راه اندازی سرویس Hotspot

از ویکی پارس پویش
(تفاوت بین نسخه‌ها)
پرش به: ناوبری, جستجو
(صفحه‌ای جدید حاوی ' Category:IBSng <font face ="Tahoma"> __TOC__ <div dir=rtl lang=fa> == سرویس هات اسپات == هات اسپات در میکر...' ایجاد کرد)
 
 
(۲۳ ویرایش میانی توسط یک کاربر نشان داده نشده‌است)
سطر ۵: سطر ۵:
  
 
<div dir=rtl lang=fa>
 
<div dir=rtl lang=fa>
== سرویس هات اسپات ==
+
== مقدمه ==
 
+
 
هات اسپات در میکروتیک  چیست ؟
 
هات اسپات در میکروتیک  چیست ؟
  
سطر ۱۷: سطر ۱۷:
 
همچنین این سرویس قابلیت اتصال به سرور AAA را داراست و میتواند کاربران را که در سرور AAA وجود دارند را بر روی این سرویس لاگین کند .
 
همچنین این سرویس قابلیت اتصال به سرور AAA را داراست و میتواند کاربران را که در سرور AAA وجود دارند را بر روی این سرویس لاگین کند .
  
== توپولوژی های استاندارد شرکت پارس پویش  برای راه اندازی سرویس هات اسپات ==
+
== توپولوژی های استاندارد  ==
 +
 
 +
توپولوژی های استاندارد شرکت پارس پویش  برای راه اندازی سرویس هات اسپات :
  
 
'''راه کار شماره ۱ :'''  
 
'''راه کار شماره ۱ :'''  
سطر ۲۵: سطر ۲۷:
 
در هات اسپات لایه دو میکروتیک با کلاینت ها داخل یک سابنت است .
 
در هات اسپات لایه دو میکروتیک با کلاینت ها داخل یک سابنت است .
 
<div dir=rtl lang=fa>
 
<div dir=rtl lang=fa>
[[Image:A.png|center]]
+
[[Image:Hotspot-layer2.png|center]]
  
 
<div dir=rtl lang=fa>
 
<div dir=rtl lang=fa>
سطر ۳۱: سطر ۳۳:
 
دقت شود در صورتی اینترفیس میکروتیک که در آن هات اسپات فعال میگردد با Server Farm داخل یک سابنت باشند هات اسپات باعث اختلالاتی در عملکرد سرور ها میشود که این روش توصیه نمی شود .
 
دقت شود در صورتی اینترفیس میکروتیک که در آن هات اسپات فعال میگردد با Server Farm داخل یک سابنت باشند هات اسپات باعث اختلالاتی در عملکرد سرور ها میشود که این روش توصیه نمی شود .
  
 +
'''راه کار شماره 2 :'''
 
در هات اسپات لایه سه که توصیه پارس پویش به استفاده از این نوع راه حل است یک دیوایس لایه سه (روتر یا سوییچ لایه سه) سابنت کاربران و اینترفیس هات اسپات را جدا میکند .
 
در هات اسپات لایه سه که توصیه پارس پویش به استفاده از این نوع راه حل است یک دیوایس لایه سه (روتر یا سوییچ لایه سه) سابنت کاربران و اینترفیس هات اسپات را جدا میکند .
 
<div dir=rtl lang=fa>
 
<div dir=rtl lang=fa>
[[Image:B.png|center]]
+
[[Image:Hotspot-layer3.png|center]]
  
 
<div dir=rtl lang=fa>
 
<div dir=rtl lang=fa>
 
دقت شود در این مورد رنج کلاینت ها با رنج Server ها یکی نبوده و هات اسپات در عملکرد سرور ها اختلال ایجاد نمیکند .  
 
دقت شود در این مورد رنج کلاینت ها با رنج Server ها یکی نبوده و هات اسپات در عملکرد سرور ها اختلال ایجاد نمیکند .  
  
'''راه حل شماره ۲''' :
+
نکته : به دلایلی که در بالا ذکر شد و همچنین اتکای ادمین شبکه به تیم پارس پویش برای کوچکترین تغییر در شبکه به هیچ وجه توصیه نمی گردد که سرور IBSng در مسیر ترافیک کاربران قرار گیرد .
حالتی است که سرور IBSng در مسیر ترافیک کاربران قرار دارد (وقتی کاربر traceroute به سمت اینترنت را میگیرد آیپی سرور IBSng را می بیند).
+
== کانفیگ و فعالسازی ==
نکته : به دلیل اینکه سرور IBSng در مسیر ترافیک قرار دارد در صورت اختلال در سرور یا قطع شدن سرور ، خاموش شدن سرور و مسایلی از این قبیل شبکه کلا قطع میگردد . برای همین منظور توصیه نمیشود که سرور IBSng در مسیر ترافیک قرار داده شود و راه حل اول نسبت به  راه حل دوم بسیار بهتر است .
+
این روش نیز به دو صورت انجام میشود .
+
 
+
روش اول که سرور IBSng در جلوی شبکه  و سپس میکروتیک هات اسپات وجود دارد .
+
<div dir=rtl lang=fa>
+
[[Image:C.png|center]]
+
روش دوم که سرور میکروتیک در جلوی شبکه  و سپس سرور IBSng  قرار دارند .
+
[[Image:D.png|center]]
+
 
+
در این روش حتما میبایست از روتر لبه ای استفاده نمود به دلیل اینکه نمیخواهیم سرور IBSng در لبه شبکه ما قرار گیرد .
+
نکته :‌قرار گرفتن سرور IBSng در لبه شبکه (به دلیل پیچیده بودن و ناآگاهی اکثر افراد از فایروال لینوکس) موجب امنیت پایین شبکه شما میگردد .
+
 
+
نکته : به دلیلایلی که در بالا ذکر شد و همچنین اتکای ادمین شبکه به تیم پارس پویش برای کوچکترین تغییر در شبکه به هیچ وجه توصیه نمی گردد که سرور IBSng در مسیر ترافیک کاربران قرار گیرد .
+
== کانفیگ و فعالسازی سرویس هات اسپات ==
+
 
<div dir=rtl lang=fa>
 
<div dir=rtl lang=fa>
 
برای درک بهتر و راحت تر راه اندازی و کانفیگ این سرویس فعالسازی را همراه با یک مثال واقعی مطرح میکنیم .
 
برای درک بهتر و راحت تر راه اندازی و کانفیگ این سرویس فعالسازی را همراه با یک مثال واقعی مطرح میکنیم .
 
تصور کنید که ما میخواهیم سرویس هات اسپات را در شبکه مان بطوری که در راه حل ۱ در شکل بالا مطرح شد پیاده سازی کنیم (شکل زیر)
 
تصور کنید که ما میخواهیم سرویس هات اسپات را در شبکه مان بطوری که در راه حل ۱ در شکل بالا مطرح شد پیاده سازی کنیم (شکل زیر)
  
[[Image:Example.png|center]]
+
[[Image:Hotspot-example1.png|center]]
 
در ابتدا نیاز است که بر روی دو کارت شبکه میکروتیک آیپی ست نماییم  
 
در ابتدا نیاز است که بر روی دو کارت شبکه میکروتیک آیپی ست نماییم  
 
ست کردن آیپی در کارت شبکه اول
 
ست کردن آیپی در کارت شبکه اول
سطر ۶۶: سطر ۵۵:
  
 
[[Image:Set-ip-1.png|center]]
 
[[Image:Set-ip-1.png|center]]
 +
 +
و در مرحله بعد ست کردن آیپی میکروتیک به سمت سرور اکانتینگ (IBSng)
 +
[[Image:Set-ip-3.png|center]]
 +
 +
  
 
مرحله بعد ست کردن Default Gateway برای میکروتیک است .
 
مرحله بعد ست کردن Default Gateway برای میکروتیک است .
سطر ۸۱: سطر ۷۵:
  
 
برای انجام تنظیمات HotSpot، از قسمت IP گزینه Hotspot را انتخاب کرده و در تب Servers بر روی کلید Hotspot Setup کلیک نمایید.حال سرویس هات اسپات را در اینترفیس ether1 فعال میکنیم .
 
برای انجام تنظیمات HotSpot، از قسمت IP گزینه Hotspot را انتخاب کرده و در تب Servers بر روی کلید Hotspot Setup کلیک نمایید.حال سرویس هات اسپات را در اینترفیس ether1 فعال میکنیم .
 +
 +
[[Image:Hotspot-setup.png|center]]
 +
 +
در ابتدا لازم است اینترفیسی که می‌خواهید سرویس هات اسپات برروی آن راه‌اندازی شود را انتخاب کنید. لازم است از صحت منطبق بودن IP نمایش داده شده با ether انتخاب شده، مطمئن شوید .
 +
 +
[[Image:Hotspot1.png|center]]
 +
 +
در این مرحله رنج IP آدرس‌های اینترفیسی که در مرحله قبل انتخاب شده بود، نمایش داده می‌شود. گزینه‌ی Masquerade Network به صورت پیش فرض فعال است می‌بایست چک مارک گزینه Masquerade Network را غیر فعال کنید و برروی کلید Next کلیک کنید.
 +
 +
[[Image:Hotspot2.png|center]]
 +
 +
در این قسمت برای کاربرانی که می خواهند به شبکه‌ی هات اسپات متصل شوند محدوده‌ی IP تعریف می‌کنیم؛ که به صورت پیش فرض مقادیری را در نظر گرفته میشود که آنها را تغییر نداده و بر روی Next کلیک کنید .
 +
 +
[[Image:Hotspot3.png|center]]
 +
 +
در این مرحله شما می توانید یک گواهی SSL را در صورت نیاز فعال کنید. (Secure Sockets Layer پرتكلی است كه به وسيله Netscape برای انتقال پرونده‌های خصوصی روی اينترنت به وجود آمده است. بسیاری از سايت‌ها از اين پروتكل استفاده مي‌كنند تا از اطلاعات محرمانه كاربران مانند اطلاعات كارت اعتباري محافظت كنند. SSL ارتباط مطمئنی بين يک كاربر و سرور ايجاد مي‌كند.) با استفاده از SSL تمامی مراحل لاگین کاربر، از احراز هویت در شبکه‌ی هات اسپات تا استفاده از سایت‌های مختلف در اینترنت با استفاده از پروتکل https صورت می‌گیرد ، در صورتی که گواهی SSL ندارید بر روی none قرار داده و برروی  گزینه NEXT کلیک نمایید .
 +
 +
[[Image:Hotspot4.png|center]]
 +
 +
اگر در شبکه‌ی خود  ایمیل سرور داشته باشید، می‌توانید IP میل سرور خود را دراین قسمت مشخص کنید. در صورتی که شما ایمیل سرور ندارید برروی کلید Next کلیک کنید.
 +
 +
[[Image:Hotspot5.png|center]]
 +
 +
 +
در این مرحله IP آدرس DNS Server هایی که لازم است به client های hotspot اختصاص داده شود را مشخص کنید.
 +
 +
[[Image:Hotspot6.png|center]]
 +
 +
در این مرحله یک نام دلخواه با فرمت FQDN (به صورت اسم.اسم) که مشخصه نام سرور هات اسپات شما است را مشخص کنید. توجه داشته باشید که این نام دامنه نباید قبلا برروی دامین سرورها یا هاست‌های اینترنتی تعریف شده باشد.
 +
در اینجا نام mikrotikhotspot.local را در نظر گرفته ایم. پس از اتمام مراحل نصب هات اسپات با مشخص کردن این نام در address bar مرورگر صفحه لاگین هات اسپات نمایش داده می‌شود.
 +
 +
[[Image:Hotspot7.png|center]]
 +
 +
در این قسمت نام کاربری و رمز عبوری که به admin هات اسپات اختصاص داده می شود را مشخص می‌کنیم. به صورت پیش فرض نام کاربری، admin و رمز blank (بدون رمز عبور) تعریف شده است. می‌توانید این نام کاربری و رمز عبور را به صورت دلخواه تغییر دهید.
 +
نکته : دقت کنید که این نام کاربری به صورت Local در میکروتیک است و ربطی به Username های تعریف شده در سرور IBSng ندارد .
 +
 +
[[Image:Hotspot8.png|center]]
 +
 +
بعد از زدن گزینه NEXT تنظیمات انجام شده و پیغامی نیز نمایش داده میشود .
 +
 +
[[Image:Hotspot9.png|center]]
 +
 +
حالا بروزر را باز کرده و سایتی را میزنیم میبینیم که با زدن هر سایتی صفحه هات اسپات باز میشود که از ما یوزر و پسورد ورود میخواهد .
 +
 +
[[Image:Hotspot10.png|center]]
 +
 +
== تعریف کردن RADIUS  ==
 +
 +
بعد از config هات اسپات برای اینکه نیازی نباشد که کاربران را در میکروتیک تعریف نمایید میبایست هات اسپات میکروتیک را به یک ردیوس متصل کرده تا کاربران از ردیوس خوانده شوند در اینجا ردیوس ما IBSng میباشد .برای این منظور مراحل زیر را دنبال کنید .
 +
 +
برای این منظور داخل winbox شده و از منوی ip سپس hotspot وسپس وارد تب server profile شده و بر روی پروفایل مورد نظر کلیک کنید . وارد قسمت Radius شدن و گزینه Use Radius را فعال نمایید . سپس تیک Accounting را زده و interm Update را برابر با ۱ دقیقه قرار دهید .
 +
 +
[[Image:Radiushotprofile.png|center]]
 +
 +
حالا در تب لاگین کلیک نموده و سپس login-by را در حالت http-pap قرار میدهیم ، حال اگر میخواهیم که یوزر و پسورد را یک مرتبه از کاربر خواسته و دفعه بعد یوزر و پسورد کاربر Save شده باشد و نیازی به وارد کردن یوزر وپسورد توسط کاربر نباشد تیک Cookie را فعال نمایید . در غیر اینصورت غیر فعال باشد .
 +
 +
[[Image:Loginby.png|center]]
 +
 +
با تنظیمات بالا Hostspot به یک ردیوس متصل می گردد حال میبایست یک ردیوس در میکروتیک تعریف نمود برای این منظور مراحل زیر را دنیاب کنید .
 +
 +
برای این منظور داخل winbox شده و از منوی Radius را انتخاب کرده و بر روی + کلیک میکنیم از تب General و از قسمت Service گزینه Hotspotرا انتخاب و تیک میزنیم
 +
(در صورتی که از VPN در این راس نیز استفاده میکنید تیک PPP را نیز فعال نمایید ) . سپس از قسمت Address آدرس سرور ردیوس (IBSng) را وارد نمایید سپس برایاین منظور یک Secret دلخواه انتخاب نمایید (اینجانب رمز عبور secret را انتخاب کردم) سپس پورت های ۱۸۱۲ برای authentication و پورت ۱۸۱۳ برای accounting قرار میدهیم و Time Out را برابر با ۳۰۰۰ میلی ثانیه قرار میدهیم .
 +
 +
[[Image:Radius1.png|center]]
 +
 +
حال نیاز است در سمت IBSng یک راس تعریف نماییم .
 +
 +
'''اضافه کردن RAS جديد در IBSng :
 +
وارد صفحه IBSng شده و از قسمت Setting و سپس Rad و Add new Ras را انتخاب میکنیم .
 +
 +
[[Image:Ras's Menu.jpg|center]]
 +
 +
سپس از صفحه باز شده ابتدا آیپی راس میکروتیک سپس یک شرح برای راس قرار میدهیم (شرح اتخاب شده دلخواه میباشد) سپس نوع ras را که mikrotik است انتخاب میکنیم سپس یک ردیوس secret که ما در اینجا secret را به عنوان رمز همان طور که در تنظیمات میکروتیک کانفیگ شد قرار میدهیم و سپس OK را میزنیم .
 +
 +
[[Image:Addras.png|center]]
 +
 +
== مشکل در باز شدن صفحه لاگین  ==
 +
 +
۱- در ابتدا مطمئن شوید میکروتیک اینترنت دارد .
 +
 +
[[Image:Hotspot11.png|center]]
 +
 +
و نیز میتواند عمل Resolve را انجام دهد (با پینگ کردن سایت yahoo.com) در غیر اینصورت موارد را بررسی نمایید .
 +
 +
۲-در صورتی که مورد ۱ را بررسی نمودید و مشکل همچنان برقرار است میبایست دسترسی کاربران را قبل از لاگین شدن در هات اسپات به DNS سرور های PUBLIC و یا داخلی باز باشد برای این منظور از داخل تنظیمات میکروتیک قسمت ip سپس hotspot و سپس walled garden ip شده و گزینه + را زده و سپس dst port ۵۳ را زده و سپس ok میزنیم .
 +
 +
[[Image:Walled.png|center]]
 +
 +
با اینکار دسترسی کاربران به dst port 53 قبل از لاگین در هات اسپات برقرار میشود .
 +
 +
سپس DNS های public , یا داخلی را برای کاربر باز میکنیم .
 +
 +
[[Image:Walled1.png|center]]
 +
 +
[[Image:Walled2.png|center]]
 +
 +
 +
با این کار دو DNS سرور 8.8.8.8 , 217.218.155.155 برای کاربران قبل از لاگین در هات اسپات برقرار میشود در صورتی که کاربران از DNS سرور های دیگر و یا DNS سرور سازمانی شما استفاده میکنند آنها را نیز به این ترتیب اضافه نمایید .
 +
 +
== دسترسی به یک یا گروهی از کاربران بدون لاگین شدن ==
 +
 +
در صورتی که میخواهید به یکی از کاربران یا یک رنج از کاربران اجازه دهید که بدون لاگین در هات اسپات از اینترنت (بدون هیچ محدودیتی ) استفاده نمایند میبایست ip و یا رنج آیپی آنها را در Walled garden ip list اضافه نمایید .
 +
برای این منظور داخل winbox شده و از منوی ip سپس hotspot وسپس وارد تب  walled garden ip list شده سپس گزینه + را زده و sorce ip کاربر را اضافه نموده و سپس OK میکنیم .
 +
 +
[[Image:Walledgarned-host.png|center]]
 +
 +
نکته : دقت کنید با این عملیات کاربر ۱۹۲.۱۶۸.۱۰۰.۱۰ بدون هیچ محدودیتی (سرعت و زمان) و بدون لاگین کردن از اینترنت استفاده میکند .
 +
 +
== دسترسی به وب سایت خاص برای کاربران بدون لاگین شدن ==
 +
 +
در صورتی که میخواهید وب سایتی  را برای دسترسی کاربران باز گذاشته تا کاربران بدون لاگین کردن بتوانند آن را باز کنند میبایست ابتدا وارد winbox شده سپس از منوی ip سپس hotspot وسپس وارد تب  walled garden شده سپس گزینه + را زده اضافه نموده و سپس OK میکنیم .
 +
 +
[[Image:Walledgarned-host.png|center]]
 +
 +
 +
== تعرایف مهم  ==
 +
 +
'''idle time out
 +
''' 
 +
 +
مدت زمانی که کاربر به هات اسپات متصل است  ولی فعالیتی در خصوص ارسال و دریافت نداره ، با تنظیم کردن این مورد در صورتی که کاربر در مدت زمان مشخص شده استفاده ای نداشته باشد قطع شده و میبایست مجدد یوزر و پسورد وارد کند
 +
 +
 +
'''Keep Alivetime Out
 +
'''
 +
 +
مدت زمانی که در این بخش تعیین میشه به زمانی گفته میشه که یوزر در پوشش وایرلس نیست و از محدوده خارج شده است این به روتر میگه چقدر از آخرین لحظه ای که دیگه کاربر رو ندیدی تو لیست اکتیو نگهش دار بعد اون تایم اگه کاربر برگشت ازش یوزر نیم و پسورد میخواد و میبایست مجدد لاگین کند .
 +
 +
'''Session Timeout
 +
'''
 +
 +
مدت زمان اتصال کاربر بر حسب ثانیه محدود می شود. عددی که بر حسب ثانیه در این قسمت تنظیم می گردد نشان دهنده این است که کاربر بعد از این مدت که Online باشد. اتصال آن قطع خواهد شد.
 +
موارد را میتوانید همانند نمونه در زیر کانفیگ نمایید .
 +
 +
 +
[[Image:Tarifat.png|center]]
 +
 +
== مشکل Maximum check online fails reached ==
 +
این مشکل در برخی موارد سبب یکسان نبودن تعداد کاربران آنلاین در میکروتیک و IBSng نیز میگردد .
 +
این مورد به دلیل یکسان نبودن intermupdate سمت میکروتیک و سمت سرور IBSng است . این مورد باعث میشود کاربران با kill_reason : Maximum check online fails reached قطع شوند . به عکس زیر که در connection log کاربر گرفته شده است توجه نمایید .
 +
 +
[[Image:Check-online-failed.png|center]]
 +
 +
برای برطرف شدن این مشکل داخل تنظیمات میکروتیک موارد زیر را دنبال کنید
 +
[[Image:Interm.png|center]]
 +
 +
 +
 +
پیرو تنظیمات در میکروتیک مقدار intermupdate را بر روی یک دقیقه تنظیم نمودیم که این مقدار نیز میبایست مظابق شکل در IBSng نیز تنظیم شود .
 +
 +
<div dir=rtl lang=fa>
 +
 +
برای این منظور داخل وب IBSng از قسمت Setting سپس Ras و Ras list شده مطابق شکل زیر میشویم
 +
 +
[[Image:Ras's Menu.jpg|center]]
 +
و سپس از صفحه باز شده
 +
 +
[[Image:Radius-list.png|center]]
 +
 +
بر روی View کلیک کرده و پیرو پرینت اسکرین تغییرات update_accounting_interval را برابر ۱ قرار میدهیم .(Defalt این فیلد برابر با ۱ است )
 +
[[Image:0019.png|center]]
 +
 +
== مشکل عدم کارکرد صحیح ویژگی مالتی لاگین ==
 +
ویژگی مالتی لاگین : تعداد اتصالات همزمان کاربر در این قسمت مشخص می شود. به عبارت دیگر با انتخاب و تنظیم این گزینه مشخص می کنیم که با هر Username چند نفر بطور همزمان، اجازهُ اتصال دارند.
 +
که در سرور IBSng اینگونه تعریف میشود .
 +
 +
داخل وب اینترفیس IBSng شده و سپس وارد منوی USER شده و سپس باوارد کردن Username یا Userid وارد پنل کاربر میشویم .
 +
و سپس پیرو پرینت اسکرین کاربر را با ۳ instance مالتی لاگین مینماییم .
 +
 +
[[Image:001919.png|center]]
 +
 +
 +
سپس برای اینکه این تنظیمات برای کاربران هات اسپات نیز اعمال شود  وارد تنظیمات میکروتیک شده و تنظیمات را اینگونه انجام دهید .
 +
[[Image:Unlimited.png|center]]
 +
 +
در اینجا عدد ۱۰۰ قرار داده شده است که این عدد در حالت حداکثر مالتی لاگین برای کاربران است و تعداد مالتی لاگین کاربران از تنظیمات IBSng که در بالا شرح داده شد پیروی میکند (این عدد در میکروتیک برابر ۱ است و میبایست برای فعال سازی مالتی لاگین این عدد را افزایش داد)
 +
 +
== درست نشان ندادن error بعد از لاگین نشدن کاربر ==
 +
برخی موارد این مشکل وجود دارد که کاربرانی که نمیتوانند اتصال داشته باشند نمیتوانند Error درستی به ظور مثال اتمام Credit یا اشتباه وارد کردن یوزر و پسورد را دریافت نمایند در این مواقع error بصورت کاملا نامفهمو نمایش داده میشود برای برظرف شدن این مشکل داخل تنظیمات میکروتیک اینگونه عمل مینماییم .
 +
 +
[[Image:Nasporttype1.png|center]]
 +
 +
بعد از اعمال تغییرات مشاهده میشود که error ها به درستی نمایش داده میشوند .
 +
 +
 +
<div dir=rtl lang=fa>
 +
== Assign کردن Valid IP  به کاربران هات اسپات ==
 +
<div dir=ltr>
 +
<div dir=rtl lang=fa>
 +
 +
تخصیص Ip Valid از طریق Dynamic Ip Pool به دو روش امکان پذیر می باشد.
 +
 +
'''تعریف pool سمت (IBSng(AAA
 +
'''
 +
 +
'''تعریف Pool سمت (Ras(Mikrotik
 +
'''
 +
کاربر بعد از اتصال به شبکه از رنج Private آی پی  دریافت می نماید.در زمان لاگین روی سرویس Hotspot این امکان وجود دارد که به کاربر Valid Ip اختصاص داده شود.
 +
 +
نمای کلی از این سرویس به شرح ذیل می باشد.
 +
 +
 +
برای این منظور ابتدا یک ip pool داخل میکروتیک ایجاد میکنیم :
 +
 +
 +
[[Image:Pool1.png|center]]
 +
 +
<div dir=rtl lang=fa>
 +
 +
 +
سپس داخل تنظیمات هات اسپات ip pool مربوطه را وارد میکنیم :
 +
 +
 +
[[Image:Hotspot.png|center]]
 +
 +
 +
حال برای اینکه کاربران هات اسپات بعد از دریافت این آیپی دسترسی به اینترنت داشته باشند نیاز است تا آیپی گرفته شده توسط کاربر به اینترفیس هات اسپات Route شود . برای اینکه این کار به صورت Static (دستی) انجام ندهیم از اسکریپت زیر در میکروتیک استفاده کرده تا به محض لاگین کاربر Route به صورت Dynamic ایجاد شود و بعد از  Logout شدن کاربر اتومایک حذف شود .
 +
 +
 +
<div dir=ltr lang=fa>
 +
  /ip hotspot user profile
 +
set [ find default=yes ] idle-timeout=30m on-login=\
 +
    ":ip route add dst-address=\$address gateway=ether4;\r\
 +
    \n:log info \"add user route completed\";\r\
 +
    \n" on-logout=":local userip;\r\
 +
    \n:set userip \"\$address/32\";\r\
 +
    \n:ip route remove numbers=[/ip route find dst-address=\$userip gateway=ether4];\r\
 +
    \n:log info \"remove user route completed\";" shared-users=10
 +
 +
<div dir=rtl lang=fa>
 +
 +
 +
دقت شود که در تنظیمات بالا , هات اسپات در ether4 فعال شده است و شما می بایست اسکریپت را مطابق با کارت شبکه فعال شده در هات اسپات خود وارد تمایید .
 +
 +
در آخر برای اطمینان از تنظیمات انجام شده به این مسیر بروید :
 +
 +
 +
 +
[[Image:Script.png|center]]
 +
 +
 +
== مشکل در KICK کردن کاربر از روی IBSng ==
 +
در قسمت پنل کاربر با کلیک بر روی kick  باید بتوان کاربر مورد نظر را kick(دیسکانکت) کرد .
 +
 +
[[Image:Kickibs.png|center]]
 +
 +
در صورت مشکل و KICK نشدن کاربران در پنل IBSng مراحل زیر را دنبال کنید .
 +
 +
از قسمت :  Setting → Ras → Ras List → Ras Attributes
 +
[[Image:Kickattr.png|center]]
 +
در قسمت attribute های میکروتیک mikrotik_disconnect_port میبایست بر روی ۱۷۰۰ ست شده باشد .
 +
در مرحله بعد داخل تنظیمات میکروتیک با استفاده از WINBOX شده و تنظیمات زیر را انجام دهید .
 +
 +
[[Image:Mikrotikkick.png|center]]
 +
 +
نکته مهم : در  صورتی که بین IBSng و میکروتیک از Firewall استفاده میکنید میبایست پورت ۱۷۰۰ در ظول این مسیر باز باشد .

نسخهٔ کنونی تا ‏۸ آوریل ۲۰۱۷، ساعت ۱۲:۳۸

محتویات


[ویرایش] مقدمه

هات اسپات در میکروتیک چیست ؟

اصولا به ابزار مدیریت دسترسی به اینترنت در مکان های عمومی، هات اسپات می گویند. امروزه در بیشتر هتل ها ، فرودگاه ها ، رستوران ها ، و دانشگاه ها و ... دسترسی به اینترنت برای عموم ، از این سرویس استفاده میشود . هر چند با گسترش شبکه های اینترنت تلفن همراه مثل 4G/3G ، بخشی از کارکردهای هات اسپات در برخی مکان ها، توجیح اقتصادی و فنی خود را برای پیاده سازی از دست داده ، اما کماکان گزینه اول دسترسی به اینترنت در مکان ها عمومی و خصوصی است. لازم به ذکر است پیاده سازی هات اسپات به معنی فعال کردن یک شبکه بی سیم محافظت نشده ( حتی با وجود کلمه عبور ) و دادن دسترسی نامحدود به همه افراد نیست. میکروتیک ( Mikrotik ) با ارایه ابزاری منحصر به فرد در زمینه ارایه دسترسی مدیریت شده به اینترنت ، اعتبار سنجی کاربران ، تعیین سرعت لحظه ای و میانگین ، تعیین حجم ترافیک اینترنت مصرفی ، محافظت در برابر نفوذ و حملات هکرها ، تعیین مدت زمان برقراری ارتباط با شبکه ، اعمال محدودیت در دسترسی به برخی از سایت ها و سرویس ها ، ارایه گزارشات متنوع ، دسترسی مدیریت شده و سریع به منابع و اطلاعات داخلی و بسیاری از امکانات و قابلیت های دیگر ، بدون شک بهترین گزینه برای پیاده سازی هات اسپاتی امن ، سریع و پایدار می باشد. نکته کلیدی در راه اندازی هات اسپات ها به ویژه هات اسپات قدرنمند میکروتیک ، پیاده سازی دقیق ، اصولی و ایمن این سرویس می باشد. همچنین این سرویس قابلیت اتصال به سرور AAA را داراست و میتواند کاربران را که در سرور AAA وجود دارند را بر روی این سرویس لاگین کند .

[ویرایش] توپولوژی های استاندارد

توپولوژی های استاندارد شرکت پارس پویش برای راه اندازی سرویس هات اسپات :

راه کار شماره ۱ : در این راه کار سرور( AAA (IBSng در مسیر ترافیک کاربران قرار ندارد (وقتی کاربر traceroute به سمت اینترنت را میگیرد آیپی سرور IBSng را نمیبیند) این روش به دو صورت هات اسپات لایه دو و هات اسپات لایه ۳ قابل اجرا است .

در هات اسپات لایه دو میکروتیک با کلاینت ها داخل یک سابنت است .

Hotspot-layer2.png

این روش به دلیل عدم وجود سوییچ لایه ۳ در سازمان مورد نظر بوده وپیشنهاد نمی گردد . دقت شود در صورتی اینترفیس میکروتیک که در آن هات اسپات فعال میگردد با Server Farm داخل یک سابنت باشند هات اسپات باعث اختلالاتی در عملکرد سرور ها میشود که این روش توصیه نمی شود .

راه کار شماره 2 : در هات اسپات لایه سه که توصیه پارس پویش به استفاده از این نوع راه حل است یک دیوایس لایه سه (روتر یا سوییچ لایه سه) سابنت کاربران و اینترفیس هات اسپات را جدا میکند .

Hotspot-layer3.png

دقت شود در این مورد رنج کلاینت ها با رنج Server ها یکی نبوده و هات اسپات در عملکرد سرور ها اختلال ایجاد نمیکند .

نکته : به دلایلی که در بالا ذکر شد و همچنین اتکای ادمین شبکه به تیم پارس پویش برای کوچکترین تغییر در شبکه به هیچ وجه توصیه نمی گردد که سرور IBSng در مسیر ترافیک کاربران قرار گیرد .

[ویرایش] کانفیگ و فعالسازی

برای درک بهتر و راحت تر راه اندازی و کانفیگ این سرویس فعالسازی را همراه با یک مثال واقعی مطرح میکنیم . تصور کنید که ما میخواهیم سرویس هات اسپات را در شبکه مان بطوری که در راه حل ۱ در شکل بالا مطرح شد پیاده سازی کنیم (شکل زیر)

Hotspot-example1.png

در ابتدا نیاز است که بر روی دو کارت شبکه میکروتیک آیپی ست نماییم ست کردن آیپی در کارت شبکه اول

Set-ip.png

و ست کردن آیپی در کارت شبکه دوم

Set-ip-1.png

و در مرحله بعد ست کردن آیپی میکروتیک به سمت سرور اکانتینگ (IBSng)

Set-ip-3.png


مرحله بعد ست کردن Default Gateway برای میکروتیک است . با این کار روتر edge را default gateway میکروتیک قرار میدهیم . بعد از انجام اینکار و دادن دسترسی های لازمه از سمت فایر پال روتر مورد نظر میبایست ping 8.8.8.8 را داشته باشد .

Route.png

اتصال روتر به اینترنت را توسط دستور ping در new terminal بررسی کنید.

Hotspot11.png

و سپس برای اینکه میکروتیک بتواند عمل Resolve را انجام دهد در میکروتیک DNS ست میکنیم . دقت شود که حتما گزینه Allow Remote Request فعال باشد .

Dns.png

برای انجام تنظیمات HotSpot، از قسمت IP گزینه Hotspot را انتخاب کرده و در تب Servers بر روی کلید Hotspot Setup کلیک نمایید.حال سرویس هات اسپات را در اینترفیس ether1 فعال میکنیم .

Hotspot-setup.png

در ابتدا لازم است اینترفیسی که می‌خواهید سرویس هات اسپات برروی آن راه‌اندازی شود را انتخاب کنید. لازم است از صحت منطبق بودن IP نمایش داده شده با ether انتخاب شده، مطمئن شوید .

Hotspot1.png

در این مرحله رنج IP آدرس‌های اینترفیسی که در مرحله قبل انتخاب شده بود، نمایش داده می‌شود. گزینه‌ی Masquerade Network به صورت پیش فرض فعال است می‌بایست چک مارک گزینه Masquerade Network را غیر فعال کنید و برروی کلید Next کلیک کنید.

Hotspot2.png

در این قسمت برای کاربرانی که می خواهند به شبکه‌ی هات اسپات متصل شوند محدوده‌ی IP تعریف می‌کنیم؛ که به صورت پیش فرض مقادیری را در نظر گرفته میشود که آنها را تغییر نداده و بر روی Next کلیک کنید .

Hotspot3.png

در این مرحله شما می توانید یک گواهی SSL را در صورت نیاز فعال کنید. (Secure Sockets Layer پرتكلی است كه به وسيله Netscape برای انتقال پرونده‌های خصوصی روی اينترنت به وجود آمده است. بسیاری از سايت‌ها از اين پروتكل استفاده مي‌كنند تا از اطلاعات محرمانه كاربران مانند اطلاعات كارت اعتباري محافظت كنند. SSL ارتباط مطمئنی بين يک كاربر و سرور ايجاد مي‌كند.) با استفاده از SSL تمامی مراحل لاگین کاربر، از احراز هویت در شبکه‌ی هات اسپات تا استفاده از سایت‌های مختلف در اینترنت با استفاده از پروتکل https صورت می‌گیرد ، در صورتی که گواهی SSL ندارید بر روی none قرار داده و برروی گزینه NEXT کلیک نمایید .

Hotspot4.png

اگر در شبکه‌ی خود ایمیل سرور داشته باشید، می‌توانید IP میل سرور خود را دراین قسمت مشخص کنید. در صورتی که شما ایمیل سرور ندارید برروی کلید Next کلیک کنید.

Hotspot5.png


در این مرحله IP آدرس DNS Server هایی که لازم است به client های hotspot اختصاص داده شود را مشخص کنید.

Hotspot6.png

در این مرحله یک نام دلخواه با فرمت FQDN (به صورت اسم.اسم) که مشخصه نام سرور هات اسپات شما است را مشخص کنید. توجه داشته باشید که این نام دامنه نباید قبلا برروی دامین سرورها یا هاست‌های اینترنتی تعریف شده باشد. در اینجا نام mikrotikhotspot.local را در نظر گرفته ایم. پس از اتمام مراحل نصب هات اسپات با مشخص کردن این نام در address bar مرورگر صفحه لاگین هات اسپات نمایش داده می‌شود.

Hotspot7.png

در این قسمت نام کاربری و رمز عبوری که به admin هات اسپات اختصاص داده می شود را مشخص می‌کنیم. به صورت پیش فرض نام کاربری، admin و رمز blank (بدون رمز عبور) تعریف شده است. می‌توانید این نام کاربری و رمز عبور را به صورت دلخواه تغییر دهید. نکته : دقت کنید که این نام کاربری به صورت Local در میکروتیک است و ربطی به Username های تعریف شده در سرور IBSng ندارد .

Hotspot8.png

بعد از زدن گزینه NEXT تنظیمات انجام شده و پیغامی نیز نمایش داده میشود .

Hotspot9.png

حالا بروزر را باز کرده و سایتی را میزنیم میبینیم که با زدن هر سایتی صفحه هات اسپات باز میشود که از ما یوزر و پسورد ورود میخواهد .

Hotspot10.png

[ویرایش] تعریف کردن RADIUS

بعد از config هات اسپات برای اینکه نیازی نباشد که کاربران را در میکروتیک تعریف نمایید میبایست هات اسپات میکروتیک را به یک ردیوس متصل کرده تا کاربران از ردیوس خوانده شوند در اینجا ردیوس ما IBSng میباشد .برای این منظور مراحل زیر را دنبال کنید .

برای این منظور داخل winbox شده و از منوی ip سپس hotspot وسپس وارد تب server profile شده و بر روی پروفایل مورد نظر کلیک کنید . وارد قسمت Radius شدن و گزینه Use Radius را فعال نمایید . سپس تیک Accounting را زده و interm Update را برابر با ۱ دقیقه قرار دهید .

Radiushotprofile.png

حالا در تب لاگین کلیک نموده و سپس login-by را در حالت http-pap قرار میدهیم ، حال اگر میخواهیم که یوزر و پسورد را یک مرتبه از کاربر خواسته و دفعه بعد یوزر و پسورد کاربر Save شده باشد و نیازی به وارد کردن یوزر وپسورد توسط کاربر نباشد تیک Cookie را فعال نمایید . در غیر اینصورت غیر فعال باشد .

Loginby.png

با تنظیمات بالا Hostspot به یک ردیوس متصل می گردد حال میبایست یک ردیوس در میکروتیک تعریف نمود برای این منظور مراحل زیر را دنیاب کنید .

برای این منظور داخل winbox شده و از منوی Radius را انتخاب کرده و بر روی + کلیک میکنیم از تب General و از قسمت Service گزینه Hotspotرا انتخاب و تیک میزنیم (در صورتی که از VPN در این راس نیز استفاده میکنید تیک PPP را نیز فعال نمایید ) . سپس از قسمت Address آدرس سرور ردیوس (IBSng) را وارد نمایید سپس برایاین منظور یک Secret دلخواه انتخاب نمایید (اینجانب رمز عبور secret را انتخاب کردم) سپس پورت های ۱۸۱۲ برای authentication و پورت ۱۸۱۳ برای accounting قرار میدهیم و Time Out را برابر با ۳۰۰۰ میلی ثانیه قرار میدهیم .

Radius1.png

حال نیاز است در سمت IBSng یک راس تعریف نماییم .

اضافه کردن RAS جديد در IBSng : وارد صفحه IBSng شده و از قسمت Setting و سپس Rad و Add new Ras را انتخاب میکنیم .

Ras's Menu.jpg

سپس از صفحه باز شده ابتدا آیپی راس میکروتیک سپس یک شرح برای راس قرار میدهیم (شرح اتخاب شده دلخواه میباشد) سپس نوع ras را که mikrotik است انتخاب میکنیم سپس یک ردیوس secret که ما در اینجا secret را به عنوان رمز همان طور که در تنظیمات میکروتیک کانفیگ شد قرار میدهیم و سپس OK را میزنیم .

Addras.png

[ویرایش] مشکل در باز شدن صفحه لاگین

۱- در ابتدا مطمئن شوید میکروتیک اینترنت دارد .

Hotspot11.png

و نیز میتواند عمل Resolve را انجام دهد (با پینگ کردن سایت yahoo.com) در غیر اینصورت موارد را بررسی نمایید .

۲-در صورتی که مورد ۱ را بررسی نمودید و مشکل همچنان برقرار است میبایست دسترسی کاربران را قبل از لاگین شدن در هات اسپات به DNS سرور های PUBLIC و یا داخلی باز باشد برای این منظور از داخل تنظیمات میکروتیک قسمت ip سپس hotspot و سپس walled garden ip شده و گزینه + را زده و سپس dst port ۵۳ را زده و سپس ok میزنیم .

Walled.png

با اینکار دسترسی کاربران به dst port 53 قبل از لاگین در هات اسپات برقرار میشود .

سپس DNS های public , یا داخلی را برای کاربر باز میکنیم .

Walled1.png
Walled2.png


با این کار دو DNS سرور 8.8.8.8 , 217.218.155.155 برای کاربران قبل از لاگین در هات اسپات برقرار میشود در صورتی که کاربران از DNS سرور های دیگر و یا DNS سرور سازمانی شما استفاده میکنند آنها را نیز به این ترتیب اضافه نمایید .

[ویرایش] دسترسی به یک یا گروهی از کاربران بدون لاگین شدن

در صورتی که میخواهید به یکی از کاربران یا یک رنج از کاربران اجازه دهید که بدون لاگین در هات اسپات از اینترنت (بدون هیچ محدودیتی ) استفاده نمایند میبایست ip و یا رنج آیپی آنها را در Walled garden ip list اضافه نمایید . برای این منظور داخل winbox شده و از منوی ip سپس hotspot وسپس وارد تب walled garden ip list شده سپس گزینه + را زده و sorce ip کاربر را اضافه نموده و سپس OK میکنیم .

Walledgarned-host.png

نکته : دقت کنید با این عملیات کاربر ۱۹۲.۱۶۸.۱۰۰.۱۰ بدون هیچ محدودیتی (سرعت و زمان) و بدون لاگین کردن از اینترنت استفاده میکند .

[ویرایش] دسترسی به وب سایت خاص برای کاربران بدون لاگین شدن

در صورتی که میخواهید وب سایتی را برای دسترسی کاربران باز گذاشته تا کاربران بدون لاگین کردن بتوانند آن را باز کنند میبایست ابتدا وارد winbox شده سپس از منوی ip سپس hotspot وسپس وارد تب walled garden شده سپس گزینه + را زده اضافه نموده و سپس OK میکنیم .

Walledgarned-host.png


[ویرایش] تعرایف مهم

idle time out

مدت زمانی که کاربر به هات اسپات متصل است ولی فعالیتی در خصوص ارسال و دریافت نداره ، با تنظیم کردن این مورد در صورتی که کاربر در مدت زمان مشخص شده استفاده ای نداشته باشد قطع شده و میبایست مجدد یوزر و پسورد وارد کند ‌

Keep Alivetime Out

مدت زمانی که در این بخش تعیین میشه به زمانی گفته میشه که یوزر در پوشش وایرلس نیست و از محدوده خارج شده است این به روتر میگه چقدر از آخرین لحظه ای که دیگه کاربر رو ندیدی تو لیست اکتیو نگهش دار بعد اون تایم اگه کاربر برگشت ازش یوزر نیم و پسورد میخواد و میبایست مجدد لاگین کند .

Session Timeout

مدت زمان اتصال کاربر بر حسب ثانیه محدود می شود. عددی که بر حسب ثانیه در این قسمت تنظیم می گردد نشان دهنده این است که کاربر بعد از این مدت که Online باشد. اتصال آن قطع خواهد شد. موارد را میتوانید همانند نمونه در زیر کانفیگ نمایید .


Tarifat.png

[ویرایش] مشکل Maximum check online fails reached

این مشکل در برخی موارد سبب یکسان نبودن تعداد کاربران آنلاین در میکروتیک و IBSng نیز میگردد . این مورد به دلیل یکسان نبودن intermupdate سمت میکروتیک و سمت سرور IBSng است . این مورد باعث میشود کاربران با kill_reason : Maximum check online fails reached قطع شوند . به عکس زیر که در connection log کاربر گرفته شده است توجه نمایید .

Check-online-failed.png

برای برطرف شدن این مشکل داخل تنظیمات میکروتیک موارد زیر را دنبال کنید

Interm.png


پیرو تنظیمات در میکروتیک مقدار intermupdate را بر روی یک دقیقه تنظیم نمودیم که این مقدار نیز میبایست مظابق شکل در IBSng نیز تنظیم شود .

برای این منظور داخل وب IBSng از قسمت Setting سپس Ras و Ras list شده مطابق شکل زیر میشویم

Ras's Menu.jpg

و سپس از صفحه باز شده

Radius-list.png

بر روی View کلیک کرده و پیرو پرینت اسکرین تغییرات update_accounting_interval را برابر ۱ قرار میدهیم .(Defalt این فیلد برابر با ۱ است )

0019.png

[ویرایش] مشکل عدم کارکرد صحیح ویژگی مالتی لاگین

ویژگی مالتی لاگین : تعداد اتصالات همزمان کاربر در این قسمت مشخص می شود. به عبارت دیگر با انتخاب و تنظیم این گزینه مشخص می کنیم که با هر Username چند نفر بطور همزمان، اجازهُ اتصال دارند. که در سرور IBSng اینگونه تعریف میشود .

داخل وب اینترفیس IBSng شده و سپس وارد منوی USER شده و سپس باوارد کردن Username یا Userid وارد پنل کاربر میشویم . و سپس پیرو پرینت اسکرین کاربر را با ۳ instance مالتی لاگین مینماییم .

001919.png


سپس برای اینکه این تنظیمات برای کاربران هات اسپات نیز اعمال شود وارد تنظیمات میکروتیک شده و تنظیمات را اینگونه انجام دهید .

Unlimited.png

در اینجا عدد ۱۰۰ قرار داده شده است که این عدد در حالت حداکثر مالتی لاگین برای کاربران است و تعداد مالتی لاگین کاربران از تنظیمات IBSng که در بالا شرح داده شد پیروی میکند (این عدد در میکروتیک برابر ۱ است و میبایست برای فعال سازی مالتی لاگین این عدد را افزایش داد)

[ویرایش] درست نشان ندادن error بعد از لاگین نشدن کاربر

برخی موارد این مشکل وجود دارد که کاربرانی که نمیتوانند اتصال داشته باشند نمیتوانند Error درستی به ظور مثال اتمام Credit یا اشتباه وارد کردن یوزر و پسورد را دریافت نمایند در این مواقع error بصورت کاملا نامفهمو نمایش داده میشود برای برظرف شدن این مشکل داخل تنظیمات میکروتیک اینگونه عمل مینماییم .

Nasporttype1.png

بعد از اعمال تغییرات مشاهده میشود که error ها به درستی نمایش داده میشوند .


[ویرایش] Assign کردن Valid IP به کاربران هات اسپات

تخصیص Ip Valid از طریق Dynamic Ip Pool به دو روش امکان پذیر می باشد.

تعریف pool سمت (IBSng(AAA

تعریف Pool سمت (Ras(Mikrotik کاربر بعد از اتصال به شبکه از رنج Private آی پی دریافت می نماید.در زمان لاگین روی سرویس Hotspot این امکان وجود دارد که به کاربر Valid Ip اختصاص داده شود.

نمای کلی از این سرویس به شرح ذیل می باشد.


برای این منظور ابتدا یک ip pool داخل میکروتیک ایجاد میکنیم :


Pool1.png


سپس داخل تنظیمات هات اسپات ip pool مربوطه را وارد میکنیم :


Hotspot.png


حال برای اینکه کاربران هات اسپات بعد از دریافت این آیپی دسترسی به اینترنت داشته باشند نیاز است تا آیپی گرفته شده توسط کاربر به اینترفیس هات اسپات Route شود . برای اینکه این کار به صورت Static (دستی) انجام ندهیم از اسکریپت زیر در میکروتیک استفاده کرده تا به محض لاگین کاربر Route به صورت Dynamic ایجاد شود و بعد از Logout شدن کاربر اتومایک حذف شود .


 /ip hotspot user profile
set [ find default=yes ] idle-timeout=30m on-login=\
   ":ip route add dst-address=\$address gateway=ether4;\r\
   \n:log info \"add user route completed\";\r\
   \n" on-logout=":local userip;\r\
   \n:set userip \"\$address/32\";\r\
   \n:ip route remove numbers=[/ip route find dst-address=\$userip gateway=ether4];\r\
   \n:log info \"remove user route completed\";" shared-users=10


دقت شود که در تنظیمات بالا , هات اسپات در ether4 فعال شده است و شما می بایست اسکریپت را مطابق با کارت شبکه فعال شده در هات اسپات خود وارد تمایید .

در آخر برای اطمینان از تنظیمات انجام شده به این مسیر بروید :


Script.png


[ویرایش] مشکل در KICK کردن کاربر از روی IBSng

در قسمت پنل کاربر با کلیک بر روی kick باید بتوان کاربر مورد نظر را kick(دیسکانکت) کرد .

Kickibs.png

در صورت مشکل و KICK نشدن کاربران در پنل IBSng مراحل زیر را دنبال کنید .

از قسمت : Setting → Ras → Ras List → Ras Attributes

Kickattr.png

در قسمت attribute های میکروتیک mikrotik_disconnect_port میبایست بر روی ۱۷۰۰ ست شده باشد . در مرحله بعد داخل تنظیمات میکروتیک با استفاده از WINBOX شده و تنظیمات زیر را انجام دهید .

Mikrotikkick.png
نکته مهم : در صورتی که بین IBSng و میکروتیک از Firewall استفاده میکنید میبایست پورت ۱۷۰۰ در ظول این مسیر باز باشد .

ابزارهای شخصی

گویش‌ها
فضاهای نام
عملکردها
گشتن
جعبه‌ابزار