مشکل Hotspot در ارتباط داشتن کلاینت ها با هم

[saman-net]

با سلام خدمت تمام اساتید عزیز

من در یک شبکه تنها یک AP و همچنین یک Mikrotik دارم ، که بر روی Mikrotik تنها سرویس Hotspot را راه اندازی

کردم، حالا بعضی از کلاینت ها اینترنت می خواستند و با Hotspot مشکل حل میشه ( به صورت عادی login میکنند و اینترنت میگیرند)

اما تمام کلاینت های من احتیاج به دسترسی به یکدیگر دارند ، ولی اونها نمی توانند همدیگر را حتی ping کنند مگر اینکه در Hotspot عملیات login را انجام دهند

من نمی خوام از IP Binding استفاده کنم ، چون در این صورت اونا بدون محدودیت اینترنت میگیرند و همچنین باید به آنها آدرس دستی بدم

لظفاً راهنمایی فرمایید ، ممنون

---

موضوعات مشابه:

• محدود کردن پهنای باند کاربر در hotspot
• برنامه hotspot
• مشکل Hotspot
• محدود کردن در Hotspot
• Hotspot

---

[mehrzadmo]

اینترنتشون رو با اسمشو نبر بهشون بده .(می تونی از PPPoE هم استفاده کنی . ) رو میکروتیک هم یه دی اچ سی پی راه بنداز و بزار به هر کی وارد WLAN میشه یه ای پی بده . اینجوری همه همدیگه رو می بینن و فقط اونایی اینترنت دارند که باید داشته باشن .

[th95]

من الان مشكل شما رو ندارم ! شايد تو رولها چيز خاصي تعريف كرده بوده باشيم (فعل رو كيف كرديد
چك ميكنم ميگم بهتون
الان مثلا من قبل از لاگين به هات اسپات Ping يكي ديگه رو دارم
شما مشكلتون همينه !؟
يا مربوط به زماني هستش كه هيچكدوم لاگين نكرده باشند (الان من لاگين نيستم به هات اسپات اما اون يكي سيستم كه Ping اش رو دارم هست)

ضمنا Walled Garden هم به نظرم بايد جواب بده
اگر وقت كرديد يك تست بكنيد به ما هم بگيد

[saman-net]

ببخشید ، استفاده کردن از سرویس Hotspot خیلی ضروری هست و ما نمیتونیم این سرویس را برداریم

آقای Mohamad دقیقاً مشکل همینه که عرض کردم ، کلاینت ها قبل از اینکه به Hotspot عملیات login را انجام دهند ، اصلاً با همدیگر ارتباط ندارند ،

در ضمن من با Walled Garden هم آشنا نیستم ، لطف میکنید راهنمایی فرمایید

بازم ممنون

[th95]

وضعیتی که من الان دارم اینه که یک نفر هم که لاگین کنه ارتباط خواهند داشت
اما Walled Garden دوست عزیز به سایت های و ای پی هایی در سرویس هات اسپات اطلاق میشه که برای رفتن به اونها نیاز به Authenticate یا همون Login به هات اسپات نباشه
مثلا شما میتونید سایت داخلی خودتون رو در این قسمت قرار بدید
شما بیاین و رنج آدرس شبکه داخلی رو توی Walled Garden بذارید. به نظرم منطقی میاد که مشکل رو حل بکنه
لینک زیر کامندیش رو گفته ! با وینباکس خیلی راحت تری با اون برو ! من الان دم دست میکروتیک ندارم وگرنه تست میکردم

Manual:IP/Hotspot/Walled Garden - MikroTik Wiki

Walled Garden

Sub-menu: /ip hotspot walled-garden



HTTP walled-garden, menu allows to set authentication bypass for HTTP and HTTPs resources
Properties

Property Description action (allow | deny; Default: allow) Action to perform, when packet matches the rule

• allow - allow access to the web-page without authorization
• deny - the authorization is required to access the web-page

server (string; Default: ) Name of the HotSpot server, rule is applied to. src-address (IP; Default: ) Source address of the user, usually IP address of the HotSpot client method (string; Default: ) HTTP method of the request dst-host (string; Default: ) Domain name of the destination web-server dst-port (integer; Default: ) TCP port number, client sends request to path (string; Default: ) The path of the request, path comes after '''http://dst_host/''' Read-only properties
Property Description dst-address (IP)
hits (integer)
IP Walled Garden

Sub-menu: /ip hotspot walled-garden ip



Walled-garden menu for the IP requests (Winbox, SSH, Telnet, SIP, etc.)
Properties

Property Description action (allow | deny | reject; Default: allow) Action to perform, when packet matches the rule

• allow - allow access to the web-page without authorization
• deny - the authorization is required to access the web-page
• reject - the authorization is required to access the resource, ICMP reject message will be sent to client, when packet will match the rule

server (string; Default: ) Name of the HotSpot server, rule is applied to. src-address (IP; Default: ) Source address of the user, usually IP address of the HotSpot client dst-address (IP; Default: ) Destination IP address, IP address of the WEB-server. Ignored if dst-host is already specified. dst-host (string; Default: ) Domain name of the destination web-server. When this parameter is specified dynamic entry is added to Walled Garden dst-port (integer; Default: ) TCP port number, client sends request to protocol (integer | string; Default: ) IP protocol Example

When adding walled garden IP entry several dynamic rules are created. For example, lets add www.paypalobject.com
/ip hotspot walled-garden ip
add action=accept disabled=no dst-host=www.paypalobject.com
Now if you look at walled garden menu you will see dynamic entry for object we just added
[admin@493G] /ip hotspot walled-garden> print detail
Flags: X - disabled, D - dynamic
0 D ;;; www.paypalobject.com
dst-address=68.178.232.99 action=allow hits=0
Also dynamic firewall and NAT rules are added to allow paypalobject.com resolved address
[admin@493G] /ip firewall filter> print dynamic
Flags: X - disabled, I - invalid, D - dynamic
...
7 D ;;; www.paypalobject.com
chain=hs-unauth action=return dst-address=68.178.232.99
...

10 D ;;; www.paypalobject.com
chain=hs-unauth-to action=return src-address=68.178.232.99
[admin@493G] /ip firewall nat> print dynamic
Flags: X - disabled, I - invalid, D - dynamic
...
8 D ;;; www.paypalobject.com
chain=hs-unauth action=return dst-address=68.178.232.99
...

[saman-net]

دست گلت درد نکنه ، من تست میگیرم و بعد نتیجه اش را اینجا مینویسم

[th95]

البته این خطش نگرانم کرد
HTTP walled-garden, menu allows to set authentication bypass for HTTP and HTTPs resources
یعنی فقط ترافیک HTTP و HTTPS رو Bypass میکنه ؟ بهرحال ارزش تست کردن داره

[saman-net]

خودم یه ایده دارم:

میگم برای هر کدام از کاربرها که اینترنت نمیخواد هم یه حساب بسازم اما با پهنای باند 1b نظرتان چیست ؟

[mehrzadmo]

اینکه هر کاربر برای استفاده از شبکه داخلی باید لاگین کنه به نظر من ایده جالبی نیست .

[saman-net]

یه ایده دیگه الان به ذهنم رسید، میگم که برای سیستم هایی که میخوان با هم ارتباط داشته باشند آدرسی را بدهم که در زیر دستور کار Hotspot نباشد و اگر هم خواستند هم اینترنت و هم ارتباط داشته باشند ، براب آنها دو آدرس تعریف کنم ، یکی برای internet و دیگری برای ارتباط داخلی آنها ( دو رنج متفاوت منظورم است)

اما با این کار دیگه DHCP از کار باید بیفته

[th95]

برادر من این ایده ها خیلی جالب نبودند بیشتر شبه فرار از حل مساله و پاک کردن صورت مساله هستند
برو مشکل رو حل کن ! فایروال میکروتیک رو بررسی کن ! نتیجه تست Walled Garden چی شد ؟

[al1p0ur]

saman عزیز
بفرمایید نحوه اتصال AP و Mikrotik به هم چگونه است ؟
یک مقدار ساختار شبکه رو توضیح بدید ؟ تا بشه راهنمایی کرد

[saman-net]

بفرمایید ، این دیاگرام شبکه است

راستی هر کدام از پورتهای متصل به سویچ را در یک VLAN قرار دادم و همچنین هر کدام دارای رنج آدرس مربوط به خود هستند

اگه اطلاعات بیشتر هم لازم بود ، در خدمتم

آقای Mohamad من تا امشب حتماً نتیجه ی راه حل شما را در این قسمت میگذارم ، از اینکه به من حقیر توجه دارید یک دنیا ممنون

[al1p0ur]

حدس میزدم کلاینت هات تو سگمنت های جدا باشند
اولا ،از پست های قبلیت تا اونجاییکه یادم میاد از سوئیچ 2960 استفاده میکنی درسته ؟
دوما ، شما روتینگ بین vlan هات رو دادی به میکروتیک که برات انجام بده . بعد هم اومدی رو همون پورت hotspot ران کردی . خب معلومه که دیگه به هم دسترسی ندارن مگر اینکه لاگین کنند .
میتونید vlan routing رو بندازید روی 2960 (با یک سری تنظیمات میشه رو 2960 روت کرد )و روی اون gateway رو میکروتیک بذارید . اینجوری روتینگ شبکه داخلی میوفته رو 2960 و اینترنت هم میوفته روی میکروتیک .
البته یه سری تنظیمات هم روی میکروتیک داری

با اضافه کردن اینترفیس روی میکروتیک و نوشتن روت روی کلاینت ها هم میشه یه کارایی کرد اما دردسرش بیشتره .

[saman-net]

واقعاً از اینکه اینقدر با جزییات تمام پست های من را دنبال میکنید ، ممنونم و تعجب هم کردم


کاملاً چیزایی که فرمایش کردید درست است ، البته مشکل دسترسی کلاینت های من مربوط به دسترسی کلاینت ها در یک VLAN میشه ، همچنین من برای هر VLAN یک Gateway مشخص کردم که روی میکروتیک است

بازم میگم ، کلاینتها در یک VLAN با هم دسترسی ندارند ، نه در VLAN های جدا

آیا خوب منظورم رو رسوندم ؟

بازم از توجه شما عزیزان ممنون