modified on 21 lip 2010 at 09:16 ••• 16 295 views

IP/Hotspot

Z MikroTik Wiki

Spis treści

Informacje Ogólne

Wstęp

Ten dokument zawiera informacje ogólne, opis konfiguracji i przykłady obsługi PPP. Zawiera również informacje o asynchronicznym PPP, PPTP, L2TP, OpenVPN, PPPoE i ISDN.

Specyfikacja

Wymagane pakiety: system

Wymagane licencje: level1

Poziom Home menu: /ppp

Opis

MikroTik RouterOS obsługuje Uwierzytelnianie, Autoryzację i Accounting (AAA). Lokalne uwierzytelnienie dokonuje się przy użyciu bazy danych użytkownika i profilu. Bieżąca konfiguracja danego użytkownika jest ustalana na podstawie poszczególnych danych użytkownika z bazy danych, powiązanych z nimi danymi z bazy profilu oraz danych ustawionych jako domyślne dla usługi z której chce skorzystać użytkownik. Domyślne ustawienia profilu z bazy danych profilu mają najmniejszy priorytet podczas gdy ustawienia użytkownika z bazy danych użytkownika mają najwyższy priorytet, jednym tylko wyjątkiem: niektóre adresy IP mają pierwszeństwo przed obszarami IP w ustawieniach local-address i remote-address, które zostaną omówione później.

Obsługa uwierzytelniania RADIUS daje dostawcy usług oraz administratorowi sieci możliwość zarządzania dostępem użytkownika do PPP i tworzenie baz danych począwszy od serwerów do dużych sieci. MikroTik RouterOS ma wbudowanego klienta RADIUS, który może uwierzytelniać połączenia PPP, PPPoE, PPTP, L2TP, OpenVPN i ISDN. Atrybuty odebrane z serwera RADIUS zastępują te ustawione w domyślnym profilu, lecz jeśli jakieś parametry nie zostały odebrane, pobrane zostaną z odpowiednich profili domyślnych.

Lokalne Profile Użytkownika PPP

Poziom Home menu: /ppp profile

Opis

Profile PPP są używane w celu zdefiniowania domyślnych wartości rekordów dostępu użytkownika przechowywanych w podmenu /ppp secret. Ustawienia w /ppp secret bazy danych użytkownika zastępują ustawienia /ppp profile, pominąwszy pojedyncze adresy IP, które zawsze mają pierwszeństwo przed obszarami IP określonymi parametrami local-address lub remote-address

Opis Własności

bridge (name) - nazwa interfejsu mostka; do którego zostanie automatycznie dodany tunel PPP w przypadku gdy negocjacje BCP zakończą się sukcesem (to znaczy, w przypadku gdy oba peery obsługują BCP i mają skonfigurowany ten parametr)

change-tcp-mss (yes | no | default; domyślnie: default) - modyfikuje ustawienia połączenia TCP MSS

  • yes - dostosowuje wartość połączenia MSS
  • no - nie dostosowuje wartości połączenia MSS
  • default - uzyskuje tę wartość z domyślnego profilu interfejsu; jest ona taka sama jak w przypadku no, jeśli jest to domyślny profil interfejsu

dns-server (IP address) - adres IP serwera DNS

idle-timeout - (time) - określa długość czasu po którym połączenie zostanie zerwane, jeśli nie odnotowano żadnej aktywności. Nie ma czasu ustawionego domyślnie

  • 0s - nie jest określony czas zerwania połączenia

incoming-filter (name) - nazwa łańcucha firewalli dla nadchodzących pakietów. Określony łańcuch uzyskuje kontrolę nad każdym pakietem przychodzącym od klienta. Łańcuch ppp powinien być ręcznie dodany a zasady z action=jump jump-target=ppp powinny być dodane do innych powiązanych łańcuchów, aby ta funkcja działała. Celem uzyskania dodatkowych informacji, sprawdź dział z przykładami.

local-address (IP addressname) - adresy IP lub nazwy pól adresowych IP dla serwera PPP

name (name) - nazwa profilu PPP

only-one (yes | no | default: default) - określa czy użytkownik może mieć więcej niż jedno połączenie w tym samym czasie

  • yes - użytkownik nie może mieć więcej niż jednego połączenia naraz
  • no - użytkownik może mieć więcej niż jedno połączenie jednocześnie
  • default - uzyskuje tę wartość z domyślnego profilu interfejsu; działanie takie same jak w przypadku no, jeśli jest to domyślny profil interfejsu

outgoing-filter (name) - nazwa łańcucha firewalli dla wychodzących pakietów. Określony łańcuch uzyskuje kontrolę nad każdym pakietem idącym do klienta. Łańcuch ppp powinien być ręcznie dodany a zasady z action=jump jump-target=ppp powinny być dodane do innych powiązanych łańcuchów, aby ta funkcja działała. Celem uzyskania dodatkowych informacji, sprawdź dział z przykładami.

rate-limit (text; domyślnie: "") - ograniczenie współczynnika w formie rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate] [rx-burst-threshold[/tx-burst-threshold] [rx-burst-time[/tx-burst-time] [priority] [rx-rate-min[/tx-rate-min]]]] z punktu widzenia routera (więc "rx" jest uploadem klienta, a "tx" downloadem). Wszystkie współczynniki powinny być numerami z opcjonalnym "k" (1 000s) lub "M" (1 000 000s). Jeśli tx-rate nie jest określony, rx-rate jest także tx-ratem. Tak samo dla tx-burst-rate, tx-burst-threshold i tx-burst-time. Jeśli zarówno rx-burst-threshold i tx-burst-threshold nie są określone (lecz burst-rate jest), rx-rate i tx-rate są używane jako burst thresholds. Jeśli rx-burst-time i tx-burst-time nie są określone, domyślnie będzie to 1s. Priorytet przyjmuje wartość 1 - 8, gdzie 1 oznacza najwyższy priorytet, a 8 najniższy. Jeśli rx-rate-min i tx-rate-min nie są określone, używane są wartości rx-rate i tx-rate. Wartości rx-rate-min i 1tx-rate-min nie mogą przekroczyć wartości rx-rate i tx-rate.

session-timeout (time; domyślnie: 0s) - czas zakończenia sesji (maksymalny możliwy czas sesji) dla klienta. Po tym czasie użytkownik zostanie bezwarunkowo wylogowany.

  • 0 - czas zakończenia sesji nieokreślony

shared-users (integer; domyślnie: 1) - maksymalna liczba jednocześnie zalogowanych użytkowników z tym samym loginem

status-autorefresh (timenone; domyślnie: none) - czas automatycznego odświeżania strony statusu HotSpota

transparent-proxy (yes | no; domyślnie: yes) - czy ma być używany przeźroczysty proxy HTTP dla autoryzowanych użytkowników tego profilu

Uwagi

Gdy czas idle-timeout lub keepalive zostanie osiągnięty, czas sesji tego użytkownika zostanie zredukowany przez aktualny okres czasu bezczynności, celem zapobieżenia przeciążeniu.

Użytkownicy HotSpot

Poziom Home menu: /ip hotspot user

Opis Własności

address (adres IP; domyślnie: 0.0.0.0) - statyczny adres IP. Jeśli nie jest to 0.0.0.0, klient zawsze otrzyma taki sam adres IP. Skonfigurowany adres oznacza, że możliwe jest tylko jedno logowanie użytkownika w tym samym czasie. Wszystkie istniejące adresy zostaną zamienione na używające wbudowany one-to-one NAT.

bytes-in (tylko-do-oczytu: integer) - całkowita liczba bajtów odebranych od użytkownika

bytes-out (tylko-do-odczytu; integer) - całkowita liczba bajtów wysłanych do użytkownika

email (text) - adres e-mail. Tylko proste sprawdzenie jest wykonywane w celu potwierdzenia ważności tego pola

limit-bytes-in (integer; domyślnie: 0) - maksymalna liczba bajtów, które może wysłać użytkownik (to znaczy, bajtów odebranych od użytkownika)

  • 0 - brak ograniczenia

limit-bytes-out (integer; domyślnie: 0) - maksymalna liczba bajtów, jaką może odebrać użytkownik (to znaczy, bajtów wysłanych do użytkownika)

  • 0 - brak ograniczenia

limit-bytes-total (integer; domyślnie: 0) - maksymalna całkowita liczba bajtów, jaką użytkownik może odebrać i wysłać (to znaczy, suma bajtów wysłanych i odebranych)

  • 0 - brak ograniczenia

limit-uptime - (time; domyślnie: 0s) - ograniczenie uptime'u

  • 0s - brak ograniczenia

mac-address (MAC address; domyślnie: 00:00:00:00:00:00) - statyczny adres MAC. Jeśli nie jest to 00:00:00:00:00:00, klient może logować się tylko z tego adresu MAC

name (name) - login. Jeśli metoda uwierzytelniania jest próbna, wtedy login zostanie ustawiony automatycznie po następującym wzorze "T-MAC_address", gdzie MAC_address jest próbnym adresem MAC użytkownika

packets-in (tylko-do-odczytu: integer) - całkowita liczba pakietów odebranych od użytkownika

packets-out (tylko-do-odczytu: integer) - całkowita liczba pakietów wysłanych do użytkownika

password (text) - hasło użytkownika

profile (name; domyślnie: default) - profil użytkownika

routes (text) - trasy, które będą zarejestrowane w bramie HotSpot, gdy klient jest połączony. Format trasy to: dst-address [[gateway][metric]] (na przykład: 10.1.0.0/24 10.0.0.1 1). Można określić kilka tras oddzielając je przecinkami. Jeśli brama nie jest określona, użyty zostanie zdalny adres. Jeśli metryka nie jest określona, to metryka będzie miała wartość 1

server (nameall; domyślnie: all) - do którego serwera HotSpot użytkownik może się zalogować

uptime (tylko-do-odczytu: time) - całkowity czas, przez który użytkownik był zalogowany

Uwagi

W przypadku metody uwierzytelniania mac, adresy MAC klientów mogą być użyte jako loginy (bez hasła)

Ograniczenia bajtowe są całkowitymi ograniczeniami dla każdego użytkownika (nie dla każdej sesji jak w /ip hotspot active). Więc jeśli użytkownik już coś pobrał, to ograniczenie sesji pokaże całkowite ograniczenie - (minus) to co do tej pory pobrał. Na przykład, jeśli limit pobierania wynosi 100MB, a użytkownik już pobrał 30MB, to ograniczenie sesji po zalogowaniu do /ip hotspot active wyniesie 100MB - 30MB = 70MB.

Jeśli użytkownik przekroczy limit (bytes-in >= limit-bytes-in lub bytes-out >= limit-bytes-out), nie będzie już mógł się więcej zalogować.

Statystyki są uaktualniane jeśli użytkownik jest uwierzytelniany przez lokalną bazę danych użytkownika zawsze gdy się wylogowuje. To znaczy, że jeśli użytkownik aktualnie jest zalogowany, to statystyka nie pokaże całkowitych wartości. Użyj podmenu /ip hotspot active aby zobaczyć statystyki obecnej sesji użytkownika.

Jeśli użytkownik ma określony adres IP, to może być zalogowany tylko raz w tym samym czasie. Jeśli użyte zostaną ponownie takie same listy uwierzytelniające, gdy użytkownik jest nadal aktywny, ten aktywny zostanie automatycznie wylogowany.

Próbni użytkownicy będą mieli tutaj dynamiczne wpisy, z ich name wpisanym jako "T-[mac]" (gdzie [mac] jest adresem MAC użytkownika, bez nawiasów), email ustawiony jako hasło, które wpisał użytkownik, mac-address - adres MAC użytkownika, profile i limit-uptime - poszczególne wartości limitów trial-user-profile i trial-uptime profilu serwera HotSpot. Wpisy będą automatycznie usuwane, gdy czas użytkownika tymczasowego wygaśnie (po czasie trial-uptime)

Przykład

Aby dodać użytkownika ex z hasłem ex, który może się logować tylko z adresem MAC 01:23:45:67:89:AB i jest ograniczony tylko do jednej godziny pracy:

[admin@MikroTik] ip hotspot user> add name=ex password=ex \
\... mac-address=01:23:45:67:89:AB limit-uptime=1h
[admin@MikroTik] ip hotspot user> print
Flags: X - disabled
 #   SERVER     NAME                       ADDRESS             PROFILE UPTIME
 0              ex                                             default 00:00:00
[admin@MikroTik] ip hotspot user> print detail
Flags: X - disabled, D - dynamic
 0   name="ex" password="ex" mac-address=01:23:45:67:89:AB profile=default
limit-uptime=1h uptime=0s bytes-in=0 bytes-out=0 packets-in=0 packets-out=0
[admin@MikroTik] ip hotspot user>

Aktywni Użytkownicy HotSpot

Poziom Home menu: /ip hotspot active

Opis

Lista aktywnych użytkowników pokazuje aktualnie zalogowanych użytkowników. Nie można tutaj nic zmieniać, poza tym że można wylogować użytkownika komendą remove.

Opis Własności

address (tylko-do-odczytu: IP address) - adres IP użytkownika

blocked (tylko-do-odczytu: flag) - czy użytkownik jest zablokowany przez reklamę (zwykle jest to spowodowane tym, że reklama jest w kolejce)

bytes-in (tylko-do-oczytu: integer) - ile bajtów router odebrał od klienta

bytes-out (tylko-do-odczytu; integer) - ile bajtów router wysłał do klienta

domain (tylko-do-odczytu) - domena użytkownika (oddzielna niż login)

idle-time (tylko-do-odczytu: time) - czas, podczas którego użytkownik był bezczynny

idle-timeout (tylko-do-odczytu: time) - dokładna wartość idle-timeout zastosowana u tego użytkownika. Ta wartość pokazuje jak długo powinien komputer być bezczynny, aby mógł zostać automatycznie wylogowany

limit-bytes-in (tylko-do-odczytu: integer) - maksymalna liczba bajtów, jaką użytkownik może wysłać do routera

limit-bytes-out (tylko-do-odczytu: integer) - maksymalna liczba bajtów, jaką użytkownik może wysłać do klienta

limit-bytes-total (tylko-do-odczytu: integer) - maksymalna suma bajtów, jakie router może wysłać do klienta i od niego odebrać

login-by (multiple choice, tylko-do-odczytu: cookie | http-chap | http-pap | https | mac | trial) - metoda uwierzytelniania używana przez użytkownika

'mac-address (tylko-do-odczytu: MAC address) - obecny adres MAC użytkownika

packets-in (tylko-do-odczytu: integer) - ile pakietów otrzymał router od klienta

packets-out (tylko-do-odczytu: integer) - ile pakietów wysłał router do klienta

radius (tylko-do-odczytu: flag) - czy użytkownik został uwierzytelniony przez RADIUS

server (tylko-do-odczytu: name) - serwer HotSpot, na którym zalogowany jest użytkownik

session-time-left (tylko-do-odczytu: time) - dokładna wartość session-time-left, która odnosi się do tego użytkownika. Wartość ta pokazuje jak długo użytkownik powinien być zalogowany, aby został automatycznie wylogowany

uptime (tylko-do-odczytu: time) - aktualny czas sesji użytkownika (to znaczy, jak długo użytkownik był zalogowany)

user (tylko-do-odczytu: name) - nazwa użytkownika

Przykład

Aby uzyskać listę aktywnych użytkowników:

[admin@MikroTik] ip hotspot active> print
Flags: R - radius, B - blocked
 #    USER         ADDRESS             UPTIME       SESSION-TIME-LEFT IDLE-TIMEOUT
 0    ex           10.0.0.144          4m17s        55m43s
[admin@MikroTik] ip hotspot active>