MikroTik

WIRELESS CLIENT AUTHENTICATION THROUGH RADIUS SERVER (USER-MANAGER V7)

Posted on by Bùi Quang Chính

WIRELESS CLIENT AUTHENTICATION THROUGH RADIUS SERVER V7 (USER MANAGER V7)

Nội dung bài viết:

  1. Overview
  2. Mô hình triển khai
  3. Cài đặt Uer Manager cho Router
  4. Cấu hình Hotspot
  5. Cấu hình RADIUS
  6. Cấu hình User Manager v7
  7. Bonus

OVERVIEW:

User Manager là RADIUS server trong RouterOS, cung cấp xác thực và uỷ quyền người dùng cho một dịch vụ nhất định. Có database cho phép theo dõi người dùng, khách hàng một cách tốt hơn.

User Manager là một gói riêng biệt, có sẵn cho tất cả các cấu trúc CPU ngoại trừ SMIPS. Tuy nhiên, phải cẩn thận do dung lượng ổ đĩa trống sẵn có hạn, với các thiết bị dung lượng ổ đĩa thấp có thể sử dụng usb hoặc microSD (nếu thiết bị hỗ trợ) để lưu trữ.

User Manager hỗ trợ nhiều phương thức xác thực khác nhau bao gồm: PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP-TLS, EAP-TTLS và EAP-PEAP. Trong RouterOS thì DHCP, Dot1x, Hotspot, Ipsec, PPP và Wireless là những tính năng được hỗ trợ tốt nhất từ User Manager.

MÔ HÌNH TRIỂN KHAI:

Với nhu cầu quản lí người dùng một cách chặt chẽ, ràng buộc, giới hạn dung lương up/down, giới hạn tổng dụng lượng được sử dụng trong khoảng thời gian nhất định….như các mô hình nhà trọ, kí túc xá. Thì sử dụng Router Mikrotik với cấu hình User Manager là lựa chọn hoàn hảo nhất.

Trong bài này sẽ hướng dẫn cấu hình Hotspot, chứng thực người dùng bằng User Manager, người dùng có thể kết nối wifi bằng Voucher (có thể customize để dùng Qrcode hoặc Voucher đẹp mắt hơn). Và hAP ax3 trong bài này sẽ đảm nhận các nhiệm vụ: Router, Radius Server, Hotspot Server, và Access Point.

Hệ thống có 3 gói internet cơ bản:

  • Gói Basic: Giới hạn upload/download: 5M/5Mb, tổng dung lượng trong 30 ngày: 60Gb
  • Gói Standard: Giới hạn upload/download: 10M/10M, tổng dung lượng trong 30 ngày: 90Gb
  • Gói VIP: Không giới hạn tốc độ, không giới hạn dung lượng trong 30 ngày.

CÀI ĐẶT USER MANAGER cho ROUTER:

Vì User Manager là 1 gói riêng biệt nên cần tải về và cài đặt cho Router, cần chọn đúng cấu trúc CPU, version RouterOS và chọn file “all_packages_…” ở đây. Sau khi tải về, giải nén, chọn gói user-manager kéo thả vào mikrotik và reboot lại thiết bị là đã cài đặt được user manager cho router.

Tạo 1 Bridge, xác định và add các interface sẽ tham gia hotspot + user manager vào bridge, ở đây tôi add 2 interface wireless và ether5 (ether5 để sử dụng cho AP, có thể AP khác Mikrotik vẫn được).

CẤU HÌNH HOTSPOT:

Hotspot cấu hình cơ bản, không cần cấu hình user, cho phép chứng thực qua HTTP-PAP như ảnh bên dưới:

Để người dùng hotspot có thể chứng thực thông qua User Manager và áp dụng các chính sách do User Manager chỉ định, chỉ cần set “use-radius=yes”“radius-accounting=yes” ở IP/Hotspot/Profile.

Khi setup mô hình này vô tình không để ý sẽ gặp trường hợp người dùng tuy đã đến ngưỡng các giới hạn cho phép nhưng vẫn truy cập, sử dụng internet bình thường. Chỉ cần set “Interim update=00:00:01”, như vậy cứ 1 giây hotspot sẽ cập nhật với Radius Server về tất cả các thông tin liên quan đến người dùng như download-limit, upload-limit, uptime-limit…..và sẽ ngắt kết nối người dùng khi các giới hạn đạt đến ngưỡng tối đa cho phép.

 

CẤU HÌNH RADIUS:

Ở mô hình này, RADIUS giữ vai trò là RADIUS Client, gửi tất cả các requests đến User Manager (RADIUS Server), nên lúc này chỉ cần khai báo các thông tin cơ bản: service sử dụng Radius, địa chỉ Radius Server, Protocol, Port và mật khẩu xác thực với Radius Server:

CẤU HÌNH USER MANAGER V7 (RADIUS SERVER):

Trước tiên, enable User Manager, khai báo thông tin tương tự như cấu hình RADIUS:

  • CẤU HÌNH PROFILES:

Ở đây sẽ khai báo các thông tin cơ bản như Name, Validity (thời hạn hiệu lực của Profile), Starts When (Thời điểm bắt đầu của Profile) tương ứng cho từng gói Internet của yêu cầu trong bài viết:

  • CẤU HÌNH LIMITATIONS:

Ở limitations sẽ khai báo các chính sách về dung lượng, tương ứng cho từng gói Internet như ảnh bên dưới:

 

  • Transfer Limit: Tổng dung lượng người dùng được phép sử dụng, đơn vị tính bằng Bytes (B)
  • Rx/Tx Rate Limit: Dung lượng Download/Upload cho từng người dùng.
  • Reset Counters Interval: Giãn cách từ thời điểm “Reset Counters Start Time” đến lúc reset tất cả các thống kê liên quan đến người dùng.
  • Reset Counters Start Time: Thời gian bắt đầu để tính toán thời gian reset thống kê người dùng.

Để hoàn chỉnh các yêu cầu cho từng gói internet trên, cần liên kết Profile và Limitations, ta sử dụng Profile Limitations:

  • From Time: Thời gian trong ngày bắt đầu các giới hạn
  • Till Time: Thời gian trong ngày kết thúc các giới hạn
  • Weekdays: Các ngày trong tuần kích hoạt các giới hạn được sử dụng.

 

 

  • CẤU HÌNH USERS:

Ở đây có thể tạo nhiều user cùng 1 lúc thay vì tạo riêng lẽ từng user:

  • Number Of User: số lượng user cần tạo
  • Username Length: số lượng kí tự username
  • Password Length: độ dài kí tự password, có thể không sử dụng password bằng cách chọn “empty”
  • Profile: Xác định Profile đã tạo sẵn cho User

Để kiểm tra lại các User vừa tạo có đúng với Profile mong muốn tại User Profile:

  • IN VOUCHERS

Cuối cùng chỉ cần in voucher cấp cho người dùng, có thể in đơn lẽ từng voucher, in các voucher trong cùng profile, hoặc in toàn bộ voucher:

  • In đơn lẽ từng Voucher:

  • In các Voucher trong cùng profile:

Sử dụng CLI: “/user-manager/user/generate-voucher voucher-template=printable_vouchers.html numbers=[/user-manager/user-profile/find profile=”profile_name”]

Truy cập vào đường dẫn sau để xem và in Voucher:“http://ip_mikrotik/um/PRIVATE/GENERATED/vouchers/gen_printable_vouchers.html” . Sẽ có yêu cầu user/pass để truy cập database, user/pass được set ở đây: /user-manager/advanced/set web-private-username=”username” web-private-password=”password”

  • In toàn bộ Voucher

Sử dụng CLI: “/user-manager/user/generate-voucher voucher-template=printable_vouchers.html [find where name]”

Bonus:

  • Ví dụ nếu muốn người dùng sau 1 khoảng thời gian ngắn như 30 phút sẽ phải đăng nhập trở lại, ta có thể set thông số “session limit” ở Limitations:

Tiếp theo sẽ phải set “RADIUS incoming = yes”, để đến khi hết 30 phút người dùng sẽ phải disconnect khỏi User Manager.

  • Ngoài mẫu Voucher mặc định của Mikrotik, chúng ta có thể modify file printable_vouchers.html để có các mẫu đẹp mắt, ưng ý hơn. Và thêm vào đó có thể modify thêm file login.html của hotspot để có đc mẫu trang chào ưng ý hơn, hoặc cũng có thể kết hợp sử dụng trang login để mở Camera scan Qrcode ở Voucher

Chúc các bạn thành công !

Nếu bạn có nhu cầu về thiết bị hAP ax3 được sử dụng trong bài viết, tham khảo tại link: hAP ax3

Để được tư vấn giải pháp, lựa chọn thiết bị phù hợp và triển khai hệ thống Mikrotik sử dụng User Manager ver7 vui lòng liên hệ:

  • Phone: 090 135 1754
  • Email: “info@switch-router.com” hoặc “chinhbq@switch-router.com”

 

0917397766