RouteOS软路由HotSpot热点认证网关

实现要求：

实现局域网有线无线需在网页输入用户名和密码登录，不同用户登录有不同的访问内外网权限。

环境要求：

一台PC机安装三张网卡，第一张网卡连接外网，第二张网卡配置局域网，第三张网卡做配置连接使用   (标注：只要两张网卡也是可以满足要求)

配置说明：

1、外网：       (电信IP运营商固定IP地址)

IP地址：218.17.198.29/26

网关：218.17.198.7

2、内网：

IP地址：172.18.0.7/16

3、配置网卡

IP地址：10.8.9.110/24

以下配置如果不会配置请参考本人博客

《ROUTEROS软路由配置固定IP上网+DHCP》

http://www.cnblogs.com/zoulongbin/p/5845699.html

 图形介面操作

1、  配置HotSpot虚拟地址池IP

禁止上外网 (能访问内网，但访问不了外网)     172.18.150.0/24

内部人员   (能访问内网也能访问外网)         172.18.100.0/24

外来人员   (能访问外网，但不能访问内网)     172.18.200.0/24

2、  配置HotSpot虚拟地址池网关

禁止上外网 (能访问内网，但访问不了外网)     172.18.150.254

内部人员   (能访问内网也能访问外网)         172.18.100.254

外来人员   (能访问外网，但不能访问内网)     172.18.200.254

3、进入  ip hotspot user profile  设置用户分组规则

4、  进入 ip hotspot user 添加登录用户账号

User1                      添加到禁用上网规则

User2                      添加到内部人员上网规则

User3                      添加到外部人员上网规则

5、  进入 ip hotspot server profile  配置服务器规则

6、选择采用传输加密方式，一般默认启用HTTP CHAP即可

7、进入  ip hotspot server  添加并启用hotspot服务

8、设置防火墙规则

禁止上外网 (能访问内网，但访问不了外网)      172.18.150.0/24

内部人员   (能访问内网也能访问外网)          172.18.100.0/24

外来人员   (能访问外网，但不能访问内网)      172.18.200.0/24

A、 禁止上外网设定两条规则和两条jump指令跳转

禁止上外网pool--禁止上外网      -----  drop    (拦截)

禁止上外网pool—可以访问内网   -----   accept  (放行)

<1>设置jump指令跳转到   禁止上外网pool--禁止上外网规则

<2>设置jump指令跳转到   禁止上外网pool—可以访问内网规则

跳转jump指令在防火墙规则是先执行前面后执行后面的顺序，需要把<2>的放<1>指令前面

B、 外来人员只需要设定一条规则

外来人员pool--禁止访问内网      ----     drop   (拦截)

设置jump指令跳转到   外来人员pool--禁止访问内网规则

A1、添加禁止上外网pool--禁止上外网规则   设置  drop  (拦截)

A2、禁止上外网pool—可以访问内网   设置   accept  (放行)

A3、设置jump指令跳转到   禁止上外网pool--禁止上外网规则

A4、设置jump指令跳转到   禁止上外网pool—可以访问内网规则

B1、外来人员pool--禁止访问内网  设置成  drop  (拦截)

B2、设置jump指令跳转到   外来人员pool--禁止访问内网规则

当你完成后，所有对路由器或者外网访问都需要通过web认证，当用户随便输入一个网站都会跳转到认证页面如下图所示：

输入账号和密码后会跳转到以下页面

这时我们可以在ip  hotspot active 中看到用户登录的在线情况