easyhotspot и mikrotik

[Dmitry]

какая у него версия прошивки, я не знаю
а картинку смотреть - которую? и из которого из сообщений?
просто результаты гуглежа показывают, что на форуме микротика эта проблема до сих пор "висит"...

[Alard]

Собственно, настройка микротика для работы с внешним радиусом довольно проста, как оказалось
1. IP-Hotspot-Server profiles. Выбираем использующийся профиль, переходим на вкладку RADIUS и ставим галочку Use radius

radius1.png

2. Далее в меню выбираем пункт Radius и заполняем как на скриншоте.

radius2.png

accounting-backup (yes | no; Default: no)
Будет ли микротик отсылать на радиус данные об учете (аккаунтинг) клиентского времени и трафика. По умолчанию установлено как "нет", НУЖНО установить как "да" (yes).

Как оказалось, галочку accounting-backup ставить НЕ НУЖНО, иначе будете получать ошибку

Код: Выделить всё

 login failed: RADIUS server is not responding

[Dmitry]

Приобрел Mikrotok и в конечном итоге "скрестил" его с Easyhotspot полностью!
Написаны инструкция и ряд файлов (и для самого роутера и для сервера биллинга), позволяющие "связать" Mikrotik с Easyhotspot на все 100%.
Удалось добиться главного - Mikrotik после такой настройки использует именно многофункциональныую страницу авторизации от модифицированного Easyhotspot-а. А это:

• "Страница-подложка";
• Показ рекламы, как до, так и после авторизации;
• Гостевой доступ;
• Автологин;
• Менюшки платежных систем;
• Кнопка для перехода в кабинет пользователя;
• и многое-многое другое...

ОГЛАВЛЕНИЕ ДОКУМЕНТА:
Введение
Перед началом выполнения (исходные данные)
Подготовка к настройке
Подготовка сервера биллинга (Easyhotspot)
Включение и настройка «базового» хотспота в роутере Mikrotik
Настройка роутера на использование страницы авторизации сервера Easyhotspot
Настройка NASID (т. н. «ID хотспота») в роутере Mikrotk
Настройка Mikrotik для взаимодействия со скриптом контроля роутеров
Настройка получения роутером точного времени от серверов SNTP
Настройка авторизации клиентов по MAC-адресу
Настройка HTTPS-авторизации (с использованием SSL-сертификатов)

1. Что это такое и зачем?
2. Проклятый MITM
3. Что вам потребуется?
4. «To be or not to be?»
5. Непосредственная настройка

Настройка принудительного отключения клиентов
Использование «настоящего» браузера вместо CNA в устройствах Apple

1. Немного теории
2. Суть «костыля»
3. Установка скрипта на сервер
4. Настройки скрипта
5. Настройка роутеров Mikrotik (подмена DNS)

Создание в роутере отдельной LAN-подсети для хотспота
Ссылки

Инструкция (в виде архива, включающего и необходимые файлы скриптов) доступна на странице онлайн-продажи

[Dmitry]

минимальная инструкция - активация хотспота + настройка взаимодействия с сервером RADIUS:

http://wifi-hotspot.zp.ua/hotspot_info/ ... otspot.pdf

результат - работа mikrotik с easyhotspot, НО при этом используется встроенная в mikrotik родная страница авторизации
КЛЮЧЕВОЕ отличие от платной инструкции, анонсированной в предыдущем сообщении, именно ИСПОЛЬЗОВАНИЕ ВСТРОЕННОЙ в mikrotik (его "родной") страницы авторизации

[Dmitry]

Сегодня убили час с одним из клиентов — Mikrotik в упор не хотел подключать второго клиента с теми же логином и паролем, хотя в Easyhotspot число одновременных логинов было установлено как 3! Причем, сам Easyhotspot в лог авторизации писал — все ОК:

Код: Выделить всё

 Sun Jan 4 10:38:57 2015 : Auth: Login OK: [rf] (from client hotspot port 2151677975 cli 00:46:55:B7:00:F4)

а на самой странице авторизации выскакивало сообщение, что «авторизация не удалась» с вот таким дополнительным разъяснением:

Код: Выделить всё

no_more_session_are_allowed_for_user_rf

Само сообщение разъяснения причин отказа было «чужим» — ни FreeRADIUS, ни Easyhotspot так об ошибке превышения лимитов одновременных подключений не сообщают - у них «свой собственный» текст для этого (отличающийся от процитированного).
В итоге, подозрение пало на сам Mikrotik. Поиск привел к закладке user profile в настройках хотспота в Mikrotik, где и стояло по умолчанию значение — 1. После того, как эта настройка в Mikrotik-е была удалена, все стало на свои места — пускать или нет второго (третьего, двадцатого...) клиента, снова стал решать сам Easyhotspot...
Причем, клиент говорит, что сначала все было ОК, и так без проблем проработало около месяца. А потом он ... обновил прошивку Mikrotik-а.
Так что, обновляясь — проверяйте!

[Dmitry]

Настройки для взаимодействия Mikrotik-а со скриптом контроля роутеров.

Сначала открываете терминал (кнопка «New terminal» в интерфейсе mikrotik-а) и вводите такую команду*:

Код: Выделить всё

/system script add name="Tick_Easyhotspot_router_list" source={
/tool fetch url="http://192.168.1.5/cgi-bin/test.cgi?passwd=12345678"
mode=http keep-result=no 
}

естественно, адрес 192.168.1.5 в команде меняете на адрес вашего сервера с биллингом Easyhotspot. Также, если вы меняли пароль в самом скрипте контроля роутеров, то впишите в команду ваше значение пароля вместо «12345678»..

В результате у вас в меню System подменю Scripts должен появиться новый скрипт. Вот такой:


Затем в терминале вводите вторую команду*:

Код: Выделить всё

/system scheduler add comment="Request Easyhotspot router list" interval=5m name="Tick_easyhotspot" on-event="Tick_Easyhotspot_router_list" start-date=jan/01/1970 start-time=startup

В результате у вас в меню System подменю Shedule должно появиться новое задание. Вот такое:


ПРИМЕЧАНИЕ:

• При копировании команд из сообщения форума в терминал Mikrotik-а будьте внимательны — терминал пытается «умничать», автоматически корректируя вводимые данные, в итоге строка БУДЕТ ОТЛИЧАТЬСЯ от той, что приведена в форуме, И БУДЕТ НУЖДАТЬСЯ в ручной корректировке для приведения ее к виду показанному выше. СВЕРЯЙТЕ ВЕСЬ ТЕКСТ! Иначе при вводе команды вы будете получать сообщение об ошибке!

С интервалом в 5 минут Mikrotik начнет выполнять задание — в колонке «Run count» будет расти значение (число запусков).

Подтверждением того, что «все ОК», станет появление в меню «роутеров-онлайн» веб-интерфейса программы Easyhotspot данных об этом Mikrotik-е.
Также, косвенным подтверждением будет появление в логе веб-сервера apache сервера Easyhotspot (файл /var/log/apache2/access.log) строк вида:

Код: Выделить всё

192.168.1.214 - - [23/Jun/2015:12:42:18 +0300] "GET /cgi-bin/test.cgi?passwd=12345678 HTTP/1.1" 200 266 "-" "Mikrotik/3.x Fetch"

зы. для написания этой заметки очень помогли данные материалы:

• страница 1
• страница 2

[Dmitry]

Один из клиентов несколько дней не мог настроить взаимодействие Mikrotik-а с Easyhotspot-ом. Технически проблема была в том, что Mikrotik не получал ответов от сервера RADIUS. В то же самое время RADIUS показывал, что запросы от Mikrotik-а он получал, обрабатывал, и отвечал роутеру "Access-Access" (разрешение на авторизацию клиента).

Впоследствии клиент сообщил, что ему таки удалось запустить взаимодействие данного Mikrotik-а с Easyhotspot-ом, при этом проблема ушла лишь после смены прошивки на новую:

Победил я hap lite. 8 часов уже сеанс идёт. Полёт нормальный и не единого разрыва, и срабатывает с первого раза.

Проблема в прошивке для него была. Поставил 6.43.rc21 (testing)

Правда в 6.43.rc21 winbox не работает. Пишет пароль не верный. При этом пускает по Web.

У меня таких два новых [Mikrotik-а]. На втором тоже самое было...

[Dmitry]

Обратился клиент с вопросом:

У меня какая то ситуация непонятная складывается в этом месяце, хостпот считает какой-то минимальный трафик у клиентов, в то же время через роутер микротик на участке через который подключаются люди проходит трафик в десятки раз больше. Например по данным роутера у него через ван порт прошло 11 Ггб. трафика за двое суток а на хотспоте посчитано по клиентам меньше 1 Гб.

Причем, как указал клиент, данная проблема появилась после того, как прошивка (RouterOS) была обновлена до свежей версии.

Честно скажу, даже не знал, что ответить клиенту. Пообщались с ним о протоколе RADIUS, принципах его аккаунтинга и т.д. Короче говоря, «обо всем и ни о чем». А главное — без результатов, т.к. ошибка продолжала «иметь место быть»...

Позже, ковыряясь со своим тестовым роутером, я вспомнил об этой проблеме и решил проверить сам. Результаты проверки написал клиенту в письме:

... я почему-то решил обновить его прошивку (подумал, «у меня ведь старая стоит» (а была на тот момент какая-то 6.37.хх)). Обновилась до версии v6.42.3 (stable). И тут я вспомнил про ваш вопрос (после того, как завершил копаться по «исходной» проблеме).
С компа-файлопомойки через хотспот качнул (по локалке) фильм (1,4 Гб). Глянул в биллинг — а там 230 кБ трафика всего! Залез в микротик и посмотрел данные активной сессии. Там тоже какая-то ерунда, тоже очень мало трафика написано. Залез снова в обновлялку микротика, и снова сказал проверить на обновления, но не stable-ветку, а bugfix. Нашлась версия v6.40.8 (bugfix). Установил ее. Всё сразу стало хорошо (данные учета стали совпадать с реально прокачанным объемом)! Что еще заметил в ходе данного эксперимента — скорость скачивания тоже была разная. Т.к. реально скачивание шло с соседнего компа (роутер с хотспотом в одной локальной сети с файлопомойкой), на stable версии прошивки фильм скачался как и положено для 100-Мегабитной локалки — быстро-быстро (т.е. лимит скорости, выданный хотспотом РЕАЛЬНО НЕ РАБОТАЛ). А на прошивке версии bugfix — качает как и положено для лимита, установленного хотспотом (4Мбит).

Через некоторое время пришел ответ от клиента:

Сегодня проводил опыты с микротиком выяснил, что если в ip>firewall стоит правило fasttrack connection то микрот ничего толком не считает, не показывает скорость у активных юзеров и не режет скорость. Эта фишка появилась в последних прошивках....

Проверил и я сам. Информация клиента подтвердилась и на моем роутере со свежей прошивкой (RouterOS v6.42.3 (stable)) — если в файерволе правило «fasttrack connection» отключать (кнопкой Disable), то и учет, и ограничение скорости для клиентов хотспота работают как надо.

Т.е., резюмируя, для устранения проблемы нужно отключать правило «fasttrack connection» в файерволе Mikrotik-а.

[Dmitry]

Виталий (один из клиентов) прислал краткую и простую инструкцию, как настроить доступ к устройству, подключенному к хотспоту (в его случае - к видеорегистратору).

[Dmitry]

ЗЫ. Размещаю тут чисто в качестве шпаргалки (которая мне пригодилась бы при решении одной проблемы, когда микротик никак не хотел видеть ответы от радиуса).

Сама ситуация была такова

Свой домашний тестовый микротик я поочередно пытался настраивать на взаимодействие с двумя серверами (демонстрационный в интернете и домашний тестовый). Серверы установлены одинаково (одним и тем же скриптом инсталятором, правда, в разное время, и использовались с разной остервенелостью в плане экспериментов). И вот никак не хотел микротик авторизовать клиентов, когда в качестве сервера радиус я ему указывал домашний. Даже на другом форуме создал тему в надежде, что кто-то подскажет. Собственно, в этой теме на другом форуме есть и экспорты настроек, и цитаты лог-файлов, поэтому я не стану их тут дублировать...

В решении проблемы мне помогло включение дебаг-лога для радиуса в микротике. И именно команду, делающую это, я и хотел бы оставить тут (чтобы в случае чего, найти ее снова максимально быстро):

Код: Выделить всё

/system logging add topics=radius,debug

или же, для случая, если есть желание, чтобы лог велся на внешний сервер:

Код: Выделить всё

/system logging add action=remote topics=radius,debug