Hướng dẫn cấu hình cơ bản Hotspot trên Router Mikrotik

Hostpot là một giải pháp giúp tăng cường khả năng quản lý, bảo mật và kiểm soát truy cập vào hệ thống mạng, đặc biệt giải pháp này còn mang lại cơ hội marketing cho các thương hiệu và dịch vụ một cách hiệu quả. Tuy nhiên, cách để cấu hình Hotpost trên Router thì không phải ai cũng biết. Trong bài viết này, RouterMikroTik sẽ hướng dẫn các bạn cách cấu hình Hotpost trên Router MikroTik một cách chi tiết nhất.

Hotspot là gì? Chức năng của Hotspot

Hotspot là một tính năng được sử dụng để cung cấp truy cập mạng thường được triển khai ở các khu vực công cộng đông người như: Sân bay, quán cà phê, khách sạn, trung tâm thương mại…. Thông thường, Hotpost thường sử dụng mạng Wifi thông qua mạng cục bộ không dây (WLAN) bằng thiết bị định tuyến được kết nối với ISP (nhà cung cấp dịch vụ internet). Việc sử dụng Hotspot sữ cung cấp xác thực cho người dùng trước khi truy cập vào mạng công cộng.

Một số chức năng của Hotspot

• Tùy chọn giữa sử dụng hotspot tích hợp sẵn có (Trình quản lý người dùng) hoặc máy chủ RADIUS bên ngoài.
• Có nhiều phương pháp xác thực khác nhau
• Tùy chỉnh trang đích đa dạng.
• Hệ thống danh sách truy cập không thông qua Hotspot.
• Hồ sơ người dùng khác nhau.

Các tính năng của HotSpot trên RouterOS

• Có nhiều phương thức xác thực khác nhau cho khách hàng bằng cách sử dụng cơ sở dữ liệu cục bộ trên bộ định tuyến hoặc máy chủ RADIUS từ xa. Người dùng có thể hạch toán trong cơ sở dữ liệu cục bộ trên bộ định tuyến hoặc trên máy chủ RADIUS từ xa.
• Hệ thống danh sách truy cập không thông qua Hotspot.
• Tùy biến trang đăng nhập, nơi bạn có thể đưa thông tin về công ty tới công chúng.
• Tự động hóa và kích hoạt IP thay đổi bất kỳ địa chỉ IP nào của khách hàng thành địa chỉ hợp lệ.
• Hotspot chỉ có thể hoạt động tin cậy khi sử dụng IPv4. Hotspot dựa trên các quy tắc NAT trong tường lửa và hiện không được hỗ trợ cho IPv6.

Hướng dẫn cách cài đặt Hotspot & quản lý cục bộ trên RouterOS

Bật Hotspot trên Router MikroTik 

Lưu ý !
– Bạn đảm bảo Router đã kết nối Internet thành công.
– Bạn cần chỉ định đúng Bridge nào hoặc cổng nào sẽ được sử dụng mạng Hotspot.

Giả sử bạn đang có một Router phiên bản hAP ac2 (RBD52G- 5HacD2HnD-TC) và mong muốn biến 2 card WiFi thành một mạng Hotspot cho cửa hàng / quán của mình

Ý tưởng: Bạn cần gộp cả 2 card wifi trên router thành một nhóm Bridge trước tiên. Sau đó, bạn gán IP, DHCP Server cho Bridge. Cuối cùng, hãy khởi tạo mạng Hotspot trên nhóm Bridge vừa tạo.

Để bật dịch vụ Hotspot, trước tiên bạn vào Menu IP –> Hotspot và chọn mục Hotspot Setup tại thẻ Servers.

Lưu ý !
Ngay khi cài đặt hoàn tất, một tài khoản truy cập Hotspot thử được tạo ra: admin / mật khẩu để trống.
Hãy sử dụng một thiết bị, kết nối vào mạng WiFi của Router và kiểm tra kết quả.

Giao diện khi đăng nhập vào mạng WiFi

Tùy biến trang đăng nhập

Mọi thông tin về trang hiển thị trên Router Mikrotik đều đặt trong một thư mục của bộ nhớ chính.

Bạn có thể tạo một tập hợp các trang hoàn toàn khác nhau cho mỗi máy chủ HotSpot mà bạn có, chỉ định thư mục trong thuộc tính “HTML Directory” tại thẻ Server Profiles.

Các trang mặc định được sao chép vào cùng trong thư mục “hotspot” ngay sau khi bạn tạo một máy chủ Hotspot. Thư mục này có thể được truy cập bằng cách kết nối với bộ định tuyến với máy tính có hỗ trợ FTP.

Bạn có thể sao chép thư mục này và sửa đổi các trang theo ý muốn bằng hiểu ý nghĩa các trang theo danh sách bên dưới. Lưu ý rằng nên chỉnh sửa các tệp theo cách thủ công, vì các công cụ chỉnh sửa HTML tự động có thể làm hỏng các trang bằng cách xóa các biến hoặc các phần quan trọng khác. Sau khi hoàn tất sửa đổi nội dung, bạn cần tải nội dung đã sửa đổi này lên một số thư mục tùy chỉnh trên bộ định tuyến hotspot và trỏ giá trị “HTML Directory” về thư mục mới này.

– redirect.html- chuyển hướng người dùng đến một url khác (ví dụ:đến trang đăng nhập).

– login.html – trang đăng nhập hiển thị để người dùng nhập tên người dùng và mật khẩu. Trang này có thể có các tham số sau:

• username – tên người dùng
• pasword – mật khẩu văn bản thuần (trong trường hợp xác thực PAP) hoặc băm MD5 của biến chap-id, mật khẩu và thách thức CHAP (trong trường hợp xác thực CHAP). Giá trị này được sử dụng làm địa chỉ email cho người dùng thử
• dst – URL gốc được yêu cầu trước khi chuyển hướng. Điều này sẽ được mở ra khi khách hàng đăng nhập thành công
• popup – có bật lên một cửa sổ trạng thái khi đăng nhập thành công hay không
• radius<id> – gửi thuộc tính được xác định bằng <id> ở dạng chuỗi văn bản đến máy chủ RADIUS (trong trường hợp xác thực RADIUS được sử dụng)
• radius<id>u – gửi thuộc tính được xác định bằng <id> ở dạng số nguyên không dấu đến máy chủ RADIUS (trong trường hợp xác thực RADIUS được sử dụng)
• radius<id>-<vnd-id> – gửi thuộc tính được xác định bằng <id> và ID nhà cung cấp <vnd-id> ở dạng chuỗi văn bản đến máy chủ RADIUS (trong trường hợp xác thực RADIUS được sử dụng)
• radius<id>-<vnd-id>u – gửi thuộc tính được xác định bằng <id> và ID nhà cung cấp <vnd-id> ở dạng số nguyên (Integer Unsigned) không dấu đến máy chủ RADIUS (trong trường hợp xác thực RADIUS được sử dụng).
• md5.js-JavaScript để băm mật khẩu dạng MD5. Được sử dụng cùng với phương thức đăng nhập http-chap.
• alogin.html – trang hiển thị sau khi khách hàng đã đăng nhập. Trang bật lên và chuyển hướng trình duyệt đến trang được yêu cầu ban đầu (trước khi anh ấy/cô ấy được chuyển hướng đến trang đăng nhập HotSpot)
• status.html – trang trạng thái, hiển thị số liệu thống kê cho khách hàng. Nó cũng có thể hiển thị quảng cáo tự động.
• logout.html – trang đăng xuất, hiển thị sau khi người dùng đăng xuất. Hiển thị số liệu thống kê cuối cùng về phiên kết thúc. Trang này có thể lấy các tham số bổ sung sau:
• erase-cookie – có xóa cookie khỏi máy chủ HotSpot khi đăng xuất hay không (không thể đăng nhập bằng cookie vào lần sau từ cùng một trình duyệt, có thể hữu ích trong môi trường nhiều người dùng)
• error.html – trang lỗi, chỉ hiển thị trên các lỗi nghiêm trọng..

Lưu ý!
Để thiết kế một trang giao diện thật hoàn hảo, bạn phải am hiểu các kĩ thuật thiết kế trang web và một ngôn ngữ của chúng.

Để truy cập vào thư mục Hotspot trong Router Mikrotik, bạn cần kiểm tra dịch vụ FTP trên Router đang mở hoặc đang tắt (nếu tắt, hãy bật dịch vụ này lên), bằng cách vào MenuIP–Services.

Từ trong mạng nội bộ, bạn hãy mở File Explore và nhập vào địa chỉ của Router, bằng cách gõ cú pháp: ftp://192.168.1.1

Một cửa sổ yêu cầu đăng nhập, bạn sử dụng thông tin đăng nhập trong công cụ Winbox để tiếp tục truy cập.

Khi đăng nhập thành công, các thông tin về thư mục và tệp trong bộ nhớ Mikrotik được hiển thị chi tiết.

Khi bạn vào thư mục Hotspot, toàn bộ các tệp được liệt kê.

Có 2 cách để có một giao diện Hotspot mới !

• Cách1: Bạn có thể tải các tệp giao diện miền phí trên Internet về, sau đó giải nén và dán đè vào trong thư mục Hotspot hiện tại.
• Cách2: Sao chép các tệp trong thư mục Hotspot hiện tại. Sau đó, bạn sử dụng các công cụ chỉnh sửa HTML để hiệu chỉnh giao diện theo mong muốn.

Tùy chỉnh máy chủ Hotspot cho mỗi mạng khác nhau

Tùy chỉnh máy chủ Hotspot giúp bạn dễ dàng phân phối các phương pháp xác thực và bảo mật, tùy vào từng khu vực.

Để tạo một máy chủ Hotspot mới, bạn sử dụng thẻ Servers.

Để thay đổi thuộc tính máy chủ, bạn sử dụng thẻ ServerProfiles. Mặc định, khi khởi tạo một Hotspot, bạn luôn có một thuộc tính cho Hotspot đã tạo. Bảng dưới đây sẽ liệt kê cụ thể:

Thận trọng!

Việc xác định nhầm một thuộc tính cho một máy chủ Hotspot có thể khiến cho mạng Hotspot hoạt động không chính xác hoặc lỗi.

Ý nghĩa một số thuộc tính trong thẻ Server Profiles:

Với thẻ General:

• HTML Directory: Thư mục chứa tệp hiển thị cho mạng Hotspot.
• Rate Limit (rx/tx): Gán băng thông tối đa cho cả mạng Hotspot.
• HTTP Proxy và HTTP Proxy Port: Máy chủ Proxy cho Hotspot và cổng lắng nghe tương ứng.
• SMTP Server: Máy chủ giám sát dịch vụ từ xa.

Với thẻ Login:

• MAC: Đăng nhập Hotspot bằng địa chỉ MAC
• HTTP CHAP: phương pháp đơn giản nhất, hiển thị trang đăng nhập HotSpot và nhận được thông tin xác thực (nghĩa là tên người dùng và mật khẩu) bằng văn bản thuần túy. Các thông tin này hoàn toàn không mã hóa khi truyền đi trên mạng.
• HTTP PAP: phương pháp tiêu chuẩn, bao gồm một thử thách CHAP trong trang đăng nhập. Hàm băm CHAP MD5 được sử dụng cùng với mật khẩu của người dùng để tính toán chuỗi và được gửi thẳng đến cổng HotSpot. Kết quả băm (dưới dạng mật khẩu) cùng với tên người dùng được gửi qua mạng đến dịch vụ HotSpot (vì vậy, mật khẩu không bao giờ được gửi dạng văn bản thuần qua mạng IP). Về phía máy khách hàng, thuật toán MD5 được triển khai trong Java Script, do đó, nếu một trình duyệt không hỗ trợ JavaScript (ví dụ như Internet Explorer 2.0 hoặc một số trình duyệt PDA) hoặc nó đã bị tắt JavaScipt, nó sẽ không thể xác thực người dùng. Bạn có thể cho phép mật khẩu không được mã hóa được chấp nhận bằng cách bật phương thức xác thực HTTP PAP, nhưng không được khuyến nghị do bảo mật.
• MAC Cookie: MAC cookie là một tính năng hotspot mới, được thiết kế để cải thiện khả năng truy cập cho điện thoại thông minh, máy tính xách tay và các thiết bị di động khác. Khi tính năng cookie MAC được bật các hành động sau được thực hiện: đăng nhập thành công lần đầu tiên. Hotspot giữ bảng chào tên người dùng và mật khẩu cho địa chỉ MAC nếu chỉ có một thiết bị có địa chỉ MAC đó. Khi một thiết bị mới xuất hiện, Hotspot lại kiểm tra bảng chào MAC Cookie cho địa chỉ MAC này và đăng nhập. Nếu có nhiều hơn một thiết bị có cùng địa chỉ MAC, người dùng sẽ không thể đăng nhập và bảng chào MAC Cookie cho địa chỉ này sẽ bị xóa trên Hotspot.
• Cookie: sau mỗi lần đăng nhập thành công, một cookie được gửi đến trình duyệt web và cùng một cookie được thêm vào danh sách cookie HTTP đang hoạt động trên Router. Lần tới, cùng một người dùng đó sẽ cố gắng đăng nhập, trình duyệt web sẽ gửi cookie HTTP đã lưu về Hotspot Router. Cookie này sẽ được so sánh với cookie được lưu trữ trên cổng HotSpot và chỉ khi địa chỉ MAC nguồn và ID được tạo ngẫu nhiên khớp với thông tin Cookie trên Hotspot Router, người dùng sẽ được đăng nhập tự động bằng thông tin đăng nhập (tên người dùng và mật khẩu) được sử dụng ở lần đăng nhập đầu tiên. Nếu không khớp, người dùng sẽ được nhắc đăng nhập và trong trường hợp xác thực thành công, cookie cũ sẽ bị xóa khỏi danh sách cookie hoạt động HotSpot; một ID ngẫu nhiên khác nhau và thời gian hết hạn sẽ được thêm vào danh sách và gửi vào lại trình duyệt web của máy khách. Phương pháp này chỉ có thể được sử dụng cùng với các phương thức HTTP PAP, HTTP CHAP hoặc HTTPS.
• MAC – cố gắng xác thực máy khách hàng ngay khi chúng xuất hiện trong danh sách thiết bị trong Hotspot (tức là, ngay khi chúng gửi bất kỳ gói tin nào đến máy chủ HotSpot), sử dụng địa chỉ MAC của máy khách hàng làm tên người dùng.
• HTTPS: giống như HTTP PAP, nhưng sử dụng giao thức SSL để mã hóa thông tin tên truy cập và mật khẩu khi truyền. Người dùng HotSpot chỉ cần gửi mật khẩu của mình mà không cần băm thêm (lưu ý rằng bạn không cần phải lo lắng về việc lộ mật khẩu qua mạng, vì chính việc truyền được mã hóa nhờ SSL). Trong cả hai trường hợp, phương thức POST HTTP (nếu không thể, thì- Phương thức HTTP GET) được sử dụng để gửi dữ liệu đến cổng HotSpot.
• Trial: người dùng có thể được phép sử dụng dịch vụ miễn phí trong một khoảng thời gian để đánh giá dịch vụ mạng và chỉ được yêu cầu xác thực sau khi khoảng thời gian này kết thúc. HotSpot có thể được cấu hình để cho phép một hạn chế thời gian cho mỗi địa chỉ MAC được sử dụng với một số hạn chế băng thông trong hồ sơ người dùng. Trong trường hợp địa chỉ MAC vẫn còn một số thời gian dùng thử chưa được sử dụng, một trang đăng nhập sẽ chứa liên kết để đăng nhập dùng thử. Thời gian được tự động đặt lại sau khoảng thời gian được định cấu hình (ví dụ: bất kỳ địa chỉ MAC nào cũng có thể sử dụng 30 phút mỗi ngày mà không cần đăng nhập). Tên người dùng của một người dùng có dạng “T-XX:XX:XX:XX:XX:XX” (trong đó XX: XX:XX:XX:XX:XX là địa chỉ MAC của anh ấy/cô ấy).

Với thẻ RADIUS:

Sử dụng việc xác thực bằng các máy chủ RADIUS bên ngoài.

Lời khuyên !
Nếu bạn chỉ chọn mô hình triển khai Hotspot để xác thực người dùng qua Hotspot, hãy chọn giá trị duy nhất HTTP PAP mà thôi.

Tùy chỉnh thuộc tính nhóm người dùng Hotspot.

Hiệu chỉnh các nhóm người dùng trong một hoặc nhiều mạng Hospot tạo ra nhiều ích lợi trong không gian Internet cho mỗi đối tượng khách hàng khác nhau.

Mỗi người dùng khi bạn tạo ra, nó thuộc nhóm mặc định “Default”.

Những thuộc tính trong thẻ Users và User Profiles.

Với thẻ Users:

 

Với thẻ User Profiles:

Ở đây chúng ta để ý các tham số sau:

• Session Timeout: Thời gian user được phép sử dụng, sau khi hết thời gian này sẽ tự động logout
• Idle Timeout: thời gian nếu user không sử dụng mạng sẽ tự động logout
• Keepalive Timeout: thời gian dùng cho user(client) đăng nhập mạng sau khi kết nối, nếu sau thời gian này user chưa đăng nhập thì địa chỉ IP sẽ được cấp cho user khác.
• Share Users: cho phép bao nhiêu client dùng chung một account
• Incoming Filter/Outgoing Filter: chọn các Chain tường lửa cho các gói tin đi vào/ra, các chain này thông dụng trên các firewall trên nền tảng Linux.
• Phần Transparent Proxy nên tắt (không chọn dấu check)

* Để định hướng người sử dụng sau khi đăng nhập xong sẽ mở một trang web nào đó (quảng cáo…) chúng ta click vào tab Advertise rồi nhập địa chỉ website vào.

Kết luận

Trên đây là bài hướng dẫn cấu hình Hotspot trên Router MikroTik đầy đủ. Chỉ với vài bước đơn giản các bạn đã có thể tự cấu hình ngay tại nhà một cách dễ dàng. Cảm ơn các bạn đã theo dõi bài viết và đừng quên theo dõi RouterMikroTik.com để có thêm nhiều thông tin, hướng dẫn hữu ích về kiến thức mạng. Chúc các bạn thành công.