...
...
Настройку маршрутизатора Микротик будем демонстрировать на примере первого клиента, имеющего vpn-имя vpn1.
В качестве WAN интерфейса используется ether1-gateway с настройками от локального провайдера Интернет:
/ip address
add address=272.16.130.9/24 interface=ether1-gateway network=272.16.130.0
/ip route
add distance=1 gateway=272.16.130.1
В качестве LAN/WLAN интерфейса используется bridge используется bridge с такими настройками:
/ip address
add address=10.1.1.1/24 interface=bridge-guest network=10.1.1
...
.0
Интерфейс для OpenVpn подключения к серверу WNAM:
/interface ovpn-client
add auth=md5 cipher=aes128 connect-to=vpn.provider.ru name=wnam password=ate45cf7y345c5y2x3 user=vpn1
Настройка DHCP и DNS:
/ip dhcp-server
add address-pool=dhcp-1 disabled=no interface=bridge lease-time=1h name=server
/ip dhcp-server network
add address=10.1.1.0/24 dns-server=8.8.4.4 gateway=10.1.1.1
/ip pool
add name=dhcp-102 ranges=10.1.1.2-10.1.1.254
/ip dns
set allow-remote-requests=yes servers=8.8.4.4
/ip dns static
add address=10.1.0.255 name=wnam.provider.ru
Внимание! Статической DNS записью мы переопределяем (для абонентов) адрес сервера авторизации с той целью, чтобы трафик авторизации шёл в VPN-туннеле.
Настройка трансляции адресов (NAT):
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1-gateway
add action=masquerade chain=srcnat out-interface=wnam src-address=10.1.1.0/24
Конфигурация OpenVPN клиента на хотспоте
...
Теперь со стороны хотспота надо проверить, что портал авторизации доступен:
/ping wnam.provider.ru src-address=10.1.1.1
/system telnet wnam.provider.ru port=80
Настройка Radius клиента и Netflow-клиента:
/radius
add address=wnam.provider.ru domain=wnam secret=wnam_radius service=hotspot
/ip traffic-flow
set interfaces=ether1-gateway
/ip traffic-flow target
add dst-address=wnam.provider.ru port=20002 version=5
Конфигурация хотспота
/ip hotspot
add disabled=no idle-timeout=none interface=bridge name=mk-wnam profile=mk-profile-wnam
/ip hotspot profile
...
add dns-name=mk.
...
provider.ru hotspot-address=10.
...
1.
...
1
...
.1 html-directory=hotspot
...
login-by=http-pap name=mk-profile-
...
wnam radius-default-domain=
...
wnam radius-interim-update=
...
5m use-radius=yes
/ip hotspot user profile
set [ find default=yes ] add-mac-cookie=no name=default1 shared-users=unlimited status-autorefresh=1h
/ip hotspot walled-garden
add dst-host=*.gosuslugi.ru dst-port=443
add dst-host=ocsp.int-x3.letsencrypt.org dst-port=80
add dst-host=cert.int-x3.letsencrypt.org dst-port=80
add dst-host=*.provider.ru dst-port=443
add dst-host=provider.ru dst-port=443
add dst-host=*.provider.ru dst-port=80
add dst-host=provider.ru dst-port=80
add dst-host=10.1.0.255 dst-port=80
Содержимое файла hotspot/rlogin.html:
<html><head><title>...</title>
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="expires" content="-1">
</head>
<body>
<form name="wnamlogin" action="http://wnam.provider.ru/cp/mikrotik" method="post">
<input type="hidden" name="dst" value="$(link-orig)" />
<input type="hidden" name="username" value = "user"/>
<input type="hidden" name="password" value = "password" />
<input type="hidden" name="mac" value = "$(mac)" />
<input type="hidden" name="ip" value = "$(ip)" />
<input type="hidden" name="server-name" value = "$(server-name)" />
<input type="hidden" name="server-address" value = "$(server-address)" />
<input type="hidden" name="client-id" value="$(client-id)"/>
<input type="hidden" name="site-id" value="$(site-id)"/>
</form>
<script type="text/javascript">
<!--
document.wnamlogin.submit();
//-->
</script>
</body>
</html>
Конфигурация WNAM
Настройка сервера доступа
Тип: Mikrotik
Адрес: 10.1.0.1 (туннельный адрес хотспота)
Отметить:Использовать счетчики аккаунтинга, Определять имена абонентов, Принимать детализацию потоков NetFlow
Настройка площадки:
Присвоенная IP подсеть: 10.1.1.0/24 (диапазон IP-адресов клиентов)