Hotspot на CHR - как?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
Volant
Сообщения: 43
Зарегистрирован: 26 фев 2018, 18:32
Контактная информация:

09 сен 2019, 10:47

Приветствую!

имеем:
1. инсталляцию CHR (l2tp server)
2. МТ_1 (l2tp client)
3. МТ_2 (l2tp client)
Клиенты имеют две подсети - рабочую и гостевую
Туннели l2tp используются для трафика рабочей сети

Задача - поднять hotspot на chr для клиентов мт_1 и мт_2 гостевой сети.

В процессе подготовки(тестирования) пробросил vlan от клиентов к серверу - на стороне сервера поднял dhcp - раздает в бридж с vlan, на стороне клиентов wi-fi тд в бридже с vlan - все работает. Соответственно, остается поднять hotspot на стороне сервера и все заработает... НО! весть клиентский трафик будет грузить туннели l2tp - это есть неправильно!

Для себя вижу схему:
1. юзер на стороне мт_х цепляется к wi-fi тд, его(юзера) каким то правилом(полагаю action=jump) перекидывает в vlan
2. юзер попадает в hotspot на стороне севера, видит страницу авторизации(условно - вводит пароль доступа) -авторизуется.
3. После успешной авторизации, каким то правилом(полагаю action=jump), юзера перекидывает обратно на сторону мт_х.
4. Вернувшись в свою сеть, юзер ходит в интернет через wan провайдера мт_х, за wi-fi подключением юзера следит скрипт и по истечении таймаута подключения(обозначенного в скрипте), скрипт удаляет регистрацию юзера в таблице регистрации wi-fi клиентов.
Дальше все по кругу.

Как реализовать детально - не знаю, прошу помочь, если схема принципиально неверная, прошу уточнений.


Аватара пользователя
Volant
Сообщения: 43
Зарегистрирован: 26 фев 2018, 18:32
Контактная информация:

10 сен 2019, 08:47

никто не поделится тайными знаниями?..)

зы
готов к платным консультациям. именно консультациям, в личке или в скайпе - реализовывать за меня не нужно, хочется понять


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2031
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

10 сен 2019, 09:28

1) Хотспот не поднимал, не было нужды, поэтому совет в этом плане не дам, но
2) кажется Вы путаете немного некоторые моменты,
вилан это интерфейс и это уровень L2, а файрвол - это уже работа в больше степени на уровне L3
2.1) да, Вы можете вилан засунуть в бридж и у бриджа есть свой файрвол, который может оперировать
частично на уровне L2.

Но перекидывать трафик в файрволе правилам в вилан-интерфейс, ну для меня это пока в диковинку.

Наверно Вашу задачу надо пересмотреть в рамках L3 и решать её как-то иначе.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Volant
Сообщения: 43
Зарегистрирован: 26 фев 2018, 18:32
Контактная информация:

10 сен 2019, 09:49

Vlad-2, Вашу мысль уловил, спасибо!

Получается, что придется маскарадить гостевой интерфейс и пихать их к хотспоту через l2tp туннель, а правилом в firewall ограничить доступ только к хотспоту

Или поднимать pptp туннель(вроде как уровень L3) для этих нужд. Два клиента l2tp микротик вроде не умеет. Но тогда придется менять адресацию гостевых подсетей, сейчас она одинаковая на мт_1 и мт_2 - 1.0/24


Аватара пользователя
Volant
Сообщения: 43
Зарегистрирован: 26 фев 2018, 18:32
Контактная информация:

10 сен 2019, 10:11

Не могу понять по какому признаку(в момент подключения юзера к wi-fi) заворачивать трафик подключившегося юзера и аналогично с возвратом со стороны сервера после успешной авторизации в хотспот..

Пните в нужном направлении!


Аватара пользователя
algerka
Сообщения: 361
Зарегистрирован: 14 дек 2011, 12:31

10 сен 2019, 12:36

Volant писал(а):
09 сен 2019, 10:47
Как реализовать детально - не знаю, прошу помочь, если схема принципиально неверная, прошу уточнений.
Поставь два хотспота, а на chr User manager


Александр
Аватара пользователя
Volant
Сообщения: 43
Зарегистрирован: 26 фев 2018, 18:32
Контактная информация:

10 сен 2019, 13:36

algerka писал(а):
10 сен 2019, 12:36
Поставь два хотспота, а на chr User manager
в смысле на мт_1 и на мт_2 по хотспоту?
можно было бы но! мт_1 и мт_2 имеют серый ip провайдера и на них не получится получить сертификат от того же letsencript, а с самоподписным будут траблы при редиректе на https ресурсы типа недоверенный ресурс бла бла.. а получать белый ip у прова для мт_х - гиммор связанный с настройкой firewall(преодолеть можно было бы) + 150р за адрес, а таких мт_х > 20 - нецелесообразно.

Хочется получить нормальноработающий хотспот, не ввергающий юзеров в панику


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2031
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

10 сен 2019, 15:14

Мда,
Микротиков за 20, подключения все "серые", за адреса жалко, но сервис хотим.
Так вообще то не делается, если уж по честному говорить.

И опять же, если делать маршрутизацию + маркировки, завернуть все подключения
(адреса клиентов, сделать подсеть/подсети нарезать) и их на центральный роутер (CHR).
И оттуда уже в глобал по/через реальный адрес.
(вот Вам частичная подсказка).

Маршрутизация и маркировка такое позволяют - заворачивать и отправлять клиента(ов)
куда надо (ещё раз повторюсь в рамках IP-сетей). НО каналы (туннель) использоваться
в любом случаи придётся и на полную. И делить их тут как-то бессмысленно, или разбивать
их чисто на l2tp И на pptp - не вижу резонности тоже.

У Вас это целый проект уже получается, на Вашем месте я бы почитал/поискал другие
похожие решения, или частично сделанные. Опять же, кажется на МУМе-2017 года
примерно что-то похожее было публично представлено
(сеть на базе рртр подключений с резервированием).
По изучайте более детально.

P.S.
Обычно когда мы подключаемся к провайдеру, сразу берём /29 (минимум) сетку,
а то и /28. Сервера, маршрутизаторы - лишнем не будет. Для организации
150р х (N=NET-2) это нормально, незаметно.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Volant
Сообщения: 43
Зарегистрирован: 26 фев 2018, 18:32
Контактная информация:

11 сен 2019, 11:21

Vlad-2 писал(а):
10 сен 2019, 15:14
И опять же, если делать маршрутизацию + маркировки, завернуть все подключения
(адреса клиентов, сделать подсеть/подсети нарезать) и их на центральный роутер (CHR).
И оттуда уже в глобал по/через реальный адрес.
(вот Вам частичная подсказка).
ну, так сейчас и реализовано(в рамках тестирования) - юзеры гостевой сети ломятся в инет через CHR. и канал на CHR позволяет и мощностные ресурсы... но мне просто это не нравится..) ну не интересно это и нефиг им там делать.
Vlad-2 писал(а):
10 сен 2019, 15:14
Маршрутизация и маркировка такое позволяют - заворачивать и отправлять клиента(ов)
куда надо (ещё раз повторюсь в рамках IP-сетей). НО каналы (туннель) использоваться
в любом случаи придётся и на полную. И делить их тут как-то бессмысленно, или разбивать
их чисто на l2tp И на pptp - не вижу резонности тоже.
Это как раз все понятно, что позволяют и как работает в целом. Единственное, что не хочу пускать юзверей в рабочий туннель. Вы как раз и натолкнули на мысль в своем предыдущем посте...
Два клиента l2tp поднять на одной железке не получится(писал об этом ранее), точнее - поднять то получится, но работать будет только один. Допускаю, что есть какие то нюансы о которых я не знаю и с помощью которых данный момент можно разрешить.
зы. Поднял pptp, через него прокинул vlan - юзвери не лезут в рабочий туннель, хотспот работает, но в целом цель не достигнута(может просто много хочу - хз)
Vlad-2 писал(а):
10 сен 2019, 15:14
У Вас это целый проект уже получается, на Вашем месте я бы почитал/поискал другие
похожие решения, или частично сделанные. Опять же, кажется на МУМе-2017 года
примерно что-то похожее было публично представлено
(сеть на базе рртр подключений с резервированием).
По изучайте более детально.
Так и делаю, да - гуглю, гуляю с псом по побережью и гоняю всю эту кашу у себя в голове, пытаясь разложить по полкам.
Vlad-2 писал(а):
10 сен 2019, 15:14
Мда,
Микротиков за 20, подключения все "серые", за адреса жалко, но сервис хотим.
Так вообще то не делается, если уж по честному говорить.
Позволю себе немного пофлудить..)
В предыдущем своем посте написал слово -нецелесообразно, это вы прочли как жалко... мне не жалко - я считаю эти траты именно нецелесообразными.
Поясню почему - предыстория такова, что на этих > чем 20 точках стояли мыльницы асус, задача стояла тупо пускать юзверей в инет. Дальше встала необходимость обеспечить все эти точки голосовой связью - здесь проблем не возникло - на vps был поднят asterisk, в асусы воткнули железные телепоны, необходимости в белых ip не возникло, по той причине, что клиенты asterisk сами ломятся к нему. Дальше встала необходимость за всем этим хозяйством наблюдать визуально, те, воткнуть ip камеры.. и... случился затык - камеры не ломятся на свой сервер как телепоны к своему серверу. Это сервер nvr обращается к камере, что бы захватить с нее поток, а для этого, как вы понимаете, нужен белый ip на точке с камерой. И именно в этот момент мне стало именно ЖАЛКО денег на белые адреса. И именно это самое жалко ставит тебя перед выбором - тупо платить или начинать думать.
В итоге - асусы были сняты с точек и успешно проданы, а на их место встали микротики. На vps за 200р/мес был поднят l2tp сервер, все точки, включая сервер nvr(видеонаблюдение) были объединены в локалку и все чудесным образом заработало! ммм.. а сколько вкусностей принесла с собой локалка - что это такое и что в себе несет, я, на тот момент, понимал с теоретической точки зрения, а потрогав руками -это как с сиськами - на картинке красиво, а когда трогаешь - непередаваемое ощущение..)
В целом, железо собранное из узлов и агрегатов - это машина, в частности микротик, а машина должна работать! так вот пусть работает, а не булки расслабляет.
Vlad-2 писал(а):
10 сен 2019, 15:14
P.S.
Обычно когда мы подключаемся к провайдеру, сразу берём /29 (минимум) сетку,
а то и /28. Сервера, маршрутизаторы - лишнем не будет. Для организации
150р х (N=NET-2) это нормально, незаметно.
Стесняюсь спросить -а для кого это НЕнормально, заметно?

Любая коммерческая деятельность, в первую очередь, направлена на извлечение прибыли - такова ее природа, все остальное - второстепенно(давайте только про нравственность топить не будем). Сэкономленные деньги=заработанные деньги! - народная мудрость, не доверять ей у меня нет причин. Кто то из великих пиндосов(если не ошибаюсь) когда то сказал -деньги лежат у вас под ногами, вам всего лишь нужно найти способ нагнуться и поднять их.
Вот к примеру - в одном многоквартирном доме, в одном подъезде, у меня есть 4 квартиры, каждая квартира подключена к прову за 300р/мес, канал на каждом подключении 30Мбит(самый дешевый анлим). Что бы юзвери ходили в инет(фильмы в онлайне, серфинг) и что бы работала моя кухня с телефонией и наблюдением - канала в 5Мбит заглаза... Руководствуясь тем, что 300р/мес - это недорого, несущественно, я подключаю все точки к прову и плачу ему 1200р/мес, прекрасно понимая на тот момент(теоретически), что имея многофункциональную железку микротик, это делать совершенно не нужно.. Но мне ж недорого и несущественно... мне просто лень. Лень думать.. А делов то - оставь одно подключение к прову, протащи в стояках витую пару(ни каких препятствий к этому нет), прокинь vlan - готово. А за эту лень я плачу(только в этом маленьком сегменте за три ненужных подключения к прову) 900р/мес=10.8тр/год. Добавим сюда белые адреса для двадцати точек - 3тр/мес=36тр/год Итого: 10.8+36=46.8тр/год. Год - это совсем быстро...
Влад, готовы сейчас в форточку выбросить почти полтинник?.. думаю, что этому, почти полтиннику, можно найти более разумное применение.

зы.
Идея хотспота живет достаточно давно, останавливающим фактором было некорректная работа при редиректе на https ресурсы, но буквально на днях вспомнил снова про этот хотспот, немного погуглив(вдруг что изменилось в плане редиректа) наткнулся на пост vqd, в котором он говорит о применении серта letsencript для хотспота.. - и тут до меня дошло... с теоретической точки зрения должно работать нормально. Вот хочу реализовать.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2031
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

11 сен 2019, 12:22

Отвечу кратко:

1) попробуйте внутри туннеля (l2tp) засунуть не вилан, а EoIP, с ним тоже не всё гладко,
зато там почти идеально-чистый L2-уровень, но советую сразу трафик/сеть для EoIP
делать отдельным бриджом. Чем меньше данных в EoIP и чем он отделён от общего,
тем лучше. Короче делить, дробить и пробовать.

2) личные деньги я не выкидываю, для меня и 500 рублей деньги, я не жмот, но считать умею.
Но зная своё руководство, начальство и предвидя в будущем (админ должен это уметь делать),
а также зная характер работы ИТ-руководство, для меня взять в аренду 13 адресов,
и чтобы за их платила организация и чтобы ИТ-руководитель и/или разработчик имели
прямой/индивидуальный доступ/а то и сервис(ы) свой(и) напрямую - оно того стоит.
И мне спокойно и им хорошо.
Плюс, эти айпишники у нас стоят в филиале, и даже один я по вилану забрал домой. ::yaz-yk:

Как Вы и писали: "думаю, анализирую, и экономлю" :-) :smu:sche_nie:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить