Настройка Wi-Fi авторизации по SMS или звонку (HotSpot / Captive Portal) на роутере MikroTik

Настройка Wi-Fi авторизации по SMS или звонку (HotSpot / Captive Portal) на роутере MikroTik

Для настройки авторизации пользователей гостевой сети Wi-Fi с помощью сервиса Global Hotspot следуйте данной инструкции. Сервис предназначен для идентификации и хранения идентификационных данных пользователей.

Для настройки идентификации на MikroTik надо запустить мастер конфигурации, скопировать и вставить список полученных команд в терминал роутера. Последовательность действий одинакова и подходит для всех моделей роутеров MikroTik (RouterOS). Роутер обязательно должен быть подключен к интернету до начала настройки!

Для начала зарегистрируйте личный кабинет и войдите в него. Данные для входа будут отправлены на e-mail после регистрации.

Данная инструкция применима для MikroTik с конфигурацией по умолчанию (т.е. вы только достали его из коробки). Удалять конфигурацию рекомендуется тем, кто не знает тонких настроек и у кого инфраструктура состоит только из одного роутера. Для тех, кто хочет только настроить работу hotspot, нужно выбрать конфигурацию для настроенного устройства в шаге 3.10. Если ваш роутер MikroTik уже настроен или вы используете CAPsMAN, то рекомендуем использовать расширенную инструкцию.

Шаг 0: Подключение MikroTik к компьютеру

Подключите MikroTik к компьютеру. Как правило, 1 порт используется для подключения к провайдеру, а все остальные порты — для подключения компьютеров в локальной сети. Вам нужен один из них.

Схема подключения MikroTik

Шаг 1: Загрузка ПО WinBox

ПО WinBox — это программа для настройки оборудования, работающего под под управлением RouterOS.

Загрузите WinBox по ссылке https://mikrotik.com/download. WinBox не требует установки на компьютере.

Шаг 1.1 Загрузите WinBox с официального сайта MikroTik

Если у вас нет доступа в Интернет, то можно скачать урезанную версию WinBox из роутера. Заходим по стандартному адресу для MikroTik http://192.168.88.1 и скачиваем Winbox.

Шаг 1.1.1 Загрузите WinBox из роутера, если нет доступа к Интернет

Шаг 2: Запуск ПО WinBox

Шаг 2.1 Запускаем WinBox и подключаем роутер

ВНИМАНИЕ! Удалять конфигурацию рекомендуется тем, кто не знает тонких настроек и у кого инфраструктура состоит только из одного роутера. Для тех, кто хочет только настроить работу hotspot, нужно выбрать конфигурацию для настроенного устройства в шаге 3.10. Все подробно описано в расширенной инструкции. Если вы сомневаетесь, обратитесь в службу технической поддержки в чате или по телефону.

Шаг 2.2 Удаляем старую конфигурацию во вкладке System > Reset configuration

Шаг 2.2.1 Удаление старой конфигурации

Шаг 3: Создание конфигурации с помощью мастера настройки

После регистрации в личном кабинете Вам нужно выполнить несколько простых шагов, чтобы сервис заработал на Вашем устройстве:

  1. Создать тему на базе шаблона.
  2. Создать профиль и привязать к нему тему.
  3. Создать место и привязать к нему профиль.
  4. Создать конфигурацию для своего типа оборудования.
  5. Настроить свое оборудования по инструкции в мастере конфигураций.
  6. Подключиться к сети Wi–Fi и проверить.

Шаг 3.1 Выберите шаблон

Шаг 3.2 Создайте тему на базе шаблона

Шаг 3.3 Назовите тему

Шаг 3.4 Создайте профиль

Шаг 3.5 Назовите профиль

Шаг 3.6 В оформлении профиля выбираем созданную тему

Шаг 3.7 Создаем место и выбираем созданный профиль

Шаг 3.8 Создание конфигурации с помощью мастера настройки

Шаг 3.9 Выбор типа устройства

Шаг 3.10 Выберите тип роутера: новый или уже настроенный

Шаг 3.10 Выбор версии конфигурации

Шаг 3.11 Полный файл настроек для Mikrotik. Для нового и настроенного роутеров файлы отличаются

Шаг 3.12 Копируем настройки в буфер обмена

Шаг 4: Загрузка конфигурации в MikroTik

Шаг 4.1 Вставляем скопированные настройки конфигурации в терминал роутера

Подключитесь к Wi–Fi и проверьте результат. Если вы сделали все правильно, то при подключении к Wi–Fi вы попадете на созданную страницу авторизации.

Если у вас возникли трудности, обратитесь в службу техподдержки (чат в личном кабинете или позвоните нам).

Не забудьте установить «детский доступ» в гостевой сети с помощью днс яндекс. Как это сделать читайте в Вопросы и ответы.

Шаг 5: Настройка времени сессии

Перейдите в раздел «Стартовая страница» подраздел «Профили» и выберите ваш профиль

По умолчанию установлено время активности и не активности, равные 1 часу, время активности в сутки 24 часа и безлимит по скорости. Это значит, что активное пользование интернетом длится 1 час и по окончании этого времени клиент должен будет посмотреть рекламу (если у вас она включена) и нажать кнопку «Перейти в интернет». После чего сессия начнется заново и опять будет отсчитываться 1 час времени. Это время можно увеличить, если вы не хотите напрягать людей ежечасным нажиманием кнопки «Перейти в интернет». Или включить MAC cookie, чтобы совсем избавиться от нажимания кнопки «Перейти в интернет».

Время неактивности — это ожидание подключения устройства к сети. После отключения устройства от сети (например, заблокировать телефон и положить в карман) система ждет еще час и только через час удаляет сессию. Потом нужно опять подключиться к сети и нажать кнопку «Перейти в интернет». Увеличение времени неактивности может оттянуть этот момент. Если разблокировать телефон через 59 минут, то он снова будет подключен к интернету. Т.к. пока еще время неактивности не прошло, то продолжится учет его времени активности. Это время можно увеличить, если вы не хотите напрягать людей ежечасным нажиманием кнопки «Перейти в интернет». Или включить MAC cookie, чтобы совсем избавиться от нажимания кнопки «Перейти в интернет». Для включения MAC cookie обратитесь в нашу техподдержку. При изменении времени неактивности учитывайте размер DHCP пула.

Эти настройки рекомендуется менять по вашему усмотрению. Особенно для гостиниц и отелей.

Для гостиниц, баз отдыха, хостелов, санаториев и т.п. заведений мы настоятельно рекомендуем увеличить время активности и неактивности. Оптимальными значениями было бы 24 часа. При увеличении времени неактивности время жизни DHCP должно быть больше времени неактивности в 1,5 раза или как минимум на пару часов.

Как настроить перехват HTTPS для MikroTik в Hotspot

Зачем включать перехват HTTPS?

Например, клиент использовал все время активности и ему снова надо начать новую сессию. Для этого нужно попасть на страницу авторизации. Но клиент сидит на сайте https://yandex.ru и читает новости. Без перехвата HTTPS он обновит страницу и получит вот это:

Но если настроить перехват HTTPS трафика, то клиент увидит сначала уведомление о невалидном сертификате, и после согласия с переходом его перекинет на страницу авторизации.

Как включить перехват HTTPS

Запустите Winbox и нажмите кнопку New terminal. В открывшемся окне выполните эти команды:

1) Создать шаблон сертификата

2) Создать сертификат для hotspot

3) Подписать сертификат

set [find name=Hotspot] trusted=yes

4) Поставить галочку «https» в активном профиле в микротике (ip-hotspot-server profile)

Теперь при подключении к сети Wi-Fi c авторизацией при открытии в браузере любого сайта по https появится такое окно:

Если пользователь нажмет кнопку «Продолжить», то у него откроется страница авторизации.

Как убрать ошибку при перехвате HTTPS?

Такая ошибка возникает, когда подключаешься к Wi-Fi с авторизацией, открываешь в браузере любой сайт по HTTPS. А браузер выдает ошибку сертификата.

Дело в том, что сайты используют защищенное соединение по протоколу HTTPS с шифрованием и SSL сертификатом. Так как точка доступа должна «перехватить» HTTPS трафик, чтобы отправить пользователя на страницу авторизации, она подставляет самоподписанный сертификат для сайта. Браузер проверяет сертификат на соответствие и выдает ошибку. Обойти это никак нельзя. В этом и есть смысл защищенного соединения по HTTPS. Основная работа шифрования данных TLS и SSL проходит на 6 уровне модели OSI (уровень представления), а аутентификация — на 5 уровне модели OSI (сеансовый уровень).

Единственный вариант обойти это – открыть в браузере сайт по HTTP. Тогда сразу появится страница авторизации.

Как добавить устройства в исключения для MikroTik (доступ к интернету без авторизации)

Иногда нужно, чтобы некоторые устройства имели доступ в интернет по Wi-Fi без авторизации. Такие устройства как телевизоры, кассы, терминалы, рабочие телефоны, компьютеры и ноутбуки можно добавить в лист для доступа к интернету без запроса авторизации.

Запустите Winbox и зайдите во вкладку IP/Hotspot. Далее есть 2 варианта действий:

  1. Устройство уже подключено к гостевой сети Wi-Fi и он есть в списке Hosts.
  2. Добавить mac-адрес устройства в исключения вручную.
Вариант 1

Устройство уже подключено к гостевой сети Wi-Fi и он есть в списке IP/Hotspot/Hosts. Выбираем его в списке и нажимаем правой кнопкой мыши. В открывшемся окне нажимаем «Make Binding».

Выбираем Type — bypassed и нажимаем Ok.

Готово, mac-адрес в списке исключений.

Вариант 2

Добавить mac-адрес устройства в исключения вручную. Создадим новую запись во вкладке IP/Hotspot/IP Bindings.

Вручную вбиваем mac-адрес (и если нужен определенный IP — adress), выбираем Type — bypassed и нажимаем Ok.

📎📎📎📎📎📎📎📎📎📎