Cấu hình MikroTik DHCP Server với Radius Server

Giao  thức cấu hình máy chủ động  ( DHCP ) là giao thức máy khách-máy chủ được sử dụng để gán động địa chỉ IP và các tham số cấu hình mạng khác cho từng thiết bị trên mạng để chúng có thể giao tiếp với các mạng IP khác. DHCP Server được sử dụng phổ biến trong Mạng văn phòng doanh nghiệp vì trong mạng văn phòng có nhiều loại thiết bị IP như Laptop, Desktop, Tablet, Smartphone, IP Phone, v.v. được duy trì và hầu như tất cả các thiết bị IP đều hỗ trợ DHCP. Mạng ISP cũng có thể được duy trì với Máy chủ DHCP.

Bộ định tuyến MikroTik có Dịch vụ DHCP tích hợp có thể dễ dàng sử dụng để quản lý các thiết bị hỗ trợ DHCP. Cùng với MikroTik DHCP Server, MikroTik User Manager Radius Server cũng có thể được sử dụng để quản lý các máy khách DHCP và băng thông của chúng một cách hiệu quả. Vì vậy, nếu bạn thiết kế mạng của mình với MikroTik DHCP Server và User Manager Radius Server, mạng của bạn sẽ là một mạng thông minh và dễ quản lý. Trong bài viết này, tôi sẽ thảo luận về cách định cấu hình Máy chủ DHCP tĩnh trong Bộ định tuyến MikroTik với Máy chủ bán kính quản lý người dùng và quản lý máy khách/người dùng DHCP sao cho dễ dàng và hiệu quả.

Mục đích bài viết

Mục đích của bài viết này là thiết kế một mạng thông minh và dễ quản lý với

• Dịch vụ MikroTik DHCP và
• Trình quản lý người dùng MikroTik Radius Server.

Giản đồ hệ thống

Đối với cấu hình của bài viết này, tôi sẽ thiết lập một mạng như sơ đồ mạng bên dưới.

Đây là một sơ đồ mạng đơn giản và cơ bản. Trong tình huống thực tế, mạng của bạn có thể lớn hơn mạng này nhưng sơ đồ cơ bản sẽ không thay đổi. Trong mạng này, Công tắc phân phối WAN được kết nối với cổng internet. Giao diện WAN của Bộ định tuyến MikroTik (NAS) và Máy chủ bán kính của Trình quản lý người dùng MikroTik cũng được kết nối với Bộ chuyển mạch phân phối WAN này. Người dùng DHCP sẽ được kết nối với Bộ định tuyến NAS thông qua LAN Switch và sẽ có quyền truy cập internet và Bộ định tuyến MikroTik sẽ liên lạc với Máy chủ Radius thông qua giao diện WAN.

Thiết bị lõi và thông tin IP

Để thiết lập mạng Hotspot theo sơ đồ mạng trên, tôi đã cài đặt và hoàn tất cấu hình ban đầu của Gói máy chủ bán kính quản lý người dùng MikroTik trong một máy chủ vật lý chuyên dụng nơi MikroTik RouterOS đang chạy. Tôi cũng có một MikroTik RouterOS vật lý (MikroTik RouterBOARD 1100AHX2) là RouterOS NAS (Network Access Server) RouterOS của mạng này. Thông tin IP mà tôi đang sử dụng cho cấu hình mạng này được cung cấp bên dưới.

• Radius Server IP: 192.168.110.10/28
• MikroTik RouterOS (NAS) WAN IP: 192.168.110.2/28
• LAN IP Block: 192.168.10.0/24
• LAN Gateway: 192.168.10.1/24

Thông tin IP này chỉ dành cho mục đích RND của tôi. Vì vậy, hãy thay đổi thông tin này theo yêu cầu mạng của bạn.

Cấu hình máy chủ DHCP tĩnh MikroTik với Máy chủ bán kính quản lý người dùng

Bây giờ chúng ta sẽ bắt đầu cấu hình mạng DHCP với Máy chủ Radius của Trình quản lý người dùng theo sơ đồ mạng ở trên. Cấu hình hoàn chỉnh có thể được chia thành hai phần.

• Phần 1: Cấu hình MikroTik RouterOS (NAS Router)
• Phần 2: Cấu hình Radius Server của Trình quản lý người dùng MikroTik

Phần 1: Cấu hình MikroTik RouterOS (NAS Router)

Trong phần đầu tiên, chúng ta sẽ cấu hình MikroTik RouterOS (NAS) để nó có thể biến thành một DHCP Server tĩnh và có thể giao tiếp với Radius Server để xác thực các máy khách DHCP. Toàn bộ cấu hình RouterOS có thể được chia thành các chủ đề bên dưới.

• Cấu hình MikroTik RouterOS cơ bản
• Cấu hình DHCP trong MikroTik RouterOS
• Tạo quy tắc tường lửa để chặn hoặc cho phép máy khách DHCP
• Cấu hình Radius Client trong MikroTik RouterOS

Cấu hình MikroTik RouterOS cơ bản

Cấu hình cơ bản của Bộ định tuyến MikroTik bao gồm chỉ định IP WAN, LAN IP và DNS IP và NAT và Cấu hình cổng mặc định. Các bước sau đây sẽ chỉ ra cách thực hiện các chủ đề này trong MikroTik RouterOS của bạn.

• Login to your MikroTik Router using Winbox with full permission user such as admin user.
• Go to IP > Addresses menu item. Address List window will appear. Click on PLUS SIGN (+). New Address window will appear.
• Put RouterOS WAN IP (RouterOS WAN IP: 192.168.110.2/28) in Address input field and choose WAN interface from Interface dropdown menu and then click Apply and OK button.
• Again click on PLUS SIGN and put LAN Gateway IP (LAN Gateway IP: 192.168.10.1/24 for this article) in Address input field and choose LAN interface (ether2 for this article) from Interface dropdown menu and click Apply and OK button.
• Now go to IP > DNS. DNS Settings window will appear. Put your DNS server IP (Public DNS IP: 8.8.8.8 or 8.8.4.4) in Servers input field and then click Apply and OK button.
• Go to IP > Routes. Route List window will appear. Click on PLUS SIGN (+). New Route window will appear. Click on Gateway input box and put your internet gateway IP (in this network: 192.168.110.1) in this input field. Click on Apply and OK button.
• Go to IP > Firewall menu item and click on NAT tab and then click on PLUS SIGN. New NAT Rule window will appear.
• In General tab, choose srcnat from Chain dropdown menu and click Action tab and then choose masquerade from Action dropdown menu. 
• Click on Apply and OK button.

Cấu hình cơ bản MikroTik Router đã hoàn tất. Bây giờ chúng ta sẽ cấu hình DHCP Server trong NAS RouterOS của chúng ta.

Cấu hình DHCP trong MikroTik RouterOS

Bây giờ chúng ta sẽ cấu hình DHCP Server trong NAS RouterOS của chúng ta. Các bước sau đây sẽ chỉ cho bạn cách định cấu hình Máy chủ DHCP trong MikroTik RouterOS của bạn.

• Go to IP > DHCP Server menu item from your winbox. DHCP Server window will appear.
• In DHCP Server window, click on DHCP Setup button and choose the interface (in this article: ether2) on which you want to setup DHCP server from DHCP Server Interface dropdown menu and then click on Next button.
• Now put your LAN IP block (192.168.10.0/24 for this article) in DHCP Address Space input box and click Next button.
• Put LAN gateway address (192.168.10.1 for this article) in Gateway for DHCP Network input box and then click Next button.
• Provide IP range from which your DHCP client/LAN user will get IP in Address to Give Out input box and click Next button.
• Provide preferred DNS server IP and click Next button.
• Now provide IP lease time and click Next button. Default lease time is 3 days.
• DHCP setup has been completed and a successful message will be shown. Your DHCP Server will be shown in DHCP Server List.
• Click on your DHCP Server twice and you will find DHCP Server window. From Address Pool dropdown menu, choose static-only so that your DHCP Server turns into a static DHCP Server. In a static DHCP Server, IP address will not be provided until client MAC address is supplied and obviously an enterprise network will want it.
• Go to IP > Pool and remove the automatic created pool from Pools list because in static DHCP server no need to have a pool. IP will be provided manually when any user will supply his device MAC address.

Quá trình cấu hình DHCP Server đã hoàn tất. Bây giờ chúng tôi sẽ tạo hai quy tắc tường lửa để chỉ những người dùng được phép của chúng tôi mới có thể truy cập internet thông qua Bộ định tuyến MikroTik của chúng tôi.

Tạo quy tắc tường lửa để chặn hoặc cho phép máy khách DHCP

Bây giờ chúng tôi sẽ tạo hai quy tắc tường lửa để chỉ người dùng được phép của chúng tôi mới có thể truy cập internet qua Bộ định tuyến MikroTik của chúng tôi. Nếu bất kỳ người dùng chuyên gia nào muốn thực hiện bất kỳ kết nối không công bằng nào, anh ta sẽ bị từ chối theo các quy tắc sau.

• Go to IP > Firewall and click on Filter Rules tab and then click on PLUS SIGN (+). New Firewall Rule window will appear.
• In General tab, choose forward from Chain dropdown menu and choose your LAN interface from Interface dropdown menu.
• Click on Action tab and choose drop from Action dropdown menu.
• Click Apply and OK button.
• Similarly, click on PLUS SIGN (+) and choose forward from Chain dropdown menu and choose LAN interface from Interface dropdown menu.
• Click on Advanced tab and write permitted_users in Address List input box.
• Click on Action tab and choose accept from Action dropdown menu.
• Now click on Apply and OK button.

Những gì chúng tôi đã làm là chúng tôi đã chặn tất cả người dùng đến từ giao diện LAN bằng quy tắc tường lửa đầu tiên và sau đó chúng tôi đã cho phép tất cả người dùng có trong danh sách hoặc nhóm địa chỉ allow_users với quy tắc tường lửa thứ hai. Rõ ràng, quy tắc thứ hai phải đặt trước quy tắc đầu tiên, nếu không, người dùng sẽ không được truy cập internet vì họ sẽ tuân theo quy tắc bị chặn đầu tiên. Nhóm allow_users sẽ được cung cấp từ Radius Server.

Cấu hình Radius Client trong MikroTik RouterOS

Các bước sau đây sẽ chỉ cho bạn cách định cấu hình ứng dụng khách Radius trong MikroTik RouterOS.

• Click on Radius menu item from left menu bar. Radius window will appear now.
• Click on PLUS SIGN (+). New Radius Server window will appear now.
• Click on dhcp checkbox from Service panel.
• Put Radius Server IP address (in this article: 192.168.110.10) in Address input field.
• Provide a password in Shared Secret input field. This password is important and has to provide when NAS router will be configured in User Manager Radius Server.
• Click on Apply and OK button.
• Now click on Incoming button and Radius Incoming window will appear.
• Click on Accept checkbox and put 1700 in Port input box and then click on Apply and OK button.

Cấu hình máy khách Radius đã hoàn tất. Bây giờ MikroTik RouterOS có thể giao tiếp với Radius Server để xác thực người dùng DHCP.

Phần 2: Cấu hình Radius Server của Trình quản lý người dùng MikroTik

MikroTik User Manager Cài đặt Radius Server và cấu hình ban đầu đã được thảo luận trong bài viết trước của tôi. Nếu bạn không có đủ phần giới thiệu về cài đặt và cấu hình ban đầu của Trình quản lý người dùng Radius Server, trước tiên hãy dành chút thời gian để nghiên cứu bài viết đó và hoàn thành quá trình cài đặt và cấu hình ban đầu của Radius Server, sau đó tiếp tục phần bên dưới của tôi. Trong phần này, tôi sẽ đề cập đến các chủ đề bên dưới trong Radius Server của chúng tôi để xác thực, ủy quyền và kế toán người dùng DHCP.

• Thêm Bộ định tuyến Máy khách (NAS) trong Máy chủ Radius
• Cấu hình hồ sơ cho giới hạn băng thông người dùng và quyền
• Thêm người dùng trong Radius Server

Thêm Bộ định tuyến Máy khách (NAS) trong Máy chủ Radius

Các bước sau đây sẽ chỉ cho bạn cách thêm bộ định tuyến máy khách trong Máy chủ bán kính quản lý người dùng.

• Login to User Manager Radius Server web interface with customer or subscriber credentials using https://radius-server-ip-address/userman (for this configuration: https://192.168.110.10/userman) URL.
• Click on Routers button from left button panel and then click on Add > New menu item from top menu bar. Router Details window will appear now.
• In Main panel, put a meaningful name for your client router in Name input field. Also choose owner from Owner dropdown menu.
• Put your client router IP address (RouterOS IP: 192.168.110.2) in IP address input field.
• Now put shared secret password that you have provided at Radius client configuration in MikroTik RouterOS Shared secret input field.
• In Radius incoming panel, click on CoA support check box and put 1700 in CoA port input box.
• Click on Add button to add this router in Radius Server Router list.

MikroTik RouterOS đã được thêm vào Máy chủ bán kính quản lý người dùng làm bộ định tuyến máy khách. Bây giờ Trình quản lý người dùng sẽ trả lời bất kỳ truy vấn nào mà MikroTik RouterOS của chúng tôi sẽ hỏi.

Cấu hình hồ sơ cho giới hạn băng thông người dùng và quyền

Bây giờ chúng ta sẽ tạo hồ sơ người dùng để có thể quản lý băng thông và quyền của người dùng DHCP. Phần sau đây sẽ chỉ ra cách tạo giới hạn băng thông người dùng và duy trì quyền của người dùng với Máy chủ bán kính quản lý người dùng.

• Click on Profiles button and then click on Limitations
• Now click on Add > New menu item. Limitation details window will appear.
• Put your limitation package name in Name input box. I am providing Executive Package in Name field because I want to create a limitation package for Executives. Also choose owner from Owner dropdown menu.
• In Rate limits panel, put your bandwidth limitation parameter. For a 512kbps bandwidth limitation, I am providing below information.
  

  Parameter name	Rx	Tx
  Rate limit	512k	512k
  Burst rate	1M	1M
  Burst threshold	512k	512k
  Burst time	60	60
  Min rate	32k	32k

Cũng chọn ưu tiên từ trình đơn thả xuống Ưu tiên . Đối với cấu hình của tôi, tôi đang chọn 8 có nghĩa là mức độ ưu tiên thấp nhất.

• In Constraints panel, put your permitted users address list name (in this article: permitted_users) in Address list input box.
• Click Save button to save this limitation package.
• Similarly, you can create as many limitation packages as you want.
• Now click on Profiles tab and then click on PLUS SIGN (+). Create profile window will appear.
• Put profile name what you want in Name input field. For my executive package, I am providing Executive as name. Click on Create Your created profile will be available in Profiles dropdown menu.
• From Profiles dropdown menu, select your profile created profile. At the bottom of this profile, you will find Unlimited profile that mean there is no limitation for this profile. So, click on Add new limitation Profile part window will appear now.
• You will find your limitation packages that you have created before in Limits Click on your desired Package’s checkbox and then click on Add button to add this limitation for this profile.
• Similarly, you can create as many profiles as you want and can assign limitation for those profiles.

Cấu hình hồ sơ trong Máy chủ bán kính quản lý người dùng đã hoàn tất. Bây giờ chúng tôi sẽ tạo người dùng sẽ được phép truy cập internet.

Thêm người dùng trong Radius Server

Bây giờ chúng tôi sẽ thêm các máy khách DHCP của chúng tôi vào Máy chủ bán kính quản lý người dùng. Các bước sau đây sẽ chỉ cho bạn cách thêm người dùng/máy khách DHCP vào Máy chủ Radius của bạn.

• Click on Users button and then click on Add > One menu item. User details window will appear.
• In Main panel, put MAC address of your user’s device in Username input field.
• In Constraints panel, put IP address that you want to assign for this user in IP address input field.
• Now choose your desired profile for this user from Assign profile dropdown menu and then click on Add

Người dùng DHCP đầu tiên đã được tạo. Tương tự, bạn có thể tạo bao nhiêu người dùng tùy thích theo đúng các bước trên.

Máy chủ DHCP tĩnh của chúng tôi đã sẵn sàng. Bây giờ là lúc để kiểm tra máy chủ DHCP của chúng tôi. Kết nối thiết bị mà bạn đã thêm vào đây trong mạng của mình. Nếu mọi thứ đều ổn, thiết bị sẽ có thể truy cập internet thông qua Bộ định tuyến NAS của bạn.

Gán IP động thông qua máy chủ DHCP tĩnh

Thông thường, không có tùy chọn nào trong Máy chủ DHCP tĩnh MikroTik để xác thực người dùng DHCP bằng cách cung cấp địa chỉ MAC và sau đó gán địa chỉ IP động. Ví dụ: một người dùng khách đến văn phòng của bạn và cung cấp địa chỉ MAC trên điện thoại thông minh của anh ta. Bây giờ bạn sẽ thêm địa chỉ MAC này và gán địa chỉ IP có sẵn theo cách thủ công và sau đó anh ấy sẽ được kết nối với mạng của bạn. Nhưng trong quá trình này, việc tìm một địa chỉ IP khả dụng có thể là một nhiệm vụ nhàm chán. Sử dụng Radius Server, bạn có thể tránh được nhiệm vụ nhàm chán này nếu muốn. Các bước sau đây sẽ chỉ ra cách cung cấp IP động thông qua DHCP Server tĩnh bằng MikroTik User Manager Radius Server.

• Login to MikroTik Router and go to IP > Addresses and then click on PLUS SIGN. Put a new IP block’s gateway IP (such as: 192.168.11.1/24) in Address input field and choose the interface where DHCP Server is enabled from Interface dropdown menu. Click on Apply and OK button.
• Go to IP > Pool and click on PLUS SIGN. Put pool name (such as: guest_users_ip) in Name input field. In addresses input filed, put IP ranges from where IP will be assigned dynamically (such as: 192.168.11.2-192.168.11.254).
• Go to IP > DHCP Server and click on Networks tab and then click on PLUS SIGN. Put your IP block (such as: 192.168.11.0/24) in Address input field and gateway IP (such as: 192.168.11.1) Gateway input field. You can also assign DNS server for this IP block from DNS Servers input field. Click Apply and OK button.
• Now login to User Manager Web interface with customer credentials and click on Profiles button and then click on Limitation tab. Go to Add > New menu item and put name of this limitation package (such as: Guest Package) in Name input field and choose owner from Owner dropdown menu.
• If you want to apply rate limit for this package, you can do that from Rate limit panel according to your requirements.
• In Constraints panel, put IP Pool name (in this article: guest_users_ip) in IP pool input filed. Also put permitted user’s address list (in this article: permitted_users) in Address list window. Click Add button to add this new limitation package.
• Click on Profiles tab and click on PLUS SIGN. Put profile name in Name input field and click on Create button. Your newly created profile will be available in Profiles dropdown menu. Select your newly created profile and from bottom click on Add new limitation You will find your newly created limitation package in Limits panel. Click on newly created package checkbox and then click on Add button.
• Click on Users button from left button panel and click on Add > One menu item. Put MAC address of your user’s device in Username input field and then just select your newly created profile from Assign profile dropdown menu. Click add button to add this user. Similarly, you can create as many users for this profile as you want.

Bây giờ DHCP tĩnh của chúng tôi với Radius Server đã sẵn sàng cung cấp địa chỉ IP động cho người dùng mong muốn của chúng tôi. Kết nối thiết bị mong muốn của bạn với mạng của bạn. Nếu mọi thứ đều ổn, người dùng của bạn sẽ tự động nhận địa chỉ IP từ dải IP đã xác định của bạn.

Tôi hy vọng, việc định cấu hình mạng DHCP tĩnh với MikroTik User Manager Radius Server sẽ rất dễ dàng nếu thực hiện đúng các bước trên. Tuy nhiên, nếu bạn gặp phải bất kỳ sự nhầm lẫn nào khi làm theo các bước trên, vui lòng xem video hướng dẫn của tôi về Cấu hình máy chủ DHCP tĩnh MikroTik với Máy chủ Radius của Trình quản lý người dùng. Tôi hy vọng, nó sẽ làm giảm bất kỳ sự nhầm lẫn của bạn.

Cấu hình máy chủ DHCP tĩnh MikroTik với Máy chủ Radius quản lý người dùng đã được thảo luận trong bài viết này. Tôi hy vọng bạn sẽ có thể định cấu hình mạng của mình với MikroTik DHCP Server và User Manager Radius Server một cách dễ dàng. Tuy nhiên, nếu bạn gặp phải bất kỳ sự nhầm lẫn nào khi thiết kế mạng DHCP của mình với Máy chủ Bán kính Trình quản lý Người dùng, vui lòng liên hệ với tôi từ trang Liên hệ .