راه اندازی سرویس Hotspot

از ویکی پارس پویش
پرش به: ناوبری, جستجو

محتویات


مقدمه

هات اسپات در میکروتیک چیست ؟

اصولا به ابزار مدیریت دسترسی به اینترنت در مکان های عمومی، هات اسپات می گویند. امروزه در بیشتر هتل ها ، فرودگاه ها ، رستوران ها ، و دانشگاه ها و ... دسترسی به اینترنت برای عموم ، از این سرویس استفاده میشود . هر چند با گسترش شبکه های اینترنت تلفن همراه مثل 4G/3G ، بخشی از کارکردهای هات اسپات در برخی مکان ها، توجیح اقتصادی و فنی خود را برای پیاده سازی از دست داده ، اما کماکان گزینه اول دسترسی به اینترنت در مکان ها عمومی و خصوصی است. لازم به ذکر است پیاده سازی هات اسپات به معنی فعال کردن یک شبکه بی سیم محافظت نشده ( حتی با وجود کلمه عبور ) و دادن دسترسی نامحدود به همه افراد نیست. میکروتیک ( Mikrotik ) با ارایه ابزاری منحصر به فرد در زمینه ارایه دسترسی مدیریت شده به اینترنت ، اعتبار سنجی کاربران ، تعیین سرعت لحظه ای و میانگین ، تعیین حجم ترافیک اینترنت مصرفی ، محافظت در برابر نفوذ و حملات هکرها ، تعیین مدت زمان برقراری ارتباط با شبکه ، اعمال محدودیت در دسترسی به برخی از سایت ها و سرویس ها ، ارایه گزارشات متنوع ، دسترسی مدیریت شده و سریع به منابع و اطلاعات داخلی و بسیاری از امکانات و قابلیت های دیگر ، بدون شک بهترین گزینه برای پیاده سازی هات اسپاتی امن ، سریع و پایدار می باشد. نکته کلیدی در راه اندازی هات اسپات ها به ویژه هات اسپات قدرنمند میکروتیک ، پیاده سازی دقیق ، اصولی و ایمن این سرویس می باشد. همچنین این سرویس قابلیت اتصال به سرور AAA را داراست و میتواند کاربران را که در سرور AAA وجود دارند را بر روی این سرویس لاگین کند .

توپولوژی های استاندارد

توپولوژی های استاندارد شرکت پارس پویش برای راه اندازی سرویس هات اسپات :

راه کار شماره ۱ : در این راه کار سرور( AAA (IBSng در مسیر ترافیک کاربران قرار ندارد (وقتی کاربر traceroute به سمت اینترنت را میگیرد آیپی سرور IBSng را نمیبیند) این روش به دو صورت هات اسپات لایه دو و هات اسپات لایه ۳ قابل اجرا است .

در هات اسپات لایه دو میکروتیک با کلاینت ها داخل یک سابنت است .

Hotspot-layer2.png

این روش به دلیل عدم وجود سوییچ لایه ۳ در سازمان مورد نظر بوده وپیشنهاد نمی گردد . دقت شود در صورتی اینترفیس میکروتیک که در آن هات اسپات فعال میگردد با Server Farm داخل یک سابنت باشند هات اسپات باعث اختلالاتی در عملکرد سرور ها میشود که این روش توصیه نمی شود .

راه کار شماره 2 : در هات اسپات لایه سه که توصیه پارس پویش به استفاده از این نوع راه حل است یک دیوایس لایه سه (روتر یا سوییچ لایه سه) سابنت کاربران و اینترفیس هات اسپات را جدا میکند .

Hotspot-layer3.png

دقت شود در این مورد رنج کلاینت ها با رنج Server ها یکی نبوده و هات اسپات در عملکرد سرور ها اختلال ایجاد نمیکند .

نکته : به دلیلایلی که در بالا ذکر شد و همچنین اتکای ادمین شبکه به تیم پارس پویش برای کوچکترین تغییر در شبکه به هیچ وجه توصیه نمی گردد که سرور IBSng در مسیر ترافیک کاربران قرار گیرد .

کانفیگ و فعالسازی

برای درک بهتر و راحت تر راه اندازی و کانفیگ این سرویس فعالسازی را همراه با یک مثال واقعی مطرح میکنیم . تصور کنید که ما میخواهیم سرویس هات اسپات را در شبکه مان بطوری که در راه حل ۱ در شکل بالا مطرح شد پیاده سازی کنیم (شکل زیر)

Example.png

در ابتدا نیاز است که بر روی دو کارت شبکه میکروتیک آیپی ست نماییم ست کردن آیپی در کارت شبکه اول

Set-ip.png

و ست کردن آیپی در کارت شبکه دوم

Set-ip-1.png

مرحله بعد ست کردن Default Gateway برای میکروتیک است . با این کار روتر edge را default gateway میکروتیک قرار میدهیم . بعد از انجام اینکار و دادن دسترسی های لازمه از سمت فایر پال روتر مورد نظر میبایست ping 8.8.8.8 را داشته باشد .

Route.png

اتصال روتر به اینترنت را توسط دستور ping در new terminal بررسی کنید.

Hotspot11.png

و سپس برای اینکه میکروتیک بتواند عمل Resolve را انجام دهد در میکروتیک DNS ست میکنیم . دقت شود که حتما گزینه Allow Remote Request فعال باشد .

Dns.png

برای انجام تنظیمات HotSpot، از قسمت IP گزینه Hotspot را انتخاب کرده و در تب Servers بر روی کلید Hotspot Setup کلیک نمایید.حال سرویس هات اسپات را در اینترفیس ether1 فعال میکنیم .

Hotspot-setup.png

در ابتدا لازم است اینترفیسی که می‌خواهید سرویس هات اسپات برروی آن راه‌اندازی شود را انتخاب کنید. لازم است از صحت منطبق بودن IP نمایش داده شده با ether انتخاب شده، مطمئن شوید .

Hotspot1.png

در این مرحله رنج IP آدرس‌های اینترفیسی که در مرحله قبل انتخاب شده بود، نمایش داده می‌شود. گزینه‌ی Masquerade Network به صورت پیش فرض فعال است می‌بایست چک مارک گزینه Masquerade Network را غیر فعال کنید و برروی کلید Next کلیک کنید.

Hotspot2.png

در این قسمت برای کاربرانی که می خواهند به شبکه‌ی هات اسپات متصل شوند محدوده‌ی IP تعریف می‌کنیم؛ که به صورت پیش فرض مقادیری را در نظر گرفته میشود که آنها را تغییر نداده و بر روی Next کلیک کنید .

Hotspot3.png

در این مرحله شما می توانید یک گواهی SSL را در صورت نیاز فعال کنید. (Secure Sockets Layer پرتكلی است كه به وسيله Netscape برای انتقال پرونده‌های خصوصی روی اينترنت به وجود آمده است. بسیاری از سايت‌ها از اين پروتكل استفاده مي‌كنند تا از اطلاعات محرمانه كاربران مانند اطلاعات كارت اعتباري محافظت كنند. SSL ارتباط مطمئنی بين يک كاربر و سرور ايجاد مي‌كند.) با استفاده از SSL تمامی مراحل لاگین کاربر، از احراز هویت در شبکه‌ی هات اسپات تا استفاده از سایت‌های مختلف در اینترنت با استفاده از پروتکل https صورت می‌گیرد ، در صورتی که گواهی SSL ندارید بر روی none قرار داده و برروی گزینه NEXT کلیک نمایید .

Hotspot4.png

اگر در شبکه‌ی خود ایمیل سرور داشته باشید، می‌توانید IP میل سرور خود را دراین قسمت مشخص کنید. در صورتی که شما ایمیل سرور ندارید برروی کلید Next کلیک کنید.

Hotspot5.png


در این مرحله IP آدرس DNS Server هایی که لازم است به client های hotspot اختصاص داده شود را مشخص کنید.

Hotspot6.png

در این مرحله یک نام دلخواه با فرمت FQDN (به صورت اسم.اسم) که مشخصه نام سرور هات اسپات شما است را مشخص کنید. توجه داشته باشید که این نام دامنه نباید قبلا برروی دامین سرورها یا هاست‌های اینترنتی تعریف شده باشد. در اینجا نام mikrotikhotspot.local را در نظر گرفته ایم. پس از اتمام مراحل نصب هات اسپات با مشخص کردن این نام در address bar مرورگر صفحه لاگین هات اسپات نمایش داده می‌شود.

Hotspot7.png

در این قسمت نام کاربری و رمز عبوری که به admin هات اسپات اختصاص داده می شود را مشخص می‌کنیم. به صورت پیش فرض نام کاربری، admin و رمز blank (بدون رمز عبور) تعریف شده است. می‌توانید این نام کاربری و رمز عبور را به صورت دلخواه تغییر دهید. نکته : دقت کنید که این نام کاربری به صورت Local در میکروتیک است و ربطی به Username های تعریف شده در سرور IBSng ندارد .

Hotspot8.png

بعد از زدن گزینه NEXT تنظیمات انجام شده و پیغامی نیز نمایش داده میشود .

Hotspot9.png

حالا بروزر را باز کرده و سایتی را میزنیم میبینیم که با زدن هر سایتی صفحه هات اسپات باز میشود که از ما یوزر و پسورد ورود میخواهد .

Hotspot10.png

تعریف کردن RADIUS

بعد از config هات اسپات برای اینکه نیازی نباشد که کاربران را در میکروتیک تعریف نمایید میبایست هات اسپات میکروتیک را به یک ردیوس متصل کرده تا کاربران از ردیوس خوانده شوند در اینجا ردیوس ما IBSng میباشد .برای این منظور مراحل زیر را دنبال کنید .

برای این منظور داخل winbox شده و از منوی ip سپس hotspot وسپس وارد تب server profile شده و بر روی پروفایل مورد نظر کلیک کنید . وارد قسمت Radius شدن و گزینه Use Radius را فعال نمایید . سپس تیک Accounting را زده و interm Update را برابر با ۱ دقیقه قرار دهید .

Radiushotprofile.png

حالا در تب لاگین کلیک نموده و سپس login-by را در حالت http-pap قرار میدهیم ، حال اگر میخواهیم که یوزر و پسورد را یک مرتبه از کاربر خواسته و دفعه بعد یوزر و پسورد کاربر Save شده باشد و نیازی به وارد کردن یوزر وپسورد توسط کاربر نباشد تیک Cookie را فعال نمایید . در غیر اینصورت غیر فعال باشد .

Loginby.png

با تنظیمات بالا Hostspot به یک ردیوس متصل می گردد حال میبایست یک ردیوس در میکروتیک تعریف نمود برای این منظور مراحل زیر را دنیاب کنید .

برای این منظور داخل winbox شده و از منوی Radius را انتخاب کرده و بر روی + کلیک میکنیم از تب General و از قسمت Service گزینه Hotspotرا انتخاب و تیک میزنیم (در صورتی که از VPN در این راس نیز استفاده میکنید تیک PPP را نیز فعال نمایید ) . سپس از قسمت Address آدرس سرور ردیوس (IBSng) را وارد نمایید سپس برایاین منظور یک Secret دلخواه انتخاب نمایید (اینجانب رمز عبور secret را انتخاب کردم) سپس پورت های ۱۸۱۲ برای authentication و پورت ۱۸۱۳ برای accounting قرار میدهیم و Time Out را برابر با ۳۰۰۰ میلی ثانیه قرار میدهیم .

Radius1.png

حال نیاز است در سمت IBSng یک راس تعریف نماییم .

اضافه کردن RAS جديد در IBSng : وارد صفحه IBSng شده و از قسمت Setting و سپس Rad و Add new Ras را انتخاب میکنیم .

Ras's Menu.jpg

سپس از صفحه باز شده ابتدا آیپی راس میکروتیک سپس یک شرح برای راس قرار میدهیم (شرح اتخاب شده دلخواه میباشد) سپس نوع ras را که mikrotik است انتخاب میکنیم سپس یک ردیوس secret که ما در اینجا secret را به عنوان رمز همان طور که در تنظیمات میکروتیک کانفیگ شد قرار میدهیم و سپس OK را میزنیم .

Addras.png

مشکل در باز شدن صفحه لاگین

۱- در ابتدا مطمئن شوید میکروتیک اینترنت دارد .

Hotspot11.png

و نیز میتواند عمل Resolve را انجام دهد (با پینگ کردن سایت yahoo.com) در غیر اینصورت موارد را بررسی نمایید .

۲-در صورتی که مورد ۱ را بررسی نمودید و مشکل همچنان برقرار است میبایست دسترسی کاربران را قبل از لاگین شدن در هات اسپات به DNS سرور های PUBLIC و یا داخلی باز باشد برای این منظور از داخل تنظیمات میکروتیک قسمت ip سپس hotspot و سپس walled garden ip شده و گزینه + را زده و سپس dst port ۵۳ را زده و سپس ok میزنیم .

Walled.png

با اینکار دسترسی کاربران به dst port 53 قبل از لاگین در هات اسپات برقرار میشود .

سپس DNS های public , یا داخلی را برای کاربر باز میکنیم .

Walled1.png
Walled2.png


با این کار دو DNS سرور 8.8.8.8 , 217.218.155.155 برای کاربران قبل از لاگین در هات اسپات برقرار میشود در صورتی که کاربران از DNS سرور های دیگر و یا DNS سرور سازمانی شما استفاده میکنند آنها را نیز به این ترتیب اضافه نمایید .

دسترسی به یک یا گروهی از کاربران بدون لاگین شدن

در صورتی که میخواهید به یکی از کاربران یا یک رنج از کاربران اجازه دهید که بدون لاگین در هات اسپات از اینترنت (بدون هیچ محدودیتی ) استفاده نمایند میبایست ip و یا رنج آیپی آنها را در Walled garden ip list اضافه نمایید . برای این منظور داخل winbox شده و از منوی ip سپس hotspot وسپس وارد تب walled garden ip list شده سپس گزینه + را زده و sorce ip کاربر را اضافه نموده و سپس OK میکنیم .

Walledgarned-host.png

نکته : دقت کنید با این عملیات کاربر ۱۹۲.۱۶۸.۱۰۰.۱۰ بدون هیچ محدودیتی (سرعت و زمان) و بدون لاگین کردن از اینترنت استفاده میکند .

دسترسی به وب سایت خاص برای کاربران بدون لاگین شدن

در صورتی که میخواهید وب سایتی را برای دسترسی کاربران باز گذاشته تا کاربران بدون لاگین کردن بتوانند آن را باز کنند میبایست ابتدا وارد winbox شده سپس از منوی ip سپس hotspot وسپس وارد تب walled garden شده سپس گزینه + را زده اضافه نموده و سپس OK میکنیم .

Walledgarned-host.png


تعرایف مهم

idle time out

مدت زمانی که کاربر به هات اسپات متصل است ولی فعالیتی در خصوص ارسال و دریافت نداره ، با تنظیم کردن این مورد در صورتی که کاربر در مدت زمان مشخص شده استفاده ای نداشته باشد قطع شده و میبایست مجدد یوزر و پسورد وارد کند ‌

Keep Alivetime Out

مدت زمانی که در این بخش تعیین میشه به زمانی گفته میشه که یوزر در پوشش وایرلس نیست و از محدوده خارج شده است این به روتر میگه چقدر از آخرین لحظه ای که دیگه کاربر رو ندیدی تو لیست اکتیو نگهش دار بعد اون تایم اگه کاربر برگشت ازش یوزر نیم و پسورد میخواد و میبایست مجدد لاگین کند .

Session Timeout

مدت زمان اتصال کاربر بر حسب ثانیه محدود می شود. عددی که بر حسب ثانیه در این قسمت تنظیم می گردد نشان دهنده این است که کاربر بعد از این مدت که Online باشد. اتصال آن قطع خواهد شد. موارد را میتوانید همانند نمونه در زیر کانفیگ نمایید .


Tarifat.png

مشکل Maximum check online fails reached

این مشکل در برخی موارد سبب یکسان نبودن تعداد کاربران آنلاین در میکروتیک و IBSng نیز میگردد . این مورد به دلیل یکسان نبودن intermupdate سمت میکروتیک و سمت سرور IBSng است . این مورد باعث میشود کاربران با kill_reason : Maximum check online fails reached قطع شوند . به عکس زیر که در connection log کاربر گرفته شده است توجه نمایید .

Check-online-failed.png

برای برطرف شدن این مشکل داخل تنظیمات میکروتیک موارد زیر را دنبال کنید

Interm.png


پیرو تنظیمات در میکروتیک مقدار intermupdate را بر روی یک دقیقه تنظیم نمودیم که این مقدار نیز میبایست مظابق شکل در IBSng نیز تنظیم شود .

برای این منظور داخل وب IBSng از قسمت Setting سپس Ras و Ras list شده مطابق شکل زیر میشویم

Ras's Menu.jpg

و سپس از صفحه باز شده

Radius-list.png

بر روی View کلیک کرده و پیرو پرینت اسکرین تغییرات update_accounting_interval را برابر ۱ قرار میدهیم .(Defalt این فیلد برابر با ۱ است )

0019.png

مشکل عدم کارکرد صحیح ویژگی مالتی لاگین

ویژگی مالتی لاگین : تعداد اتصالات همزمان کاربر در این قسمت مشخص می شود. به عبارت دیگر با انتخاب و تنظیم این گزینه مشخص می کنیم که با هر Username چند نفر بطور همزمان، اجازهُ اتصال دارند. که در سرور IBSng اینگونه تعریف میشود .

داخل وب اینترفیس IBSng شده و سپس وارد منوی USER شده و سپس باوارد کردن Username یا Userid وارد پنل کاربر میشویم . و سپس پیرو پرینت اسکرین کاربر را با ۳ instance مالتی لاگین مینماییم .

001919.png


سپس برای اینکه این تنظیمات برای کاربران هات اسپات نیز اعمال شود وارد تنظیمات میکروتیک شده و تنظیمات را اینگونه انجام دهید .

Unlimited.png

در اینجا عدد ۱۰۰ قرار داده شده است که این عدد در حالت حداکثر مالتی لاگین برای کاربران است و تعداد مالتی لاگین کاربران از تنظیمات IBSng که در بالا شرح داده شد پیروی میکند (این عدد در میکروتیک برابر ۱ است و میبایست برای فعال سازی مالتی لاگین این عدد را افزایش داد)

درست نشان ندادن error بعد از لاگین نشدن کاربر

برخی موارد این مشکل وجود دارد که کاربرانی که نمیتوانند اتصال داشته باشند نمیتوانند Error درستی به ظور مثال اتمام Credit یا اشتباه وارد کردن یوزر و پسورد را دریافت نمایند در این مواقع error بصورت کاملا نامفهمو نمایش داده میشود برای برظرف شدن این مشکل داخل تنظیمات میکروتیک اینگونه عمل مینماییم .

Nasporttype1.png

بعد از اعمال تغییرات مشاهده میشود که error ها به درستی نمایش داده میشوند .


Assign کردن Valid IP به کاربران هات اسپات

تخصیص Ip Valid از طریق Dynamic Ip Pool به دو روش امکان پذیر می باشد.

تعریف pool سمت (IBSng(AAA

تعریف Pool سمت (Ras(Mikrotik کاربر بعد از اتصال به شبکه از رنج Private آی پی دریافت می نماید.در زمان لاگین روی سرویس Hotspot این امکان وجود دارد که به کاربر Valid Ip اختصاص داده شود.

نمای کلی از این سرویس به شرح ذیل می باشد.


برای این منظور ابتدا یک ip pool داخل میکروتیک ایجاد میکنیم :


Pool1.png


سپس داخل تنظیمات هات اسپات ip pool مربوطه را وارد میکنیم :


Hotspot.png


حال برای اینکه کاربران هات اسپات بعد از دریافت این آیپی دسترسی به اینترنت داشته باشند نیاز است تا آیپی گرفته شده توسط کاربر به اینترفیس هات اسپات Route شود . برای اینکه این کار به صورت Static (دستی) انجام ندهیم از اسکریپت زیر در میکروتیک استفاده کرده تا به محض لاگین کاربر Route به صورت Dynamic ایجاد شود و بعد از Logout شدن کاربر اتومایک حذف شود .


 /ip hotspot user profile
set [ find default=yes ] idle-timeout=30m on-login=\
   ":ip route add dst-address=\$address gateway=ether4;\r\
   \n:log info \"add user route completed\";\r\
   \n" on-logout=":local userip;\r\
   \n:set userip \"\$address/32\";\r\
   \n:ip route remove numbers=[/ip route find dst-address=\$userip gateway=ether4];\r\
   \n:log info \"remove user route completed\";" shared-users=10


دقت شود که در تنظیمات بالا , هات اسپات در ether4 فعال شده است و شما می بایست اسکریپت را مطابق با کارت شبکه فعال شده در هات اسپات خود وارد تمایید .

در آخر برای اطمینان از تنظیمات انجام شده به این مسیر بروید :


Script.png


مشکل در KICK کردن کاربر از روی IBSng

در قسمت پنل کاربر با کلیک بر روی kick باید بتوان کاربر مورد نظر را kick(دیسکانکت) کرد .

Kickibs.png

در صورت مشکل و KICK نشدن کاربران در پنل IBSng مراحل زیر را دنبال کنید .

از قسمت : Setting → Ras → Ras List → Ras Attributes

Kickattr.png

در قسمت attribute های میکروتیک mikrotik_disconnect_port میبایست بر روی ۱۷۰۰ ست شده باشد . در مرحله بعد داخل تنظیمات میکروتیک با استفاده از WINBOX شده و تنظیمات زیر را انجام دهید .

Mikrotikkick.png
نکته مهم : در صورتی که بین IBSng و میکروتیک از Firewall استفاده میکنید میبایست پورت ۱۷۰۰ در ظول این مسیر باز باشد .

ابزارهای شخصی

گویش‌ها
فضاهای نام
عملکردها
گشتن
جعبه‌ابزار