Создание и настройка HotSpot на оборудовании Mikrotik

Чуть ранее мы уже рассматривали все тонкости построения большой беспроводной сети с помощью оборудования компании Ubiquiti, в частности на устройствах UniFi. Тема создания HotSpot получает все большей популярности, поэтому, сегодня мы поговорим о создании хотспота на оборудовании компании Mikrotik под управлением RouterOS.

Большинство инструкций, присутствующих в сети, сводится к бездумному следованию инструкций по типу «сделайте это», «нажмите то», «укажите адрес…» – без объяснения значения этих параметров. Мы же попытаемся дать основы к понимаю всего процесса настройки, что даст возможность настраивать hotspot без подглядывания в инструкцию.

Конфигурации хотспотов могут очень сильно отличаться, всё зависит от конфигурации вашей сети. Хотспот может быть как самым простейшим, построенным на базе всего 1 устройства начального уровня, так и продвинутым, состоящим из нескольких важных узлов, например отдельного сервера HotSpot, отдельного маршрутизатора и CAPsMAN-сервера.

Для примера, у одного из наших клиентов есть небольшие офисы-представительства, которые используют HotSpot на базе самого простого Mikrotik hAP lite.

Казалось бы, что можно реализовать на столь простом устройстве? С RouterOS – достаточно много! В приведенном выше примере hAP lite реализует 2 изолированные локальные сети (офисная + гостевая), 2 сети Wi-Fi (первая основная для офиса, вторая Virtual AP для HotSpot), сам HotSpot с рекламной стартовой страницей, стилизированной под официальный сайт, шейпинг скорости в 1 Мбит и 2 Мбит burst. В добавок, применяется webproxy для запрета доступа к некоторым сайтам и access list для отключения клиентов с низким сигналом (устройства снаружи помещения). Помимо этого устройство реализует функции маршрутизации и используется для подключения к сети провайдера. Впечатляет, правда?

Если вы хотите создать HotSpot для большого количества клиентов, вам потребуется более мощное оборудование и, скорее всего, несколько точек доступа.

В нашем примере, в качестве сервера будет выступать PowerBox (RB750P-PBr2), а беспроводная сеть будет реализована на 2 точках доступа wAP (RBwAP2nD). Предполагается использовать только одну локальную и беспроводную сети.

Конфигурация PowerBox взята дефолтная, без каких-либо изменений. Перовым делом следует указать настройки локальной сети. Сделать это можно как в самом QuickSet, так и в разделе IP – Addresses.

IP у нас получается автоматически от другого маршрутизатора, поэтому указываем Automatic, такая настройка поможет нашему хотспоту не зависеть от настроек главного маршрутизатора. Если сеть большая, рекомендуется использовать статический IP. Для изоляции внутренней сети за PowerBox можно создать соответствующие правила в Firewall.

Настройка DHCP-сервера осуществляется в отдельном разделе IP – DHCP Server. В нашем случае мы выбрали для использования подсеть 192.168.1.1/24.

Теперь можно приступит к настройке сервера HotSpot. Заходим в раздел IP – Hotspot и нажимаем Hotspot Setup. Появляется мастер конфигурирования.

В появившемся окне необходимо выбрать интерфейс, на котором будет работать наш HotSpot. В качестве интерфейса может выступать свич (несколько портов), бридж, wlan (AP либо Virtual AP), а также отдельно взятый порт. Выбор интерфейса зависит от конфигурации, которую вы выберете для своей сети: разделение портов, наличие подсетей и виртуальных AP. При использовании мощного маршрутизатора Cloud Core Router, под нужды HotSpot можно выделить несколько портов. Для маршрутизатора начального уровня, лучше выделить все локальные порты, что мы и делаем в случае с PowerBox, указав master-порт.

В следующем окне необходимо указать сеть, в которой будет работать HotSpot. При наличии нескольких сетей, указывайте ту сеть, которая выделяется под HotSpot, например 192.168.10.1/24.

Далее необходимо указать пул адресов, который будет выдаваться для устройств, подключенных к HotSpot. Т.к. мы не создавали дополнительную подсеть, Mikrotik предлагает нам диапазон 192.168.1.10-192.168.1.254, соглашаемся.

Если у вас несколько сетей – обратите внимание на этот этап. В случае, когда HotSpot обслуживает большое количество устройств, может потребоваться указать более широкий диапазон адресов, либо добавить несколько диапазонов.

Поскольку сертификат SSL мы использовать не будем, при выборе сертификата оставляем полено none и нажимаем Next.

Настройку SMTP также пропускаем, оставив значение 0.0.0.0. Если вы предполагаете использование внутреннего SMTP-сервера, необходимо указать его IP.

В качестве DNS-сервера лучше всего указать IP-адрес маршрутизатора. Имя не указываем.

Далее необходимо указать данные администратора – желаемый логин и пароль. Если все прошло успешно, система уведомит вас о завершении настройки, а в списке серверов появится hotspot1.

Для большего удобства, сервер можно переименовать, открываем и меняем название на lanmarket-hotspot.

Сервер создан, теперь его необходимо настроить. Первым делом заходим в Server Profiles, здесь у нас появился профиль hsprof1, который используется для нашего сервера.

Для удобства мы также переименовали профиль в lanmarket-profile. Параметр HTML directory указывает путь к веб-интерфейсу HotSpot, если вы предполагаете менять дизайн главной странички, можно указать другую директорию в памяти. Предварительно файлы необходимо залить в память.

По-умолчанию, используется flash/hotspot. Если вы обладаете знаниями по HTML, особых трудностей с изменением дизайна не возникнет. Часть скриптов и код можно брать с оригинальных файлов.

Во вкладке Login необходимо произвести настройку типа авторизации. В нашей сети предполагается использование временного доступа, поэтому отключаем опцию Cookie и активируем Trial (пробный). Параметр Trial Uptime Limit указывает период времени, на который пользователю будет предоставляться доступ к сети Интернет. Формат [часы]:[минуты]:[секунды].

Trial Uptime Reset – параметр, который указывает через какой период времени пользователь сможет повторно воспользоваться пробным доступом. 1d 00:00:00 устанавливает этот параметр в 1 день. Мы же меняем этот параметр на 5 минут (0d 00:05:00).

Trial User Profile – название профиля, который будет применяться к пользователю, оставляем как есть. Если вы предполагаете использовать рекламную страницу для входа в сеть, интервал сброса можно указать 1 минуту, либо вовсе 0.

На этом настройка профиля сервера завершена. Переходим к настройке профиля пользователей, вкладка User Profiles.

По-умолчанию, здесь будет только 1 профиль. Если вы предполагаете гибкую настройку, можно создать несколько профилей, например 1 гостевой, 1 для администратора и еще 1 для тех, кто получает доступ по паролю.

Открываем стандартный профиль, для удобства мы переименовали его в lanmarket-trial (поле Name).

Параметр Shared Users убираем. При необходимости ограничения скорости, задаем параметр Rate Limit, для примера мы указали 5m/2m, что устанавливает ограничение Download (RX) в 5 Мбит, а Upload (TX) в 2 Мбита.

На этом этапе многие допускают ошибку, в частности авторы инструкций. Забегая наперед, скажем, что правило работает наоборот, т.е. RX на самом деле ограничивает скорость приема от пользователя, а TX – скорость отправки данных пользователю. Поэтому правильное правило будет иметь вид 2m/5m. Фишка или ошибка – сложно сказать, для примера использовалась Router OS 6.32.3, которая на момент написание данного руководства является последней стабильной версией.

Open Status Page выбираем HTTP Login, чтобы пользователей перебрасывало на страницу авторизации. На этом основная настройка хотспота завершена. Подключаемся к любому локальному порту и пробуем в браузере открыть какой-либо сайт.

Mikrotik автоматически перебрасывает на начальную страницу хотспота. По-умолчанию, здесь будет запрос логина и пароля, т.к. мы указали Trial, над логином появится надпись «Free trial available», которая говорит о том, что можно попробовать интернет бесплатно. Нажимаем на ссылку, автоматически подключится доступ к Интернет.

Бывают случаи, когда необходимо добавить сайт или IP в список разрешенных без авторизации. Сделать это можно в разделе IP – HotSpot, вкладка Walled Garden и Walled Garden IP List.

Для примера мы добавили сайт lanmarket.ua в список разрешенных, при попытке обращения к этому сайту, HotSpot пустит пользователя на сайт без какой-либо авторизации. Такая возможность очень удобна для построения корпоративных хотспотов, которые предполагают бесплатный доступ к некоторым сервисам.

Не забудьте проверить работу правила, ограничивающего скорость, например через сервис speedtest.net.

Посмотреть текущих подключенных клиентов можно во вкладке Active раздела IP – HotSpot.

Здесь отображается сервер, к которому подключены клиенты, их МАС-адрес, назначенный IP-адрес, длительность подключения и текущая скорость. Выбрав клиента можно посмотреть более подробную статистику принятого и отправленного траффика.

Зайдя в System – Resources, вы можете просмотреть текущую загрузку ресурсов оборудования. Рекомендуем обращать внимания на этот раздел, т.к. он помогает своевременно выявить необходимость обновления оборудования.

В целом сервер Hotspot не создает особой нагрузки на процессор, т.к. большинство функций сводится к регистрации клиента в сети, учет и ограничение потребляемого траффика.

Ограничение скорости клиентов, подключенных к HotSpot

На предыдущих этапах мы уже установили лимит скорости для клиентов в 5 Мбит на прием и 2 Мбит на отдачу. Для каждого клиента будет создаваться отельное динамическое правило в разделе Queues – Simple Queues.

Если правило меняет цвет на желтый, а затем на красный, это говорит о том, что клиент приблизился к лимиту скорости и система начинает ограничение по скорости.

По-умолчанию, для hotspot в целом ограничение не устанавливается (unlimited). Бывают случаи, когда необходимо установить общий лимит, например в 80 Мбит. Делается это аналогично тому, как прописываются лимиты в профиле пользователя, только на этот раз лимит необходимо указать в профиле самого сервера.

После применения изменения в Queues, unlimited изменится на 80M, таким образом, система начнет ограничение общей полосы пропускания.

Существует и более сложная настройка, например, когда необходимо ограничить скорость пирингового траффика, либо задать Burst. Делается это через все тот же раздел Queues, только правила нужно добавлять в профиль пользователя. Более детально описывать процедуру не будем, т.к. она относится к шейпингу траффика и является темой для отдельной публикации.

Простоя настройка беспроводной сети

Казалось бы, на этом настройка хотспота завершена. Но это далеко не так, ведь необходимо еще настроить сеть Wi-Fi. В самом простом варианте, устройство на котором запущен сервер HotSpot может быть оснащено собственным беспроводным модулем. В этом случае достаточно настроить параметры безопасности, выбрать канал и указать имя сети. Такая реализация подходит, например для рицепшина, либо небольшого кафе и не требует значительных финансовых вложений.

Чуть более сложный вариант из нескольких точек доступа может предполагать ручную настройку каждой точки доступа. Для примера мы взяли 2 точки доступа Mikrotik wAP. На точках совсем не обязательно выбирать режим Router (маршрутизатор), лучше всего выбрать режим Bridge (мост). Предварительно следует выбрать Home AP либо WISP AP. Последний вариант позволяет более тонко настраивать параметры, например, выбирать тип шифрования AES, если это необходимо.

Для обеих точек мы выбрали WISP AP + Bridge Mode с автоматическим получением IP от главного устройства. Первая точка получила SSID LanMarket_AP1, вторая соответственно LanMarket_AP2. Каналы выбраны разные, чтобы устройства не мешали друг другу.

При выборе канала можно воспользоваться стандартным инструментом Frequency Usage, либо воспользоваться сторонним программным обеспечением, например inSSIDer или Acrylic Wi-Fi Free.

Если точки доступа находятся на достаточно большом удалении друг от друга, но при этом частично перекрываются, можно указать одинаковый SSID и канал (частоту). Клиенты будут автоматически переключаться на точку с более высоким уровнем сигнала. Для ускорения процесса переключения, можно настроить отбрасывание клиентов с очень слабым сигналом, т.к. обычно клиент до последнего «держится» на выбранной AP. Делается это в разделе Wireless – Access List.

Необходимо добавить новое правило с указанием порога мощности сигнала, при котором следует отключать клиента (параметр Signal Strength Range).

На этом первая часть подошла к своему логическому завершению. Во второй части мы расскажем, как настроить беспроводную сеть с помощью инструмента CAPsMAN, что позволит создать большой HotSpot с большим количеством точек доступа и централизированным управлением.