+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Горячая точка на rb532

Горячая точка на rb532, RouterOS

brammator

Guest

08.02.2006 14:35:00

У меня есть рабочий HotSpot сайт на 2.8 ROS (теперь не обновляется), и хочу настроить второй сайт на 2.9, но никак не могу разобраться. Кажется, всё совсем изменилось. В 2.8 была специальная служба ‘hotpost’ и правила брандмауэра для перенаправления всех неавторизованных попыток на него. Похожего ничего не могу найти в 2.9. Нужно ли мне добавлять правила брандмауэра в 2.9 вручную, как это было нужно в 2.8, или это будет автоматизировано с помощью "/ ip hotspot setup"? Еще, я могу просто проверить свою hotspot-бокс 2.8 извне, подключившись через IE к порту hotpost, и появляется страница входа. Как это сделать в 2.9? Может быть, это ограничения лицензии? У меня RB с 2.9 на уровне 3. В руководстве сказано, что L3 имеет только одно HotSpot-соединение. Может кто-нибудь скинуть мне "/ export" с работающего hotspot 2.9? Спасибо.

cmit

Guest

08.02.2006 21:44:00

Вы абсолютно правы, 2.9 hotspot — это совсем другое дело. В принципе (если у вас настроен рабочий интернет/канал связи на вашем роутере), вы можете просто использовать предоставленный мастер настройки, чтобы создать работающий hotspot за считанные секунды. Вне всяких настроек (таких как формирование полосы пропускания, файрволы, кастомизация HTML-страниц hotspot и т.д.), этого должно быть достаточно. Если это не сработает для вас, пожалуйста, напишите ещё раз и укажите больше деталей о том, что вы сделали и что не сработало. С наилучшими пожеланиями, Christian Meis.

brammator

Guest

08.02.2006 22:04:00

Что я хочу: настроить HS без NAT и маскирования (с реальными IP-адресами). Что я сделал: запустил /ip hotspot setup 1-) Что я ожидал: какой-нибудь способ добраться до страницы входа, чтобы протестировать HS из очень удаленного места. Что я сделал позже: обновился с 2.9.rc8 до 2.9.12, добавил ещё одну запись HS для внешней интерфейса, игрался с опциями... теперь моя /ip hotspot entry выглядит так: / ip hotspot add name="hs-ether1" interface=ether1 profile=hsprof-outer idle-timeout=5m keepalive-timeout=none disabled=yes add name="hs-ether2" interface=ether2 profile=hsprof1 idle-timeout=5m keepalive-timeout=none disabled=no / ip hotspot service-port set ftp ports=21 disabled=no / ip hotspot profile set default name="default" hotspot-address=0.0.0.0 dns-name="" html-directory="" rate-limit="" http-proxy=0.0.0.0:0 smtp-server=0.0.0.0 login-by=cookie,http-chap http-cookie-lifetime=3d split-user-domain=no use-radius=no add name="hsprof1" hotspot-address=[inner-ip] dns-name="[inner-name]" html-directory="" rate-limit="" http-proxy=0.0.0.0:0 smtp-server=0.0.0.0 login-by=cookie,http-chap http-cookie-lifetime=3d split-user-domain=no use-radius=no add name="hsprof-outer" hotspot-address=[outer-ip] dns-name="[outer-name]" html-directory="" rate-limit="" http-proxy=0.0.0.0:0 smtp-server=0.0.0.0 login-by=cookie,http-chap http-cookie-lifetime=3d split-user-domain=no use-radius=no / ip hotspot user add name="[user]" password="[pass]" profile=default comment="" disabled=no / ip hotspot user profile set default name="default" idle-timeout=none keepalive-timeout=2m status-autorefresh=1m shared-users=1 transparent-proxy=yes open-status-page=always advertise=no Постой-ка. Оoooooooh черт побери. Внешняя была отключена. И если мы её включим... Oooh черт побери. Удача мне, я настроил рабочую пару логин/пароль для hotspot 1-) Теперь, да, всё работает точно. Спасибо за отличные изменения, понимание и сохранение всей этой "шумовой возни" в 2.8 было настоящей болью (особенно в нашей конфигурации "много-много-много VLANed hotspot").

brammator

Guest

08.02.2006 22:56:00

Помогите решить ещё одну проблему: при тестировании извне у меня тоже RADIUS-сервер. Так MT постоянно пишет 07:46:18 hotspot,info,debug ruser ([ip]): пытается войти по http-chap 07:46:20 hotspot,info,debug ruser ([ip]): вход не удался: RADIUS-сервер отвечает не очень хорошо, после / ip hotspot walled-garden ip add src-address=[radius-ip] action=accept comment=“” disabled=no add dst-address=[radius-ip] action=accept comment=“” disabled=no У меня есть auth-reqs на RADIUS-сервере, но нет логов (то же сообщение) / ip firewall filter add chain=output dst-address=[radius-ip] action=accept comment=“” disabled=no add chain=input src-address=[radius-ip] action=accept comment=“” disabled=no Это тоже не помогло. Сервер получает корректные access-reqs от MT и отправляет access-accept пакет. Какие есть предложения?

cmit

Guest

09.02.2006 08:18:00

Хотя запуск HotSpot на вашем внешнем интерфейсе кажется каким-то "наоборот" и "больно" вроде бы, я думаю, стоит посмотреть на функцию привязки IP-адресов в hotspot 2.9, которая позволяет обойти функциональность hotspot для хостов на "внутренней" стороне hotspot. В вашем конкретном случае RADIUS-сервер на внешней стороне должен быть "внутри" для hotspot, работающего на внешнем интерфейсе?! Сам не пробовал, можете попробовать… С наилучшими пожеланиями, Christian Meis

brammator Guest	#6 0 09.02.2006 08:34:00 Я отключил внешний хотспот и проверил работу изнутри. Всё равно: не удалось войти в систему, RADIUS-сервер не отвечает.

cmit

Guest

09.02.2006 08:53:00

Если запрос виден на RADIUS-сервере и видно, что отправляется ответ, то почти наверняка это связано с каким-то файрволом на вашем MikroTik. Можно сделать сетевой сниф на MikroTik, чтобы проверить, доходят ли ответные пакеты… С уважением, Christian Meis.

brammator

Guest

09.02.2006 08:59:00

Вот этого ещё больше: два правила фильтра межсетевого экрана: `/ip firewall filter add chain=output dst-address=[radius-ip] action=accept comment="" disabled=no add chain=input src-address=[radius-ip] action=accept comment="" disabled=no` – у них одинаковое количество правил и номера, они точно совпадают с теми, что я перехватил с помощью tethereal radius-пакетов. Значит, Access-Accept пакеты дошли до MT. Может быть, дело в том, что “hotspot-address” для внутренней конфигурации точки доступа – это INNER IP? И Access-Requests, которые я вижу на RADIUS, идут с внешней стороны (так что разрешенные пакеты тоже отправляются на внешнюю).

brammator

Guest

13.02.2006 12:36:00

66 3799… ether1 [mtik_addr]:1024 [radius_addrs]:1812 (radius) udp 192 67 3799… ether1 [mtik_addr]:1024 [radius_addrs]:1812 (radius) udp 192 68 3799… ether1 [mtik_addr]:1024 [radius_addrs]:1812 (radius) udp 192 69 3799… ether1 [radius_addrs]:1812 (radius) [mtik_addr]:1024 udp 60 70 3799… ether1 [radius_addrs]:1812 (radius) [mtik_addr]:1024 udp 60 71 3799… ether1 [radius_addrs]:1812 (radius) [mtik_addr]:1024 udp 60 72 3800… ether1 [mtik_addr]:1024 [radius_addrs]:1812 (radius) udp 192 73 3800… ether1 [mtik_addr]:1024 [radius_addrs]:1812 (radius) udp 192 74 3800… ether1 [mtik_addr]:1024 [radius_addrs]:1812 (radius) udp 192 75 3800… ether1 [radius_addrs]:1812 (radius) [mtik_addr]:1024 udp 71 76 3800… ether1 [radius_addrs]:1812 (radius) [mtik_addr]:1024 udp 71 77 3800… ether1 [radius_addrs]:1812 (radius) [mtik_addr]:1024 udp 71 78 3800… ether1 [mtik_addr]:1024 [radius_addrs]:1812 (radius) udp 192 79 3800… ether1 [mtik_addr]:1024 [radius_addrs]:1812 (radius) udp 192 80 3800… ether1 [mtik_addr]:1024 [radius_addrs]:1812 (radius) udp 192 81 3800… ether1 [radius_addrs]:1812 (radius) [mtik_addr]:1024 udp 71 82 3800… ether1 [radius_addrs]:1812 (radius) [mtik_addr]:1024 udp 71 83 3800… ether1 [radius_addrs]:1812 (radius) [mtik_addr]:1024 udp 71 84 3800… ether1 [mtik_addr]:1024 [radius_addrs]:1812 (radius) udp 192 85 3800… ether1 [mtik_addr]:1024 [radius_addrs]:1812 (radius) udp 192 86 3800… ether1 [mtik_addr]:1024 [radius_addrs]:1812 (radius) udp 192 87 3800… ether1 [radius_addrs]:1812 (radius) [mtik_addr]:1024 udp 71 88 3800… ether1 [radius_addrs]:1812 (radius) [mtik_addr]:1024 udp 71 89 3800… ether1 [radius_addrs]:1812 (radius) [mtik_addr]:1024 udp 71 all RADIUS packets reached MT successfully.

brammator

Guest

#10

06.03.2006 20:44:00

Всё та же картина с 2.9.12 и 2.9.13: access-accepts (и -rejects) успешно дошли до MT, но точка доступа всё равно выдаёт "RADIUS server not responding". Как обычно, три Access-Requests и три Access-Accepts. И никакой реакции от MT. Вижу пакеты с помощью сниффера, вижу их по правилу "LOG" в фаерволе, вижу, что они считаются по правилу "ACCEPT", но точка доступа – нет. MT rb 532, 128M NAND, 2.9.13 ROS, лицензия level 3.

brammator Guest	#11 0 06.03.2006 20:48:00 Чёрт возьми и слава богу. Заработало, и это без каких-либо перенастроек. Вот это магия, аж немного жутко. Надеюсь, не подведет снова.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры