Як підключити WiFi у публічному місці. Налаштування HotSpot.

31.08.2015

Поділитись у:

*/?>

У сучасному світі стає все важче знайти публічне місце, де не було б позначки "WiFi" і хоча б кількох людей зі смартфонами, які ведуть активне життя в Інтернеті. На те є вагомі причини - глобалізація об'єднує людей у величезні соціальні групи і поки доступним способом спілкування всередині них є саме Інтернет. Соціальні мережі - як загального призначення, так і тематичні, вже багато років створюють всі умови для того, щоб у користувачів виникало бажання перебувати в них чи не цілодобово, що дозволяє перетворити WiFi на серйозну приманку для відвідувачів будь-якого закладу.

Та й будинки у багатьох, особливо у приватному секторі, виникає необхідність встановлення двох і більше окремих бездротових точок доступу до Інтернету. Технічних способів реалізації таких мереж існує безліч, але якщо є необхідність у централізованому управлінні, то в ній обов'язково має бути задіяний пристрій, який бере на себе роль контролера. Якщо проаналізувати ринок доступних, як за вартістю так і наявністю, рішень на території України, то стає зрозуміло, що це жебрак займають два виробники - Ubiquiti Networks з лінійкою бездротових точок доступу UniFi та MikroTik , який активно розвиває відповідну опцію у своїх маршрутизаторах. При цьому у продукції MikroTik є дві вагомі переваги - контролер точок доступу працює безпосередньо на самих маршрутизаторах і не вимагає додаткового програмного забезпечення або обладнання і друга - безпосередньо на маршрутизаторах можна організувати повноцінний HotSpot, що може бути цікавим у публічних місцях. До того ж процес налаштування є зовсім не складним, що ми продемонструємо нижче.

Отже, для роботи мережі необхідно як мінімум два пристрої - маршрутизатор, який виконуватиме роль контролера і той, який виступатиме точкою доступу. Причому, між собою вони можуть бути з'єднані не тільки безпосередньо або бути в межах одного сегмента IP-мережі, але і через мережі, що маршрутизуються, в тому числі через NAT:

схема работы WiFi в общественном месте

Цікава особливість - трафік клієнтів, підключених до CAP (контрольовані точки доступу), при цьому може маршрутизуватися як безпосередньо цими точками, так і прозоро пропускатися до контролера CAPsMAN для централізованої обробки. Це дозволяє гнучко підлаштовуватися до вимог конкретних проектів.

Для нашої мережі використовуємо другу версію контролера CAPsMAN, який стає доступним після встановлення на маршрутизатор wireless-cm2. Хоча, поки він у стадії тестування, але придатний до
використання. Його необхідно встановити як у контролер, і на віддалені точки доступу. Завантажити пакет можна із сайту MikroTik у розділі Downloads: http://www.mikrotik.com/download . Він розташований в архіві Виберіть потрібну архітектуру, залежно від моделі маршрутизатора і завантажуйте.

Налаштування мережі

Отже, перейдемо до налаштування. Перш за все, необхідно забезпечити зв'язок між контролером CAPsMAN та всіма CAP по IP будь-яким зручним для вас чином. Якщо з CAP можна успішно "пропінгувати" CAPsMAN, то переходимо до подальших кроків.

Перший - це налаштування контролера CAPsMAN. Навіть мінімальних буде достатньо для використання у домашніх умовах. Спочатку створимо віртуальний bridge-інтерфейс, у який потраплятимуть клієнти:

/interface bridge
add name=bridge1-capsman

Додамо на цей інтерфейс IP-адресу:

/ip address
add address=192.168.150.1/23 interface=bridge1-capsman network=192.168.150.0

Також створимо пул IP-адрес для клієнтів і включаємо DHCP-сервер:

/ip pool
add name=dhcp_pool1 ranges=192.168.150.2-192.168.151.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1-capsman
lease-time=3h name=dhcp1
/ip dhcp-server network
add address=192.168.150.0/23 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.150.1

Ну, і звичайно правило фаєрвола, яке транслюватиме трафік клієнтів назовні:

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.150.0/23

Залишилося справа за малим - додати конфігурацію, яку отримуватимуть підключені CAP. Нехай це буде точка доступу SSID "ssid001", паролем "12345678" та заблокованою можливістю передачі даних від клієнта до іншого клієнта або мережі повз контролер CAPsMAN:

/caps-man configuration
add channel.band=2ghz-b/g/n country=ukraine datapath.bridge=bridge1-capsman
datapath.client-to-client-forwarding=no datapath.local-forwarding=no
mode=ap name=cfg1 security.authentication-types=wpa2-psk
security.encryption=aes-ccm security.group-encryption=aes-ccm
security.passphrase=12345678 ssid=ssid001
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1

Ось, власне, і все – тепер можна перейти до настроювання точок доступу CAP. Це буде ще простіше:

/interface wireless cap
set caps-man-addresses=192.168.149.1 enabled=yes interfaces=wlan1

Всі! Якщо не помилилися з IP-адресою, то бездротовий інтерфейс перейде під управління контролера і в статусі можна буде побачити щось таке:

/interface wireless print
Flags: X - disabled, R - running
0 X;;; managed by CAPsMAN
;;;; channel: 2412/20-Ce/gn(20dBm), SSID: ssid001, CAPsMAN forwarding

Не варто звертати уваги на прапорець "X" біля номера інтерфейсу – після успішного підключення до контролера – пристрій більше його не контролює. Реальні параметри вказані у наступному рядку. Можемо підключитися до мережі. Після цього побачимо на CAPsMAN у таблиці реєстрації пристрій:

/caps-man registration-table print

#	INTERFACE	SSID	MAC-ADDRESS	UPTIME	RX-SIGNAL
0	cap5	ssid001	30:39:23:AB:4E:84	21m24s810ms	-46

Аналогічно – однією командою – додаються й інші маршрутизатори, які мають виступати у ролі CAP. Головне - не забувати перед цим організувати L3-канал між ними та CAPsMAN. У цьому місці зробимо важливу ремарку щодо точок доступу. Часто виникає ситуація, коли потрібно вибирати між однією точкою з радіо інтерфейсом, що має високу потужність або хороше посилення антени і декількома "німими і глухими". Цей момент є надзвичайно важливим, адже за неправильної апаратної конфігурації точок доступу можна успішно зіпсувати ефект від будь-яких прогресивних технологій, які в них використовуються.

Правила під час вибору обладнання

Так, для бюджетного сегменту обладнання існує два простих правила при виборі обладнання для публічної мережі Wi-Fi, і дозволять вам уникнути більшості проблем:

1. Не перевантажуйте кожну окрему точку доступу великою кількістю одночасно підключених користувачів.
2. Проектуйте покриття так, щоб користувач не міг при пересуванні залишатися підключеним до точки доступу з поганим рівнем сигналу.

При порушенні одного з них з практично 100% ймовірністю можна стверджувати, що мережа працюватиме незадовільно. Виходячи з цього, і слід вибирати тип та кількість обладнання.

Налаштування HotSpot

А тепер ускладнимо завдання - нехай, перед тим, як дозволити користувачам користуватися мережею Інтернет, нам необхідно показати їм якусь інформацію про наш заклад, або рекламний ролик. Для цього у RouterOS є чудове рішення – HotSpot.

Перш за все переконаємося, що відповідний пакет (hotspot) встановлений на маршрутизаторі, який виступає в ролі CAPsMAN. Після встановлення, у файловій системі маршрутизатора з'являється нова папка hotspot, в якій містяться html-файли, які будуть демонструватися користувачам, відповідно до ситуації.

Перепишемо цю папку собі на комп'ютер і відредагуємо для початку два файли: login.html - файл, який буде показуватися користувачам при підключенні до HotSpot, тут можна розмістити інформацію про наш заклад. alogin.html - файл, з'явиться після того, як користувач підтвердить своє бажання скористатися доступом до мережі через наш HotSpot.

Після редагування перейменуємо папку, наприклад, в hotpot-test і скопіюємо її на маршрутизатор. Тепер можна налаштувати відповідний функціонал:

/ip hotspot user profile
add address-pool=dhcp_pool1 mac-cookie-timeout=1h name=uprof1
transparent-proxy=yes
/ip hotspot profile
add html-directory=hotspot-test login-by=http-chap,trial name=hsprof1
trial-uptime=1h/12h trial-user-profile=uprof1
/ip hotspot
add address-pool=dhcp_pool1 disabled=no idle-timeout=none
bridge1-capsman name=server1 profile=hsprof1

Тепер спробуємо підключитися до раніше налаштованих CAP та відкрити будь-яку сторінку. І побачимо нашу сторінку:

настройка HotSpot

Така конфігурація дозволить будь-якому користувачу після перегляду початкової сторінки користуватися нашим HotSpot протягом однієї години, після чого доступ буде заблокований на наступні 12 годин для запобігання зловживанням (вказується рядком trial-uptime = 1h/12h ).

Насправді, варіантів використання HotSpot є безліч - до друку імені користувача та пароля для доступу до мережі на, скажімо, касовому чеку. Все обмежується в основному лише фантазією.

Зверніть увагу - у наведених прикладах не використовується шифрування трафіку між CAP та CAPsMAN або їхня справжність! І, якщо в домашніх умовах цим можна знехтувати задля простоти обслуговування, то у всіх інших випадках і за відсутності інших засобів захисту мережі наполегливо рекомендуємо використовувати взаємну автентифікацію CAP та CAPsMAN за допомогою сертифікатів та шифрувати трафік між ними за допомогою IPSec або VPN-тунелів.

Як бачите, проектування та налаштування публічних бездротових мереж складається з абсолютно нескладних кроків, які реально здійснити самостійно. Однак, якщо ці мережі є важливим бізнес-інструментом для вас, тоді краще все ж таки звернутися до професіоналів, які позбавлять вас від великої кількості підводних каменів, що вбереже від фінансових втрат.