Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Для работы WNAM требуется устройство, осуществляющее перехват HTTP-сессии нового абонента, его авторизацию, дальнейший учёт использования сети. Для небольших сетей наиболее оптимальным является применение хотспота (hotspot), доступного в маршрутизаторах Mikrotik. Для построения радио-сети доступа абонентов может использоваться любое оборудование (UniFi, D-Link, радио-интерфейс в том же Mikrotik).

Warning
В случае использования маршрутизатора Mikrotik RouterOS версии 7.х имеется проблема с некорректной работой страницы логина.

Для решения данной проблемы необходимо применить следующие настройки:

/ip hotspot walled-garden
add dst-host=wnam_ip dst-port=80
/ip hotspot walled-garden ip
add action=accept disabled=no dst-address=wnam_ip !dst-address-list dst-port=80 protocol=tcp !src-address !src-address-list

Вместо wnam_ip следует использовать ip-адрес вашего сервера WNAM.

Пример конфигурационного файла маршрутизатора доступен по адресу адресу: http://www.netams.com/files/wnam/misc/mikrotik.txt.

Настройка маршрутизатора через веб-интерфейс предполагает несколько шагов. Данное руководство НЕ не является полным руководством по настройке маршрутизаторов Mikrotik. Более подробно процедура настройки описана на сайте производителя.

Настройка В первую очередь, следует настроить IP-адресацииадресацию. Здесь адрес  Адрес 10.130.1.1 установлен устанавливается на внутреннем интерфейсе маршрутизатора (ether2-master-local, привязанный к мосту bridge-local), а адрес 172.16.130.9 на внешнем интерфейсе ether1-gateway, "смотрящем" в сеть Интернет.

...

Для предоставления IP-адресов клиентам внутренней сети необходимо создать пул адресов, как показано на рисунке.

Пул адресов необходимо применить к настройкам DHCP-сервера:, как показано на рисунке.

Также необходимо задать параметры, которые DHCP-сервер передает клиенту. Обратите Следует обратить внимание, что DHCP-клиенты получают IP-адрес самого маршрутизатора Mikrotik в качества шлюза по умолчанию. Если вы используете используются точки доступа UniFi, им необходимо передать адрес контроллера через DHCP опции (тип 43).

...

Чтобы разрешить пользователям внутренней сети доступ в сеть Интернет, необходимо настроить соответствующее правило NAT (masquerade, на внешнем интерфейсе). Остальные правила добавляются автоматически при включении хотспота.

 Image Removed

...

Настройка правила NAT представлена на рисунке. 

Image Added

Warning

Для корректного учёта трафика и работы ограничений скорости

...

следует убедиться, что в таблице правил межсетевого экрана (firewall) отключено или отсутствует правило fasttrack:

action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related

При настройках, сделанных выполненных выше, пользователи вашей внутренней сети будут иметь беспрепятственный доступ в сеть Интернет. Пока он не настроен должным образом, нет смысла переходить к настройке хотспота (Hotspot) ниже. В приведенном примере создано два хотспота (второй деактивирован). Пример создания хотспотов представлен на рисунке.

Настройка хотспота хотспота (сервера) должна описывать интерфейс, на котором производится перехват трафика, имя профиля сервера. Указывать пул адресов не нужно, если вы используете используется DHCP для клиентов на этом же интерфейсе.

Настройки профиля сервера определяют характеристики хотспота. Имя каталога с файлами шаблонов страниц по умолчанию: hotspot hotspot, но в рамках одного устройства можно создать разные хотспоты с разными каталогами и шаблонами страниц.Для  Для авторизации следует выбрать метод "HTTP PAP". Также требуется включить аккаунтинг и сбор промежуточной статистики (Interim Update).Если вы используете  Если используются пересекающиеся адресные пространства на ваших нескольких хотспотах, то для корректной привязки сессии абонента к площадке необходимо указать параметр Location ID, равный номеру площадки.

...

Затем необходимо настроить профиль пользователя, который будет применяться к каждому подключенному и авторизованному абоненту. Здесь можно указать ограничение скорости передачи данных на абонента, а также максимальную длительность каждой сессии. По завершении указанного в "Session Timeout" времени хотспот автоматически закроет сессию, и пользователь будет вынужден снова перейти на страницу редиректа (просмотр рекламы или перенаправление на ваш какой-либо сайт). Эти параметры можно также настроить в свойствах площадки , или общих свойствах , в интерфейсе WNAM интерфейсе системы WNAM "Ограничения" (имеют больший приоритет).

Если в вашей используемой сети присутствуют устройства, которым нужен непрерывны йбезусловный непрерывный безусловный доступ в интернет сеть Интернет без хотспота (например, кассовые терминалы, терминалы мобильной оплаты, смартфон босса), вы можете можно внести запись о таких устройствах (при известном МАС-адресе устройства) во вкладке "IP Bindings. ", при этом IP-адрес фиксировать не требуется:.

 

Также можно воспользоваться заранее созданной в административном интерфейсе администратора записью о о VIP-пользователе, включить МАС-авторизацию. В таком режиме привилегированные абоненты будут управляться системой WNAM, а не хотспотом, и их база данных БД будет общая на все подключенные к серверу хотспоты.

Если сервер WNAM находится не в той же сети, что и пользователи хотспота, то по умолчанию трафик до него неавторизованным пользователям будет блокирован, и авторизация будет недоступна. Требуется создать соответствующую "разрешающую" запись в настройках Walled Garden как показано на рисунке

В приведенном примере сервер WNAM имеет IP-адрес 172.16.130.5 (расположен "снаружи" хотспота) , и принимает запросы авторизации клиентов на порту 8080 (на котором работает веб-сервер tomcat в данном примереприложение WNAM ). Если tomcat используется Nginx в качестве фронт-прокси, и он работает на порту 80, и сервер WNAM дсотупен по потру 80 (то есть без указания порта), укажите здесь 80:

Image Removed

то следует указать 80. Аналогично следует указать 443, если Nginx использует SSL.

Image Added

Поскольку Наконец, поскольку для авторизации и аккаунтинга применяется протокол RADIUS, требуется настроить связь с RADIUS-сервером как представлено на рисунке. В приведенном примере сервер WNAM имеет адрес 172.16.130.13.

...

Требуется указать UDP порты (по умолчанию), ключ (секрет), соответствующий настроенному на сервере в файле /etc/freeradius/clients.conf.

Для сбора сведений по протоколу NetFlow о трафике абонентов (IP-адреса, TCP/IP порты удалённых узлов сети Интернет) требуется включить режим отправки статистики на сервер WNAM. Для этого включите необходимо включить сбор (traffic flow) на внутреннем интерфейсе роутера:.

И затем - укажите Затем следует указать принимающую сторону (сервер WNAM) для пакетов NetFlow :как показано на рисунке.

Последним действием необходимо поместить файл rlogin.html в директорию /hotspot/ файловой системы маршрутизатора Mikrotik. Для этого требуется утилита Winbox.exe (либо файл можно создать через CLI).Внимание! Положите файл

Warning
Файл необходимо положить в корневую директорию хотспота, а не в поддиректорию /lv/ (латвийскую версию его)

...

.

Образец этого файла находится здесьпо адресуhttp://www.netams.com/files/wnam/misc/.Внимание!

Warning
При скачивании HTML-файлов по ссылке выше не

...

следует кликать на файлы (будет загрузка файла с авто-редиректом в пустоту),

...

следует выбирать правой кнопкой мыши "сохранить как...".

Независимо от применяемого метода авторизации доступа (прозрачный, с отправкой или получением СМС) файл будет одним и тем же. Его цель - при обращении пользователя к хотспоту перевести сессию авторизации на сервер WNAM.

Вы обязаны Необходимо в этом файле самостоятельно , в текстовом редакторе, с применением текстового редактора, перед загрузкой его в маршрутизатор, изменить следующие строки:

  • action="http://172.16.130.5:8080/cp/mikrotik"- указать ссылку (путь) до сервера WNAM, вместе с TCP-портом. Порт должен соответствовать тому, на котором

...

  • ранее настроили веб-сервер

...

  • Tomcat для работы веб-интерфейса WNAM (80 либо 8080). Обязательно сохранить параметры "/cp/mikrotik" в конце ссылки. Даже если

...

  • используется несколько хотспотов или несколько маршрутизаторов Mikrotik, ссылка должна быть одной и той же.
  • name="site-id" value = "1"

...

  • - указать ключ площадки, её порядковый номер. Если

...

  • используется несколько площадок в настройках системы WNAM, пересекающиеся IP-адреса

...

  • и используете таргетированный по площадкам показ рекламы, требуется указывать уникальный ключ (номер) каждой площадки.

Также можно заменить файл login.html, он позволяет отображать абоненту осмысленное сообщение в случае ошибки.

На этом настройка маршрутизатора Mikrotik закончена.

В административном интерфейсе администратора системы WNAM необходимо создать объект типа "Сервер доступа", выбрать тип "Mikrotik", указать его IP-адрес, логин и пароль для доступа в режиме "для чтения" для определения имен абонентов:.

Image RemovedImage Added

Внимание! Если вы сталкиваетесь с ситуацией, когда после разрыва сессии по тайм-ауту устройство абонента не распознает эту ситуацию и не отображает абоненту мини-браузер, можно попробовать сбрасывать неактивные записи об устройствах из таблицы хостов хотспота. Для этого можно воспользоваться следующим рецептом действиями, представленными ниже (http://wiki.mikbill.ru/billing/nas_access_server/mikrotik_hosts):.

Подключаемся 1.Подключение к Mikrotik через Winbox

Перейдите в меню SystemДля этого необходимо перейти в меню System|Scheduler  и добавьте и добавить новый инстанс :как показано на рисунке.

Настраиваем Затем следует настроить все как на скрине, а в поле поле "On Event поместим " поместить следующий код:

...

:foreach

...

i

...

in

...

[

...

/ip

...

hotspot

...

host

...

find

...

where

...

authorized

...

=no

...

and

...

bypassed

...

=no

...

]

...

do={

...

/ip

...

hotspot

...

host

...

remove

...

$i

...

}

Скрипт будет удалять неавторизованные хосты соглаcно расписания.

2. Создание инстанса

3 Создадим Следует создать еще один инстанс как показано на рисунке.

Настроим все как на скринеДалее необходимо выполнить настройку параметров как представлено на рисунке, а в поле поле "On Event поместим " поместить следующий код:

:foreach

...

i

...

in

...

[

...

/ip

...

hotspot

...

host

...

find

...

where

...

idle-time>00:01:00

...

]

...

do={

...

/ip

...

hotspot

...

host

...

remove

...

$i

...

}

Этот скрипт будет удалять все сессии, время простоя которых больше одной минуты.