для сохранения связки пользователей логин/пароль необходимо в меню IP/Hotspot/Server Profiles
в разделе Login by поставить галочки Mac cookie. Cookie
Сохранение паролей на Android
Для того чтобы сохранить ваш пароль авторизации в HotSpot, необходимо включить функцию сохранения паролей
в настройках вашего мобильного браузера.
Хранение HTML Cookie Lifetime
Для увеличения времени хранения HTML Cookie Lifetime
необходимо зайти в меню IP/Hotspot/Server Profiles
и на вкладке выставить нужное время.
Конфигурационный файл
Пример файла hotspot.conf
Пример файла hotspot.conf
- hotspot.conf
/caps-man channel
add band=2ghz-b/g/n extension-channel=Ce frequency=2412 name=channel1 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2417 name=channel2 width=20
/interface bridge
add name=bridge_hotspot
add name=bridge_its
add name=bridge_lan
add name=bridge_work
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/ip neighbor discovery
set ether1 comment=WAN
set ether2 comment=LAN
/interface vlan
add interface=bridge_lan loop-protect-disable-time=0s loop-protect-send-interval=0s name=vlan_66_hotspot vlan-id=66
add interface=bridge_lan loop-protect-disable-time=0s loop-protect-send-interval=0s name=vlan_77_work vlan-id=77
/caps-man datapath
add bridge=bridge_hotspot client-to-client-forwarding=yes local-forwarding=yes name=ИМЯ
add bridge=bridge_work client-to-client-forwarding=yes local-forwarding=yes name=ИМЯ2
/caps-man security
add name=ИМЯ
add authentication-types=wpa2-psk encryption=aes-ccm,tkip group-encryption=aes-ccm name=ИМЯ2 passphrase=КЛЮЧ
/caps-man configuration
add channel=channel1 datapath=ИМЯ datapath.vlan-id=66 datapath.vlan-mode=use-tag mode=ap name=ИМЯ rx-chains=0,1,2 security=ИМЯ ssid=ИМЯ \
tx-chains=0,1,2
add channel=channel1 datapath=ИМЯ2 datapath.vlan-id=77 datapath.vlan-mode=use-tag mode=ap name=ИМЯ2 rx-chains=0,1,2 security=ИМЯ2 ssid=\
ИМЯ2 tx-chains=0,1,2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
add hotspot-address=192.168.22.1 html-directory=flash/hotspot http-cookie-lifetime=1w3d name=hsprof1
/ip hotspot user profile
set [ find default=yes ] keepalive-timeout=1h rate-limit=5m/5m
add keepalive-timeout=1h name=more_devices rate-limit=5m/5m shared-users=unlimited
add keepalive-timeout=30m mac-cookie-timeout=1d name=guest rate-limit=5m/5m shared-users=3
/ip pool
add name=hs-pool-6 ranges=192.168.22.2-192.168.22.254
add name=dhcp_pool1 ranges=192.168.33.2-192.168.33.254
add name=dhcp_pool2 ranges=192.168.11.2-192.168.11.254
add name=dhcp_pool3 ranges=192.168.0.1-192.168.0.4,192.168.0.6-192.168.0.254
add name=dhcp_pool4 ranges=192.168.44.2-192.168.44.254
add name=dhcp_pool5 ranges=192.168.44.2-192.168.44.254
/ip dhcp-server
add address-pool=hs-pool-6 disabled=no interface=bridge_hotspot lease-time=1h name=dhcp1
add address-pool=dhcp_pool1 disabled=no interface=bridge_work lease-time=1d10m name=dhcp2
add address-pool=dhcp_pool2 disabled=no interface=bridge_lan name=dhcp3
add address-pool=dhcp_pool5 disabled=no interface=bridge_its lease-time=3d name=dhcp4
/ip hotspot
add address-pool=hs-pool-6 disabled=no interface=bridge_hotspot name=hotspot1 profile=hsprof1
/caps-man access-list
add action=accept disabled=yes interface=all signal-range=-77..120 ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=ИМЯ name-format=identity
/interface bridge filter
add action=drop chain=forward in-bridge=bridge_hotspot out-bridge=bridge_hotspot
/interface bridge port
add bridge=bridge_lan interface=ether4
add bridge=bridge_lan interface=ether3
add bridge=bridge_hotspot interface=vlan_66_hotspot
add bridge=bridge_work interface=vlan_77_work
add bridge=bridge_its interface=ether5
/ip address
add address=192.168.22.1/24 interface=bridge_hotspot network=192.168.22.0
add address=192.168.33.1/24 interface=bridge_work network=192.168.33.0
add address=192.168.11.1/24 interface=bridge_lan network=192.168.11.0
add address=192.168.0.3/24 interface=ether1 network=192.168.0.0
add address=ВНЕШНИЙ IP interface=ether1 network=ВНЕШНИЙ IP
add address=192.168.44.1/24 interface=bridge_its network=192.168.44.0
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=ether2 use-peer-dns=no
/ip dhcp-server network
add address=192.168.0.3/32 gateway=192.168.0.1
add address=192.168.11.0/24 dns-server=+ АДРЕС ПРОВАЙДЕРА 8.8.8.8 gateway=192.168.11.1
add address=192.168.22.0/24 comment="hotspot network" dns-server=+ АДРЕС ПРОВАЙДЕРА 8.8.8.8 gateway=192.168.22.1
add address=192.168.33.0/24 dns-server=+ АДРЕС ПРОВАЙДЕРА 8.8.8.8 gateway=192.168.33.1
add address=192.168.44.0/24 dns-server=+ АДРЕС ПРОВАЙДЕРА 8.8.8.8 gateway=192.168.44.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8 + АДРЕС ПРОВАЙДЕРА
/ip firewall filter
add action=drop chain=forward dst-address=адрес сети src-address=адрес сети //проходящий трафик через LAN порт
add action=drop chain=forward dst-address=192.168.22.0/24 src-address=192.168.44.0/24
add action=drop chain=forward dst-address=192.168.33.0/24 src-address=192.168.44.0/24
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established in-interface=ether1
add action=accept chain=input connection-state=established in-interface=ether1
add action=drop chain=input in-interface=ether1
add action=jump chain=forward in-interface=ether1 jump-target=customer
add action=accept chain=customer connection-state=established
add action=accept chain=customer connection-state=related
add action=drop chain=customer
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat src-address=внутрений адрес сети организации
add action=netmap chain=srcnat out-interface=ether1 to-addresses=ВНЕШНИЙ IP адрес
add action=netmap chain=dstnat dst-address=ВНЕШНИЙ IP адрес to-addresses=адрес WAN порта
add action=masquerade chain=srcnat comment="masquerade hotspot network" disabled=yes out-interface=ether1 src-address=192.168.22.0/24 to-addresses=адрес WAN порта
add action=masquerade chain=srcnat disabled=yes src-address=192.168.11.0/24
add action=masquerade chain=srcnat disabled=yes out-interface=ether1 src-address=адрес WAN порта
/ip hotspot ip-binding
add address=192.168.22.234 mac-address=F6:D0:25:15:19:22 server=hotspot1 to-address=192.168.22.234
/ip hotspot user
add comment=Admin disabled=yes name=admin password=ПАРОЛЬ server=hotspot1
add comment=Test disabled=yes name=test password=ПАРОЛЬ profile=more_devices server=hotspot1
/ip route
add distance=1 gateway=Адрес Гейта
add disabled=yes distance=1 dst-address=АДРЕС WAN порта gateway=bridge_lan
add disabled=yes distance=1 dst-address=192.168.11.1/32 gateway=ether1
add disabled=yes distance=1 dst-address=192.168.22.1/32 gateway=bridge_lan
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=Адрес сети организации disabled=yes
set api disabled=yes
set winbox address=Адрес сети организации
set api-ssl disabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2 type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
add interface=ether5 type=internal
add interface=bridge_lan type=internal
add interface=bridge_work type=internal
add interface=bridge_hotspot type=internal
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Controller
/system routerboard settings
set memory-frequency=1200DDR protected-routerboot=disabled silent-boot=yes
Ссылки