Для работы WNAM требуется устройство, осуществляющее перехват HTTP-сессии нового абонента, его авторизацию, дальнейший учёт использования сети. Для небольших сетей наиболее оптимальным является применение хотспота (hotspot), доступного в маршрутизаторах Mikrotik. Для построения радио-сети доступа абонентов может использоваться любое оборудование (UniFi, D-Link, радио-интерфейс в том же Mikrotik).
Пример конфигурационного файла маршрутизатора доступен по адресу http://www.netams.com/files/wnam/misc/mikrotik.txt
Настройка маршрутизатора через веб-интерфейс предполагает несколько шагов. Данное руководство НЕ является полным руководством по настройке маршрутизаторов Mikrotik. Более подробно процедура настройки описана на сайте производителя.
Настройка IP-адресации. Здесь адрес 10.130.1.1 установлен на внутреннем интерфейсе маршрутизатора (ether2-master-local, привязанный к мосту bridge-local), а 172.16.130.9 на внешнем интерфейсе ether1-gateway, "смотрящем" в сеть Интернет.
Для предоставления IP-адресов клиентам внутренней сети необходимо создать пул адресов.
Пул адресов необходимо применить к настройкам DHCP-сервера:
Также необходимо задать параметры, которые DHCP-сервер передает клиенту. Обратите внимание, что DHCP-клиенты получают IP-адрес самого маршрутизатора Mikrotik в качества шлюза по умолчанию. Если вы используете точки доступа UniFi, им необходимо передать адрес контроллера через DHCP опции (тип 43).
Чтобы разрешить пользователям внутренней сети доступ в Интернет, необходимо настроить соответствующее правило NAT (masquerade, на внешнем интерфейсе). Остальные правила добавляются автоматически при включении хотспота.
При настройках, сделанных выше, пользователи вашей внутренней сети будут иметь беспрепятственный доступ в Интернет. Пока он не настроен должным образом, нет смысла переходить к настройке хотспота (Hotspot) ниже. В приведенном примере создано два хотспота (второй деактивирован).
Настройка хотспота (сервера) должна описывать интерфейс, на котором производится перехват трафика, имя профиля сервера. Указывать пул адресов не нужно, если вы используете DHCP для клиентов на этом же интерфейсе.
Настройки профиля сервера определяют характеристики хотспота. Имя каталога с файлами шаблонов страниц по умолчанию: hotspot, но в рамках одного устройства можно создать разные хотспоты с разными каталогами и шаблонами страниц.
Для авторизации следует выбрать метод "HTTP PAP". Также требуется включить аккаунтинг и сбор промежуточной статистики (Interim Update).
Если вы используете пересекающиеся адресные пространства на ваших нескольких хотспотах, то для корректной привязки сессии абонента к площадке необходимо указать параметр Location ID, равный номеру площадки.
Затем необходимо настроить профиль пользователя, который будет применяться к каждому подключенному и авторизованному абоненту. Здесь можно указать ограничение скорости передачи данных на абонента, а также максимальную длительность каждой сессии. По завершении указанного в Session Timeout времени хотспот автоматически закроет сессию, и пользователь будет вынужден снова перейти на страницу редиректа (просмотр рекламы или перенаправление на ваш сайт). Эти параметры можно также настроить в свойствах площадки, или общих свойствах, в интерфейсе WNAM "Ограничения" (имеют больший приоритет).
Если в вашей сети присутствуют устройства, которым нужен непрерывны йбезусловный доступ в интернет без хотспота (например, кассовые терминалы, терминалы мобильной оплаты, смартфон босса), вы можете внести запись о таких устройствах (при известном МАС-адресе устройства) во вкладке IP Bindings. IP адрес фиксировать не требуется:
Также можно воспользоваться заранее созданной в административном интерфейсе записью о VIP-пользователе, включить МАС-авторизацию. В таком режиме привилегированные абоненты будут управляться WNAM, а не хотспотом, и их база данных будет общая на все подключенные к серверу хотспоты.
Если сервер WNAM находится не в той же сети, что и пользователи хотспота, то по умолчанию трафик до него неавторизованным пользователям будет блокирован, и авторизация будет недоступна. Требуется создать соответствующую "разрешающую" запись в настройках Walled Garden.
В приведенном примере сервер WNAM имеет IP-адрес 172.16.130.5 (расположен "снаружи" хотспота), и принимает запросы авторизации клиентов на порту 8080 (на котором работает веб-сервер tomcat в данном примере). Если tomcat работает на порту 80, и сервер WNAM дсотупен по потру 80 (то есть без указания порта), укажите здесь 80:
Наконец, поскольку для авторизации и аккаунтинга применяется протокол RADIUS, требуется настроить связь с RADIUS-сервером. В приведенном примере сервер WNAM имеет адрес 172.16.130.13.
Требуется указать UDP порты (по умолчанию), ключ (секрет), соответствующий настроенному на сервере в файле /etc/freeradius/clients.conf
Для сбора сведений по протоколу NetFlow о трафике абонентов (IP адреса, TCP/IP порты удалённых узлов сети Интернет) требуется включить режим отправки статистики на сервер WNAM. Для этого включите сбор (traffic flow) на внутреннем интерфейсе роутера:
И затем - укажите принимающую сторону (сервер WNAM) для пакетов NetFlow:
Последним действием необходимо поместить файл rlogin.html в директорию /hotspot/ файловой системы маршрутизатора Mikrotik. Для этого требуется утилита Winbox.exe (либо файл можно создать через CLI).
Внимание! Положите файл в корневую директорию хотспота, а не в поддиректорию /lv/ (латвийскую версию его)!
Образец этого файла находится здесь: http://www.netams.com/files/wnam/misc/
Независимо от применяемого метода авторизации доступа (прозрачный, с отправкой или получением СМС) файл будет одним и тем же. Его цель - при обращении пользователя к хотспоту перевести сессию авторизации на сервер WNAM.
Вы обязаны в этом файле самостоятельно, в текстовом редакторе, перед загрузкой его в маршрутизатор, изменить следующие строки:
action="http://172.16.130.5:8080/cp/mikrotik" - указать ссылку (путь) до сервера WNAM, вместе с TCP-портом. Порт должен соответствовать тому, на котором вы ранее настроили веб-сервер tomcat для работы веб-интерфейса WNAM (80 либо 8080). Обязательно сохранить параметры "/cp/mikrotik" в конце ссылки. Даже если вы используете несколько хотспотов или несколько маршрутизаторов Mikrotik, ссылка должна быть одной и той же.
name="site-id" value = "1" - указать ключ площадки, её порядковый номер. Если вы используете несколько площадок в настройках WNAM, пересекающиеся IP-адреса, и используете таргетированный по площадкам показ рекламы, требуется указывать уникальный ключ (номер) каждой площадки.
Также можно заменить файл login.html, он позволяет отображать абоненту осмысленное сообщение в случае ошибки.
В административном интерфейсе WNAM необходимо создать объект типа "Сервер доступа", выбрать тип "Mikrotik", указать его IP-адрес, логин и пароль для доступа в режиме "для чтения" для определения имен абонентов:
