CẤU HÌNH MIKROTIK HOTSPOT

XÂY DỰNG HỆ THỐNG HOTSPOT GATEWAY CHO DỊCH VỤ INTERNET LAN-WIFI CÓ CHỨNG THỰC

Giới thiệu và cài đặt chung

Mikrotik Router (www.mikrotik.com) là một gói phần mềm chạy trên HDH Linux rất gọn nhẹ nhưng tích hợp rất nhiều chức năng như: Router (DHCP, NAT, Routing...), Firewall, VPN server, Hotspot gateway, Loadbalancing adsl..., Cache -Proxy server, Banwidth management... rất thích hợp để ứng dụng làm gateway cho cơ quan, doanh nghiệp và nhất là các dịch vụ internet công cộng, wifi

Do quá nhiều chức năng nên trong bài viết này tôi chỉ hướng dẫn cấu hình cơ bản để xây dụng một Hotspot cho các điểm truy cập internet công cộng, các quán cafe internet. Với hệ thống Hotspot này cho phép chúng ta có thể chứng thực

* Cài đặt phần mềm:

Yêu cầu phần cứng: do soft Miktotik này rất nhẹ nên chỉ cần một máy tính Pentium3 là chạy tốt. Phiên bản 2.9x trở về trước chỉ chạy trên ổ cứng ata.

Download 2 soft sau:

1. Mikrotik OS router: là image cdrom khoảng 30M

Link: http://www.mikrotik.com/download/mikrotik-2.9.51.iso

(Nếu đã nâng cấp phiên bản thì có thể vào

http://www.mikrotik.com/download.html rồi chọn iso image để download

2. Tiện ích Winbox dùng cấu hình chạy trên windows

Link: http://www.mikrotik.com/download/winbox.exe

Sau khi down image về thì ghi ra đĩa cd rồi boot từ đĩa này để tiến hình cài đặt, màn hình xuất hiện sẽ yêu cầu chọn các module để cài, chúng ta chọn các modul cơ bản sau:

o System

o DHCP

o Hotspot

o Proxy

o User Manager (optional)

o Security (optional - recommended)

Phạm Minh Triết - [email protected] YM:bootbia

o Advanced tools (optional)

Dùng phím spacebar để chọn các gói cần cài, sau khi chọn xong nhấn phím I để cài đặt.

Quá trình cài đặt khoảng 5-10 phút, sau khi cài xong máy yêu cầu reboot lại là hoàn tất

Để đăng nhập dùng username: Admin và password trống.


I. Cấu hình Mikrotik hotspot dùng lệnh

Sau khi cài đặt xong OS cho máy chủ, cấu hình địa chỉ IP cho 2 nic như sau

1. Cấu hình địa chỉ IP

1.1. Cấu hình IP cho Nic sẽ kết nối với adsl (Nic Wan hay interface Wan) hay với router trung gian trên đường ra internet (ADSL, LEASELINE). Ở đây IP của Nic này là 192.168.1.20/24 và Nic này sẽ được gán cho interface ether2

Chú ý: Ở đây cấu trúc lệnh sẽ được gõ từ đường dẫn gốc là [Admin@Mikrotik]. Để trở về đường dẫn gốc này từ đường dẫn bất kỳ chỉ cần gõ /(enter)

[Admin@Mikrotik]> ip address add address=192.168.1.20/24 interface=ether2

1.2. Cấu hình IP cho Nic kết nối với các AP hay mạng Lan của các máy con. Ở đây IP sẽ là 192.168.0.1/24 , Nic này sẽ được gán cho ether1.

[Admin@Mikrotik]> ip address add address=192.168.0.1/24 interface=ether1

* Chú ý: để tiện quản lý sau khi cấu hình xong nên đổi tên 2 interface ether1 và ether2 thành Lan và Wan hay Local và Public cho dễ nhớ

1.3. Cấu hình IP default gateway (là địa chỉ adsl modem-router hay router kết nối vào interface Wan trên đường đi ra internet.. Trong VD ở đây là 192.168.1.1

[Admin@Mikrotik] > ip route add gateway 192.168.1.1

Sau đó dùng máy tính kết nối với Máy Hotspot chạy Mikrotik qua Nic Wan rồi dùng Winbox để cấu hình các thành phần tiếp theo

2. Cấu hình Hotspot

Việc cấu hình Hotspot sẽ bao gồm cấu hình dịch vụ DHCP server, các thông tin DNS…

Gõ lệnh sau:

[Admin@Mikrotik] ip hotspot setup (sau ghi gõ lệnh này sẽ xuất hiện các hàng yêu cầu nhập thông tin như sau

Hotspot interface: ether1

Local address of network: 192.168.0.1/24


Masquerade network: yes

Address pool of network: 192.168.0.2-192.168.0.254 (có thể chỉnh lại theo ý muốn, đây cũng là dãy địa chỉ ip mà dịch vụ dhcp sẽ cấp cho các máy con khi kết nối)

Select certificate: none (chú ý: mặc định xuất hiện dòng import-other-certificate, chúng ta xóa dòng đó và nhập vào none)

Ip address of smtp server: 0.0.0.0 (nếu trong mạng có máy chủ smtp thì gõ địa chỉ ip vào, còn không thì để mặc định 0.0.0.0)

Dns server: 203.168.0.181,203.162.4.190 (ở đây sẽ nhập địa chỉ máy chủ dns server, nếu trong mạng có máy chủ này thì nhập vào ip máy chủ đó, còn không nhập vào ip primary và secondary dns server của ISP cách nhau bởi dấu phẩy

Dns name: điền vào tên của máy Hotspot này được khai báo trên Dns server của mạng,nếu không có thì để trống chứ không khai tùy ý.

Name of local hotspot user: Admin (tạo một account cho hệ thống để test đăng nhập hotspot)

Password for the user: mật khẩu của account này.

3. Cấu hình NAT

[Admin@Mikrotik] ip firewall nat add chain=srcnat action=masquerade out-interface=ether2

Như vậy cơ bản cấu hình song hệ thống Hotspot với Mikrotik. Lúc này dùng một máy con đăng nhập web sẽ thấy màn hình đăng nhập của Mikrotik xuất hiện, nhập vào account tạo sẵn ở bước cấu hình hotspot trên là có thể truy xuất web…

Việc cấu hình các thành phần khác như tạo user, tinh chỉnh hay thay đổi các thống số dùng giao diện gui qua Winbox sẽ tiện hơn nên sẽ được giới thiệu ở phần sau.

* Nếu trong cấu hình bị lỗi thì có thể dùng lệnh >System/reset để xóa cấu hình rồi cài đặt lại.

4. Một số lệnh trên máy Hotspot chạy Mikrotik

Khi đăng nhập vào máy Hospot, tại dấu nhắc lệnh [Admin@Mikrotik] chỉ cần gõ dấu ? (enter) chúng ta sẽ thấy hiển thị các đầu mục vào như hình dưới


Các đầu mục vào cũng gần giống với giao diện của Winbox. VD muốn vào phần IP chúng ta chỉ cần gõ IP (enter), sau đó gõ ? (enter) sẽ thấy các mục con xuất hiện

Muốn cấu hình thành phần nào chúng ta cứ gõ lệnh theo đường dẫn hoặc vào từng mục rồi gõ tiếp. VD muốn cấu hình IP thì gõ IP address...; Muốn xem thông


tin địa chỉ IP của các Nic thì Ip address print; Muốn cấu hình Route thì: IP route...; Muốn cấu hình hotspot thì: Ip hotspot setup...; Muốn cấu hình firewall, nat thì Ip firewall... Muốn tắt máy thì System shutdown; Khởi động lại máy: System reboot; Muốn xóa tất cả các thông tin cấu hình đã cài đặt: System reset...

Cũng giống như lệnh Dos, nếu từ đường dẫn phụ muốn gõ lệnh đến đường dẫn khác thì chúng ta dùng dấu / trước lệnh đó; Muốn về đường dẫn gốc thì / (enter), muốn dời lui đường dẫn một cấp gõ ..(enter)

Muốn xem thông tin về các Nic đang có trong máy thì từ đường dẫn gốc gõ Interface print hay di chuyển vào mục Interface rồi chỉ gõ Print (enter)

Tại các mục vào muốn xem thông tin thành phần nào chỉ cần gõ Print (enter).

Muốn backup thông tin một thành phần nào đó thì gõ: Export file=(tên file) (enter).

Vd tại đầu mục vào IP hotspot> muốn backup thông tin phần user thành file user (mặc định phần mở rộng là .rsc) chỉ cần gõ: IP HOTSPOT>user export file =user (file user.rsc sẽ được tạo ra, muốn lưu lại file này thì từ máy khác kết nối ftp vào Hotspot trên inerface Wan sẽ thấy tên file này xuất hiện)

Muốn backup thông tin các user trong phần IP-binding gõ lệnh: IP HOTSPOT>ip-binding export file=ip_binding (file ip_binding.rsv sẽ được tạo ra)...

Sau này muốn import lại file nào thì dùng ftp để copy file đó vào máy Hotspot rồi từ dấu nhắc lệnh gốc gõ lệnh:

[Admin@Mikrotik]> import filename.rsc

Vd muốn import file user.rsc thì gõ

[Admin@Mikrotik]> import user.rsc


Phần 2. Cấu hình hệ thống Hotspot với giao diện Gui thông qua Winbox

Sau khi cài đặt xong đĩa cài Mikrotik, tiến hành cài đặt địa chỉ IP cho các Nic như các mục 1.1, 1.2, 1.3 của phần I chúng ta dùng máy tính kết nối với máy chủ Hotspot qua Nic Wan rồi dùng Winbox để đăng nhập và cấu hình các thành phần tiếp theo.

1. Cấu hình DHCP và DNS server

1.1 Cấu hình thông tin DNS

Từ menu chính chọn IP>DNS, sau đó click Settings rồi điền thông tin như hình


Chú ý: Nếu có DNS server trong mạng lan (có forward ra internet) thì điền ip của máy này vào, còn không thì điền IP Dns server của ISP

Từ menu chính bên trái chọn IP > DHCP-Server rồi click Setup và làm theo như hình dưới.


Tiếp theo click Next và để nguyên thông tin IP như mặc định


Tiếp theo click Next

Click Next


Đó là dãy IP mà DHCP sẽ cấp cho các máy con khi kết nối, ở đây chúng ta khai báo cho phù hợp với hệ thống mạng có sẵn.

Ở đây sẽ khai báo Primary và Secondary DNS server sẽ được cung cấp cho các máy con qua DHCP. Tuy nhiên do chúng ta đã cấu hình DNS server rồi nên đây nó xuất hiện sẵn thông tin, chúng ta không cần khai báo.

Tiếp theo click Next để hoàn tất

3. Cấu hình Hotspot.

Từ menu chính chọn IP>Hotspot

Click vào Setup rồi cấu hình theo thứ tự như các hình dưới, hầu hết là chỉ việc click Next vì mọi cái đã được chọn tự động



Ở hình trên phần DNS Name chúng ta điền vào tên của máy hotspot(vd: hotspot.congty.com) đã được khai báo trong dns server nếu như trong hệ thống mạng có dns server, còn không thì để trống chứ không được khai tùy ý.

Phần này là tạo account đầu tiên cho Hotspot để chúng ta có thể test sau khi cài xong phần này.

Sau khi hoàn tất, click vào Hotspot mới tạo chúng ta có các thông tin sau:


Ở đây chúng ta chú ý đến phần Profile, chúng ta có thể tạo nhiều profile để lúc nào cần thiết thay đổi cho phù hợp. Các profile này dùng quản lý người truy cập theo các chế độ mà chúng ta đặt ra.

* Cấu hình Profile cho Hotspot

Trên giao diện chính của hotspot, phần tab Server chúng ta click vào Profile

Chúng ta sẽ thấy có 2 profile tạo sẵn, một là default và một là hsprof1 mới tạo ở bước trên, để tạo mới một profile chúng ta click vào dấu +, tuy nhiên chúng ta có thể xem profile hsprof1 mới tạo để hiểu cách tạo các profile khác.


HTML Directory: thư mục mặc định chứa web login, nếu chúng ta muốn tự tạo web login khác thì chỉ định thư mục chứa web đó ở đây

Rate Limit: băng thông giới hạn cho mỗi client truy cập internet

Để cấu hình thêm các thông số khác chúng ta chọn tab Login

*Phần Login By:

Có nhiều giao thức hỗ trợ trên web login, mặc định là giao thức chung được chọn là HTTP Chap. Nếu muốn người dùng mỗi lần logout xong phải nhập account để login lại thì chúng ta bỏ chọn phần Cookie.

4. Cấu hình NAT:

Từ menu chính bên trái chọn IP > Firewall, click vào tab NAT rồi cấu hình như hình. Chú ý: Chain=srcnat; Src. Address=192.168.0.0/24 (dãy IP mà DHCP sẽ cấp cho các máy con; Phần Out.Interface=ether2 (Nic kết nối WAN)


Tiếp theo clic vào tab Action rồi chọn Action=Masquerade như hình dưới, sau đó Apply và OK.


Như vậy cơ bản chúng ta đã cấu hình xong hệ thống hotspot. Bây giờ có thể dùng máy con đăng nhập chúng ta sẽ thấy xuất hiện màn hình đăng nhập của Mikrotic, dùng account mới tạo sẵn ở bước trên nhập vào chúng ta có thể sử dụng internet được rồi.


5. Cấu hình giới hạn bandwith:

Trong ví dụ này chúng ta cấu hình để giới hạn băng thông sử dụng gồm download và upload cho mỗi máy con

5.1 Cấu hình giới hạn băng thông download tối đa là 10kbps:

Từ menu chính chọn Queues, vào tab Queue Types, Nếu thấy có queue nào thì remove, sau đó click vào dấu + để add 1 Queue Type mới rồi cấu hình như hình dưới.


Tiếp theo vào tab Settings rồi nhập vào Rate= 10000 (tương đương 10kbps), Limit=50, Total Limit=2000 rồi click chọn vàot Dst. Address như hình dưới.


http://wiki.mikrotik.com/wiki/Image:Bandwidth-1.JPG

5.2: Cấu hình giới hạn băng thông upload:

Làm tương tự như phần trên, tạo một Queue tương tự , điền vào thông số Rate cho phù hợp rồi chọn Src. Address thay vì Dst. Address như trên.


http://wiki.mikrotik.com/wiki/Image:Bandwidth-2.JPG

Tiếp theo trong màn hình chính của Queue List, click tab Simple Queues rồi click vào dấu + để tạo mới một một simple queue , nhập vào tên và dãy địa chỉ mạng Lan như hình dưới.


http://wiki.mikrotik.com/wiki/Image:Simple-queue-1.JPG

Tiếp theo click vào tab Advanced, ở mục Queue type chúng ta chọn 2 queue cho download và upload đã tạo ở trên


http://wiki.mikrotik.com/wiki/Image:Simple-queue-2.JPG

6. Quản lý người dùng internet

6.1 Tạo danh sách người dùng internet qua Hotspot

- Từ menu chính chọn IP>Hotspot

Sau đó click vào tab User.

Để tạo một user click vào dấu +

Nhập tên và mật khẩu, nếu muốn khống chế user theo địa chỉ IP hay MAC thì nhập vào ô phía dưới. Phần quan trọng ở đây chính là Profile sẽ được trình bày ở phần tiếp

Để giới hạn thời gian hay dung lượng sử dụng internet cho user này chúng ta click vào tab Limits và khai báo.

Sau đó click OK để hoàn tất.

Tuy nhiên quan trọng nhất là ta phải cấu hình các profile cho user để có thể quản lý từng user hay nhóm theo các cách khác nhau

Để tạo các Profile cho mỗi hay nhiều user chúng ta click vào tab Profile trong phần User của giao diện Hotspot.

Chúng ta sẽ thấy xuất hiện một profile có tên Default, profile này được tạo khi chúng ta cấu hình phần hotspot. Để tạo mới một profile chúng ta click vào dấu +. Để hiều các cấu hình profile chúng ta click vào profile default để xem


Ở đây chúng ta để ý các tham số sau:

- Session Timeout: Thời gian user được phép sử dụng, sau khi hết thời gian này sẽ tự động logout

- Idle Timeout: thời gian nếu user không sử dụng mạng sẽ tự động logout

- Keepalive Timeout: thời gian dùng cho user(client) đăng nhập mạng sau khi kết nối, nếu sau thời gian này user chưa đăng nhập thì địa chỉ IP sẽ được cấp cho user khác.

- Share Users: cho phép bao nhiêu client dùng chung một account

- Incoming Filter/Outgoing Filter: chọn các Chain tường lửa cho các gói tin đi vào/ra, các chain này thông dụng trên các firewall trên nền tảng Linux.

- Phần Transparent Proxy nên tắt (không chọn dấu check)

* Để định hướng người sử dụng sau khi đăng nhập xong sẽ mở một trang web nào đó (quảng cáo...) chúng ta click vào tab Advertise rồi nhập địa chỉ website vào.


6.2. Chứng thực theo địa chỉ IP hay Mac address

Nếu chúng ta có những máy tính cố định và không muốn mỗi lần đi internet phải đăng nhập thì chỉ việc cấu hình chứng thực các máy này theo địa chỉ IP hay địa chỉ Mac của card mạng (trường hợp này rất cần thiết đối với các cơ quan có nhu cầu sử dụng internet). Như vậy các máy có địa chỉ đã được add vào mỗi lần truy xuất internet sẽ đi thẳng như bình thường không qua chứng thực. Tuy nhiên cũng có thể làm điều ngược lại cho phép cấm máy nào không được đi internet thông qua IP và Mac address đã nhận biết.

Trong phần giao diện chính Hotspot chúng ta click vào tab IP Bindings

Sau đó nhập địa chỉ Mac vào hay địa chỉ IP

Quan trọng nhất ở phần Type, nếu chúng ta để mặc định là regular thì không có tác dụng; Nếu chọn bybassed thì người dùng được add địa chỉ sẽ truy cập internet mà không phải đăng nhập, nếu chọn blocked thì lại không được đi internet.

6.3. Cho phép truy cập một số trang web mà không cần phải đăng nhập (mục đích cho quảng cáo website...)

Từ giao diện chính Hotspot chọn tab Walled Garden


Nhập địa chỉ trang web vào Dst.Host, hoặc nhập IP trang web vào Dst. Address. Nếu muốn cho phép chỉ truy cập một trang nào đó trên địa chỉ website đã cho phép thì gõ thêm đường dẫn trang đó vào Path.


7. Tạo account quản trị hệ thống

Mặc định khi cài đặt hệ thống tạo sẵn account admin với mật khẩu trống, chúng ta có thể tạo thêm một số account với các quyền khác nhau để quản trị hệ thống hotspot

Từ menu chính bên trái chọn User

Để tạo mới một user click vào dấu +

Nhập tên vào phần Name, gán quyền ở Group, nếu muốn cho phép user này chỉ được đăng nhập từ máy có địa chỉ ip nào đó thì nhập vào Allowed Address, muốn khai báo mật khẩu click Password...


Các người dùng có thể quản trị hệ thống qua winbox hoặc qua web với địa chỉ IP của ether1 hoặc ether2.


8. Quản trị, giám sát hệ thống

Để quản trị hệ thống hotspot chúng ta có thể thông qua web, trong trường hợp này là http://192.168.0.1 hay http://192.168.1.20

Chúng ta xem hoặc thay đổi được nhiều thông tin như card mạng, địa chỉ IP, tường lửa, các routes, thông tin về máy đang chạy Mikrotik

- Để xem thông tin về băng thông người dùng, rất quan trọng để xem ai đang download nhiều hoặc là máy nào đang phát tán virus, ddos... trong winbox, từ menu chính chúng ta chọn Tools>Torch rồi click vào Start...


9.Ngoài lề:

Phần mềm Mikrotik có rất nhiều chức năng, nó có thể xem là một thiết bị router cao cấp có nhiều chức năng như Firewall, Routing, VPN, Loadbalancing, Nat, Proxy, Hotspot... tùy vào mục đích để cấu hình cho phù hợp

Với phần cấu hình hệ thống hotspot ở trên nếu chúng ta kết hợp thêm hệ thống Radius server thì có thể làm được hệ thống billing dùng bán vé cho khác truy cập internet như tại các khách sạn, các điểm truy cập internet công cộng. Radius server có thể dùng bản miễn phí chạy trên máy chủ Linux là FreeRadius (www.freeradius.org)

Dưới đây là một số link dùng cấu hình Mikrotik với nhiều ứng dụng khác nhau:

1. Cấu hình Mikrotik từ A-Z

http://www.mikrotik.com/testdocs/ros/2.9/

2. Cấu hình Loadbalancing 2 line adsl với Mikrotik

http://wiki.mikrotik.com/wiki/Routing

http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways

3. Cấu hình chặn web đen với Mikrotik mô hình proxy

http://wiki.mikrotik.com/wiki/How_to_Block_Websites_%26_Stop_Downloading_Using_Proxy

4. Cấu hình VPN server với giao thứcPPTP

http://www.mikrotik.com/testdocs/ros/2.9/interface/pptp.php

5. Cấu hình giới hạn băng thông

http://wiki.mikrotik.com/wiki/PCQ_Examples

6. Cấu hình webproxy

http://www.mikrotik.com/testdocs/ros/2.9/ip/webproxy.php

http://www.mikrotik.com/testdocs/ros/2.9/ip/webproxy_content.php#7.53.7

7.Cấu hình share internet cho Lan với kết nối adsl theo Pppoe (bridge)

http://wiki.mikrotik.com/wiki/How_to_Connect_your_Home_Network_to_xDSL_Line

8. Cấu hình Mikrotik hotspot với Free Radius

http://infodotnet.blogspot.com/search/label/Mikrotik

9. Cấu hình Mikrotik làm Firewall cho mạng lan có kết nối internet

http://wiki.mikrotik.com/wiki/How_to_Connect_your_Home_Network_to_xDSL_Line

10. Diễn đàn trao đổi, thảo luận về Mikrotik


www.forum.mikrotik.com


Documents

CẤU HÌNH MIKROTIK HOTSPOT