Trong bài viết này, mình sẽ hướng dẫn cách thiết lập một hệ thống WiFi miễn phí (Hotspot) trên thiết bị MikroTik Router, sử dụng VLAN tách biệt, DHCP riêng, cấu hình Hotspot, và đảm bảo bảo mật nội mạng.
Phương pháp này rất phù hợp cho các quán café, nhà hàng, khách sạn, hay các khu vực công cộng muốn cung cấp WiFi miễn phí nhưng vẫn giữ an toàn cho mạng nội bộ.
Table Of Content
1. Tạo VLAN 20 cho mạng WiFi miễn phí
Đầu tiên, chúng ta sẽ tạo VLAN với ID 20 trên bridgeLAN để tách biệt lưu lượng mạng WiFi:
/interface vlan add interface=bridgeLAN name=FREE vlan-id=20
Lưu ý: Trên switch hoặc access point (ví dụ Aruba), cũng cần gán VLAN tag 20 cho SSID phát sóng.
2. Gán địa chỉ IP cho VLAN FREE
Tiếp theo, cấu hình IP cho interface mới:
/ip address add address=192.168.222.1/24 comment="FREE WIFI" interface=FREE network=192.168.222.0
3. Thiết lập Pool địa chỉ IP cho DHCP
Chúng ta cần tạo một pool IP để cấp phát cho các thiết bị truy cập:
/ip pool add name=FREE ranges=192.168.222.2-192.168.222.254
4. Cấu hình DHCP Server cho VLAN
Tạo DHCP Server gán địa chỉ IP tự động cho các thiết bị:
/ip dhcp-server add address-pool=FREE disabled=no interface=FREE lease-time=2h name=FREE_WIFI
/ip dhcp-server network add address=192.168.222.0/24 dns-server=8.8.8.8,1.1.1.1 gateway=192.168.222.1
5. Tạo User Profile cho Hotspot
Chúng ta sẽ giới hạn băng thông người dùng ở mức 100Mbps upload/download, và cho phép nhiều thiết bị chia sẻ cùng một tài khoản:
/ip hotspot user profile add address-pool=FREE mac-cookie-timeout=2h name=U_PROFILE rate-limit=100M/100M shared-users=999 transparent-proxy=yes
6. Tạo Hotspot Server Profile
Cấu hình Hotspot hỗ trợ đăng nhập bằng cookie, HTTP-CHAP, HTTPS hoặc dùng trial tự động 2 giờ:
/ip hotspot profile add html-directory=hotspot http-cookie-lifetime=2h login-by=cookie,http-chap,https,http-pap,trial name=SV_PROFILE trial-uptime-limit=2h trial-uptime-reset=2h trial-user-profile=U_PROFILE
7. Khởi tạo Hotspot Server
Cuối cùng, tạo Hotspot server và gán vào interface VLAN FREE:
/ip hotspot add address-pool=FREE addresses-per-mac=unlimited disabled=no idle-timeout=none interface=FREE name=HS_FREE profile=SV_PROFILE
8. Thiết lập Firewall bảo mật nội bộ
Để ngăn mạng FREE truy cập vào hệ thống mạng nội bộ (bridgeLAN), cũng như khóa Winbox từ VLAN này:
/ip firewall filter
add action=drop chain=input dst-port=8291 protocol=tcp src-address=!192.168.1.0/24
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.222.0/24
Chỉ với vài bước đơn giản, bạn đã có thể triển khai thành công hệ thống WiFi miễn phí có đăng nhập Hotspot trên MikroTik, đảm bảo an toàn, ổn định và quản lý dễ dàng.
Nếu bạn cần tự động hóa hoàn toàn quy trình này bằng script hoặc muốn thiết kế thêm giao diện đăng nhập đẹp mắt cho Hotspot, đừng ngần ngại liên hệ mình nhé!
Chúc bạn thành công! 🚀
