راه اندازی سرویس Hotspot
سطر ۱۵۲: | سطر ۱۵۲: | ||
[[Image:Addras.png|center]] | [[Image:Addras.png|center]] | ||
+ | |||
+ | == مشکل در باز شدن صفحه لاگین هات اسپات بعد از وارد کردن وب سایت در بروزر توسط یوزر == | ||
+ | |||
+ | ۱- در ابتدا مطمئن شوید میکروتیک اینترنت دارد . | ||
+ | |||
+ | [[Image:Hotspot11.png|center]] | ||
+ | |||
+ | و نیز میتواند عمل Resolve را انجام دهد (با پینگ کردن سایت yahoo.com) در غیر اینصورت موارد را بررسی نمایید . | ||
+ | |||
+ | ۲-در صورتی که مورد ۱ را بررسی نمودید و مشکل همچنان برقرار است میبایست دسترسی کاربران را قبل از لاگین شدن در هات اسپات به DNS سرور های PUBLIC و یا داخلی باز باشد برای این منظور از داخل تنظیمات میکروتیک قسمت ip سپس hotspot و سپس walled garden ip شده و گزینه + را زده و سپس dst port ۵۳ را زده و سپس ok میزنیم . | ||
+ | |||
+ | [[Image:Walled.png|center]] | ||
+ | |||
+ | با اینکار دسترسی کاربران به dst port 53 قبل از لاگین در هات اسپات برقرار میشود . | ||
+ | |||
+ | سپس DNS های public , یا داخلی را برای کاربر باز میکنیم . | ||
+ | |||
+ | [[Image:Walled1.png|center]] | ||
+ | |||
+ | [[Image:Walled2.png|center]] | ||
+ | |||
+ | |||
+ | با این کار دو DNS سرور 8.8.8.8 , 217.218.155.155 برای کاربران قبل از لاگین در هات اسپات برقرار میشود در صورتی که کاربران از DNS سرور های دیگر و یا DNS سرور سازمانی شما استفاده میکنند آنها را نیز به این ترتیب اضافه نمایید . | ||
+ | |||
+ | == دسترسی به یک یا گروهی از کاربران بدون لاگین در هات اسپات == | ||
+ | |||
+ | در صورتی که میخواهید به یکی از کاربران یا یک رنج از کاربران اجازه دهید که بدون لاگین در هات اسپات از اینترنت (بدون هیچ محدودیتی ) استفاده نمایند میبایست ip و یا رنج آیپی آنها را در Walled garden ip list اضافه نمایید . | ||
+ | برای این منظور داخل winbox شده و از منوی ip سپس hotspot وسپس وارد تب walled garden ip list شده سپس گزینه + را زده و sorce ip کاربر را اضافه نموده و سپس OK میکنیم . | ||
+ | |||
+ | [[Image:Walledgarned-host.png|center]] |
نسخهٔ ۱۴ ژانویهٔ ۲۰۱۷، ساعت ۲۱:۴۷
سرویس هات اسپات
هات اسپات در میکروتیک چیست ؟
اصولا به ابزار مدیریت دسترسی به اینترنت در مکان های عمومی، هات اسپات می گویند. امروزه در بیشتر هتل ها ، فرودگاه ها ، رستوران ها ، و دانشگاه ها و ... دسترسی به اینترنت برای عموم ، از این سرویس استفاده میشود . هر چند با گسترش شبکه های اینترنت تلفن همراه مثل 4G/3G ، بخشی از کارکردهای هات اسپات در برخی مکان ها، توجیح اقتصادی و فنی خود را برای پیاده سازی از دست داده ، اما کماکان گزینه اول دسترسی به اینترنت در مکان ها عمومی و خصوصی است. لازم به ذکر است پیاده سازی هات اسپات به معنی فعال کردن یک شبکه بی سیم محافظت نشده ( حتی با وجود کلمه عبور ) و دادن دسترسی نامحدود به همه افراد نیست. میکروتیک ( Mikrotik ) با ارایه ابزاری منحصر به فرد در زمینه ارایه دسترسی مدیریت شده به اینترنت ، اعتبار سنجی کاربران ، تعیین سرعت لحظه ای و میانگین ، تعیین حجم ترافیک اینترنت مصرفی ، محافظت در برابر نفوذ و حملات هکرها ، تعیین مدت زمان برقراری ارتباط با شبکه ، اعمال محدودیت در دسترسی به برخی از سایت ها و سرویس ها ، ارایه گزارشات متنوع ، دسترسی مدیریت شده و سریع به منابع و اطلاعات داخلی و بسیاری از امکانات و قابلیت های دیگر ، بدون شک بهترین گزینه برای پیاده سازی هات اسپاتی امن ، سریع و پایدار می باشد. نکته کلیدی در راه اندازی هات اسپات ها به ویژه هات اسپات قدرنمند میکروتیک ، پیاده سازی دقیق ، اصولی و ایمن این سرویس می باشد. همچنین این سرویس قابلیت اتصال به سرور AAA را داراست و میتواند کاربران را که در سرور AAA وجود دارند را بر روی این سرویس لاگین کند .
توپولوژی های استاندارد شرکت پارس پویش برای راه اندازی سرویس هات اسپات
راه کار شماره ۱ : در این راه کار سرور( AAA (IBSng در مسیر ترافیک کاربران قرار ندارد (وقتی کاربر traceroute به سمت اینترنت را میگیرد آیپی سرور IBSng را نمیبیند) این روش به دو صورت هات اسپات لایه دو و هات اسپات لایه ۳ قابل اجرا است .
در هات اسپات لایه دو میکروتیک با کلاینت ها داخل یک سابنت است .
این روش به دلیل عدم وجود سوییچ لایه ۳ در سازمان مورد نظر بوده وپیشنهاد نمی گردد . دقت شود در صورتی اینترفیس میکروتیک که در آن هات اسپات فعال میگردد با Server Farm داخل یک سابنت باشند هات اسپات باعث اختلالاتی در عملکرد سرور ها میشود که این روش توصیه نمی شود .
در هات اسپات لایه سه که توصیه پارس پویش به استفاده از این نوع راه حل است یک دیوایس لایه سه (روتر یا سوییچ لایه سه) سابنت کاربران و اینترفیس هات اسپات را جدا میکند .
دقت شود در این مورد رنج کلاینت ها با رنج Server ها یکی نبوده و هات اسپات در عملکرد سرور ها اختلال ایجاد نمیکند .
راه حل شماره ۲ : حالتی است که سرور IBSng در مسیر ترافیک کاربران قرار دارد (وقتی کاربر traceroute به سمت اینترنت را میگیرد آیپی سرور IBSng را می بیند). نکته : به دلیل اینکه سرور IBSng در مسیر ترافیک قرار دارد در صورت اختلال در سرور یا قطع شدن سرور ، خاموش شدن سرور و مسایلی از این قبیل شبکه کلا قطع میگردد . برای همین منظور توصیه نمیشود که سرور IBSng در مسیر ترافیک قرار داده شود و راه حل اول نسبت به راه حل دوم بسیار بهتر است . این روش نیز به دو صورت انجام میشود .
روش اول که سرور IBSng در جلوی شبکه و سپس میکروتیک هات اسپات وجود دارد .
روش دوم که سرور میکروتیک در جلوی شبکه و سپس سرور IBSng قرار دارند .
در این روش حتما میبایست از روتر لبه ای استفاده نمود به دلیل اینکه نمیخواهیم سرور IBSng در لبه شبکه ما قرار گیرد . نکته :قرار گرفتن سرور IBSng در لبه شبکه (به دلیل پیچیده بودن و ناآگاهی اکثر افراد از فایروال لینوکس) موجب امنیت پایین شبکه شما میگردد .
نکته : به دلیلایلی که در بالا ذکر شد و همچنین اتکای ادمین شبکه به تیم پارس پویش برای کوچکترین تغییر در شبکه به هیچ وجه توصیه نمی گردد که سرور IBSng در مسیر ترافیک کاربران قرار گیرد .
کانفیگ و فعالسازی سرویس هات اسپات
برای درک بهتر و راحت تر راه اندازی و کانفیگ این سرویس فعالسازی را همراه با یک مثال واقعی مطرح میکنیم . تصور کنید که ما میخواهیم سرویس هات اسپات را در شبکه مان بطوری که در راه حل ۱ در شکل بالا مطرح شد پیاده سازی کنیم (شکل زیر)
در ابتدا نیاز است که بر روی دو کارت شبکه میکروتیک آیپی ست نماییم ست کردن آیپی در کارت شبکه اول
و ست کردن آیپی در کارت شبکه دوم
مرحله بعد ست کردن Default Gateway برای میکروتیک است . با این کار روتر edge را default gateway میکروتیک قرار میدهیم . بعد از انجام اینکار و دادن دسترسی های لازمه از سمت فایر پال روتر مورد نظر میبایست ping 8.8.8.8 را داشته باشد .
اتصال روتر به اینترنت را توسط دستور ping در new terminal بررسی کنید.
و سپس برای اینکه میکروتیک بتواند عمل Resolve را انجام دهد در میکروتیک DNS ست میکنیم . دقت شود که حتما گزینه Allow Remote Request فعال باشد .
برای انجام تنظیمات HotSpot، از قسمت IP گزینه Hotspot را انتخاب کرده و در تب Servers بر روی کلید Hotspot Setup کلیک نمایید.حال سرویس هات اسپات را در اینترفیس ether1 فعال میکنیم .
در ابتدا لازم است اینترفیسی که میخواهید سرویس هات اسپات برروی آن راهاندازی شود را انتخاب کنید. لازم است از صحت منطبق بودن IP نمایش داده شده با ether انتخاب شده، مطمئن شوید .
در این مرحله رنج IP آدرسهای اینترفیسی که در مرحله قبل انتخاب شده بود، نمایش داده میشود. گزینهی Masquerade Network به صورت پیش فرض فعال است میبایست چک مارک گزینه Masquerade Network را غیر فعال کنید و برروی کلید Next کلیک کنید.
در این قسمت برای کاربرانی که می خواهند به شبکهی هات اسپات متصل شوند محدودهی IP تعریف میکنیم؛ که به صورت پیش فرض مقادیری را در نظر گرفته میشود که آنها را تغییر نداده و بر روی Next کلیک کنید .
در این مرحله شما می توانید یک گواهی SSL را در صورت نیاز فعال کنید. (Secure Sockets Layer پرتكلی است كه به وسيله Netscape برای انتقال پروندههای خصوصی روی اينترنت به وجود آمده است. بسیاری از سايتها از اين پروتكل استفاده ميكنند تا از اطلاعات محرمانه كاربران مانند اطلاعات كارت اعتباري محافظت كنند. SSL ارتباط مطمئنی بين يک كاربر و سرور ايجاد ميكند.) با استفاده از SSL تمامی مراحل لاگین کاربر، از احراز هویت در شبکهی هات اسپات تا استفاده از سایتهای مختلف در اینترنت با استفاده از پروتکل https صورت میگیرد ، در صورتی که گواهی SSL ندارید بر روی none قرار داده و برروی گزینه NEXT کلیک نمایید .
اگر در شبکهی خود ایمیل سرور داشته باشید، میتوانید IP میل سرور خود را دراین قسمت مشخص کنید. در صورتی که شما ایمیل سرور ندارید برروی کلید Next کلیک کنید.
در این مرحله IP آدرس DNS Server هایی که لازم است به client های hotspot اختصاص داده شود را مشخص کنید.
در این مرحله یک نام دلخواه با فرمت FQDN (به صورت اسم.اسم) که مشخصه نام سرور هات اسپات شما است را مشخص کنید. توجه داشته باشید که این نام دامنه نباید قبلا برروی دامین سرورها یا هاستهای اینترنتی تعریف شده باشد. در اینجا نام mikrotikhotspot.local را در نظر گرفته ایم. پس از اتمام مراحل نصب هات اسپات با مشخص کردن این نام در address bar مرورگر صفحه لاگین هات اسپات نمایش داده میشود.
در این قسمت نام کاربری و رمز عبوری که به admin هات اسپات اختصاص داده می شود را مشخص میکنیم. به صورت پیش فرض نام کاربری، admin و رمز blank (بدون رمز عبور) تعریف شده است. میتوانید این نام کاربری و رمز عبور را به صورت دلخواه تغییر دهید. نکته : دقت کنید که این نام کاربری به صورت Local در میکروتیک است و ربطی به Username های تعریف شده در سرور IBSng ندارد .
بعد از زدن گزینه NEXT تنظیمات انجام شده و پیغامی نیز نمایش داده میشود .
حالا بروزر را باز کرده و سایتی را میزنیم میبینیم که با زدن هر سایتی صفحه هات اسپات باز میشود که از ما یوزر و پسورد ورود میخواهد .
تعریف کردن RADIUS برای سرویس هات اسپات
بعد از config هات اسپات برای اینکه نیازی نباشد که کاربران را در میکروتیک تعریف نمایید میبایست هات اسپات میکروتیک را به یک ردیوس متصل کرده تا کاربران از ردیوس خوانده شوند در اینجا ردیوس ما IBSng میباشد .برای این منظور مراحل زیر را دنبال کنید .
برای این منظور داخل winbox شده و از منوی ip سپس hotspot وسپس وارد تب server profile شده و بر روی پروفایل مورد نظر کلیک کنید . وارد قسمت Radius شدن و گزینه Use Radius را فعال نمایید . سپس تیک Accounting را زده و interm Update را برابر با ۱ دقیقه قرار دهید .
با تنظیمات بالا Hostspot به یک ردیوس متصل می گردد حال میبایست یک ردیوس در میکروتیک تعریف نمود برای این منظور مراحل زیر را دنیاب کنید .
برای این منظور داخل winbox شده و از منوی Radius را انتخاب کرده و بر روی + کلیک میکنیم از تب General و از قسمت Service گزینه Hotspotرا انتخاب و تیک میزنیم (در صورتی که از VPN در این راس نیز استفاده میکنید تیک PPP را نیز فعال نمایید ) . سپس از قسمت Address آدرس سرور ردیوس (IBSng) را وارد نمایید سپس برایاین منظور یک Secret دلخواه انتخاب نمایید (اینجانب رمز عبور secret را انتخاب کردم) سپس پورت های ۱۸۱۲ برای authentication و پورت ۱۸۱۳ برای accounting قرار میدهیم و Time Out را برابر با ۳ ثانیه قرار میدهیم .
حال نیاز است در سمت IBSng یک راس تعریف نماییم .
اضافه کردن RAS جديد در IBSng : وارد صفحه IBSng شده و از قسمت Setting و سپس Rad و Add new Ras را انتخاب میکنیم .
سپس از صفحه باز شده ابتدا آیپی راس میکروتیک سپس یک شرح برای راس قرار میدهیم (شرح اتخاب شده دلخواه میباشد) سپس نوع ras را که mikrotik است انتخاب میکنیم سپس یک ردیوس secret که ما در اینجا secret را به عنوان رمز همان طور که در تنظیمات میکروتیک کانفیگ شد قرار میدهیم و سپس OK را میزنیم .
مشکل در باز شدن صفحه لاگین هات اسپات بعد از وارد کردن وب سایت در بروزر توسط یوزر
۱- در ابتدا مطمئن شوید میکروتیک اینترنت دارد .
و نیز میتواند عمل Resolve را انجام دهد (با پینگ کردن سایت yahoo.com) در غیر اینصورت موارد را بررسی نمایید .
۲-در صورتی که مورد ۱ را بررسی نمودید و مشکل همچنان برقرار است میبایست دسترسی کاربران را قبل از لاگین شدن در هات اسپات به DNS سرور های PUBLIC و یا داخلی باز باشد برای این منظور از داخل تنظیمات میکروتیک قسمت ip سپس hotspot و سپس walled garden ip شده و گزینه + را زده و سپس dst port ۵۳ را زده و سپس ok میزنیم .
با اینکار دسترسی کاربران به dst port 53 قبل از لاگین در هات اسپات برقرار میشود .
سپس DNS های public , یا داخلی را برای کاربر باز میکنیم .
با این کار دو DNS سرور 8.8.8.8 , 217.218.155.155 برای کاربران قبل از لاگین در هات اسپات برقرار میشود در صورتی که کاربران از DNS سرور های دیگر و یا DNS سرور سازمانی شما استفاده میکنند آنها را نیز به این ترتیب اضافه نمایید .
دسترسی به یک یا گروهی از کاربران بدون لاگین در هات اسپات
در صورتی که میخواهید به یکی از کاربران یا یک رنج از کاربران اجازه دهید که بدون لاگین در هات اسپات از اینترنت (بدون هیچ محدودیتی ) استفاده نمایند میبایست ip و یا رنج آیپی آنها را در Walled garden ip list اضافه نمایید . برای این منظور داخل winbox شده و از منوی ip سپس hotspot وسپس وارد تب walled garden ip list شده سپس گزینه + را زده و sorce ip کاربر را اضافه نموده و سپس OK میکنیم .