Всем привет! В письмах меня постоянно спрашивают – а можно ли самому настроить Wi-Fi авторизацию по СМС. Если говорить простыми словами, то для публичного гостевого Wi-Fi, который вы даете посетителям кафе, офиса, салона, гостиницы или другого заведения, анонимный доступ оставлять нельзя. Пользователь должен пройти идентификацию перед выходом в интернет. Именно поэтому подобная схема давно используется в метро, поездах, торговых центрах и других общественных местах.
Введение
В статье я хочу показать, что не обязательно ставить слож: можно организовать такую авторизацию, если он поддерживает Captive Portal. Я буду использовать обычный роутер Zyxel Keenetic, хотя на текущий день правильнее уже говорить просто Keenetic. Логика настройки у старых Zyxel Keenetic и у нынешних Keenetic очень похожа. При этом не обязательно лезть в более сложные сценарии вроде MikroTik или собирать отдельную схему на OpenWRT – для малого бизнеса и небольшого хотспота Keenetic часто хватает с головой.
Сразу уточню важный момент, чтобы не запутать читателя. По закону важна именно идентификация пользователя в публичной сети, а не только СМС как единственный вариант. СМС – это просто самый понятный и привычный способ, поэтому в этой статье я показываю именно его. Но у многих сервисов есть и другие варианты – звонок, ваучеры, кабинет администратора, интеграция с гостиничной системой и так далее. Для обычного владельца кафе или небольшого офиса СМС-авторизация все равно остается самым простым стартом.
Еще одна полезная ремарка. Домашняя гостевая сеть для друзей и публичный хотспот для посетителей – это не одно и то же. Если вы просто раздаете Wi-Fi дома родственникам, эта статья вам скорее интересна как технический пример. А вот если вы даете интернет неопределенному кругу гостей в заведении, тогда Captive Portal и внешний сервис авторизации уже действительно имеют практический смысл.
Шаг 1: Загрузка дополнительного модуля
Как заходить в настройки я подробно рассказывать не буду. Там все достаточно просто: подключаемся к роутеру и открываем в браузере его адрес. У Keenetic это чаще всего my.keenetic.net или IP роутера, указанный на наклейке. Если вдруг не помните, как попасть в веб-интерфейс, можете отдельно посмотреть как зайти в настройки через my.keenetic.net. Далее в меню выбираем «Общие настройки» и нажимаем «Изменить набор компонентов».
Сразу скажу про важную мелочь. На новых версиях KeeneticOS названия пунктов меню могут немного отличаться, особенно если у вас другая модель или более свежий интерфейс. Но логика остается той же самой – нам нужно открыть управление системой и добавить компонент Captive Portal. Если вы только настраиваете сам роутер и еще не привели его в порядок, вам может пригодиться отдельная инструкция по базовой настройке Keenetic. И еще проверьте, что роутер работает именно в режиме «Роутер», потому что в режимах повторителя или точки доступа часть функций может вести себя иначе.
Далее нам нужно установить новый компонент Captive Portal, который как раз и будет отвечать за SMS авторизацию. После установки проверьте, чтобы в списке компонентов появился новый модуль. Если компонента нет в списке вообще, то сначала обновите систему роутера, а уже потом откройте набор компонентов повторно.
Переходим в раздел «Гостевая сеть». Далее проматываем до раздела нашего нового модуля и включаем его. Теперь нужно выбрать профиль – это тот самый сервис, которым мы будем пользоваться для отправки СМС и для самой страницы авторизации.
Вот здесь как раз кроется одна из самых частых ошибок. Не стоит думать, что все сервисы «примерно одинаковые» и разницы между ними нет. На практике они отличаются по цене, способам идентификации, наличию тестового периода, отчетам, брендингу страницы входа, срокам хранения данных и удобству личного кабинета. Поэтому выбирать сервис лучше не наугад, а хотя бы по трем критериям: сколько у вас гостей, нужен ли вам только СМС-вход или еще ваучеры и звонок, и хотите ли вы потом смотреть статистику подключений.
Я выбрал именно «GetWiFi» – в Keenetic этот профиль есть давно, и для первого знакомства он удобен. Плюс у сервиса есть тестовый период, так что можно спокойно проверить схему на одном хотспоте без немедленной оплаты. Но на текущий день я бы советовал смотреть не только на цену, а еще и на методы авторизации. То есть если вам потом понадобится не только СМС, но и, например, ваучерная схема для гостиницы, это лучше проверить заранее. Если хотите сначала вникнуть в саму идею, можете отдельно почитать что такое хотспот и как он работает – тогда интерфейс сервиса будет восприниматься намного понятнее.
Шаг 2: Регистрация и создание «хотспота»
Итак, для регистрации переходим на сайт – getwi.fi. Далее пролистываем немного ниже и выбираем кнопку «Попробовать» в нужном блоке слева.
Нужно пройти обычную регистрацию и ввести необходимые данные. Для подтверждения надо будет перейти по ссылке, которую вам отправят на почту. Сразу отмечу, что внешний вид личного кабинета у сервиса со временем может немного поменяться. Это нормально. Для нас важна не точная форма кнопки, а сам порядок действий: зарегистрировались, создали площадку, добавили хотспот, забрали служебные параметры и внесли их в Keenetic.
Теперь нам надо добавить одно из мест, куда будет относиться точка доступа. В соответствующем разделе в левом меню выбираем кнопочку с плюсиком для добавления.
Заполняем поля так, как вам удобно. Далее в разделе «Места» создастся новая площадка, куда надо будет добавить хотспот. Перейдите туда и опять нажмите на кнопку с плюсиком.
Тут у многих новичков возникает путаница, поэтому поясню простыми словами. «Место» – это, по сути, объект или площадка: кафе, офис, мини-отель, шоурум, салон и так далее. А «хотспот» – уже конкретная точка входа или отдельная гостевая сеть на этом объекте. Если у вас один маленький офис, скорее всего и место, и хотспот будут по сути одни. А если точек несколько, например рецепция, лобби и зал, то внутри одного места может быть несколько хотспотов с разными параметрами.
Теперь выбираем левый блок.
Вводим данные хотспота. Последняя строка – это адрес, на который будет перебрасываться пользователь после авторизации. Можно ввести почти любой нужный адрес, но на практике лучше использовать не случайную страницу, а что-то осмысленное: главную страницу заведения, страницу акции, приветственную страницу или простой сайт-визитку. Это мелочь, но именно такие мелочи потом улучшают впечатление гостя и уменьшают количество лишних вопросов у персонала.
Во второй вкладке хотспота можно добавить картинку, которая будет отображаться при авторизации. Туда можно загрузить логотип компании или что-то еще. Для добавления файла нажимаем «Выберите файл» и далее с компьютера загружаем картинку.
Я бы советовал не перегружать эту страницу тяжелыми баннерами и огромными изображениями. На телефоне пользователя портал должен открываться быстро и без лишних тормозов. Поэтому лучше использовать простой логотип, понятный текст и нормальную контрастность. Страница авторизации – это не полноценный рекламный лендинг, а короткий рабочий экран, где человеку нужно ввести номер, получить код и выйти в интернет без раздражения.
Шаг 3: Настройка роутера
Теперь в том же окне настройки хотспота нужно перейти на третью вкладку. Нас интересуют только две выделенные строчки, как на картинке выше. Их мы и будем использовать для настройки маршрутизатора.
Обычно это идентификатор хотспота и секретный ключ для авторизации, которые в интерфейсе могут называться NAS ID и UAM Secret. Копируйте их очень внимательно, без лишних пробелов до и после. Ошибка тут часто выглядит обидно: вроде бы все настроено правильно, но портал не пускает клиентов в интернет. Если видите странное поведение, первым делом я бы перепроверил именно эти две строки, потому что банальная ошибка копирования встречается постоянно.
Теперь возвращаемся к нашему маршрутизатору. Там, где мы включили и указали сервис СМС-авторизации, нужно ввести данные для подключения к сервису, которые мы скопировали в предыдущем шаге. В конце не забудьте нажать «Сохранить».
И вот здесь я советую еще раз подумать о разделении сетей. Основная сеть должна остаться для ваших собственных устройств – касс, камер, ноутбуков сотрудников, принтеров и прочей техники. А Captive Portal лучше вешать именно на гостевую сеть, чтобы посетители не попадали в вашу локальную инфраструктуру. В Keenetic такая схема как раз удобна тем, что гостевой сегмент можно держать отдельно. Если хотите глубже разобраться, почему устройства в гостевой сети не должны видеть друг друга и вашу локалку, почитайте отдельно что такое AP Isolation и изоляция клиентов.
Все, теперь базовая настройка полностью завершена. Достаточно подключиться с телефона к гостевой Wi-Fi сети, и вы увидите приветственный экран, где для использования сети нужно будет авторизоваться. Далее просто вводим номер телефона, получаем проверочный код в СМС и вводим его на странице входа. Как видите, Wi-Fi авторизация по СМС настраивается без какой-то магии. Но я бы не советовал выбирать сервис «первый попавшийся». Лучше один раз спокойно сравнить условия и уже потом закрепить рабочую схему.
Если портал авторизации не открылся с первого раза, не паникуйте. На Android я обычно сначала отключаю мобильный интернет и VPN, потом заново подключаюсь к гостевой сети и открываю браузер. На iPhone и iPad иногда мешают VPN, «Частный узел iCloud» и сохраненная старая сессия – временно отключаем эти функции, забываем сеть и подключаемся заново. На Windows помогает переподключение к Wi-Fi и запуск обычного браузера вместо мессенджера или приложения. На Linux можно просто переподнять соединение через NetworkManager или командой
nmcli connection down "Guest", а затемnmcli connection up "Guest", подставив имя своей сети.
Что еще нужно учесть
Нужно ли делать гостевую сеть совсем без пароля?
Не обязательно. Keenetic позволяет использовать гостевую сеть и с паролем, и без него. Для классического публичного хотспота часто оставляют открытое подключение и уже потом пускают человека в интернет через портал авторизации. Но в некоторых сценариях удобнее оставить WPA2/WPA3-пароль и дополнительно показывать портал. Если вам нужен отдельный разбор по защите беспроводной сети, можете посмотреть как правильно поставить пароль на Wi-Fi.
Можно ли использовать не только СМС?
Да, и на текущий день это уже нормальная практика. Многие сервисы умеют не только СМС, но и звонок, ваучеры, ручную выдачу доступа администратором, а в некоторых нишах еще и интеграцию с внутренними системами учета. Но если вы раньше этим не занимались, я все равно советую начать с СМС. Это самый понятный для гостей сценарий: увидел страницу, ввел номер, получил код, вошел.
Что делать, если роутер снова просит вход после долгого простоя?
Такое поведение бывает нормальным. У Captive Portal есть свои тайм-ауты и время аренды адреса. Если вас раздражает, что после длительного отключения пользователя снова перекидывает на страницу входа, это уже тонкая настройка. На Keenetic подобный параметр можно менять через CLI, например командой interface Chilli0 chilli lease 86400, где число – это время в секундах. Но перед такими изменениями я бы сначала проверил, действительно ли вам это нужно, потому что для некоторых сценариев повторная авторизация как раз полезна.
И еще одна практическая вещь. Не тестируйте Captive Portal на основной рабочей сети, где висят кассы, камеры, терминалы и техника сотрудников. Сначала поднимите отдельную гостевую сеть, проверьте на одном-двух телефонах, убедитесь, что страница входа открывается стабильно, и только потом переводите схему в постоянную эксплуатацию. Иначе легко получить ситуацию, когда у посетителей интернет уже работает, а у вас внезапно перестала нормально жить внутренняя сеть.
Что делать, если после экспериментов вообще пропал доступ к роутеру?
Если совсем запутались в настройках, не мучайте себя лишний час. Проще сделать резервную копию конфигурации заранее, а если уже поздно – посмотреть как сбросить настройки роутера и поднять сеть заново. Для малого офиса и заведения это часто быстрее, чем искать одну случайно включенную галочку в глубинах интерфейса.
Специально даже купил этот роутер. Все отлично работает, спасибо тебе)
Да настроилось хорошо, даже бесплатный перид работает нормально. А кто смотрел другие сервисы – там подешевле может?
Да мне кажется они все примерно одинаковые по цене
Автору спасибо большое за статью , все никак не мог понять чего не хватает и вот оно!) Все работает отлично, спасибо))
Проблемма обратная. В гостинице через телефон андроид подключаюсь к общей сети, но для работы нужно ноут подключить. Сеть видет, подключается, но без интернета. Обойти никак? На пк нет даже поля ввода логина (номер телефона) и пароля (что прислали на телефон)