Как реализовать механизм аутентификации пользователей wifi hotspot

Обновлено: 09.01.2025

Для настройки авторизации пользователей гостевой сети Wi-Fi с помощью сервиса Global Hotspot следуйте данной инструкции. Сервис предназначен для идентификации и хранения идентификационных данных пользователей.

Для настройки идентификации на MikroTik надо запустить мастер конфигурации, скопировать и вставить список полученных команд в терминал роутера. Последовательность действий одинакова и подходит для всех моделей роутеров MikroTik (RouterOS). Роутер обязательно должен быть подключен к интернету до начала настройки!

Для начала зарегистрируйте личный кабинет и войдите в него. Данные для входа будут отправлены на e-mail после регистрации.

Данная инструкция применима для MikroTik с конфигурацией по умолчанию (т.е. вы только достали его из коробки). Удалять конфигурацию рекомендуется тем, кто не знает тонких настроек и у кого инфраструктура состоит только из одного роутера. Для тех, кто хочет только настроить работу hotspot, нужно выбрать конфигурацию для настроенного устройства в шаге 3.10. Если ваш роутер MikroTik уже настроен или вы используете CAPsMAN, то рекомендуем использовать расширенную инструкцию.

Шаг 0: Подключение MikroTik к компьютеру

Подключите MikroTik к компьютеру. Как правило, 1 порт используется для подключения к провайдеру, а все остальные порты — для подключения компьютеров в локальной сети. Вам нужен один из них.

Схема подключения MikroTik

Шаг 1: Загрузка ПО WinBox

ПО WinBox — это программа для настройки оборудования, работающего под под управлением RouterOS.

Шаг 1.1
Загрузите WinBox с официального сайта MikroTik

Шаг 1.1.1
Загрузите WinBox из роутера, если нет доступа к Интернет

Шаг 2: Запуск ПО WinBox

Шаг 2.1
Запускаем WinBox и подключаем роутер

ВНИМАНИЕ! Удалять конфигурацию рекомендуется тем, кто не знает тонких настроек и у кого инфраструктура состоит только из одного роутера. Для тех, кто хочет только настроить работу hotspot, нужно выбрать конфигурацию для настроенного устройства в шаге 3.10. Все подробно описано в расширенной инструкции. Если вы сомневаетесь, обратитесь в службу технической поддержки в чате или по телефону.

Шаг 2.2
Удаляем старую конфигурацию во вкладке System > Reset configuration

Шаг 2.2.1
Удаление старой конфигурации

Шаг 3: Создание конфигурации с помощью мастера настройки

После регистрации в личном кабинете Вам нужно выполнить несколько простых шагов, чтобы сервис заработал на Вашем устройстве:

1. Создать тему на базе шаблона.
2. Создать профиль и привязать к нему тему.
3. Создать место и привязать к нему профиль.
4. Создать конфигурацию для своего типа оборудования.
5. Настроить свое оборудования по инструкции в мастере конфигураций.
6. Подключиться к сети Wi–Fi и проверить.

Шаг 3.1
Выберите шаблон

Шаг 3.2
Создайте тему на базе шаблона

Шаг 3.3
Назовите тему

Шаг 3.4
Создайте профиль

Шаг 3.5
Назовите профиль

Шаг 3.6
В оформлении профиля выбираем созданную тему

Шаг 3.7
Создаем место и выбираем созданный профиль

Шаг 3.8
Создание конфигурации с помощью мастера настройки

Шаг 3.9
Выбор типа устройства

Шаг 3.10
Выберите тип роутера: новый или уже настроенный

Шаг 3.10
Выбор версии конфигурации

Шаг 3.11
Полный файл настроек для Mikrotik. Для нового и настроенного роутеров файлы отличаются

Шаг 3.12
Копируем настройки в буфер обмена

Шаг 4: Загрузка конфигурации в MikroTik

Шаг 4.1
Вставляем скопированные настройки конфигурации в терминал роутера

Подключитесь к Wi–Fi и проверьте результат. Если вы сделали все правильно, то при подключении к Wi–Fi вы попадете на созданную страницу авторизации.

Если у вас возникли трудности, обратитесь в службу техподдержки (чат в личном кабинете или позвоните нам).

Шаг 5: Настройка времени сессии

Эти настройки рекомендуется менять по вашему усмотрению. Особенно для гостиниц и отелей.

Для гостиниц, баз отдыха, хостелов, санаториев и т.п. заведений мы настоятельно рекомендуем увеличить время активности и неактивности. Оптимальными значениями было бы 24 часа. При увеличении времени неактивности время жизни DHCP должно быть больше времени неактивности в 1,5 раза или как минимум на пару часов.

Запустите Winbox и нажмите кнопку New terminal. В открывшемся окне выполните эти команды:

1) Создать шаблон сертификата

2) Создать сертификат для hotspot

3) Подписать сертификат

set [find name=Hotspot] trusted=yes

Как добавить устройства в исключения для MikroTik (доступ к интернету без авторизации)

Иногда нужно, чтобы некоторые устройства имели доступ в интернет по Wi-Fi без авторизации. Такие устройства как телевизоры, кассы, терминалы, рабочие телефоны, компьютеры и ноутбуки можно добавить в лист для доступа к интернету без запроса авторизации.

Запустите Winbox и зайдите во вкладку IP/Hotspot. Далее есть 2 варианта действий:

1. Устройство уже подключено к гостевой сети Wi-Fi и он есть в списке Hosts.
2. Добавить mac-адрес устройства в исключения вручную.

Вариант 1

Готово, mac-адрес в списке исключений.

Вариант 2

Добавить mac-адрес устройства в исключения вручную. Создадим новую запись во вкладке IP/Hotspot/IP Bindings.

C каждым годом объем мобильного трафика увеличивается в несколько раз - растет количество устройств и, главное, требования к скорости получения контента. Широкое распространение мобильных устройств – смартфонов, лэптопов, планшетов, привело к увеличению нагрузки на телекоммуникационные инфраструктуры. Снизить эту нагрузку, эффективнее управлять трафиком и увеличить пропускную способность для голосовых сервисов и SMS позволяет Wi-Fi. Благодаря технологии Wi-Fi и наличию большого количества публичных точек доступа (hot-spot)мобильный доступ в любой точке города к высокоскоростному Internet становится реальным уже сейчас.

Для реализации hot spot компания «Элтекс» предлагает решение, которое включает в себя:

• Точки доступа WEP/WOP-12ac (indoor/outdoor). Наличие двух радиоинтерфейсов позволяет поддержать одновременно два диапазона - 2.4 ГГц и 5 ГГц, позволяя пользоваться интернет-сервисами как людей с уже существующими на рынке устройствами, там и с устройствами с поддержкой 802.11ac, которые уже начали массово появляться на рынке и не только в топовых моделях. Два высокопроизводительных чипа Broadcom – лидера на рынке Wi-Fi чипов - позволяют обслуживать до 400 пользователей и гарантирует бесшовный роуминг.
• Контроллер Soft WLC, который обеспечивает централизованное управление сетевой инфраструктурой доступа - точками доступа, сервисными маршрутизаторами
• Сервисный маршрутизатор ESR-1000, который служит для организации туннелей управления и данных от точек доступа, агрегирования и дальнейшей маршрутизации сетевого трафика
• Ethernet-коммутаторы доступа MES2124P и MES2108P для обеспечения питания точек доступа по PoE и агрегации трафика в пределах локальной сети.

КАК РЕАЛИЗОВАТЬ МЕХАНИЗМ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ

Решение «Элтекс» предусматривает возможность аутентификации абонента не только стандартным способом с помощью ввода заранее выданных логина и пароля в клиентском приложении при подключении к сети, но и через публичный hotspot. Это возможно посредством введения абонентом аутентификационных данных на странице Web-портала.

Согласно новым правилам оказания услуг связи (Постановление Правительства РФ №758 от 31 июля 2014 года и Постановление Правительства РФ №801 от 12 августа 2014 года) провайдеры обязаны устанавливать личность абонента при предоставлении доступа в общественных местах.

Без предоставления удостоверяющих личность документов разрешены следующие способы идентификации:

• через номер мобильного телефона, на который направляется СМС с паролем для подтверждения введенных данных;
• через Портал Государственных услуг.

Контроллер Soft WLC предоставляет возможность передачи пользователю hotspot аутентификационных данных посредством SMS.

Подключившись к hotspot, пользователь перенаправляется на страницу с предложением указать свой номер мобильного телефона для получения SMS с временным логином и паролем. «Элтекс» предусмотрел возможность обязательного согласия с правилами предоставления гостевого доступа (так называемые политика допустимого использования, AUP).

После ввода пользователем номера телефона, Soft WLC посредством Captive Portal генерирует случайную пару логина и пароля, отправляет ее в базу данных RADIUS, а также через API инициирует передачу SMS пользователю с помощью GSM шлюза или стороннего SMS сервиса. Клиент получает по SMS логин и пароль и авторизируется в системе через RADIUS с предопределенными политиками доступа.

Для монетизации услуги при первом открытии WEB-ресурса можно сделать перенаправление на рекламную страницу оператора или партнера. Или использовать интеграцию с контент-провайдером для предоставления рекламы.

Благодаря высокому проникновению беспроводных 3G/4G и WiFi Hotspot технологий пользователь уже сейчас может легко и просто подключиться к сети Интернет через мобильные устройства и получить необходимую информацию. WiFi Hotspot сети максимально приближены к пользователю и обеспечивают высокоскоростной доступ в Интернет с мобильных устройств на скоростях до 1 Гбит/с (стандарт IEEE 802.11ac).

Компания Элтекс Солюшенс / Eltex Solutions представляет комплексное решение для построения WiFi Hotspot сети на базе оборудования российского производства Элтекс:

• Точки доступаWEP-12ac(indoor) иWOP-12ac(outdoor) обеспечивают подключение до 400 пользователей, бесшовный роуминг на базе кластерного решения и одновременную работу в двух диапазонах 2.4 и 5 ГГц;
• Контроллер SoftWLC реализует централизованное управление точками доступа через единый web-интерфейс;
• Сервисный маршрутизатор ESR-1000 предназначен для организации VPN туннелей управления и передачи данных;
• Ethernet-коммутаторы доступа MES2124P и MES2108P используются для подключения точек к сети передачи данных. Благодаря поддержке технологии PoE точки доступа питаются непосредственно через ethernet-порты коммутаторов, которые используются для передачи данных.

Как реализовать механизм аутентификации пользователей?

В соответствии с Постановлением Правительства РФ №758 от 31 июля 2014 года и Постановлением Правительства РФ №801 от 12 августа 2014 года при предоставлении пользователю доступа к сети Интернет в общественных местах необходимо устанавливать личность данного пользователя. Допускаются следующие способы идентификации пользователей без предоставления документов, удостоверяющих личность:

• через номер мобильного телефона, на который направляется SMS с паролем для подтверждения введенных данных;
• через Портал Государственных услуг.

Для реализации указанных выше требований в решении на базе точек доступа Eltex WEP-12ac и WOP-12ac предусмотрены два механизма аутентификации пользователей: ввод заданных по умолчанию логина и пароля; аутентификация в публичных WiFi Hotspot сетях с помощью номера мобильного телефона.

Рисунок 1 – Структурная схема работы WiFi Hotspot сети

Контроллер SoftWLC предоставляет возможность передачи пользователю Hotspot WOP-12ac аутентификационных данных посредством SMS. После подключения к Hotspot WOP-12ac, пользователь перенаправляется на страницу с предложением указать свой номер мобильного телефона для получения SMS с временным логином и паролем. Предусмотрена возможность обязательного согласия с правилами предоставления гостевого доступа (так называемые политика допустимого использования, AUP).

После ввода пользователем номера телефона, SoftWLC посредством Captive Portal генерирует случайную пару логина и пароля, отправляет ее в базу данных RADIUS, а также через API инициирует передачу SMS пользователю с помощью GSM шлюза или стороннего SMS сервиса. Клиент получает по SMS логин и пароль и авторизируется в системе через RADIUS с предопределенными политиками доступа. База данных RADIUS хранит информации о доступе гостей в Интернет.

Для монетизации услуги доступа в сеть Интернет в общественных местах при первом открытии web-ресурса можно реализовать перенаправление на рекламную страницу или использовать интеграцию с контент-провайдером для предоставления рекламы.

Рисунок 2 – Схема монетизации услуги WiFi в общественных местах

Получить дополнительную информацию или задать вопросы Вы можете

Играясь с настройками комбайна по имени Mikrotik я наткнулся на такую впервые для меня ничего не значащую настройку, а именно именуемую, как HotSpot.

По первому поиску информации на этот счет в интернете я составил для себя первое впечатление, как я себе это представляю, а именно:

• Возможность создать страницу на которой идентифицировавшись можно получить доступ к интернету или закрытой локальной сети.
• Есть возможность управлять удаленными клиентами в плане скорости работы с интернетом или закрытой локальной сетью.
• Есть возможность управлять временем подключения.

И вот такой функционал меня заинтересовал и я приступаю к ее пошаговому воплощению:

В роли ][отспота у меня будет выступать железка: Mikrotik RB951Ui-2HnD (mipsbe), v6.36

План настройки следующий:

• Сброс всех настроек и обновление пакетов и firmware до самого актуального состояния на момент написания данной заметки.
• Идентифицирую железку: System — Identity
• Настраиваю SNTP клиент для получения точного времени: System — SNTP Client — и активируем отметив галочкой Enabled
• В настройках активирую, что интернет будет подавать на 2 порт (IP — DHCP Client — Add — и выбираю второй интерфейс, ether2, у меня IP-адрес полученный от DHCP сервера 10.7.8.153/23; DHCP Options = Hostname).
• В настройках активирую, что DNS адреса брать из сети (хотя можно указать и принудительно: IP — DNS, также не забываем отметить галочкой Allow Remote Requests). Затем проверяю, что данный Mikrotik видит всемирную паутину — открываю New Terminal

SEQ HOST SIZE TTL TIME STATUS

0 213.180.193.3 56 55 5ms

1 213.180.193.3 56 55 5ms

sent=2 received=2 packet-loss=0% min-rtt=5ms avg-rtt=5ms max-rtt=5ms

• Теперь создаю отдельно стоящий Bridge интерфейс (который будет представлять из себя отдельную подсеть, дабы подключившиеся к нему через Wifi были изолированы от рабочей сети) и присваиваю ему к примеру вот такой вот IP-адрес:

winbox — ip&mac — user&pass — Bridge — Add , все параметры оставляю дефолтными и не забываю после нажать Apply & OK.

После переходим во вкладку Ports окна Bridge и в созданный интерфейс объединяем интерфейс wlan1:

winbox — ip&mac — user&pass — Bridge — Ports — Add,

Interface: wlan1

Bridge: bridge1

и не забываем активировать внесенные изменения нажатием Apply & OK.

winbox — ip&mac — user&pass — IP — Addresses — Add ,

Address: 10.5.50.1/24

Interface : выбираю только что созданный интерфейс Bridge1 и также не забываю нажать Apply & OK.

• winbox — ip&mac — user&pass — IP — HotSpot , задействую мастер Hotspot Setup
• HotSpot Interface: bridge1
• Local Address of Network: 10.5.50.1/24

и отмечаю галочкой: Masquerade Network (Необходимые правила в настройках Firewall активируются мастером).

• Address Pool of Network: 10.5.50.2-10.5.50.254
• Select Certificate: none
• IP Address of SMTP Server: 0.0.0.0
• DNS Servers: 10.5.50.1
• DNS Name: hotspot.polygon.local (Можно и не указывать вообще ничего)
  
• Name of Local HotSpot User: ekzorchik
• Password for the User: 712mbddr@

На заметку: В последствии можно на создавать специальных пользователей кому разрешен доступ к интернету.

и если после нажатия на кнопку Next — Вы видите окно с надписью «Setup has completed successfully» значит Вы на правильном пути, профиль HotSpot успешно создан.

После переходим во вкладку Server Profile окна HotSpot, находим созданный шагами выше профиль именуемый, как hsprof1 и открываем его. В самой первой вкладке General проверяем что поля записей присутствуют:

• DNS Name: hotspot.polygon.local → адрес где будет располагаться страница приветствия.
• HTML Directory: hotspot — путь где находится сама страница, посмотреть где именно она лежит и что представляет из себя можно обратившись в элемент Files самой железки.

На заметку: раз сама страница hotspot это обычный html, то его можно и подредактировать, к примеру добавить собственный логотип организации, цвета, текст приветствия. Конечно об это я как нибудь в другой раз поговорю.

После переходим во вкладку Login окна HotSpot, данные настройки говорят как будет происходить взаимодействие пользователя с точкой доступа в частности авторизации:

(По дефолту: пользователь может использовать интернет 30 минут, а потом только через одни сутки он сможет подключиться и пользоваться бесплатным интернетом)

Как только все что Вам необходимо изменено не забываем активировать внесенные изменения нажатием кнопок: Apply & OK.

После переходим во вкладку User Profile окна HotSpot, открываем дефолтные настройки профиля Default, в данном профиле я задаю ограничение на использование полосы пропускания:

Rate Limit (rx/tx): 1М/1М

после не забываем активировать внесенные изменения нажатием кнопок: Apply & OK.

И так настройки HotSpot более или менее понятны и они завершены в рамках данной заметки, теперь же нужно настроить само радиовещание через интернет, для этого переходим к окну настройки Wireless:

winbox — ip&mac — user&pass — Wireless

заострять внимание на повторе шагов настройки я не буду, об этом у меня уже есть подробная заметка и заметка ограничения доступа из Wifi сети к локальной сети которую также необходимо будет проделать.

На Mikrotik во вкладке Hosts окна Hotspot отображаются все те кто прошел аутентификацию на странице или те кто авторизовался по логину и паролю выданному системным администратором, выделив необходимого удаленно подключившегося его можно разъединить и ему придется заново вводить идентификационные данные или, если задействуется авторизация через Cookie, авторизация произойдет автоматически.

Вот теперь я знаю еще чуточку больше, главное верить в себя и все получится. Теперь могу если потребует того руководством по быстрому развернуть для клиентов точку доступа с использованием единого центра входа, а выдачей доступа будет заведовать сотрудница в баре по просьбе клиентов которые хотят в процессе ожидания ремонта своего автомобиля не только скоротать время за чашечкой кофе, но и посерфить. Вот как то так, на этом я прощаюсь с Вами, до новых заметок на моем блоге, с уважением автор блога — ekzorchik.

Читайте также:

  
• Как подключить wifi на телефоне beeline
  
• Sony не видит блютуз устройства
  
• Как из роутера извлечь пароль из
  
• Как узнать лицевой счет роутера
  
• Сеть с лимитным подключением что это android wifi