Настройка Wi-Fi авторизации по SMS или звонку (HotSpot / Captive Portal) на роутере MikroTik

Для настройки авторизации пользователей гостевой сети Wi-Fi с помощью сервиса Global Hotspot следуйте данной инструкции. Сервис предназначен для идентификации и хранения идентификационных данных пользователей.

Для настройки идентификации на MikroTik надо запустить мастер конфигурации, скопировать и вставить список полученных команд в терминал роутера. Последовательность действий одинакова и подходит для всех моделей роутеров MikroTik (RouterOS). Роутер обязательно должен быть подключен к интернету до начала настройки!

Для начала зарегистрируйте личный кабинет и войдите в него. Данные для входа будут отправлены на e-mail после регистрации.

Данная инструкция применима для MikroTik с конфигурацией по умолчанию (т.е. вы только достали его из коробки). Удалять конфигурацию рекомендуется тем, кто не знает тонких настроек и у кого инфраструктура состоит только из одного роутера. Для тех, кто хочет только настроить работу hotspot, нужно выбрать конфигурацию для настроенного устройства в шаге 3.10. Если ваш роутер MikroTik уже настроен или вы используете CAPsMAN, то рекомендуем использовать расширенную инструкцию.

Шаг 0: Подключение MikroTik к компьютеру

Подключите MikroTik к компьютеру. Как правило, 1 порт используется для подключения к провайдеру, а все остальные порты — для подключения компьютеров в локальной сети. Вам нужен один из них.

Схема подключения MikroTik

Шаг 1: Загрузка ПО WinBox

ПО WinBox — это программа для настройки оборудования, работающего под под управлением RouterOS.

Загрузите WinBox по ссылке https://mikrotik.com/download. WinBox не требует установки на компьютере.

Шаг 1.1
Загрузите WinBox с официального сайта MikroTik

Если у вас нет доступа в Интернет, то можно скачать урезанную версию WinBox из роутера. Заходим по стандартному адресу для MikroTik http://192.168.88.1 и скачиваем Winbox.

Шаг 1.1.1
Загрузите WinBox из роутера, если нет доступа к Интернет

Шаг 2: Запуск ПО WinBox

Шаг 2.1
Запускаем WinBox и подключаем роутер

ВНИМАНИЕ! Удалять конфигурацию рекомендуется тем, кто не знает тонких настроек и у кого инфраструктура состоит только из одного роутера. Для тех, кто хочет только настроить работу hotspot, нужно выбрать конфигурацию для настроенного устройства в шаге 3.10. Все подробно описано в расширенной инструкции. Если вы сомневаетесь, обратитесь в службу технической поддержки в чате или по телефону.

Шаг 2.2
Удаляем старую конфигурацию во вкладке System > Reset configuration

Шаг 2.2.1
Удаление старой конфигурации

Шаг 3: Создание конфигурации с помощью мастера настройки

После регистрации в личном кабинете Вам нужно выполнить несколько простых шагов, чтобы сервис заработал на Вашем устройстве:

Создать тему на базе шаблона.
Создать профиль и привязать к нему тему.
Создать место и привязать к нему профиль.
Создать конфигурацию для своего типа оборудования.
Настроить свое оборудования по инструкции в мастере конфигураций.
Подключиться к сети Wi–Fi и проверить.

Настройте дизайн страниц авторизации по “Инструкции по настройке внешнего вида страниц авторизации”.

Шаг 3.1
Выберите шаблон

Шаг 3.2
Создайте тему на базе шаблона

Инструкция по настройке внешнего вида портала шаг 1.1-min

Шаг 3.3
Назовите тему

Инструкция по настройке внешнего вида портала шаг 1.1.1-min

Шаг 3.4
Создайте профиль

Инструкция по настройке внешнего вида портала шаг 2-min

Шаг 3.5
Назовите профиль

Настройка внеш вида страницы авторизации шаг 2.2-min

Шаг 3.6
В оформлении профиля выбираем созданную тему

Инструкция по настройке внешнего вида портала шаг 2.2-min

Шаг 3.7
Создаем место и выбираем созданный профиль

Шаг 3.8
Создание конфигурации с помощью мастера настройки

Шаг 3.9
Выбор типа устройства

Шаг 3.10
Выберите тип роутера: новый или уже настроенный

Настройка wi-fi авторизации hotspot captive portal Mikrotik-min

Шаг 3.10
Выбор версии конфигурации

Шаг 3.11
Полный файл настроек для Mikrotik. Для нового и настроенного роутеров файлы отличаются

Шаг 3.12
Копируем настройки в буфер обмена

Шаг 4: Загрузка конфигурации в MikroTik

Шаг 4.1
Вставляем скопированные настройки конфигурации в терминал роутера

Подключитесь к Wi–Fi и проверьте результат. Если вы сделали все правильно, то при подключении к Wi–Fi вы попадете на созданную страницу авторизации.

Если у вас возникли трудности, обратитесь в службу техподдержки (чат в личном кабинете или позвоните нам).

Не забудьте установить “детский доступ” в гостевой сети с помощью днс яндекс. Как это сделать читайте в Вопросы и ответы.

Шаг 5: Настройка времени сессии

Перейдите в раздел “Стартовая страница” подраздел “Профили” и выберите ваш профиль

По умолчанию установлено время активности и не активности, равные 1 часу, время активности в сутки 24 часа и безлимит по скорости. Это значит, что активное пользование интернетом длится 1 час и по окончании этого времени клиент должен будет посмотреть рекламу (если у вас она включена) и нажать кнопку “Перейти в интернет”. После чего сессия начнется заново и опять будет отсчитываться 1 час времени. Это время можно увеличить, если вы не хотите напрягать людей ежечасным нажиманием кнопки “Перейти в интернет”. Или включить MAC cookie, чтобы совсем избавиться от нажимания кнопки “Перейти в интернет”.

Время неактивности – это ожидание подключения устройства к сети. После отключения устройства от сети (например, заблокировать телефон и положить в карман) система ждет еще час и только через час удаляет сессию. Потом нужно опять подключиться к сети и нажать кнопку “Перейти в интернет”. Увеличение времени неактивности может оттянуть этот момент. Если разблокировать телефон через 59 минут, то он снова будет подключен к интернету. Т.к. пока еще время неактивности не прошло, то продолжится учет его времени активности. Это время можно увеличить, если вы не хотите напрягать людей ежечасным нажиманием кнопки “Перейти в интернет”. Или включить MAC cookie, чтобы совсем избавиться от нажимания кнопки “Перейти в интернет”. Для включения MAC cookie обратитесь в нашу техподдержку. При изменении времени неактивности учитывайте размер DHCP пула.

Эти настройки рекомендуется менять по вашему усмотрению. Особенно для гостиниц и отелей.

Для гостиниц, баз отдыха, хостелов, санаториев и т.п. заведений мы настоятельно рекомендуем увеличить время активности и неактивности. Оптимальными значениями было бы 24 часа. При увеличении времени неактивности время жизни DHCP должно быть больше времени неактивности в 1,5 раза или как минимум на пару часов.

Как настроить перехват HTTPS для MikroTik в Hotspot

Зачем включать перехват HTTPS?

Например, клиент использовал все время активности и ему снова надо начать новую сессию. Для этого нужно попасть на страницу авторизации. Но клиент сидит на сайте https://yandex.ru и читает новости. Без перехвата HTTPS он обновит страницу и получит вот это:

Но если настроить перехват HTTPS трафика, то клиент увидит сначала уведомление о невалидном сертификате, и после согласия с переходом его перекинет на страницу авторизации.

Как включить перехват HTTPS

Запустите Winbox и нажмите кнопку New terminal. В открывшемся окне выполните эти команды:

1) Создать шаблон сертификата

/certificate
add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
sign ca-template name=myCa

2) Создать сертификат для hotspot

/certificate
add name=Hotspot-template common-name=Hotspot
sign Hotspot-template ca=myCa name=Hotspot

3) Подписать сертификат

set [find name=Hotspot] trusted=yes

4) Поставить галочку “https” в активном профиле в микротике (ip-hotspot-server profile)

Теперь при подключении к сети Wi-Fi c авторизацией при открытии в браузере любого сайта по https появится такое окно:

Если пользователь нажмет кнопку “Продолжить”, то у него откроется страница авторизации.

Как убрать ошибку при перехвате HTTPS?

Такая ошибка возникает, когда подключаешься к Wi-Fi с авторизацией, открываешь в браузере любой сайт по HTTPS. А браузер выдает ошибку сертификата.

Дело в том, что сайты используют защищенное соединение по протоколу HTTPS с шифрованием и SSL сертификатом. Так как точка доступа должна «перехватить» HTTPS трафик, чтобы отправить пользователя на страницу авторизации, она подставляет самоподписанный сертификат для сайта. Браузер проверяет сертификат на соответствие и выдает ошибку. Обойти это никак нельзя. В этом и есть смысл защищенного соединения по HTTPS. Основная работа шифрования данных TLS и SSL проходит на 6 уровне модели OSI (уровень представления), а аутентификация — на 5 уровне модели OSI (сеансовый уровень).

Единственный вариант обойти это – открыть в браузере сайт по HTTP. Тогда сразу появится страница авторизации.

Как добавить устройства в исключения для MikroTik (доступ к интернету без авторизации)

Иногда нужно, чтобы некоторые устройства имели доступ в интернет по Wi-Fi без авторизации. Такие устройства как телевизоры, кассы, терминалы, рабочие телефоны, компьютеры и ноутбуки можно добавить в лист для доступа к интернету без запроса авторизации.

Запустите Winbox и зайдите во вкладку IP/Hotspot. Далее есть 2 варианта действий:

Устройство уже подключено к гостевой сети Wi-Fi и он есть в списке Hosts.
Добавить mac-адрес устройства в исключения вручную.

Вариант 1

Устройство уже подключено к гостевой сети Wi-Fi и он есть в списке IP/Hotspot/Hosts. Выбираем его в списке и нажимаем правой кнопкой мыши. В открывшемся окне нажимаем “Make Binding”.