Архив метки: Mikrotik

How to Prevent Simultaneous User Login in MikroTik Hotspot

MikroTik Hotspot is a user based internet access system. Most of the user authentication and authorization can be controlled with MikroTik Hotspot. But sometimes some users misuse user based authentication system. Misusing simultaneous login is one of them. Usually we provide one username and password for a user and we expect he/she will use this username and password from only one device at a time. But it is also possible to use same username and password in multiple devices at a time if we don’t do proper hotspot configuration. So, in this article we will see how to tune MikroTik Hotspot to prevent simultaneous user login.

Preventing Concurrent User Login in MikroTik Hotspot

MikroTik Hotspot user profile provides a lot of options to tune user authentication and authorization. So, using user profile we can also tune user simultaneous login and prevent misuse of internet access in MikroTik Hotspot. The following steps will show how to tune Hotspot user profile to prevent concurrent user login in MikroTik Hotspot.

Login MikroTik Router using Winbox with full permission user.
Go to IP > Hotspot menu item. Hotspot Window will appear.
Click on User Profiles tab and all active user profiles can be found here.
Click on a user profile where you want to tune simultaneous user login. Hotspot User Profile window will appear now.
Put idle timeout value (Example: 00:00:30 for thirty seconds) for this profile users in Idle Timeout input box. Bear in mind to keep this value as less as possible so that user can switch one device to another device without any error login message. If we keep this time high, user cannot switch to another device until this idle time is over. Remember we only want to prevent concurrent login but we also want that user are free to use this username and password as much devices as he/she wants.
Now we will tune shared users value that refers how many users can connect at a time. By default hotspot keeps it one (1) and make sure Shared Users value is given only one because we want only one user can be logged in at a time.
Click Apply and OK button.

Preventing concurrent user login in MikroTik Hotspot

Now users of this profile will not be able to connect from multiple devices at a time. But if he/she wants, can be switched to any other device after the idle timeout expired.

I have showed how to prevent simultaneous user login for a Hotspot user profile. Similarly, we can tune concurrent login for other user profiles where we want to apply.

How to prevent simultaneous user login in MikroTik Hotspot has been discussed in this article. I hope you will now be able to tune Hotspot user profile to prevent concurrent user login properly. However, if you face any confusion to apply this technique, feel free to discuss in comment or contact me from Contact page. I will try my best to stay with you.

2020-11-10T00:01:43

MikroTik Hotspot Tutorials & Guides

How to Bind Hotspot User to MAC and Static IP in MikroTik

MikroTik Hotspot is usually a user based Hotspot access controlling system. Internet access and bandwidth can easily be maintained with Hotspot user based system. But sometimes we may require more control on Hotspot system which is not possible only username based system. So, we may need to bind hotspot user to MAC and static IP address. If we can bind hotspot user to static IP address, it is easy to control Hotspot users with MikroTik Router and Firewall. So, in this article we will see how to bind hotspot user to MAC address and static IP address in MikroTik Router.

Hotspot User to Static IP and MAC Binding

Binding Hotspot User to MAC Address and Static IP Address

Hotspot usually provides dynamic IP address when a user is authenticated. So, we cannot apply firewall blocking rule as well as other access control rules on a Hotspot user. But if we bind hotspot user to a static one to one NAT IP address, we can apply any access or blocking rule to that Hotspot user. Besides, if we bind Hotspot user to MAC address multiple logins with same username and password can also be prevented.

The following steps will show how to bind hotspot user to MAC address and static one to one NAT IP address properly.

Login MikroTik Router using Winbox with full permission user.
Go to IP > Hotspot menu item. Hotspot window will appear.
From Hotspot window, click on User tab and then double click on the user on which MAC and IP binding will be applied. Hotspot User window will appear.
Put IP address (example: 192.168.30.10) that you want to assign for this user in Address input field. So, whenever the user will be connected, this IP address will be assigned as one to one NAT IP address for this user and we can apply any control such as bandwidth, firewall and other rules on this IP address and these controlling rules will be applied on this user.
Collect user MAC address and put that MAC address (example: D8:FC:93:A9:9D:DB) in MAC address input field. So, this user cannot be logged in without this MAC addressed device. If you don’t want to apply this restriction, you can skip this step.
Click Apply and OK button.

Static IP address and MAC address binding has been applied on a Hotspot user. Similarly, you can apply MAC address and IP address binding for the other users that you wish.

How to bind Hotspot user to static IP address and MAC address has been discussed in this article. I hope you will now be able to apply MAC address and IP address binding to any Hotspot user easily. However, if you face any confusion to apply user to MAC and IP binding in MikroTik Hotspot, feel free to discuss in comment or contact me from Contact page. I will try my best to stay with you.

2020-11-06T20:29:28

MikroTik Hotspot Tutorials & Guides

MikroTik — Netinstall.

Netinstall – это программное обеспечение для ОС Windows, способное восстановить поврежденную RouterOS (операционную систему MikroTik) путем переформатирования жесткого диска роутера и загрузки в него новых файлов прошивки. Выполним восстановление на примере одного из роутеров RB750Gr3 нашей ЛВС.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

1.Скачиваем актуальную версию Netinstall с официального сайта MikroTik.

2. Скачиваем с этой же страницы последнюю стабильную версию прошивки (Main package).

3.Настраиваем сетевой адаптер компьютера, с которого будем работать.

-в свойствах сетевого адаптера указываем IP-адреса, как на картинке ниже;

-отключаем все другие сетевые адаптеры, кроме того, через который будем подключать MikroTik;

4.Запускаем Netinstall на компьютере, с которого будем работать. Программа не требует установки. Откроется окно, как на картинке ниже.

5.Нажимаем кнопку Net booting.

6.В открывшемся окошке Net booting:

-отмечаем галочкой Boot Server enabled;

-вводим IP-адрес роутера;

-нажимаем ОК.

7.Соединяем первый порт роутера и сетевой адаптер компьютера патч-кордом напрямую, без промежуточных устройств.

8.Нажимаем и удерживаем внутреннюю кнопку RES на передней панели роутера, затем подаем питание.

Удерживать кнопку RES нужно 15-18сек. (индикатор USR загорится, начнет мигать, перестанет мигать, погаснет совсем)

Отпускаем кнопку RES.

Роутер издаст одиночный звуковой сигнал, после этого он появится в списке устройств Netinstall.

9.Устанавливаем прошивку. Для этого:

-отмечаем роутер в списке;

-выбираем место хранения прошивок кнопкой Browse,

-отмечаем нужную прошивку;

-нажимаем кнопку Install.

*установленная галочка Keep old configuration сохранит конфигурацию роутера, галочка Apply default config — применить дефолтную конфигурацию, галочка Configure script — применить скрипт после переустановки, либо можно указать необходимые IP, маску, шлюз

10.Ожидаем время установки.

Кнопка Install станет кнопкой Reboot. Роутер перезагрузится сам или после нажатия кнопки Reboot.

11. Подключаемся к роутеру через WinBox (логин admin, без пароля), выполняем настройки или загружаем конфигурацию из резервной копии.

2020-11-05T08:57:30

Настройка ПО

Объединение двух ЛВС через MikroTik.

Это описание немного сокращено в 2021г чтоб акцентировать внимание на рассматриваемой теме.

Есть роутер микротик и две ЛВС. Выполним настройки так, чтоб компьютеры обменивались пакетами на сетевом уровне и имели доступ в Интернет.

Использован MikroTik RB750Gr3 с прошивкой 6.49.

В разъем №1 подключаем провод от внешней сети (Интернет).

В разъем №2 подключаем провод от коммутатора ЛВС 8.

В разъем №3 подключаем провод от коммутатора ЛВС 9.

В сетевых адаптерах компьютеров сетей установлено получение IP-адреса по DHCP.

Внешний IP-адрес для выхода в Интернет прилетает так же по DHCP.

Порядок действий.

1.Подключение к роутеру, сброс конфигурации.

2.Назначение адресации для портов (LAN).

3.Настройка внешнего IP-адреса (WAN).

4.Создание DHCP сервера.

5.Правило NAT для доступа в Интернет.

6.DNS

1.Подключение к роутеру, сброс конфигурации.

Подключаемся через WinBox по MAC-адресу.

Сбрасываем конфигурацию роутера на пустую (blank).

No Default Configuration — не оставлять дефолтную конфигурацию;

Do Not Backup — не делать резервную копию перед сбросом конфигурации.

Через командную строку терминала.

<br />
/system reset-configuration no-defaults=yes skip-backup=yes

1	/system reset—configuration no—defaults=yes skip—backup=yes

!!! Следует помнить, что удаляя базовые настройки, удалятся параметры безопасности. Если роутер будет работать шлюзом в Интернет необходимо настроить параметры безопасности (интерфейсы доступа, учетные записи, фильтры и прочие настройки).

Подключаемся к роутеру еще раз по MAC-адресу.

2.Назначение адресации для портов (LAN).

Для порта ether2 назначим IP-адрес 192.168.8.1

Для порта ether3 назначим IP-адрес 192.168.9.1

Каждый порт будет «смотреть» в свою сеть.

IP >> Addresses >> Нажимаем синий плюс >> В окне New Address вводим параметры:

Address: 192.168.8.1/24

Network: 192.168.8.0

Interface: ether2

Нажимаем кнопку «ОК».

Точно так же назначаем адрес второму порту с данными сети 9.

В результате в окне Adress List должны появится два адреса.

Через командную строку терминала:

<br />
/ip address add interface=ether2 address=192.168.8.1/24<br />
/ip address add interface=ether3 address=192.168.9.1/24

1 2	/ip address add interface=ether2 address=192.168.8.1/24 /ip address add interface=ether3 address=192.168.9.1/24

3.Получение внешнего IP-адреса.

Назначим получение внешнего IP-адреса для доступа в интернет по DHCP через первый порт роутера.

IP >> DHCP Client >> Нажимаем синий плюс >> В окне New DHCP Client настраиваем:

Interface: ether1

Нажимаем кнопку «ОК».

Настройка Add Default Route: yes — установлена изначально, не изменяем ее чтоб автоматически создался маршрут для выхода в интернет.

В результате в окне DHCP Client появится строка с интерфейсом ether1 к которому через некоторое время присвоится внешний IP провайдера.

Через командную строку терминала:

<br />
/ip dhcp-client add interface=ether1 disabled=no

1	/ip dhcp—client add interface=ether1 disabled=no

Следует отметить, что в данном случае провайдером, раздающим интернет, является вышестоящий роутер сети нашей же организации. По этой причине отсутствуют пароли и прочие необходимые средства авторизации и доступа. В случае предоставления доступа в Интернет на платной основе через PPPoE или при выдаче статического IP-адреса провайдером по договору или еще какие-то варианты подключения, необходимо настраивать подключение в Интернет на роутере по отдельной инструкции, для каждого случая разной.

4.DHCP сервер.

Настроим сервер, для динамической раздачи IP-адресов в сетях.

4.1 Укажем сети для DHCP-сервера.

IP >> DHCP Server >> Вкладка Networks >> Нажимаем синий плюс.

В открывшемся окне DHCP Network вводим параметры:

Address: 192.168.8.0/24

Gateway: 192.168.8.1

DNS Servers: 192.168.8.1

Нажимаем кнопку «ОК».

Точно так же создаем сеть по адресу 192.168.9.0/24.

В результате в окне DHCP Server на вкладке Networks появятся две сети.

Через командную строку терминала:

<br />
/ip dhcp-server network add address=192.168.8.0/24 gateway=192.168.8.1 dns-server=192.168.8.1<br />
/ip dhcp-server network add address=192.168.9.0/24 gateway=192.168.9.1 dns-server=192.168.9.1

1 2	/ip dhcp—server network add address=192.168.8.0/24 gateway=192.168.8.1 dns—server=192.168.8.1 /ip dhcp—server network add address=192.168.9.0/24 gateway=192.168.9.1 dns—server=192.168.9.1

4.2 Пул адресов, которые будет раздавать DHCP сервер.

IP >> Pool >> Нажимаем синий плюс >>В окне NEW IP Pool вводим параметры:

Name: LAN8

Addresses: 192.168.8.2-192.168.8.254

Нажимаем кнопку «ОК».

Точно так же создаем Пул для сети 9.

В результате в окне IP Pool появятся два Пула раздаваемых адресов для каждой сети.

Через командную строку терминала:

<br />
/ip pool add name=LAN8 ranges=192.168.8.2-192.168.8.254<br />
/ip pool add name=LAN9 ranges=192.168.9.2-192.168.9.254

1 2	/ip pool add name=LAN8 ranges=192.168.8.2—192.168.8.254 /ip pool add name=LAN9 ranges=192.168.9.2—192.168.9.254

4.3 Создадим DHCP-сервер.

IP >> DHCP Server >> Нажимаем синий плюс >> Вводим параметры:

Name: dhcp1

Interface: ether2

Address Pool: LAN8

Нажимаем кнопку «ОК».

Повторяем действия и создаем DHCP сервер для сети 9.

В результате в окне DHCP Server можно увидеть созданные сервера.

Через командную строку терминала:

<br />
/ip dhcp-server add interface=ether2 address-pool=LAN8 disabled=no<br />
/ip dhcp-server add interface=ether3 address-pool=LAN9 disabled=no

1 2	/ip dhcp—server add interface=ether2 address—pool=LAN8 disabled=no /ip dhcp—server add interface=ether3 address—pool=LAN9 disabled=no

5.Правило NAT для доступа в Интернет.

IP >> Firewall >> Вкладка NAT >> Добавляем правило нажав синий плюс.

В открывшемся окне вводим параметры на вкладке General:

Chain: srcnat

Out.Interface: ether1

Нажимаем кнопку «Apply».

Переходим на вкладку Action.

На вкладке Action:

Action: masquerade

Нажимаем кнопку «ОК».

Через командную строку терминала:

<br />
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1

1	/ip firewall nat add action=masquerade chain=srcnat out—interface=ether1

Другие правила при такой конфигурации не нужны. Если в процессе работы будет настраиваться брандмауэр и появятся различные запрещающие правила, то для того, чтоб трафик между сетями не блокировался можно добавить два правила в Filter Rules и расположить их вверху списка.

<br />
/ip firewall filter add chain=forward in-interface=ether2 out-interface=ether3 action=accept<br />
/ip firewall filter add chain=forward in-interface=ether3 out-interface=ether2 action=accept

1 2	/ip firewall filter add chain=forward in—interface=ether2 out—interface=ether3 action=accept /ip firewall filter add chain=forward in—interface=ether3 out—interface=ether2 action=accept

6.DNS

IP >> DNS

Servers: 8.8.8.8 — публичный DNS гугл (или любой другой публичный DNS или адрес который сообщит провайдер или вообще ничего при автоматическом получении)

Dynamic Servers: 192.168.0.1 — DNS который автоматически прилетает от вышестоящего роутера.

Allow Remote Requests — отмечаем галочкой (разрешение на обработку удаленных запросов, чтоб наш роутер отвечал на DNS запросы от пользователей ЛВС)

Через командную строку терминала:

<br />
/ip dns set allow-remote-requests=yes servers=8.8.8.8

1	/ip dns set allow—remote—requests=yes servers=8.8.8.8

Перезагружаем роутер, для актуализации IP-адресов раздаваемых по DHCP во все компьютеры.

Или обновляем IP-адрес через командную строку каждого компьютера:

<br />
ipconfig -release & ipconfig -renew

1	ipconfig —release & ipconfig —renew

Проверяем ping между компьютерами в разных сетях.

Из сети 8 в сеть 9.

Из сети 9 в сеть 8.

Если ping не проходит нужно приостановить защиту антивируса или отключить брандмауэр на тестируемых компьютерах.

На всякий случай трассировка (для неверующих).

Из сети 8 в сеть 9.

Из сети 9 в сеть 8.

Проверяем доступ в Интернет из обоих сетей. Интернет работает.

Посмотрим что в маршрутах. IP >> Routes.

Все маршруты динамические.

DAS — dynamic, Active, Static

DAC — dynamic, Active, Connected

1-для выхода в интернет, 2-внешняя сеть от вышестоящего роутера, 3 и 4 маршруты в локальные сети

Вся конфигурация в одном файле.

2020-11-03T13:02:55

ЛВС

Mikrotik DNS и DHCP для Active Directory

В версии 6.47 RouterOS Mikrotik наконец добавил возможность заводить в DNS разные типы записей — CNAME, FWD, MX, NS, NSDOMAIN, SRV и TXT (раньше были только А- и АААА-записи). А это значит, что теперь роутер можно использовать в качестве DNS для домена Active Directory с возможностью переноса на него и DHCP-сервера тоже.

Читать →

Настройка EoIP MikroTik, быстрый VPN туннель на L2

Ethernet over IP (EoIP) Tunneling — это протокол MikroTik RouterOS, который создает туннель Ethernet между двумя маршрутизаторами поверх IP-соединения. Туннель EoIP может работать через туннель IPIP, туннель PPTP или любое другое соединение, способное передавать IP.

Когда функция моста маршрутизатора включена, весь трафик Ethernet (все протоколы Ethernet) будет передаваться по мосту, как если бы между двумя маршрутизаторами был физический интерфейс Ethernet и кабель (с включенным мостом). Этот протокол делает возможным несколько сетевых схем. Читать →

readmag.ru

IT обзоры, подробные инструкции, пошаговые руководства, рабочие рецепты

Архив метки: Mikrotik

How to Prevent Simultaneous User Login in MikroTik Hotspot

Preventing Concurrent User Login in MikroTik Hotspot

How to Bind Hotspot User to MAC and Static IP in MikroTik

Binding Hotspot User to MAC Address and Static IP Address

MikroTik — Netinstall.

Объединение двух ЛВС через MikroTik.

Mikrotik DNS и DHCP для Active Directory

Настройка EoIP MikroTik, быстрый VPN туннель на L2