اکانتینگ برای کنترل اینترنت کاربران استفاده میشود. امکاناتی مانند محدود کردن زمان و حجم در این سیستم اجرا میشود. بیشتر روتر های میکروتیک قابلیت فعال سازی این برنامه را دارند. برای این منظور از پکیج User manager استفاده میشود. این برنامه یک نرم افزار ساده برای راه اندازی اکانتینگ در میکروتیک را در اختیار ما قرار میدهد. در صورت نیاز به امکانات بیشتر از نرم افزار های تخصصی باید استفاده کرد.
فرآیند کلی اکانتینگ از دو بخش تشکیل میشود. نرم افزار اکانتینگ و دستگاهی که کاربران به آن متصل میشوند. برای اتصال این دو از پروتکلی به نام Radius استفاده میشود. در Radius آدرس دو دستگاه به هم داده شده و یک رمز مشترک بین این دو ست میشود. در این آموزش از نرم افزار یوزر منیجر برای نرم افزار مدیریت و روتر برای دستگاه اتصال استفاده میشود.
نصب و تنظیم User Manager
نصب User Manager
برای راه اندازی اکانتینگ در میکروتیک ابتدا آخرین ورژن استیبل Router OS و extra Package را متناسب با نوع پردازنده روتر خود از سایت میکروتیک دانلود میکنیم.
برای دیدن نوع پردازنده با Winbox به روتر متصل میشویم. از منوی سمت چپ System>Resources روبروی Architecture name مدل پردازنده دیده میشود که arm یا mipsbe و مدل های دیگر میتواند باشد.
در Winbox سمت چپ گزینه Files را انتخاب میکنیم. فایل routeros را که دانلود کرده ایم، در قسمت فایل (Drag and Drop) کپی میکنیم. extra package را که فایل زیپ هست در کامپیوتر unzip میکنیم. فایل user manger را نیز به قسمت فایل کپی میکنیم. روتر را ریبوت میکنیم.
پس از بالا آمدن روتر و لاگین مجدد User Manager نصب شده در منوی سمت چپ دیده میشود.
تنظیم User Manager
در ورژن های قبل از 7 میکروتیک، تنظیمات یوزر منیجر از طریق مرورگر وب انجام میشد. در قسمت URL آدرس http://Mikrotik-IP/userman را وارد میکردیم و با نام کاربری لاگین کرده و تنظیمات انجام میشد. در میکروتیک ورژن 7 که در اینجا توضیح میدهیم، تنظیم User Mnagaer از طریق Winbox انجام میشود.
تعریف سرور
در Winbox از منوی سمت چپ گزینه User Manager را انتخاب میکنیم. تنظیمات یوزر من در اینجا قرار دارد.
تب Routers را باز میکنیم. کلید + را زده تا صفحه تنظیمات باز شود. سه قسمت اول را پر میکنیم.
Name: یک اسم دلخواه
Shared Secret: پسورد برای اتصال به Radius
Address: آدرس وسیله ای که قرار است با یوزر منیجر کار کند. چون اتصال ازطریق همین روتر برقرار میشود آدرس 127.0.0.1 که به همین دستگاه اشاره میکند را وارد میکنیم.
تعریف محدودیت
گام بعدی تعریف محدودیت برای کاربران است. دو محدودیت برای کاربران قابل تعریف است. حجم دانلود/آپلود و سرعت.
در تنظیمات یوزر منیجر روی تب Limitations کلیک کرده و + را میرنیم.
در پنجره باز شده تنظیمات زیر را انجام میدهیم.
Name: یک نام ذلخواه تعریف میکنیم.
Download/Upload Limit: حجم دانلود و آپلود را برای کاربر بر حسب یایت تعریف میکنم.
Transfer Limit: مجموع دانلود و آپلود است.
Rx/Tx Rate Limit: سرعت دانلود و آپلود را مشخص میکنیم.
Reset Counter Interval: مقادیر محدودیت تعریف شده بعد از چه مدت ریست شود. فرض کنید ما 10G دانلود را برای یک ماه اختصاص میدهیم و روی Monthly قرار میدهیم. بعد از یک ماه صفر شده و مجدد محاسبه میشود.
تعریف پروفایل و محدودیت برای آن
در تب Profile روی + کلیک میکنیم. در صفحه باز شده در Name یک اسم برای پروفایل انتخاب میکنیم. Name For Users نامی است که کاربر آن را میبیند. Start When یعنی از چه زمانی فعال شود. first auth یعنی از اولین کانکت کاربر. پس از ایجاد OK را میزنیم تا ذخیره شود.
در تب Profile Limitations برای این پروفایل محدودیت تعیین میکنیم. بر روی + کلیک کرده و صفحه تنظیمات باز میشود. در Profile لیست پروفایل هایی که ایجاد کرده ایم نمایش داده شده و قابل انتخاب است. Limitations هم محدودیت هایی که قبلا تعیین کردیه ایم مطابق نیاز به این پروفایل اختصاص میدهیم. زمان و روزهای فعال بودن قابل انتخاب است.
تعریف کاربران
نوبت یه ساخت کاربران رسید.
در تب User Group میتوانیم یک گروه بسازیم و پروتکل های مودر نظر خود را به آن اختصاص دهیم. حالت Default همه پروتکل ها را شامل میشود. از همین استفاده میکنیم.
سپس روی تب Users کلیک کرده و با + کاربران را یک به یک ایجاد میکنیم.
اکنون روی تب Users Profiles کلیک میکنیم و + را میزنیم. هر کاربر را به یک پروفایل اختصاص میدهیم.
تنظیمات یوزر منیجر به پایان رسیده و کاربران آماده شده اند.
اکنون نوبت فعال سازی برنامه میرسد. تب Sessions را کلیک کرده و Settings را میزنیم. تیک Enabled را برای فعال سازی میزنیم. تیک Use Profiles را نیز میزنیم تا برای پروفایل ها فعال شود. در غیر اینصورت کار نخواهد کرد.
در این تب همچنین میتوان وضعیت یوزرهای فعال و قطع شده را مشاهده کرد.
کاربران برای مشاهده میزان اعتبار و وضعیت اکانت میتوانند از آدرس http://mikrotikIP/um استفاده کنند.
اتصال کاربران به اکانتینگ
در راه اندازی اکانتینگ در میکروتیک، کاربران به دو شکل میتوانند به میکروتیک متصل شوند. از طریق PPP (Point-to-Point-Protocol) و دیگر راه اندازی سرور هات اسپات است. هر دو مورد را توضیح میدهیم.
اتصال از طریق PPP
تعریف رنج IP دارای اینترنت برای کاربران
ابتدا یک رنج IP تعریف کرده و سپس آن را اینترنت دار میکنیم.
تعریف Pool
در Winbox از منوی سمت چپ PPP را انتخاب میکنیم. در صفحه PPP تب Profile را انتخاب کرده و + را میزنیم. در این صفحه Name یک نام دلخواه انتخاب میکنیم.
Service Name: یک نام دلخواه برای سرویس
Interface: کاربران از طریق کدام اینترفیس وارد میشون
Authentication: از کدام پروتکل برای اعتبار سنجی استفاده شود.
تنظیم Nat
اکنون از منوی سمی چپ IP>Firewall را انتخاب میکنیم. روی تب Nat کلیک کرده و + را میزنیم. در پنجره باز شده در تب General قسمت Chain را روی srcnat قرار داده و در Src Address رنج IP را وارد میکنیم.
در تب Action، قسمت Action را روی masquerade میگذاریم.
برای اینکه کاربران از طریق کانکشن PPP متصل شوند در Winbox از منوی سمت چپ گزینه PPP را انتخاب میکنیم.
روش های زیادی برای این اتصال مانند PPTP, L2TP, PPPoE و غیره وجود دارد. راه اندازی PPPoE سرور را در ادامه میبینیم.
راه اندازی PPPoE سرور در میکروتیک
برای راه اندازی PPPoE سرور، تب PPPoE Servers را باز کرده و + را میزنیم. در صفحه باز شده
Service Name: یک نام دلخواه برای سرویس
Interface: کاربران از طریق کدام اینترفیس وارد میشوند
Default Profile: پروفایلی که ساخته ایم را انتخاب میکنیم.
Authentication: از کدام پروتکل برای اعتبار سنجی استفاده شود.
در تب Secret گزینه PPP Authentication & Accounting را انتخاب میکنیم. تیک Radius را میزنیم تا امکان کار با User Manager را داشته باشد.
تنظیمات Radius
از منوی سمت چپ Radius را انتخاب میکنیم. در صفحه باز شده + را میزنیم. در صفحه جدید:
Service: گزینه ppp را انتخاب میکنیم.
Address: آدرس سرور اکانتینگ که اینجا یوزر منیجر است. 127.0.0.1 به خود روتر اشاره میکند.
Secrect: یه رمز که بین سرویس اتصال و اکانتینگ مشترک تعریف میشود.
Port: این دو پورت دیفالت ردیوس است وقابل تغییر نیز میباشد.
در صفحه Radius گزینه incoming را میزنیم. در صفحه باز شده تیک Accept را میزنیم. این گزینه برای قطع کردن کاربران لازم است.
برای اتصال کاربران در ویندوز از Control Panel گزینه Network and Sharing Center را انتخاب میکنیم. در صفحه باز شده Setup a new connection or network را انتخاب میکنیم. گزینه connect to the Internet را انتخاب کرده و Next را میزنیم. گزینه Set up a new connection anyway را انتخاب میکنیم. Broadband (PPPoE) را انتخاب میکنیم.
در صفحه باز شده نام کاربری و پسورد تعریف شده در یوزر منیجر را میزنیم. در قسمت Connection name آدرس میکروتیک را وارد میکنیم.
نکته: این کانکشن به Nat حساس است. اگر یک Nat کلی بدون مشخص بودن رنج مبدا در لیست وجود داشته باشد، امکان برقراری اتصال به میکروتیک وجود ندارد.
راه اندازی هات اسپات در میکروتیک
روش دوم اتصال کاربران در در راه اندازی اکانتینگ در میکروتیک، از طریق راه اندازی هات اسپات است. در این سیستم دیگر نیازی به ایجاد کانکشن نیست. کاربر برای اتصال به اینترنت، مرورگر اینترنت را که باز کند و در آنجا نام کاربری و پسورد خواسته میشود. با وارد کردن آن میتواند به اینترنت متصل گردد. برای استفاده از تمام برنامه هایی که اینترنت نیاز دارند مانند پیام رسان و غیره حتما باید یک بار با مرورگر لاگین کند.
از منوی سمت چپ IP>Hot Spot را انتخاب میکنیم. راه آسان تنظیم استفاده از ویزارد خود برنامه است. در تب Servers گزینه Hotspot Setup را میزنیم.
مرحله اول اینترفیسی را که میخواهیم سرویس روی آن فعال شود را انتخاب میکنیم. iP لوکال را مشخص میکنیم. رنج IP کاربران را مشخص میکنیم. اگر از رنج IP لوکال بدهیم، در صورت فعال سازی تا قبل از لاگین، Nat را غیر فعال میکند و عملا کاربران، اینترنت بدون لاگین نخواهند داشت.
اگر گواهی SSL و یا سرور SMTP داشته باشید میتوانید وارد کنید. IP ها DNS را وارد میکنیم.
سرور DNS دارای نام باشد میتوان وارد کرد. یک یوزر که بتوان با آن لاگین کرد را وارد میکنیم.
در صفحه هات اسپات روی تب Server Profiles کلیک میکنیم. در صفحه باز شده یکی از گزینه های موجود را کلیک کرده و در تب Radius تیک Use RADIUS را میزنیم.
سرور ایجاد شده و قابل مشاهده است. با کلیک بر روی نام سرور صفحه تنظیمات باز میشود.
Name یک نام دلخواه است. Interface اینترفیسی است که روی آن سرویس فعال میشود. Profile پروفایلی را انتخاب میکنیم که در تنظیمات RADIUS را روی آن فعال کرده ایم.
برای امنیت بیشتر Addresses per MAC را روی 1 میگذاریم.
در قسمت Server Profile تب لاگین تیک Cookie را بر میداریم.
در شبکه ممکن است است تجهیزاتی مانند پرینتر، دوربین مدار بسته و غیره وجود داشته باشد که باید بدون لاگین به اینترنت و شبکه وصل شوند. در اینجا این دستگاه ها Bypass میشوند و IP آنها از هات اسپات خارج میشود. برای اینکار در صفحه هات اسپات تب IP Bindings را میزنیم.
در صفحه باز شده قسمت Address آدرس IP دستگاهی که میخواهیم بای پس شود را وارد میکنیم. سروری که قبلا ساخته ایم را در قسمت Server وارد میکنیم. گزینه Type را روی bypassed میگذاریم.
در منوی سمت چپ RADIUS را انتخاب کرده و + را میزنیم. تیک hotspot را میزنیم. در قسمت Address آدرس 127.0.01 را وارد میکنیم که به خود روتر اشاره میکند. در Secret یک رمز وارد میکنیم که بین این و یوزر منیجر مشترک است.
اکنون اگر مرورگر وب را باز کنید از شما نام کاربری و رمز عبور برای اتصال به اینترنت میخواهد. اگر به صورت اتوماتیک یه صفحه لاگین هدایت نشدید، آدرس روتر را در مرورگر وارد کنید و لاگین کرده و به اینترنت متصل شوید.
به پایان نصب و تنظیم راه اندازی اکانتینگ در میکروتیک میرسیم.