Наша взаимовыгодная связь https://banwar.org/
У сучасному світі стає все важче знайти публічне місце, де не було б позначки "WiFi" і хоча б кількох людей зі смартфонами, які ведуть активне життя в мережі Інтернет. На те є вагомі причини - глобалізація об'єднує людей в величезні соціальні групи і, поки доступним способом спілкування всередині них є саме Інтернет. Соціальні мережі - як загального призначення, так і тематичні, вже багато років створюють всі умови для того, щоб у користувачів виникало бажання перебувати в них мало не цілодобово, що в свою чергу дозволяє перетворити WiFi в серйозну приманку для відвідувачів будь-якого закладу.
Та й вдома у багатьох, особливо в приватному секторі, виникає необхідність установки двох і більше окремих бездротових точок доступу до мережі Інтернет. Технічних засобів реалізації таких мереж існує безліч, але якщо є необхідність в централізованому управлінні, то в ній обов'язково должено бути задіяно пристрій, який бере на себе роль контролера. Якщо проаналізувати ринок доступних, як за вартістю так і по наявності, рішень на території України, то стає зрозуміло, що це ніщу займають два виробники - Ubiquiti Networks з лінійкою бездротових точок доступу UniFi і MikroTik , Який активно розвиває відповідну опцію в своїх маршрутизаторах. При цьому в продукції MikroTik є два вагомих переваги - контролер точок доступу працює безпосередньо на самих маршрутизаторах і не вимагає додаткового програмного забезпечення або обладнання і друга - безпосередньо на маршрутизаторах можна організувати повноцінний HotSpot, що може бути цікаво в публічних місцях. До того ж, процес настройки є зовсім не складним, що ми продемонструємо нижче.
Отже, для роботи мережі необхідно як мінімум два пристрої - маршрутизатор, який буде виконувати роль контролера і той, який виступати точкою доступу. Причому, між собою вони можуть бути пов'язані не тільки безпосередньо або бути в межах одного сегмента IP-мережі, а й через маршрутизовані мережі, в тому числі через NAT: 
Цікава особливість - трафік клієнтів, підключених до CAP (контрольовані точки доступу) при цьому може маршрутизироваться як безпосередньо цими точками, так і прозоро пропускатися до контролера CAPsMAN для централізованої обробки. Це дозволяє гнучко підлаштовуватися під вимоги конкретних проектів.
Для нашої мережі використовуємо другу версію контролера CAPsMAN, який стає доступним після установки на маршрутизатор пакета wireless-cm2. Хоча, поки він в стадії тестування, але придатний до
використанню. Його потрібно встановити як на контролер, так і на віддалені точки доступу. Завантажити пакет можна з сайту MikroTik в розділі Downloads: http://www.mikrotik.com/download . Він розташований в архіві Виберіть необхідну архітектуру, в залежності від моделі маршрутизатора і завантажуйте.
Налаштування мережі
Отже, перейдемо до налаштування. Перш за все, необхідно забезпечити зв'язок між контролером CAPsMAN і всіма CAP по IP будь-яким зручним для вас чином. Якщо з CAP можна успішно "пропінгувати" CAPsMAN, значить переходимо до подальших кроків.
Перший з них - це настройка контроллера CAPsMAN. Навіть мінімальних буде досить для використання в домашніх умовах. Спочатку створимо віртуальний bridge-інтерфейс, в який будуть потрапляти клієнти:
/ Interface bridge
add name = bridge1-capsman
Додамо на цей інтерфейс IP-адреса:
/ Ip address
add address = 192.168.150.1 / 23 interface = bridge1-capsman network = 192.168.150.0
Також, створимо пул IP-адрес для клієнтів і включаємо DHCP-сервер:
/ Ip pool
add name = dhcp_pool1 ranges = 192.168.150.2-192.168.151.254
/ Ip dhcp-server
add address-pool = dhcp_pool1 disabled = no interface = bridge1-capsman
lease-time = 3h name = dhcp1
/ Ip dhcp-server network
add address = 192.168.150.0 / 23 dns-server = 8.8.8.8,8.8.4.4 gateway = 192.168.150.1
Ну, і звичайно ж правило фаервола, яке транслюватиме трафік клієнтів назовні:
/ Ip firewall nat
add action = masquerade chain = srcnat src-address = 192.168.150.0 / 23
Залишилася справа за малим - додати конфігурацію, яку отримуватимуть підключені CAP. Нехай це буде точка доступу SSID "ssid001", паролем "12345678" і заблокованої можливістю передачі даних від клієнта до іншого клієнта або мережі повз контролер CAPsMAN:
/ Caps-man configuration
add channel.band = 2ghz-b / g / n country = ukraine datapath.bridge = bridge1-capsman
datapath.client-to-client-forwarding = no datapath.local-forwarding = no
mode = ap name = cfg1 security.authentication-types = wpa2-psk
security.encryption = aes-ccm security.group-encryption = aes-ccm
security.passphrase = 12345678 ssid = ssid001
/ Caps-man manager
set enabled = yes
/ Caps-man provisioning
add action = create-dynamic-enabled master-configuration = cfg1
Ось, власне, і все - тепер можна перейти до налаштування точок доступу CAP. Це буде ще простіше:
/ Interface wireless cap
set caps-man-addresses = 192.168.149.1 enabled = yes interfaces = wlan1
Усе! Якщо не помилилися з IP-адресою, то wireless-інтерфейс перейде під управління контролера і в статусі можна буде побачити щось таке:
/ Interface wireless print
Flags: X - disabled, R - running
0 X ;;; managed by CAPsMAN
;;; channel: 2412/20-Ce / gn (20dBm), SSID: ssid001, CAPsMAN forwarding
Не варто звертати уваги на прапорець "X" у номера інтерфейсу - після успішного підключення до контролера - пристрій більше його не контролює. Реальні параметри вказані в наступному рядку. Чи можемо підключитися до мережі. Після цього побачимо на CAPsMAN в таблиці реєстрації пристрій:
/ Caps-man registration-table print
Аналогічно - однією командою - додаються й інші маршрутизатори, які повинні виступати в ролі CAP. Головне - не забувати перед цим організувати L3-канал між ними і CAPsMAN. У цьому місці зробимо важливу ремарку щодо точок доступу. Часто виникає ситуація, коли потрібно вибирати між однією точкою з радіо інтерфейсом, що має високу потужність або хороше посилення антени і декількома більш "німими і глухими". Цей момент є надзвичайно важливим, адже при невірної апаратній конфігурації точок доступу можна успішно зіпсувати ефект від будь-яких прогресивних технологій, які в них використовуються.
Правила при виборі обладнання
Так, для бюджетного сегмента обладнання існує два простих правила при виборі обладнання для публічної мережі Wi-Fi, і дозволять вам уникнути більшості проблем:
1. Не перевантажуйте кожну окрему точку доступу великою кількістю одночасно підключених користувачів.
2. Проектуйте покриття так, щоб користувач не міг при пересуванні залишатися підключеним до точки доступу з поганим рівнем сигналу.
При порушенні одного з них з практично 100% -ною вірогідністю можна стверджувати, що мережа буде працювати незадовільно. Виходячи з цього, і слід вибирати тип і кількість обладнання.
Налаштування HotSpot
А тепер ускладнити завдання - нехай, перед тим, як дозволити користувачам користуватися мережею Інтернет, нам необхідно показати їм якусь інформацію про наш заклад, або рекламний ролик. Для цього в RouterOS є прекрасне рішення - HotSpot.
Перш за все, переконаємося, що відповідний пакет (hotspot) встановлений на маршрутизаторі, який виступає в ролі CAPsMAN. Після його установки, в файлової системі маршрутизатора з'являється нова папка hotspot, в якій містяться html-файли, які будуть демонструватися користувачам, відповідно до ситуації.
Перепишемо цю папку собі на комп'ютер і відредагуємо, для початку два файли: login.html - файл, який буде показуватися користувачам при підключенні до HotSpot, тут можна розмістити інформацію про наш заклад. alogin.html - файл, здасться після того як користувач підтвердить своє бажання скористатися доступом до мережі через наш HotSpot.
Після редагування перейменуємо папку, наприклад, в hotspot-test і скопіюємо її на маршрутизатор. Тепер можна налаштувати відповідний функціонал:
/ Ip hotspot user profile
add address-pool = dhcp_pool1 mac-cookie-timeout = 1h name = uprof1
transparent-proxy = yes
/ Ip hotspot profile
add html-directory = hotspot-test login-by = http-chap, trial name = hsprof1
trial-uptime = 1h / 12h trial-user-profile = uprof1
/ Ip hotspot
add address-pool = dhcp_pool1 disabled = no idle-timeout = none
bridge1-capsman name = server1 profile = hsprof1
Тепер спробуємо підключитися до раніше налаштованим CAP і відкрити будь-яку сторінку. І побачимо нашу сторінку: 
Така конфігурація дозволить будь-якому користувачеві після перегляду початкової сторінки користуватися нашим HotSpot протягом однієї години, після чого доступ заблоковано на наступні 12 годин, для запобігання зловживанням (вказується рядком trial-uptime = 1h / 12h).
Насправді, варіантів використання HotSpot є безліч - до друку імені користувача і пароля для доступу до мережі на, скажімо, касовому чеку. Все обмежується, в основному, тільки фантазією.
Зверніть увагу - в наведених прикладах не використовується шифрування трафіку між CAP і CAPsMAN або їх справжності! І, якщо в домашніх умовах цим можна знехтувати заради простоти обслуговування, то у всіх інших випадках і при відсутності інших засобів захисту мережі наполегливо рекомендуємо використовувати взаємну аутентифікацію CAP і CAPsMAN за допомогою сертифікатів і шифрувати трафік між ними за допомогою IPSec або VPN-тунелів.
Як бачите, проектування і налаштування публічних бездротових мереж складається з абсолютно нескладних кроків, які реально здійснити самостійно. Однак, якщо ці мережі є важливим бізнес-інструментом для вас, тоді краще, все ж, звернутися до професіоналів, які позбавлять вас від великої кількості підводних каменів, що вбереже від фінансових втрат.
Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.
