+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Аутентификация по IP в Mikrotik Hotspot

Аутентификация по IP в Mikrotik Hotspot, RouterOS

netboyzin

Guest

04.03.2015 14:56:00

Всем привет! Я хочу добиться ровно того же, что и MAC-аутентификация в Mikrotik Hotspots (когда клиент проходит аутентификацию без запроса логина и пароля в Captive Portal), но в моём случае — по IP, а не по MAC. Потому что из-за наличия L3-коммутатора под Hotspot мы не получаем MAC-адреса абонентов. Возможно ли в Mikrotik Hotspots автоматически аутентифицировать абонентов по их IP-адресам? В Cisco ISG это делается через создание базы данных IP-адресов прямо в ISG, так что когда приходит сессия абонента для аутентификации, сначала проверяется база TAL — если IP есть в базе, клиент автоматически входит, иначе его направляют на Captive Portal для ручного входа. Любая помощь будет очень полезна. Заранее спасибо! Abhishek

netboyzin Guest	#2 0 13.04.2015 06:19:00 Как мне организовать биллинг, если я обхожу IP при использовании функции IP Binding? Абхишек

netboyzin

Guest

07.04.2015 08:35:00

Всем привет! Должен быть какой-то способ учёта IP-аутентификации, когда пользователям не нужно вручную вводить свои данные для входа. Если это невозможно в текущей прошивке, будет ли это реализовано в будущих версиях? Абхишек

TomosRider Guest	#4 0 07.04.2015 09:27:00 Здравствуйте. Насколько я понял, вы ищете способ, чтобы пользователи могли пропускать процесс входа в точке доступа? Если это так, то вы можете добиться этого с помощью функции привязки IP.

netboyzin

Guest

07.04.2015 13:16:00

Привет! Во-первых, спасибо за ответ. Я не собираюсь обходить процесс входа — он выполняется с помощью функции IP Binding, и это нормально. Когда абонент пытается открыть сайт, ему показывается captive portal, через который он входит и пользуется интернетом. Теперь, если я хочу, чтобы абонент вообще не видел captive portal и при попытке открыть интернет проходил аутентификацию автоматически, чтобы просто сразу выходить в сеть. В Mikrotik такую аутентификацию можно сделать через Mac Authentication, тогда клиент автоматически проходит авторизацию по своему MAC-адресу и каждый раз при выходе в интернет не видит страницу captive portal. Но в моём случае у меня нет MAC-адресов всех абонентов, чтобы использовать Mac Authentication. Зато у меня есть IP-адрес каждого абонента, и с его помощью я хочу добиться того же результата, что и с Mac Authentication — это возможно в Mikrotik? Буду рад любому ответу. Abhishek

ZeroByte

Guest

07.04.2015 13:54:00

Если зайти в IP > Hotspot > IP Bindings, можно создать постоянные привязки. Address = реальный адрес устройства. To Address = такой же, как Address. Type = bypass. Это навсегда позволит пользователю заходить в сеть, но при этом больше не будет работать учёт AAA. По сути, если у хоста есть этот IP-адрес, он всегда сможет выходить в интернет. Хотя аутентификация по IP довольно слабая. Ты пробовал использовать cookies?

netboyzin

Guest

08.04.2015 08:47:00

Привет! Спасибо за твой ответ. Обход IP через функцию IP Binding действительно обходит все процессы аутентификации и учёта. Ты прав. Я не пробовал функцию Cookies, можешь подробнее объяснить? Она может выполнять функции AAA и при этом избавить от необходимости каждый раз вручную входить через Captive Portal? Абхишек

ZeroByte

Guest

08.04.2015 12:48:00

Да, если включить http-куки как метод входа, то когда браузер зайдёт на страницу входа, он увидит куки и автоматически пройдёт аутентификацию. Если страница после входа сможет успешно отправить браузер на тот адрес, который он изначально запрашивал (без страниц «спасибо», «добро пожаловать» и т.п.), то для браузера процесс будет полностью прозрачным. Конечно, для пользователей, которые пользуются не веб-приложениями, а другими программами, это уже не будет так просто, так что имейте это в виду. Лично я не фанат хотспотов. Они мне кажутся раздражающей головной болью и для пользователя, и для меня как администратора.

netboyzin

Guest

08.04.2015 13:44:00

Насколько я понимаю, включение метода http cookie будет применяться ко всем пользователям, которые подключаются к этой точке доступа. Есть ли какой-то способ выборочно включить аутентификацию через http-cookie только для некоторых пользователей? Например, при аутентификации по MAC-адресу я могу выборочно активировать эту функцию для отдельных пользователей, создавая в AAA User-Name по их MAC-адресам. Abhishek

ZeroByte

Guest

#10

08.04.2015 13:56:00

Ну, у пользователя есть куки только если он раньше успешно вошёл в систему, и если аккаунт просрочен, то куки всё равно его не пустят — это просто способ пропустить ручной ввод данных при входе. Кажется, нельзя сделать так, чтобы вход по кукам был разрешён только для некоторых пользователей, а для других — нет.

boen_robot

Guest

#11

08.04.2015 16:03:00

Есть MAC куки, которые делают примерно то же самое, но привязаны к MAC-адресу (и автоматически авторизуют пользователя, который в последний раз входил с этого MAC-адреса), в отличие от обычных куки, которые привязаны к имени пользователя (и будут работать даже если пользователь за это время сменил MAC-адрес). MAC куки можно включать или отключать выборочно для каждого профиля пользователя.

ZeroByte Guest	#12 0 08.04.2015 16:16:00 Работают ли MAC-куки, если клиенты находятся за роутером без NAT или псевдомостом Wi-Fi-клиента? (то есть в любой ситуации, где невозможно получить настоящий MAC-адрес пользователя)

netboyzin

Guest

#13

09.04.2015 10:46:00

Привет, Zerobyte. Ты прав — мои подписчики находятся за коммутатором уровня 3, поэтому в хотспоте мы не можем получить реальные MAC-адреса клиентов. В хотспоте виден только MAC-адрес коммутатора уровня 3. Мы видим только IP-адреса подписчиков, поэтому все действия должны базироваться на IP, а не на MAC. В Cisco ISG мы создаём список IP-адресов TAL-подписчиков. Перед началом сессии проверяется этот список — если IP-запроса есть в списке, он обходится без перенаправления L4, иначе пользователя переадресуют на captive portal. Abhishek

loveman

Guest

#14

09.04.2015 21:22:00

Я понимаю, что вы работаете методом, который может обойти защиту с помощью функции IP Binding, но для обхода нужна MAC-адреса, а ваш метод работает с IP (обход по IP, а не по MAC). Моя идея основана только на обходе по MAC. Спасибо.

ZeroByte Guest	#15 0 13.04.2015 15:02:00 Обход привязки именно это и сделает — позволит миновать хотспот, чтобы за это не начисляли оплату. Перед вами такой набор вариантов: Отказаться от авторизации по IP: разрешить использование cookies для входа (для большинства пользователей это должно работать отлично и требует только открытия окна браузера — никакого ввода вручную). Сделать сеть плоской на уровне 2 и использовать аутентификацию по MAC-адресу. Настоять на авторизации по IP: использовать другое решение, не Mikrotik. Мой личный совет — авторизация по IP очень ненадёжна. Никто не мешает любому человеку вручную прописать любой IP-адрес, поменять его на другой и украсть доступ другого пользователя, когда тот отлучился. Не забывайте главное: ваша настоящая цель — не включить авторизацию по IP. Ваша настоящая цель — дать пользователям более удобный опыт, чтобы не приходилось вводить пароль на веб-странице каждые 15 минут, если они отошли от компьютера. Я советую использовать аутентификацию на основе портов — проверять пользователя по MAC-адресу сразу при подключении к порту коммутатора, применяя EAP для профильного входа в Wi-Fi. Или использовать PPPoE или другой способ аутентификации на более низком уровне. По сути, если сеть с самого начала будет знать, кто подключается, вам станет гораздо комфортнее работать.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры