Quản trị mạng – Trong hướng dẫn này, chúng tôi sẽ giới thiệu cho các bạn cách thiết lập một hotspot gateway tích hợp, cũng như cách tùy chỉnh và làm việc với captive portal.
Trong một số bài giới thiệu về RouterOS trước đây, chúng tôi đã giới thiệu các bạn cách biến một máy tính thành một máy chủ LAN, router kiểu doanh nghiệp hoặc nâng cao.
Trong bài Biến một máy tính cũ thành LAN Server bằng RouterOS – Phần 1, bạn đã được giới thiệu về cách cài đặt phần mềm Linux, thực hiện một số cấu hình ban đầu.
Trong phần hai, chúng tôi đã giới thiệu cách thiết lập một máy chủ DHCP để quản lý các địa chỉ IP, kích hoạt NAT để chia sẻ Internet, cấu hình giao diện không dây để truy cập Wi-Fi.
Lúc này bạn có thể trải nghiệm với các tính năng hotspot. Nếu bạn muốn cung cấp Internet không dây cho người dùng công cộng thì đây là hướng dẫn sẽ giúp bạn thực hiện điều đó.
Cấu hình Hotspot Server
Đầu tiên cần phải bảo đảm rằng bạn đã cấu hình kết nối Internet trên giao diện của nó và tạo một IP trên giao diện khác cho LAN/hotspot. (Chúng tôi đã giới thiệu về điều này trong Phần 1 của loạt bài có liên quan đến RouterOS này).
Lúc này bạn có thể cấu hình một máy chủ hotspot trên giao diện LAN/hotspot bằng tiện ích WinBox. Thực hiện các bước dưới đây:
- Kích IP > Hotspot.
- Kích nút Hotspot Setup để mở wizard.
- Chọn giao diện mà switch hoặc AP cho mạng hotspot sẽ được kết nối đến, sau đó kích Next.
- Thẩm định IP cho máy chủ, nên sử dụng IP mà bạn đã tạo cho giao diện LAN/hotspot, kích Next.
- Thẩm định giải địa chỉ IP tự động được chọn cho người dùng hotspot và kích Next.
- Bỏ qua thiết lập giao diện máy chủ, chí ít cho lúc này và kích Next.
Tốt nhất để bảo đảm an toàn cho các trang đăng nhập của hotspot bạn nên sử dụng mã hóa SSL khi người dùng đăng nhập với các tài khoản duy nhất; bằng không các chứng chỉ tài khoản sẽ dễ dàng bị phát hiện trên mạng.
- Nếu bạn không chạy máy chủ email SMTP riêng hoặc đang sử dụng một dịch vụ, hãy bỏ qua thiết lập và kích Next.
Để ngăn chặn người khác gửi các email không hợp lệ từ kết nối Internet của bạn, bạn có thể khóa cổng được sử dụng cho email gửi đi.
Mặc dù vậy, người dùng không bị bắt buộc chỉ sử dụng các ứng dụng web mail, bạn có thể liệt máy chủ SMTP của mình để có được hiệu suất tốt hơn, trong khi đó vẫn ngăn chặn được việc bị gửi hàng tấn email rác.
- Thẩm định rằng địa chỉ máy chủ DNS từ kết nối Internet đã được nhập và kích Next.
- Nếu thích người dùng thấy được tên DNS (miền) thay gì địa chỉ IP của gateway khi đăng nhập, bạn có thể tạo một miền tại đây và kích Next.
Bạn có thể chỉ cần thay đổi tên miền, chẳng hạn như hotspot.yourcompanyname.com. Nếu không nhập vào bất cứ thứ gì, địa chỉ IP của bạn sẽ tự động được sử dụng.
- Cuối cùng, tạo một hotspot user để bạn có thể đăng nhập, sau đó kích Next.
Sau khi hoàn tất Hotspot Setup Wizard, bạn sẽ nhận được một nhắc nhở hủy kết nối từ WinBox. Điều đó có nghĩa rằng hotspot captive portal đang làm việc. Để nhận truy cập mạng và Internet, bạn phải đăng nhập bằng tài khoản mà bạn đã tạo thông qua trình duyệt web.
Kích hoạt mã hóa SSL
Nếu bạn muốn mã hóa các trang hotspot vì có thể bạn sẽ yêu cầu các tài khoản trên hotspot của mình, cách tốt nhất trong trường hợp này là bạn nên mua một chứng chỉ của một nhà thẩm định (CA) nào đó thay cho việc tạo và sử dụng các chứng chỉ miễn phí. Điều này là vì người dùng sẽ thấy một lỗi/cảnh báo trong trình duyệt web của họ trừ khi máy chủ hotspot của bạn sử dụng chứng chỉ được cấp bởi một CA và được các trình duyệt của họ nhận ra.
Để bắt đầu, bạn phải tạo một yêu cầu chứng chỉ (CSR) với RouterOS thông qua dòng lệnh, tại máy chủ hoặc với cửa sổ terminal mới trong WinBox.
Chạy lệnh dưới đây:
/certificate create-certificate-request
Bạn sẽ được nhắc nhở nhập vào tên cho file mà CSR và khóa riêng sẽ được ghi; tên file mặc định sẽ tốt hơn trong trường hợp này.
Bạn cũng cần phải tạo mật khẩu cho khóa riêng. Tiếp đến, sử dụng giá trị bit của khóa RSA mặc định. Sau đó bạn sẽ được hỏi một số câu hỏi của CSR.
Lúc này bạn cần phải download các file khóa riêng và CSR với máy khách FTP, chẳng hạn như FileZilla, bằng cách kết nối đến RouterOS IP với các chứng chỉ tài khoản quản trị của mình.
Có thể sử dụng CSR để đặt chứng chỉ từ một CA, chẳng hạn như GoDaddy, RapidSSL hoặcThawte.
Khi có một chứng chỉ được cấp từ một CA, hãy upload nó thông qua FTP. Sau đó chạy lệnh dưới đây:
/certificate import file-name=thecertificatesfilename
Sau đó đánh mật khẩu mà bạn đã đặt khi tạo CSR.
Trên WinBox, bạn cần kích IP > Services. Sau đó cần kích đúp vào mục www-ssl, chọn chứng chỉ và kích OK.
Quay trở lại IP Service List, kích mục www-ssl và kích nút kiểm để kích hoạt nó.
Lúc này để kích hoạt SSL cho hotspot, chỉnh sửa profile máy chủ hotspot để cho phép đăng nhập HTTPS và chọn chứng chỉ của bạn.
Thay đổi trang Login và Hotspot
Bạn nên thay đổi các trang login và các trang hotspot khác, chẳng hạn như thêm vào tên công ty hoặc thông điệp chào mừng, hoặc thậm chí nhúng cả vào logo và hình ảnh. Một số kiến thức về HTML lúc này sẽ giúp ích cho bạn khá nhiều.
Để download và upload các file HTML từ RouterOS, bạn có thể sử dụng một FTP client, chẳng hạn như FileZilla và kết nối đến RouterOS IP với các dữ liệu tài khoản quản trị của bạn.
Mẹo: Khi đăng nhập hoặc đăng xuất để test trang đăng nhập, bạn có thể tự động đăng nhập và không thấy các trang hotspot. Để tránh hiện tượng này, bạn có thể mở Hotspot Server Profile trong WinBox và vô hiệu hóa tùy chọn Login By Cookie.
Nếu bạn thích người dùng được redirect đến một site hoặc một trang nào đó sau khi đăng nhập, khi đó bạn cần chỉnh sửa file login.html để thay thế $(link-orig) bằng một URL hoàn chỉnh. Đây là giá trị mặc định cho thuộc tính ẩn dst (destination) bên trong tags Form.
Nếu muốn liên kết các vị trí trên Internet, gồm có hình ảnh, bạn phải add miền của chúng vào danh sách Walled Garden theo thứ tự để người dùng truy cập chúng trước khi đăng nhập. Bạn có thể thực hiện điều đó tên một tab của cửa sổ Hotspot trong WinBox.
Văn Linh (Theo Informit)