Настройка HotSpot на MikroTik wAP в кафе / ресторане

Сложно себе представить кафе, ресторан и пицерию без бесплатного доступа в интернет, но также, сложно найти такие заведения, где этот бесплатный доступ нормально бесперебойно работает. Виною этому множество факторов, но на первом месте стоит неправильный выбор оборудования или недостаточный уровень знания человека, который настраивал такую сеть.

Сегодня, я попробую описать основные проблемы, связанные с использования HotSpot в общественных местах и описать пошагово настройку HotSpot на примере Mikrotik wAP (RBwAP2nD-BE).

Техническое задание для HotSpot

1. Две сети — одна открытая, для клиентов заведения, а вторая — закрытая, для внутреннего использования.
2. Показ рекламного баннера перед входом в интернет.
3. Ограничения для HotSpot:
   • Ограничить скорость.
   • Отсеять «халявщиков», которые живут возле и кафе и используют открытую сеть у себя дома.
4. Зона покрытия для летней площадки или террасы.
5. Питание точки доступа по PoE.

Выбираем оборудование для HotSpot

Для такого задания идеально подойдет оборудование от фирмы MikroTik, так как стоит недорого, работает стабильно и позволяет гибко настроить все необходимые параметры сети.

В качестве роутера можно использовать Mikrotik RouterBoard hEX PoE lite (RB750UPr2). Он поддерживает питание PoE на 4 портах, что позволит Вам подключить точки доступа без использования PoE инжекторов, и они не будут занимать дополнительные розетки. Хотя, если нужно установить только одну точку доступа, то можно обойтись и обычным роутером, но тогда.

В качестве самих точек доступа, будем использовать модели из серии wAP или cAP. Так, как у нас задача покрыть зону на летней площадке или террасе, я рекомендую остановиться на точках wAP, поскольку, они оснащены всепогодным корпусом и позволяют использовать их на улице. В нашем примере, это будет Mikrotik wAP (RBwAP2nD-BE).

Если, планируется использовать больше одной точки доступа, то можно настроить контроллер CAPsMAN, что даст возможность задействовать бесшовный роуминг и т.п., но это тема отдельной статьи. В данном примере мы настроим одну точку с HotSpot.

Схема нашей сети

Важно! Mikrotik wAP (RBwAP2nD-BE), которая у меня была в наличии, в заводской конфигурации имела отключенный интерфейс WLAN, а Ethernet интерфейс не имел IP адрес, поэтому, пришлось скачать утилиту WinBOX с сайта производителя, а не с веб-интерфейса точки доступа, как это обычно бывает с девайсами от Микротик. Для тех, у кого тоже самое, качайте здесь — WinBox 3.7.

Настройка MikroTik wAP

1. Подключаем точку доступа к нашему компьютеру через патчкорд и запускаем WinBox. Кликаем по MACадрессу нашего устройства и жмем «Connect» (логин admin, пароль пустой).

2. В главном меню слева выбираем System - > Reset Configuration. В появившемся окне, отмечаем флажками пункты «No Default Configuration» и «Do Not Backup» и кликаем по кнопке «Reset Configuration». RouterOS попросит подтверждения — соглашаемся нажатием кнопки «Yes».

Точка доступа перезагрузиться.
Через секунд 15-25 после того можно сделать Reconnect.

3. Активируем DHCP — клиент, для автоматического получения IP адресса для Ethernet порта. Для этого, зайдем в раздел IP - > DHCP client. В появившемся окне кликаем по кнопке «+». В поле Interface, выбираем «ether1», остальное как на фото:

4. Переходим в раздел «IP - > Hotspot» и сразу кликаем по кнопке «Hotspot Setup» и указываем следующие данные:

• HotSpot Interface — wlan1 (Интерфейс, к которому будет применен HotSpot)
• Local Address of Network - 192.168.0.1/24 (Адрес сетевого интерфейса, на котором будет HotSpot)
• Address Pool of Network - 192.168.0.2-192.168.0.254 (Диапазон адресов, которые будут получать клиенты HotSpot )
• Select Certificate — none (использовать SSL сертификат для защищенной авторизации клиентов)
• IP Address of SMTP Server — 0.0.0.0
• DNS Servers — 192.168.0.1, 8.8.8.8 (DNS сервера, к которым будут обращаться клиенты)
• DNS Name — пусто (DNS имя для хоста с HotSpot)

5. Переходим на вкладку Server Profiles и два раза кликаем по профилю hsprof1. Снимаем флажок Cookie, и добавляем Trial.

Режим Trial позволит клиентам пользоваться интернетом без ввода логина и пароля по демо-доступу.

• Trial Uptime Limit - 00:30:00 (Указывает, на сколько времени позволять клиенту доступ в интернет)
• Trial Uptime Reset - 00:00:01 (Указывает, на сколько времени заблокировать клиенту доступ в интернет после истечения Trial Uptime Limit)

Такие настройки позволяют клиентам пользоваться интернетом почти без ограничения, хотя и каждые полчаса доступ будет сбрасываться, клиент сразу же увидит окно авторизации,и снова сможет подключиться к сети. Это сделано для того, чтобы клиент видел рекламный баннер каждые пол часа, который будет на странице авторизации. Есть еще другой популярный вариант настройки - установить Trial Uptime Limit к примеру на 1час, а Trial Uptime Reset - на 5-8, таким образом, клиент сможет пользоваться интернетом не больше 1 часа, а потом буде заблокирован на 5-8 часов, что позволит ему вернуться вечером или на следующий день и снова пользоваться интернетом. Это поможет отсеять халявщиков. В общем, каждый выбирает свой варинат самостоятельно

6. Переходим на вкладку User Profiles и два раза кликаем по профилю default. Удаляем параметр Shared Users.

• Rate Limit (rx/tx) - 2m/2m (ограничение скорости передачи / приёма для клиентов)
• Open Status Page — HTTP login (отображать страницу с статусом соединения только во время авторизации)

7. Переходим в раздел «Wireless» и два раза кликаем по интерфейсу wlan1

8. Изменяем следующие параметры:

• Mode — ap bridge (режим точка доступа)
• Band — 2GHz-B/G/N (использовать все проколы беспроводной связи)
• Frequency — 2422 (частота канала в МГц, зависит от зашумленности эфира. Для лучшего результат необходимо просканировать диапазон на наличие помех и выбрать частоту с наименшей зашумленностью)
• SSID - HotSpot_FreeWiFi (название точки доступа)
• Wireless Protocol — 802.11 (использовать только протоколы 802.11)

Кликаем по ОК.

9. Основные параметры настроенны. Проверяем подключение к WiFi.

10. Набираем адрес любого сайта, и HotSpot перенаправит нас на страницу авторизации.

11. Кликаем по красной ссылке сверху «click here» и получаем доступ без авторизации по логину и паролю.

Проверяем работает ли ограничение по скорости, к примеру, на сайте speedtest.net

Дополнительные возможности HotSpot

Доступ к ресурсам без авторизации на HotSpot

Иногда возникает потребность дать доступ неавторизированным пользователям к определенному ресурсу, к примеру, к сайту своей компании. Для этого перейдите в раздел «IP - > HotSpot», на вкладке «Walled Garden» кликните по кнопке «+» и напишите в поле «Dst. Host» домен нужного сайта и нажмите ОК, например:

Как изменить страничку с окном авторизации HotSpot

Базовая страница HotSpot Mikrotik достаточно скучна, да и не всегда она подойдет под Ваши потребности. Но это абсолютно не проблема, так как ее легко изменить под свои задачи. Для этого потребуються минимальные знания HTML. Саму страницу можно найти в разделе Files, в файловом менеджере найдите файл flash/hotspot/login.html.

Для читателей я подготовил два варианта странички login.html.
Первый hotspot-trial — без самой формы ввода логина и пароля с доступом только Trial. Он подойдет для кафе или ресторана, так как в нем есть рекламный баннер, который идет в месте с страницей login.html. Для удобства изменения рекламного баннера на всех хотспотах, баннер можно разместить на корпоративном сайте компании и изменить адрес картинки в файле login.html. Чтобы картинку видели неавторизированные пользователи, не забудьте предоставить доступ без авторизации к самому сайту в разделе «Walled Garden».

Второй вариант hotspot-login — подойдет для интернет провайдеров, так как имеет включенную форму авторизации, как и в оригинальном файле.

Оба варианта используют bootstrap и jquerry, необходимые варианты включены в архив. Для замены , розархивируйте содержимое архива с выбранным Вами вариантом и перетащите содержимое папки в каталог flash/hotspot в окне WinBox.

• Скачать hotspot-trial
• Скачать hotspot-login

Важно! Перед заменой не забудьте сохранить оригинальный файл login.html.

Как настроить защищенную сеть для работников.

Так как настроенный нами HotSpot являет собой незащищенный канал связи, мы не можем использовать его для работников компании. Но мы можем создать на базе существующих точек доступа виртуальный интерфей WLAN с использованием шифрования и пароля к сети.

Для этого выполните следующие инструкции:

Перейдите в раздел «Wireless» на вкладку «Security Profiles» и кликните по кнопке «+». Укажите следующие параметры:

• Name — InternalCorporate_SecurityProfile
• Authentication Types — оставтье только WPA2 PSK
• WPA2 Pre-Shared Key — укажите ключ доступа к сети (пароль)

Нажимет ОК

Переходим на вкладку Interfaces и кликаем по кнопке «+», выбираем пункт Virtual. Укажите слудеющие параметры:

• Mode — ap bridge
• SSID — название сети, в моем примере — Internal
• Master Interface — wlan1
• Security Profile — выберите созданный нами ранее InternalCorporate_SecurityProfile.

Создадим мост нового виртуального интерфейса с Ethernet интерфейсом, таким образом, мы будем пускать устройства наших работников напрямую в нашу сеть. Для этого, перейдите в раздел “Bridge” и кликните по кнопке «+». В появившемся окне жмем ОК.

Переходим на вкладку «Ports» и кликаем по кнопке «+», в пункте Interface выбираем ether1, жмем ОК. Снова кликаем по кнопке «+», и в пункте Interface выбираем wlan2 (созданный виртуальный беспроводной интерфейс)

Все, сеть работает, проверяем, подключаясь к точке доступа Internal.

Отсеиваем халявщиков

Для того, чтобы отсеять «халявщиков», а именно, пользователей, которые живут возле HotSpot и могут использовать его постоянно вместо домашнего интернета, мы установим ограничение по качеству сигнала. То есть, запретим использование сети всем пользователям с слабым сигналом WiFi.

Для этого, зайдите в раздел «Wireless» на вкладку «Access List», кликните по кнопке «+», и в окне укажите следующие параметры:

• Interface — wlan1
• Signal Strangth Range — -95..120