Настройка Wi-Fi авторизации по SMS или звонку (HotSpot / Captive Portal) на роутере MikroTik
Для настройки авторизации пользователей гостевой сети Wi-Fi с помощью сервиса Global Hotspot следуйте данной инструкции. Сервис предназначен для идентификации и хранения идентификационных данных пользователей.
Для настройки идентификации на MikroTik надо запустить мастер конфигурации, скопировать и вставить список полученных команд в терминал роутера. Последовательность действий одинакова и подходит для всех моделей роутеров MikroTik (RouterOS). Роутер обязательно должен быть подключен к интернету до начала настройки!
Для начала зарегистрируйте личный кабинет и войдите в него. Данные для входа будут отправлены на e-mail после регистрации.
Данная инструкция применима для MikroTik с конфигурацией по умолчанию (т.е. вы только достали его из коробки). Удалять конфигурацию рекомендуется тем, кто не знает тонких настроек и у кого инфраструктура состоит только из одного роутера. Для тех, кто хочет только настроить работу hotspot, нужно выбрать конфигурацию для настроенного устройства в шаге 3.10. Если ваш роутер MikroTik уже настроен или вы используете CAPsMAN, то рекомендуем использовать расширенную инструкцию.
Шаг 0: Подключение MikroTik к компьютеру
Подключите MikroTik к компьютеру. Как правило, 1 порт используется для подключения к провайдеру, а все остальные порты — для подключения компьютеров в локальной сети. Вам нужен один из них.
Шаг 1: Загрузка ПО WinBox
ПО WinBox — это программа для настройки оборудования, работающего под под управлением RouterOS.
Загрузите WinBox по ссылке https://mikrotik.com/download. WinBox не требует установки на компьютере.
Если у вас нет доступа в Интернет, то можно скачать урезанную версию WinBox из роутера. Заходим по стандартному адресу для MikroTik http://192.168.88.1 и скачиваем Winbox.
Шаг 2: Запуск ПО WinBox
ВНИМАНИЕ! Удалять конфигурацию рекомендуется тем, кто не знает тонких настроек и у кого инфраструктура состоит только из одного роутера. Для тех, кто хочет только настроить работу hotspot, нужно выбрать конфигурацию для настроенного устройства в шаге 3.10. Все подробно описано в расширенной инструкции. Если вы сомневаетесь, обратитесь в службу технической поддержки в чате или по телефону.
Шаг 3: Создание конфигурации с помощью мастера настройки
После регистрации в личном кабинете Вам нужно выполнить несколько простых шагов, чтобы сервис заработал на Вашем устройстве:
- Создать тему на базе шаблона.
- Создать профиль и привязать к нему тему.
- Создать место и привязать к нему профиль.
- Создать конфигурацию для своего типа оборудования.
- Настроить свое оборудования по инструкции в мастере конфигураций.
- Подключиться к сети Wi–Fi и проверить.
Настройте дизайн страниц авторизации по “Инструкции по настройке внешнего вида страниц авторизации”.
Шаг 4: Загрузка конфигурации в MikroTik
Подключитесь к Wi–Fi и проверьте результат. Если вы сделали все правильно, то при подключении к Wi–Fi вы попадете на созданную страницу авторизации.
Если у вас возникли трудности, обратитесь в службу техподдержки (чат в личном кабинете или позвоните нам).
Не забудьте установить “детский доступ” в гостевой сети с помощью днс яндекс. Как это сделать читайте в Вопросы и ответы.
Шаг 5: Настройка времени сессии
Перейдите в раздел “Стартовая страница” подраздел “Профили” и выберите ваш профиль
По умолчанию установлено время активности и не активности, равные 1 часу, время активности в сутки 24 часа и безлимит по скорости. Это значит, что активное пользование интернетом длится 1 час и по окончании этого времени клиент должен будет посмотреть рекламу (если у вас она включена) и нажать кнопку “Перейти в интернет”. После чего сессия начнется заново и опять будет отсчитываться 1 час времени. Это время можно увеличить, если вы не хотите напрягать людей ежечасным нажиманием кнопки “Перейти в интернет”. Или включить MAC cookie, чтобы совсем избавиться от нажимания кнопки “Перейти в интернет”.
Время неактивности – это ожидание подключения устройства к сети. После отключения устройства от сети (например, заблокировать телефон и положить в карман) система ждет еще час и только через час удаляет сессию. Потом нужно опять подключиться к сети и нажать кнопку “Перейти в интернет”. Увеличение времени неактивности может оттянуть этот момент. Если разблокировать телефон через 59 минут, то он снова будет подключен к интернету. Т.к. пока еще время неактивности не прошло, то продолжится учет его времени активности. Это время можно увеличить, если вы не хотите напрягать людей ежечасным нажиманием кнопки “Перейти в интернет”. Или включить MAC cookie, чтобы совсем избавиться от нажимания кнопки “Перейти в интернет”. Для включения MAC cookie обратитесь в нашу техподдержку. При изменении времени неактивности учитывайте размер DHCP пула.
Эти настройки рекомендуется менять по вашему усмотрению. Особенно для гостиниц и отелей.
Для гостиниц, баз отдыха, хостелов, санаториев и т.п. заведений мы настоятельно рекомендуем увеличить время активности и неактивности. Оптимальными значениями было бы 24 часа. При увеличении времени неактивности время жизни DHCP должно быть больше времени неактивности в 1,5 раза или как минимум на пару часов.
Как настроить перехват HTTPS для MikroTik в Hotspot
Зачем включать перехват HTTPS?
Например, клиент использовал все время активности и ему снова надо начать новую сессию. Для этого нужно попасть на страницу авторизации. Но клиент сидит на сайте https://yandex.ru и читает новости. Без перехвата HTTPS он обновит страницу и получит вот это:
Но если настроить перехват HTTPS трафика, то клиент увидит сначала уведомление о невалидном сертификате, и после согласия с переходом его перекинет на страницу авторизации.
Как включить перехват HTTPS
Запустите Winbox и нажмите кнопку New terminal. В открывшемся окне выполните эти команды:
1) Создать шаблон сертификата
/certificate add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign sign ca-template name=myCa
2) Создать сертификат для hotspot
/certificate add name=Hotspot-template common-name=Hotspot sign Hotspot-template ca=myCa name=Hotspot
3) Подписать сертификат
set [find name=Hotspot] trusted=yes
4) Поставить галочку “https” в активном профиле в микротике (ip-hotspot-server profile)
Теперь при подключении к сети Wi-Fi c авторизацией при открытии в браузере любого сайта по https появится такое окно:
Если пользователь нажмет кнопку “Продолжить”, то у него откроется страница авторизации.
Как убрать ошибку при перехвате HTTPS?
Такая ошибка возникает, когда подключаешься к Wi-Fi с авторизацией, открываешь в браузере любой сайт по HTTPS. А браузер выдает ошибку сертификата.
Дело в том, что сайты используют защищенное соединение по протоколу HTTPS с шифрованием и SSL сертификатом. Так как точка доступа должна «перехватить» HTTPS трафик, чтобы отправить пользователя на страницу авторизации, она подставляет самоподписанный сертификат для сайта. Браузер проверяет сертификат на соответствие и выдает ошибку. Обойти это никак нельзя. В этом и есть смысл защищенного соединения по HTTPS. Основная работа шифрования данных TLS и SSL проходит на 6 уровне модели OSI (уровень представления), а аутентификация — на 5 уровне модели OSI (сеансовый уровень).
Единственный вариант обойти это – открыть в браузере сайт по HTTP. Тогда сразу появится страница авторизации.
Как добавить устройства в исключения для MikroTik (доступ к интернету без авторизации)
Иногда нужно, чтобы некоторые устройства имели доступ в интернет по Wi-Fi без авторизации. Такие устройства как телевизоры, кассы, терминалы, рабочие телефоны, компьютеры и ноутбуки можно добавить в лист для доступа к интернету без запроса авторизации.
Запустите Winbox и зайдите во вкладку IP/Hotspot. Далее есть 2 варианта действий:
- Устройство уже подключено к гостевой сети Wi-Fi и он есть в списке Hosts.
- Добавить mac-адрес устройства в исключения вручную.
Вариант 1
Устройство уже подключено к гостевой сети Wi-Fi и он есть в списке IP/Hotspot/Hosts. Выбираем его в списке и нажимаем правой кнопкой мыши. В открывшемся окне нажимаем “Make Binding”.
Выбираем Type – bypassed и нажимаем Ok.
Готово, mac-адрес в списке исключений.
Вариант 2
Добавить mac-адрес устройства в исключения вручную. Создадим новую запись во вкладке IP/Hotspot/IP Bindings.
Вручную вбиваем mac-адрес (и если нужен определенный IP – adress), выбираем Type – bypassed и нажимаем Ok.
Готово, mac-адрес в списке исключений.