Тут показані розбіжності між вибраною ревізією та поточною версією сторінки.
Порівняння попередніх версій Попередня ревізія | Попередня ревізія Остання ревізія По сторонах наступні версії | ||
mgmikrotik [2019/11/25 16:35] |
mgmikrotik [2023/06/23 11:23] borisov |
||
---|---|---|---|
Рядок 1: | Рядок 1: | ||
+ | ====== Авторизація абонентів через HotSpot сервер за допомогою КупаГен ====== | ||
+ | Можливо використовувати Mikrotik HotSpot для авторизації абонентів через freeradius чимось схоже на логіку ISG cisco. | ||
+ | |||
+ | Що може і не може робити Mikrotik. | ||
+ | 1. Можна авторизувати абонентів тільки якщо вони перебувають в одному L2 домені (в одній мережі) разом з Mikrotik. | ||
+ | 2. Ідентифікатором для мікротіка є мак адреса (абонентів будемо авторизувати за mac). | ||
+ | 3. Всіх неавторизованих абонентів Мікротік нікуди не пускає, | ||
+ | 4. Після успішної авторизації, | ||
+ | 5. Можна створювати списки для дозволених сайтів, | ||
+ | 6. Мікротик не може авторизувати за IP | ||
+ | 7. Щоб застосувати змінені параметри вже активного абонента, | ||
+ | 8. Для вимкнення, | ||
+ | | ||
+ | Також щоб це все могло працювати цілісно і з коробки у вас має бути налаштований [[multigen]] і dhcp-server | ||
+ | |||
+ | Далі опис покроково. | ||
+ | ====== Конфігурація Ubilling ====== | ||
+ | |||
+ | Уже має бути налаштований [[multigen|КупаГен]] | ||
+ | |||
+ | Налаштовуємо білінг стандартно як і для будь-яких інших пристроїв | ||
+ | |||
+ | у довіднику (мережі та послуги) додаємо мережі, | ||
+ | |||
+ | {{: | ||
+ | |||
+ | у довіднику (сервер dhcp) створюємо потрібні нам мережі. **ЩОБИ ПРАЦЮВАВ DHCP-RELAY** Не забуваємо поправити файл ubilling/ | ||
+ | < | ||
+ | shared-network ourisp { | ||
+ | |||
+ | {SUBNETS} | ||
+ | |||
+ | subnet " | ||
+ | } | ||
+ | </ | ||
+ | У довіднику (сервера доступу NAS) вішаємо на нашу мережу, | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Паролі, | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Додамо словник для Mikrotik у файл / | ||
+ | < | ||
+ | $INCLUDE | ||
+ | </ | ||
+ | Для Ubuntu приблизно так / | ||
+ | < | ||
+ | $INCLUDE | ||
+ | </ | ||
+ | Після чого перезапускаємо FreeRADIUS | ||
+ | |||
+ | Додаємо в NAS набір атрибутів, | ||
+ | |||
+ | {{: | ||
+ | |||
+ | |||
+ | з приводу установки швидкості і вибору макросу, | ||
+ | Щоб ми могли скидати сесії під час вимкнення або зміни швидкості, | ||
+ | |||
+ | {{: | ||
+ | |||
+ | < | ||
+ | {PRINTF} ' | ||
+ | </ | ||
+ | ще є варіант відсилати CoA тільки на зміни швидкості, | ||
+ | < | ||
+ | {PRINTF} " | ||
+ | </ | ||
+ | |||
+ | Ось ця конфігурація NAS у текстовому вигляді для швидкої вставки, | ||
+ | < | ||
+ | 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 | ||
+ | </ | ||
+ | |||
+ | Або, якщо ви, як здорова людина, | ||
+ | < | ||
+ | eyJvcHRpb25zIjp7ImlkIjoiMSIsIm5hc2lkIjoiMSIsInVzZXJuYW1ldHlwZSI6Im1hYyIsInNlcnZpY2UiOiJwb2Rjb2EiLCJvbmx5YWN0aXZlIjoiMSIsInBvcnQiOiIzNzk5In0sImF0dHJpYnV0ZXMiOnsiMSI6eyJpZCI6IjEiLCJuYXNpZCI6IjEiLCJzY2VuYXJpbyI6ImNoZWNrIiwibW9kaWZpZXIiOiJhY3RpdmUiLCJhdHRyaWJ1dGUiOiJDbGVhcnRleHQtUGFzc3dvcmQiLCJvcGVyYXRvciI6Ijo9IiwiY29udGVudCI6IjEyMzQ1In0sIjIiOnsiaWQiOiIyIiwibmFzaWQiOiIxIiwic2NlbmFyaW8iOiJyZXBseSIsIm1vZGlmaWVyIjoiYWN0aXZlIiwiYXR0cmlidXRlIjoiSWRsZS1UaW1lb3V0Iiwib3BlcmF0b3IiOiI9IiwiY29udGVudCI6IjM2MDAifSwiMyI6eyJpZCI6IjMiLCJuYXNpZCI6IjEiLCJzY2VuYXJpbyI6InJlcGx5IiwibW9kaWZpZXIiOiJhY3RpdmUiLCJhdHRyaWJ1dGUiOiJBY2N0LUludGVyaW0tSW50ZXJ2YWwiLCJvcGVyYXRvciI6Ij0iLCJjb250ZW50IjoiNjAwIn0sIjQiOnsiaWQiOiI0IiwibmFzaWQiOiIxIiwic2NlbmFyaW8iOiJyZXBseSIsIm1vZGlmaWVyIjoiYWN0aXZlIiwiYXR0cmlidXRlIjoiTWlrcm90aWstUmF0ZS1MaW1pdCIsIm9wZXJhdG9yIjoiPSIsImNvbnRlbnQiOiJ7U1BFRURNUkx9In0sIjUiOnsiaWQiOiI1IiwibmFzaWQiOiIxIiwic2NlbmFyaW8iOiJyZXBseSIsIm1vZGlmaWVyIjoiYWxsIiwiYXR0cmlidXRlIjoiRnJhbWVkLUlQLUFkZHJlc3MiLCJvcGVyYXRvciI6Ij0iLCJjb250ZW50Ijoie0lQfSJ9LCI2Ijp7ImlkIjoiNiIsIm5hc2lkIjoiMSIsInNjZW5hcmlvIjoiY2hlY2siLCJtb2RpZmllciI6ImFsbCIsImF0dHJpYnV0ZSI6IkF1dGgtVHlwZSIsIm9wZXJhdG9yIjoiOj0iLCJjb250ZW50IjoiQWNjZXB0In19LCJzZXJ2aWNlcyI6eyIxIjp7ImlkIjoiMSIsIm5hc2lkIjoiMSIsInBvZCI6IntQUklOVEZ9ICdGcmFtZWQtSVAtQWRkcmVzcyA9IHtJUH0nIHwge1NVRE99ICB7UkFEQ0xJRU5UfSB7TkFTSVB9OntOQVNQT1JUfSBcImRpc2Nvbm5lY3RcIiB7TkFTU0VDUkVUfSIsImNvYWNvbm5lY3QiOiJcL2JpblwvdHJ1ZSIsImNvYWRpc2Nvbm5lY3QiOiJ7UFJJTlRGfSAnRnJhbWVkLUlQLUFkZHJlc3MgPSB7SVB9JyB8IHtTVURPfSAge1JBRENMSUVOVH0ge05BU0lQfTp7TkFTUE9SVH0gXCJkaXNjb25uZWN0XCIge05BU1NFQ1JFVH0ifX19 | ||
+ | </ | ||
+ | |||
+ | ====== Конфігурація Mikrotik ====== | ||
+ | |||
+ | |||
+ | Уявімо, | ||
+ | - Потрібен мікротик із прошивкою не нижче v6 | ||
+ | - Абонентські пристрої повинні бачити інтерфейс, | ||
+ | - У прикладі ми використовуємо сторонній dhcp, тому на мікротику треба налаштувати dhcp-relay | ||
+ | - | ||
+ | | ||
+ | ====== Налаштування в картинках ====== | ||
+ | |||
+ | Заходимо ip - hotspot створюємо сервер hotspot вішаємо на інтерфейс, | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Поле профіль, | ||
+ | У полі login timeout встановлюємо час, через який мікротик буде пробувати переавторизовувати неавторизованих абонентів. | ||
+ | |||
+ | Правимо профіль сервера, | ||
+ | |||
+ | {{: | ||
+ | |||
+ | |||
+ | Усі користувачі під час авторизації використовуватимуть значення таймаутів і всього іншого з профілю користувача Default, зміни в ньому застосовуються для всіх хотспотів, | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Додаємо в Walled Garden IP List адреси, | ||
+ | |||
+ | {{: | ||
+ | |||
+ | |||
+ | Відкриваємо налаштування Radius, вписуємо наші параметри, | ||
+ | |||
+ | {{: | ||
+ | |||
+ | За підсумком ми маємо бачити наших усіх абонентів авторизованих і не авторизованих у вкладці hosts, туди потрапляють усі пристрої, | ||
+ | |||
+ | {{: | ||
+ | |||
+ | У білінгу можемо бачити сесії користувачів за умови що ми відправляємо accounting | ||
+ | |||
+ | {{: | ||
+ | |||
+ | ====== Перенаправлення відключених/ | ||
+ | HotSpot вміє це прекрасно робити так що не чого вигадувати не треба, а потрібно щонайменше поправити один файл login.html на мікротиці (зрозуміло, | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Привести його до такого вмісту, | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | $(if chap-id) | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | $(endif) | ||
+ | < | ||
+ | <form name=" | ||
+ | <input type=" | ||
+ | </ | ||
+ | <script language=" | ||
+ | <!-- | ||
+ | | ||
+ | //--> | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | взагалі там дуже багато варіацій якими можна коригувати поведінку системи хот спот і за бажання можна отримувати багато всіляких даних ще до авторизації та після, але про це вже в офіційній доці [[https:// | ||
+ | ====== Статистика Mikrotik ====== | ||
+ | |||
+ | Mikrotik ccr1036 - починає здихати при трафіку більше + - 2.8G наявність або відсутність на ньому Nat майже не впливає. (це близько 3к авторизованих абонентів) | ||
+ | |||
+ | Mikrotik ccr1072 - до межі ще не дійшли, | ||
+ | |||
+ | **Підключені в мережу одним 10G портом, | ||
+ | |||
+ | Mikrotik ccr1072 - тупо як NAT в нього стікається трафік від NAS`оф з різних мереж, натит в різні пули і так далі. Натить 15 гіг проц до 43% проблем немає. | ||
+ | |||
+ | З корисного: | ||
+ | |||
+ | багато ресурсів віджирає правила, | ||
+ | тому створюємо в шедулер правило, | ||
+ | |||
+ | < | ||
+ | /system scheduler | ||
+ | add name=dns on-event=": | ||
+ | \n/ip firewall nat remove [find dynamic dst-port=\" | ||
+ | \n/queue simple | ||
+ | ftp, | ||
+ | </ | ||
+ | |||
+ | також збільшуємо чергу шейпера (default-small) приблизно так | ||
+ | < | ||
+ | /queue type | ||
+ | set 9 pfifo-limit=200 | ||
+ | </ | ||
+ | |||
+ | Якщо у вас на мікротику дохрена абонів, |