© index 2005 hotspot configuración de hotspot de mikrotik

© Index 2005© Index 2005

HotSpotHotSpot

Configuración de HotSpot de Configuración de HotSpot de MikroTikMikroTik


ContenidoContenido Métodos de identificación de usuarioMétodos de identificación de usuario Sistema HotSpotSistema HotSpot Configuración de HotSpotConfiguración de HotSpot Autenticación, Autorización y Contabilización Autenticación, Autorización y Contabilización

(AAA)(AAA) Configuración de Cliente de RadiusConfiguración de Cliente de Radius Firma de usuario HotSpot y cobroFirma de usuario HotSpot y cobro Componentes Plug-and-playComponentes Plug-and-play QoS y HotSpotQoS y HotSpot


Métodos de identificación de Métodos de identificación de usuariosusuarios

Metodos de identificación de host simple:Metodos de identificación de host simple: Direccion IP: firewallDireccion IP: firewall Direccion MAC: firewallDireccion MAC: firewall Direccion MAC: entrada estática en ARPDireccion MAC: entrada estática en ARP Direccion MAC: Server DHCPDireccion MAC: Server DHCP

Métodos de identificación de usuario:Métodos de identificación de usuario: PPPoEPPPoE HotSpotHotSpot


Otra solución: PPPoEOtra solución: PPPoE PPPoE es usado para PPPoE es usado para ttransmisión segura ransmisión segura

de datos y autentificación en red localde datos y autentificación en red local Trabaja en capa 2 del modelo OSI, lo cual Trabaja en capa 2 del modelo OSI, lo cual

significa que el tunel es creado sin usar el significa que el tunel es creado sin usar el protocolo IPprotocolo IP

Software del lado cliente es incluido en la Software del lado cliente es incluido en la mayoría de los S.O (ej. in WinXP)mayoría de los S.O (ej. in WinXP)


Uso de PPPoEUso de PPPoE Generalmente usado por ISP para Generalmente usado por ISP para

autenticación de usuariosautenticación de usuarios Permite limitar la velocidad de transmision Permite limitar la velocidad de transmision

y recepcióny recepción Combinado con un servCombinado con un servidoridor de RADIUS de RADIUS

es posible llevar registros de uso por cada es posible llevar registros de uso por cada clientecliente


Otra solución: HotSpotOtra solución: HotSpot HotSpot es usado para autenticación en la red HotSpot es usado para autenticación en la red

locallocal Autenticación esta basada en los protocolos Autenticación esta basada en los protocolos

HTTP/HTTPS, lo cual significa que trabaja con HTTP/HTTPS, lo cual significa que trabaja con cualquier navegador (Explorer, Netscape, cualquier navegador (Explorer, Netscape, Mozilla)Mozilla)

HotSpot es un sistema que combina varias HotSpot es un sistema que combina varias funcionalidades independientes que el funcionalidades independientes que el RouterOS provee y que son llamadas acceso RouterOS provee y que son llamadas acceso ‘Plug-and-Play’‘Plug-and-Play’


Sistema HotSpotSistema HotSpot


Como trabaja?Como trabaja?

Usuario trata de abrir una Usuario trata de abrir una pagina Webpagina WebEl rEl ruteadoruteador checa si el checa si el usuario esta autenticado usuario esta autenticado por el sistema hotspot, si por el sistema hotspot, si no es así lo redirige a la no es así lo redirige a la pagina de autenticación.pagina de autenticación.El usuario provee la El usuario provee la información de login y información de login y password para tener password para tener accesoacceso


Como trabaja?Como trabaja?

Si la información de login y Si la información de login y password fue correcta, el password fue correcta, el rruteadoruteador autentifica al autentifica al cliente en el sistema cliente en el sistema HotSpot y abre la pagina HotSpot y abre la pagina solicitada asi como una solicitada asi como una ventana de status popupventana de status popupEste usuario puede Este usuario puede acceder al Internetacceder al Internet


Funcionalidades de HotSpotFuncionalidades de HotSpot Autenticación de usuariosAutenticación de usuarios Contabilización por usuario por tiempo, Contabilización por usuario por tiempo,

datos transferidos/recibidosdatos transferidos/recibidos Limitación de datosLimitación de datos

Por velocidadPor velocidad Por cantidadPor cantidad

Limitación por tiempoLimitación por tiempo Soporte de RADIUSSoporte de RADIUS Zona de navegación libre (Walled Garden)Zona de navegación libre (Walled Garden)


Uso de HotSpotUso de HotSpot HotSpot es una tecnología de HotSpot es una tecnología de

autenticación que puede ser usada para autenticación que puede ser usada para proveer acceso publico a Internet:proveer acceso publico a Internet: Aeropuertos, barcos, hoteles, Universidades, Aeropuertos, barcos, hoteles, Universidades,

oficinas, salones de conferencia, hospitalesoficinas, salones de conferencia, hospitales EN redes alEN redes aláámbmbrricas o inalámbricasicas o inalámbricas Tarifa por autentificar o acceso libreTarifa por autentificar o acceso libre


Método de registro en HotSpot Método de registro en HotSpot Direcciones habilitadas:Direcciones habilitadas:

Al usuario se le asigna una dirección IP, Al usuario se le asigna una dirección IP, puede ser por el método de DHCPpuede ser por el método de DHCP

HotSpot autentifica al usuarioHotSpot autentifica al usuario HotSpot permite al trafico del usuario pasar a HotSpot permite al trafico del usuario pasar a

traves del firewalltraves del firewall


Asistente de Setup de HotSpotAsistente de Setup de HotSpotEl asistente de configuración de HotSpot El asistente de configuración de HotSpot puede ser usado para configurar HotSpot. puede ser usado para configurar HotSpot. Este configura el sistema basado en Este configura el sistema basado en respuestas a múltiples preguntas al respuestas a múltiples preguntas al ejecutarlo.ejecutarlo.Use el comando ‘/ip hotpot setup’ para Use el comando ‘/ip hotpot setup’ para ejecutar el asistente de configuración de ejecutar el asistente de configuración de HotSpot.HotSpot.Si falla la configuración, use ‘/system reset’ Si falla la configuración, use ‘/system reset’ y empiece nuevamente.y empiece nuevamente.


Asistente de Configuración de Asistente de Configuración de HotSpotHotSpot

/ip hotspot setup/ip hotspot setupSeleccione la interfase donde estarán los Seleccione la interfase donde estarán los usuarios a autentificarusuarios a autentificarhotspot interface: localhotspot interface: localHabilitar configuración de cliente Universal?Habilitar configuración de cliente Universal?enable universal client: yesenable universal client: yesActive dirección en la Interface HotSpotActive dirección en la Interface HotSpotDirección local de la red hotspot: 10.5.50.1/24Dirección local de la red hotspot: 10.5.50.1/24Enmascarar red de hotspot: yesEnmascarar red de hotspot: yesNo use enmascaramiento si se estan usando IP’s No use enmascaramiento si se estan usando IP’s publicas en la red de HotSpotpublicas en la red de HotSpot



Active un pool para la red HotSpotActive un pool para la red HotSpotDirecciones de la red HotSpot: 10.5.50.2-Direcciones de la red HotSpot: 10.5.50.2-10.5.50.25410.5.50.254Este pool es usado por el server DHCP para Este pool es usado por el server DHCP para darles IP’s a los clientes HotSpotdarles IP’s a los clientes HotSpotUsar autentificación SSL?Usar autentificación SSL?use ssl: nouse ssl: noSeleccione el server SMTPSeleccione el server SMTPDireccion IP del server SMTP: 159.148.147.194Direccion IP del server SMTP: 159.148.147.194El server de HotSpot redireccionara todos los El server de HotSpot redireccionara todos los mails de salida al server SMTP local, por tanto los mails de salida al server SMTP local, por tanto los clientes no necesitan cambiar la configuracion de clientes no necesitan cambiar la configuracion de correo en sus clientes de emailcorreo en sus clientes de email



Use web proxy transparente para los clientes hotspot?Use web proxy transparente para los clientes hotspot?

Use web proxy transparente: yesUse web proxy transparente: yesUse cache local de DNS?Use cache local de DNS?

use local dns cache: yesuse local dns cache: yesConfiguración del DNSConfiguración del DNS

Servers DNS: 159.148.147.194,159.148.60.20Servers DNS: 159.148.147.194,159.148.60.20Estos DNS servers seran anadidos a la configuracionEstos DNS servers seran anadidos a la configuracion de DNS de los de DNS de los ruteadoresruteadores y usados por los clientes de DHCP de HotSpoty usados por los clientes de DHCP de HotSpotNombre DNS del server HotSpotNombre DNS del server HotSpot

dns name:dns name:Especifique el nombre DNS solamente si tiene un nombre real, de lo Especifique el nombre DNS solamente si tiene un nombre real, de lo contrario déjelo en blanco, especificar un nombre equivocado hara que contrario déjelo en blanco, especificar un nombre equivocado hara que el HotSpot no funcione adecuadamenteel HotSpot no funcione adecuadamente..


Asistente de Configuracion de Asistente de Configuracion de HotSpotHotSpot

Seleccione otro puerto para el servicio (www) Seleccione otro puerto para el servicio (www) puerto 80 es usado por el servicio www, seleccione otro puerto 80 es usado por el servicio www, seleccione otro puerto para el puerto de servicio, ejemplo 8081; es puerto para el puerto de servicio, ejemplo 8081; es necesario para entrar vía winbox al ruteadornecesario para entrar vía winbox al ruteador

Cree un usuario local de hotspotCree un usuario local de hotspotNombre del usuario local de hotspot: joseNombre del usuario local de hotspot: josePassword para el usuario:Password para el usuario: hola hola


Configuración del server Configuración del server HotSpotHotSpot

Hotspot-direccionHotspot-direccion Nombre-dnsNombre-dns Universal-proxyUniversal-proxy Auth-requiere-macAuth-requiere-mac Auth-http-cookieAuth-http-cookie Permitir-unencrypted-passwordsPermitir-unencrypted-passwords Split-user-domainSplit-user-domain Port choice ('/ip service')Port choice ('/ip service')


Configuración de profile de Configuración de profile de usuario HotSpotusuario HotSpot

Profile del usuario permite configurar los Profile del usuario permite configurar los parámetros que son comunes para la parámetros que son comunes para la mayoría de los usuarios:mayoría de los usuarios:

Método de registroMétodo de registro Opciones de filtrado de firewallOpciones de filtrado de firewall Limitación de velocidadLimitación de velocidad Tiempo limite de sesiónTiempo limite de sesión


Configuración de usuario Configuración de usuario HotSpotHotSpot

configuración para usuarios:configuración para usuarios: Usuario y passwordUsuario y password Dirección IP de usuariosDirección IP de usuarios Dirección MAC de usuariosDirección MAC de usuarios Adición automática de rutasAdición automática de rutas Limitación de tiempoLimitación de tiempo Limitación de datos por cantidadLimitación de datos por cantidad


Reconocimiento de usuario Reconocimiento de usuario autorizadoautorizado

Opción de marcado ('/ip hotspot profile')Opción de marcado ('/ip hotspot profile') Reglas de DST-NAT:Reglas de DST-NAT:

Permite conexiones de usuarios autorizadosPermite conexiones de usuarios autorizados Redirecciona conexiones TCP no autorizadas al Redirecciona conexiones TCP no autorizadas al

servicio HotSpotservicio HotSpot Ejemplo: /ip firewall dst-nat printEjemplo: /ip firewall dst-nat print

0 ;;; redirect unauthorized hotspot clients to 0 ;;; redirect unauthorized hotspot clients to hotspot servicehotspot servicein-interface=local protocol=tcp flow=!hs-auth in-interface=local protocol=tcp flow=!hs-auth action=redirect to-dst-port=80action=redirect to-dst-port=80


Filtrado de traficoFiltrado de trafico Permitir a usuarios autorizados el trafico de datosPermitir a usuarios autorizados el trafico de datos Rechazar el trafico de datos de usuarios no autorizados al ruteador Rechazar el trafico de datos de usuarios no autorizados al ruteador

y a Internety a Internet Algunos protocolos pueden ser permitidos, como ICMP y DNSAlgunos protocolos pueden ser permitidos, como ICMP y DNS Ejemplo: /ip firewall rule input printEjemplo: /ip firewall rule input print

0 ;;; account traffic from hotspot clients to hotspot servlet 0 ;;; account traffic from hotspot clients to hotspot servlet in-interface=local dst-address=:80 protocol=tcp action=jump in-interface=local dst-address=:80 protocol=tcp action=jump jump-target=hotspot jump-target=hotspot 1 ;;; accept requests for hotspot servlet 1 ;;; accept requests for hotspot servlet in-interface=local dst-address=:80 protocol=tcp action=accept in-interface=local dst-address=:80 protocol=tcp action=accept 2 ;;; accept requests for local DHCP server 2 ;;; accept requests for local DHCP server in-interface=local dst-address=:67 protocol=udp action=accept in-interface=local dst-address=:67 protocol=udp action=accept 3 ;;; limit access for unauthorized hotspot clients 3 ;;; limit access for unauthorized hotspot clients in-interface=local action=jump jump-target=hotspot-temp in-interface=local action=jump jump-target=hotspot-temp


Filtrado de traficoFiltrado de trafico Ejemplo: /ip firewall rule forward printEjemplo: /ip firewall rule forward print

0 ;;; limit access for unauthorized hotspot clients 0 ;;; limit access for unauthorized hotspot clients in-interface=local action=jump jump-target=hotspot-temp in-interface=local action=jump jump-target=hotspot-temp 1 ;;; account traffic for authorized hotspot clients action=jump 1 ;;; account traffic for authorized hotspot clients action=jump jump-target=hotspot jump-target=hotspot

Ejemplo: /ip firewall rule hotspot-temp printEjemplo: /ip firewall rule hotspot-temp print0 ;;; return, if connection is authorized0 ;;; return, if connection is authorized flow=hs-auth action=return flow=hs-auth action=return1 ;;; allow ping requests1 ;;; allow ping requests protocol=icmp action=return protocol=icmp action=return2 ;;; allow dns requests2 ;;; allow dns requests dst-address=:53 protocol=udp action=return dst-address=:53 protocol=udp action=return3 ;;; reject access for unauthorized hotspot clients3 ;;; reject access for unauthorized hotspot clients

action=reject action=reject


HotSpot en interfaces múltiples HotSpot en interfaces múltiples v2.8v2.8

Es posible añadir otra interfase al sistema HotSpot, Es posible añadir otra interfase al sistema HotSpot, algunas reglas adicionales deben ser añadidas:algunas reglas adicionales deben ser añadidas:

/ip firewall dst-nat add in-interface="prism2" flow="!hs-auth" /ip firewall dst-nat add in-interface="prism2" flow="!hs-auth" protocol=tcp action=redirect to-dst-port=80 comment="redirect protocol=tcp action=redirect to-dst-port=80 comment="redirect unauthorized prism2 clients to hotspot service" unauthorized prism2 clients to hotspot service"

/ip firewall rule forward add in-interface=prism2 action=jump /ip firewall rule forward add in-interface=prism2 action=jump jump-target=hotspot-temp comment="limit access for jump-target=hotspot-temp comment="limit access for unauthorized prism2 clients" unauthorized prism2 clients"

/ip firewall rule input add in-interface=prism2 action=jump jump-/ip firewall rule input add in-interface=prism2 action=jump jump-target=hotspot-temp comment="limit access for unauthorized target=hotspot-temp comment="limit access for unauthorized prism2 clients" prism2 clients"

En versión 2.9.x simplemente se da de alta un servidor En versión 2.9.x simplemente se da de alta un servidor hotspot adicionalhotspot adicional


Contabilización de usuarios Contabilización de usuarios HotSpotHotSpot

Nueva tabla de firewall llamada ‘hotspot’ debe ser Nueva tabla de firewall llamada ‘hotspot’ debe ser añadidaañadida

A través de esta tabla debe ir todo el trafico (incluyendo A través de esta tabla debe ir todo el trafico (incluyendo el que va/viene del proxy serverel que va/viene del proxy server

Ejemplo: /ip firewall rule hotspot printEjemplo: /ip firewall rule hotspot print

0 D ;;; This rule is added by hotspot for user uldis0 D ;;; This rule is added by hotspot for user uldis src-address=10.5.7.12/32 action=passthrough src-address=10.5.7.12/32 action=passthrough1 D ;;; This rule is added by hotspot for user uldis1 D ;;; This rule is added by hotspot for user uldis dst-address=10.5.7.12/32 action=passthrough dst-address=10.5.7.12/32 action=passthrough


Personalizando pagina de Personalizando pagina de autentificaciónautentificación

Las paginas de login de HotSpot son facilmente Las paginas de login de HotSpot son facilmente modificables, están guardadas en el ftp server modificables, están guardadas en el ftp server del rdel ruteadoruteador en el directorio hotspot en el directorio hotspot

Cambiando estas paginas puedes facilitar el Cambiando estas paginas puedes facilitar el proceso de login- ingresando solo el login o el proceso de login- ingresando solo el login o el password, o sin ingresar nada y solo leer un password, o sin ingresar nada y solo leer un “acuerdo de uso”“acuerdo de uso” sin meter ninguna información sin meter ninguna información de loginde login

Es posible también redireccionar la información Es posible también redireccionar la información de login a otro serverde login a otro server


HotSpot sin Login (para algunos)HotSpot sin Login (para algunos) Es posible permitir a algunas IP’s el uso Es posible permitir a algunas IP’s el uso

de Internet de Internet ssin usar el HotSpot, esto es in usar el HotSpot, esto es sencillo, solo se adiciona una regla de sencillo, solo se adiciona una regla de mangle donde se marcaran los paquetes mangle donde se marcaran los paquetes con la misma marca de los usuarios con la misma marca de los usuarios autentificados.autentificados.Ejemplo: /ip firewall mangle add src-Ejemplo: /ip firewall mangle add src-address=10.5.50.100/32 action=accept address=10.5.50.100/32 action=accept mark-flow=hs-authmark-flow=hs-auth


Walled Garden (area libre)Walled Garden (area libre)Es un sistema que permite el uso de ciertos recursos a Es un sistema que permite el uso de ciertos recursos a usuarios no autentificados, pero de cualquier manera usuarios no autentificados, pero de cualquier manera requeriran autorizacion para otros recursos. Esto es ultil requeriran autorizacion para otros recursos. Esto es ultil para que los usuarios de HotSpot puedan ingresar a para que los usuarios de HotSpot puedan ingresar a paginas de ayuda o de cobranza aun si no han ingresado paginas de ayuda o de cobranza aun si no han ingresado un loginun login y password validoy password validoNote: Actualmente no es permitido usar servers de https Note: Actualmente no es permitido usar servers de https dentro del walled garden, de lo contrario hay que crear dentro del walled garden, de lo contrario hay que crear regla de mangle para permitir tal trafico.. regla de mangle para permitir tal trafico..

Example: /ip firewall mangle add dst-Example: /ip firewall mangle add dst-address=159.148.108.1/32 mark-flow=hs-auth address=159.148.108.1/32 mark-flow=hs-auth


Ejemplo de Walled GardenEjemplo de Walled GardenPara permitir accesos a gente no autorizada a la pagina Para permitir accesos a gente no autorizada a la pagina www.example.comwww.example.com liga liga /paynow.html/paynow.html::

/ip hotspot walled-garden add path="^/paynow\\.html$" \ \... /ip hotspot walled-garden add path="^/paynow\\.html$" \ \... dst-host="^www\\.example\\.com$" dst-host="^www\\.example\\.com$"


Reparando HotSpotReparando HotSpot No ejecute el wizard de HotSpot mas de una vez No ejecute el wizard de HotSpot mas de una vez

ya que no se configurara adecuadamente, si ya que no se configurara adecuadamente, si necesita reconfigurar de un ‘system/reset’necesita reconfigurar de un ‘system/reset’

Si despues de cambiar las paginas de HotSpot Si despues de cambiar las paginas de HotSpot no funciona, restaure las paginas html de no funciona, restaure las paginas html de default: ‘/ip hotspot reset-html’default: ‘/ip hotspot reset-html’

Especificar un nombre DNS del servidor Especificar un nombre DNS del servidor HotSpot, este no trabajara correctamente, si no HotSpot, este no trabajara correctamente, si no tiene nombre, deje el nombre DNS vaciotiene nombre, deje el nombre DNS vacio

Los clientes que deben tener Internet sin Los clientes que deben tener Internet sin autentificar, revise las reglas de mangle para autentificar, revise las reglas de mangle para cada una de esas IP’scada una de esas IP’s


SumarioSumario

MikroTik RouterOS HotSpot Gateway MikroTik RouterOS HotSpot Gateway ManualManual mikrotik.com/docs/ros/2.8/ip/hotspot.mainmikrotik.com/docs/ros/2.8/ip/hotspot.main

Manual de Authentication, Authorization Manual de Authentication, Authorization and Accountingand Accounting mikrotik.com/docs/ros/2.8/guide/aaa.mainmikrotik.com/docs/ros/2.8/guide/aaa.main


Laboratorio de HotSpotLaboratorio de HotSpot

Haga un system reset: ‘/system reset’Haga un system reset: ‘/system reset’ Configure la interface publica (habilitala, Configure la interface publica (habilitala,

adiciona IP y puerta de enlace o gateway)adiciona IP y puerta de enlace o gateway) Ejecuta el setup de HotSpotEjecuta el setup de HotSpot Adiciona una segunda Interfase en el sistema Adiciona una segunda Interfase en el sistema

HotSpotHotSpot

__________________________________________________________

__________________________________________________________

__________________________________________________________


Autentificación local y remota?Autentificación local y remota?

HotSpot siempre autentificara usuarios HotSpot siempre autentificara usuarios desde la base de datos local, pero si no esta desde la base de datos local, pero si no esta en la lista local preguntara al RADIUS en la lista local preguntara al RADIUS server configurado si hay información de server configurado si hay información de dicho usuarioch user.dicho usuarioch user.

Nota, la autentificación remota debe estar Nota, la autentificación remota debe estar habilitada con la información del RADIUS habilitada con la información del RADIUS server.server.


Uso de RADIUS en HotSpotUso de RADIUS en HotSpotRemote Authentication Dial-In User Service Remote Authentication Dial-In User Service (RADIUS) provee contabilización, (RADIUS) provee contabilización, autentificación y autorización (AAA) autentificación y autorización (AAA) centralizada , lo cual significa que puedes centralizada , lo cual significa que puedes tener múltiples servtener múltiples servidoresidores de HotSpot en de HotSpot en diferentes localidades pero toda la diferentes localidades pero toda la información de usuarios guardada en un información de usuarios guardada en un solo servsolo servidoridor RADIUS, esto da la facilidad RADIUS, esto da la facilidad de ofrecer ROAMING a los usuarios de de ofrecer ROAMING a los usuarios de HotSpot.HotSpot.


Configuración de cliente de Configuración de cliente de RADIUSRADIUS

Habilite soporte de cliente RADIUS para servicio Habilite soporte de cliente RADIUS para servicio de HotSpot en ‘/ip hotspot aaa’de HotSpot en ‘/ip hotspot aaa’

Ejemplo: /ip hotspot aaa printEjemplo: /ip hotspot aaa print use-radius: yes use-radius: yes accounting: yes accounting: yes interim-update: 0s interim-update: 0s

Cliente RADIUS anadido en ‘/radius’Cliente RADIUS anadido en ‘/radius’ Ejemplo: /radius print detailEjemplo: /radius print detail

0 service=hotspot called-id="" domain="" 0 service=hotspot called-id="" domain="" address=10.5.8.8 secret="hot" authentication-address=10.5.8.8 secret="hot" authentication-port=1812 accounting-port=1813 port=1812 accounting-port=1813 timeout=300ms accounting-backup=notimeout=300ms accounting-backup=no


Configuración del server Configuración del server RADIUSRADIUS

Configuración mínima del freeRADIUS para Configuración mínima del freeRADIUS para trabajar con HotSpot:trabajar con HotSpot: Adicione un host (NAS server) en clients.conf:Adicione un host (NAS server) en clients.conf:

client 10.5.8.1 {client 10.5.8.1 { secret=hot secret=hot shortname=Hotspot shortname=Hotspot}}

Adicione un nombre para el server NAS en el archivo Adicione un nombre para el server NAS en el archivo users:users:user1 User-Password==“password1“user1 User-Password==“password1“

Cheque el file radiusd.conf para estar seguro que Cheque el file radiusd.conf para estar seguro que esta debidamente instalado y la configuración esta esta debidamente instalado y la configuración esta puesta a puntopuesta a punto


Atributos útiles del server Atributos útiles del server RADIUSRADIUS

Ejemplo del archivo users:Ejemplo del archivo users:user1 User-Password == “password1”user1 User-Password == “password1”Ascend-Data-Rate = 64000,Ascend-Data-Rate = 64000,Ascend-Xmit-Rate = 128000,Ascend-Xmit-Rate = 128000,Recv-Limit = 1024000,Recv-Limit = 1024000,Xmit-Limit = 2048000,Xmit-Limit = 2048000,Filter-Id = user1.in,Filter-Id = user1.in,Filter-Id = user1.outFilter-Id = user1.out


Componentes Plug-and-PlayComponentes Plug-and-Play

HotSpot serverHotSpot server para autentificación de clientes para autentificación de clientesFirewall un NATFirewall un NAT fpara autenticación e intercepción de fpara autenticación e intercepción de

paquetespaquetesQueuesQueues para limitación de velocidad para limitación de velocidadDHCP serverDHCP server para obtener direcciones IP para obtener direcciones IPUniversal ClientUniversal Client para adaptación de IP’s para adaptación de IP’sDNS cacheDNS cache para procesamiento de requisiciones DNS para procesamiento de requisiciones DNSWeb ProxyWeb Proxy para intercepción de requisiciones de web- para intercepción de requisiciones de web-

proxyproxyUPnP serverUPnP server para configuración automatica de para configuración automatica de

computadoras compatibles con UPnP-computadoras compatibles con UPnP-


Server HotSpotServer HotSpot Universal Proxy – automáticamente crea reglas Universal Proxy – automáticamente crea reglas

de DST-NAT para redireccionar requisiciones de de DST-NAT para redireccionar requisiciones de cada usuario particularcada usuario particular a un proxy server que el a un proxy server que el usuario este usando hacia el proxy server localusuario este usando hacia el proxy server local

SSL – provee comunicación segura entre el SSL – provee comunicación segura entre el cliente y el server HotSpot usando Secure HTTP cliente y el server HotSpot usando Secure HTTP (HTTPS)(HTTPS)

Walled garden – da acceso a los usuarios para Walled garden – da acceso a los usuarios para navegar a areas especificas del web sin navegar a areas especificas del web sin necesidad de autentificarnecesidad de autentificar


QueuesQueues HotSpot automáticamente añade queues dinámicas para HotSpot automáticamente añade queues dinámicas para

habilitar la velocidad para cada usuario. Estas habilitar la velocidad para cada usuario. Estas velocidades pueden ser especificadas en ‘/ip hotspot velocidades pueden ser especificadas en ‘/ip hotspot profile’profile’Ejemplo: /ip hotspot profile printEjemplo: /ip hotspot profile print 0 * name="default" shared-users=1 tx-bit-rate=128000 0 * name="default" shared-users=1 tx-bit-rate=128000 rx-bit-rate=64000 mark-flow="hs-auth" login-rx-bit-rate=64000 mark-flow="hs-auth" login-method=enabled-address keepalive-timeout=2mmethod=enabled-address keepalive-timeout=2m

Queues son anadidas en ‘/queue simple’ Queues son anadidas en ‘/queue simple’ Ejemplo: /queue simple printEjemplo: /queue simple print 0 D name="<hotspot-uldis>" target- 0 D name="<hotspot-uldis>" target-address=10.5.50.253/32 dst-address=0.0.0.0/0 address=10.5.50.253/32 dst-address=0.0.0.0/0 interface=all queue=default priority=8 limit-at=0/0 max-interface=all queue=default priority=8 limit-at=0/0 max-limit=64000/128000 limit=64000/128000


DHCP serverDHCP server Fácil distribución de direcciones IP para una redFácil distribución de direcciones IP para una red Configuración de DHCP server bajo '/ip dhcp-server‘ Configuración de DHCP server bajo '/ip dhcp-server‘

Ejemplo: /ip dhcp-server printEjemplo: /ip dhcp-server print0 name="hs-dhcp-server" interface=local 0 name="hs-dhcp-server" interface=local lease-time=1h address-pool=hs-pool-real lease-time=1h address-pool=hs-pool-real add-arp=no authoritative=no add-arp=no authoritative=no

Configuración red del Server DHCP bajo ‘/ip dhcp-server network’ Configuración red del Server DHCP bajo ‘/ip dhcp-server network’ Ejemplo: /ip dhcp-server network printEjemplo: /ip dhcp-server network print 0 ;;; hotspot network 0 ;;; hotspot network address=10.5.50.0/24 gateway=10.5.50.1 address=10.5.50.0/24 gateway=10.5.50.1

Asignar dirección especifica por MAC address ‘/ip dhcp-server Asignar dirección especifica por MAC address ‘/ip dhcp-server lease’ lease’ Ejemplo: /ip firewall add address=10.5.50.254 mac-Ejemplo: /ip firewall add address=10.5.50.254 mac-address=00:02:6F:20:34:82address=00:02:6F:20:34:82


Universal Client/IP BindingUniversal Client/IP BindingBásicamente el cliente universal es un Básicamente el cliente universal es un

SRC-NAT antes de que el paquete sea SRC-NAT antes de que el paquete sea marcado y filtrado usando el firewallmarcado y filtrado usando el firewall

Cliente Universal cambia cualquier IP a la Cliente Universal cambia cualquier IP a la dirección del pooldirección del pool

Cliente universal puede trabajar junto con Cliente universal puede trabajar junto con DHCP, proveendo acceso a clientes, sin DHCP, proveendo acceso a clientes, sin importar su configuración de IP en su importar su configuración de IP en su computadoracomputadora


Configuración de IPBindingConfiguración de IPBindingClientes estáticos de ‘Cliente universal’:Clientes estáticos de ‘Cliente universal’:

Dirección MACDirección MAC Dirección IPDirección IP A cual IP se trasladaA cual IP se traslada Datos estadísticos disponibles de cada clienteDatos estadísticos disponibles de cada cliente

Ejemplo: /ip hotspot universal host printEjemplo: /ip hotspot universal host print 0 D mac-address=00:02:6F:20:34:82 0 D mac-address=00:02:6F:20:34:82 address=10.5.50.254 to-address=10.5.50.254 address=10.5.50.254 to-address=10.5.50.254 interface=local uptime=6m14s idle-time=4m2s interface=local uptime=6m14s idle-time=4m2s bytes-in=420 bytes-out=420 packets-in=7 bytes-in=420 bytes-out=420 packets-in=7 packets-out=7 packets-out=7


Cache de DNSCache de DNS Cache de DNS es usado para minimizar requisiciones a Cache de DNS es usado para minimizar requisiciones a

un server DNS externo, asi como para minimizar el un server DNS externo, asi como para minimizar el tiempo de resolucióntiempo de resolución

Esto es un simple DNS recursivo con entradas localesEsto es un simple DNS recursivo con entradas locales La configuración de DNS cache esta bajo ‘/ip dns‘La configuración de DNS cache esta bajo ‘/ip dns‘ Ejemplo: /ip dns printEjemplo: /ip dns print

primary-dns: 159.148.147.194 primary-dns: 159.148.147.194 secondary-dns: 159.148.60.20 secondary-dns: 159.148.60.20 allow-remote-requests: yes allow-remote-requests: yes cache-size: 2048 kB cache-size: 2048 kB cache-max-ttl: 7d cache-max-ttl: 7d cache-used: 202 kB cache-used: 202 kB


Cache de DNSCache de DNS Entradas estáticas pueden ser añadidas bajo ‘/ip Entradas estáticas pueden ser añadidas bajo ‘/ip

dns static‘ dns static‘ Ejemplo: /ip dns static printEjemplo: /ip dns static print 0 name="hotspot.mikrotik.com“ 0 name="hotspot.mikrotik.com“ address=10.5.50.1 ttl=1daddress=10.5.50.1 ttl=1d

El cache puede ser visto bajo ‘/ip dns cache’El cache puede ser visto bajo ‘/ip dns cache’Ejemplo: /ip dns cache printEjemplo: /ip dns cache print 0 name="ns.internet.lv" address=194.105.56.6 0 name="ns.internet.lv" address=194.105.56.6 ttl=20h47m56sttl=20h47m56s1 name="nsz.latnet.lv" address=159.148.60.4 1 name="nsz.latnet.lv" address=159.148.60.4 ttl=22h43m32sttl=22h43m32s


Solución Web proxySolución Web proxyWeb Proxy es usado para optimizar el acceso a Web Proxy es usado para optimizar el acceso a

Internet y reducir el flujo de datos desde InternetInternet y reducir el flujo de datos desde InternetCuando un cliente pide cierta información via Cuando un cliente pide cierta información via

Web, el Web Proxy la entrega y la guarda. Si Web, el Web Proxy la entrega y la guarda. Si alguien mas solicita la misma informacion , es alguien mas solicita la misma informacion , es tomada del cache del Web Proxy y no desde el tomada del cache del Web Proxy y no desde el InternetInternet

Puede guardar cache de flujos de datos de Puede guardar cache de flujos de datos de protocolos HTTP y FTP , adicionalmente como protocolos HTTP y FTP , adicionalmente como mediadir para flujos de datos de protocolo mediadir para flujos de datos de protocolo HTTPSHTTPS


Modo de Operación de Web Modo de Operación de Web proxy serverproxy server

Modo Regular:Modo Regular: El cliente debe especificar en la configuración del El cliente debe especificar en la configuración del

explorador las configuraciones del proxy serverexplorador las configuraciones del proxy server El Web proxy puede ser un server separadoEl Web proxy puede ser un server separado

Modo transparente:Modo transparente: No hayNo hay necesidad de especificar los parametros del necesidad de especificar los parametros del

proxy server en la configuracion del exploradorproxy server en la configuracion del explorador El Router redirecciona las requisiciones de los El Router redirecciona las requisiciones de los

clientes directamente al wb proxy localclientes directamente al wb proxy local Web proxy debe ser cnfigurado en el ruteador (o en el Web proxy debe ser cnfigurado en el ruteador (o en el

bridge) bridge) FTP no es soportado en modo transparenteFTP no es soportado en modo transparente


Funcionalidades de Web proxyFuncionalidades de Web proxy Proxy HTTP RegularProxy HTTP Regular Proxy TransparenteProxy Transparente Puede ser transparente y regular al mismo tiempoPuede ser transparente y regular al mismo tiempo Lista de acceso por origen, destino, URL y método de Lista de acceso por origen, destino, URL y método de

requisiciónrequisición Lista de acceso directo (especifica cuales recursos Lista de acceso directo (especifica cuales recursos

deben ser accedidos directamente y cuales a traves de deben ser accedidos directamente y cuales a traves de otro proxy serverotro proxy server

Facilidad de LoggingFacilidad de Logging El cache puede ser guardado en un disco duro El cache puede ser guardado en un disco duro

secundariosecundario Monitor de uso en tiempo realMonitor de uso en tiempo real


Configuración de Web proxyConfiguración de Web proxy '/ip web-proxy':'/ip web-proxy':

Src-addressSrc-addressEl web proxy usara esta direccion para conectarse a El web proxy usara esta direccion para conectarse a los sitios remotos.los sitios remotos.

PuertoPuerto Max-object-sizeMax-object-size

Objetos mas grandes que el tamaño especificado no Objetos mas grandes que el tamaño especificado no serán almacenados en el cacheserán almacenados en el cache

Max-cache-sizeMax-cache-size Transparent-proxyTransparent-proxy Parent-proxyParent-proxy Cache-driveCache-drive

Cache puede ser grabado en un segundo disco duroCache puede ser grabado en un segundo disco duro


Configuración de Web ProxyConfiguración de Web Proxy Ejemplo:Ejemplo:

enabled: yes enabled: yes src-address: 0.0.0.0 src-address: 0.0.0.0 port: 8080 port: 8080 hostname: 159.148.172.204 hostname: 159.148.172.204 transparent-proxy: yes transparent-proxy: yes parent-proxy: 0.0.0.0:0 parent-proxy: 0.0.0.0:0 cache-administrator: cache-administrator: aurbinaaurbina@@index.com.mxindex.com.mx max-object-size: 4096 kB max-object-size: 4096 kB cache-drive: system cache-drive: system max-cache-size: unlimited max-cache-size: unlimited status: running status: running reserved-for-cache: 30083 MB reserved-for-cache: 30083 MB


Configuración de Web proxyConfiguración de Web proxy Monitor de uso en tiempo real ‘/ip web-proxy Monitor de uso en tiempo real ‘/ip web-proxy

monitor’monitor’ Ejemplo: /ip web-proxy monitorEjemplo: /ip web-proxy monitor

status: running status: running uptime: 2d5h48m58s uptime: 2d5h48m58s clients: 56 clients: 56 requests: 258236 requests: 258236 hits: 121730 hits: 121730 cache-size: 23018668 kB cache-size: 23018668 kBreceived-from-servers: 1262203 kBreceived-from-servers: 1262203 kB sent-to-clients: 1564439 kB sent-to-clients: 1564439 kB hits-sent-to-clients: 300121 kB hits-sent-to-clients: 300121 kB


Server UPnPServer UPnP UPnP (Universal Plug-n-Play) implementa una UPnP (Universal Plug-n-Play) implementa una

simple y poderosa solución de NAT transversal, simple y poderosa solución de NAT transversal, esto habilita al cliente para obtener completo esto habilita al cliente para obtener completo soporte de una red peer-to-peer desde y hacia soporte de una red peer-to-peer desde y hacia el NATel NAT

Soporta red con descubrimiento automatico sin Soporta red con descubrimiento automatico sin ninguna configuración inicial, con esto un ninguna configuración inicial, con esto un dispositivo puede dinámicamente enlazar a la dispositivo puede dinámicamente enlazar a la redred

UPnP configuration under ‘/ip upnp’UPnP configuration under ‘/ip upnp’


Configuracion de server UPnPConfiguracion de server UPnP Configuracion UPnP bajo ‘/ip upnp’Configuracion UPnP bajo ‘/ip upnp’ Ejemplo: Ejemplo:

/ip upnp set enabled=yes/ip upnp set enabled=yes/ip upnp interfaces add interface=public /ip upnp interfaces add interface=public type=external disabled=notype=external disabled=no/ip upnp interfaces add interface=local /ip upnp interfaces add interface=local type=internal disabled=notype=internal disabled=no


Limitacion de Peer-to-peer con Limitacion de Peer-to-peer con HotSpotHotSpot

Es posible limitar el trafico peer-to-peer cuando Es posible limitar el trafico peer-to-peer cuando es usado HotSpot. Algunos cambios en la es usado HotSpot. Algunos cambios en la configuración son necesarios:configuración son necesarios: 2 (upload/download) Nuevas reglas de mangle de 2 (upload/download) Nuevas reglas de mangle de

Firewall deben marcar el trafico P2PFirewall deben marcar el trafico P2P Una regla de DST-NAT aceptara el flujo de P2PUna regla de DST-NAT aceptara el flujo de P2P Una regla de firewall en la cadena Hotspot-temp Una regla de firewall en la cadena Hotspot-temp

chain aceptara el flujo de P2Pchain aceptara el flujo de P2P Dos (upload/download) Reglas de Queus de Arbol Dos (upload/download) Reglas de Queus de Arbol

son necesarias de configurar para limitar el trafico de son necesarias de configurar para limitar el trafico de P2P.P2P.


Limitacion de Peer-to-peer con Limitacion de Peer-to-peer con HotSpotHotSpot

Reglas de Mangle:Reglas de Mangle:/ip firewall mangle add flow=hs-auth p2p=all-p2p mark-flow=allP2P/ip firewall mangle add flow=hs-auth p2p=all-p2p mark-flow=allP2P/ip firewall mangle add in-interface=public p2p=all-p2p mark-flow=allP2P/ip firewall mangle add in-interface=public p2p=all-p2p mark-flow=allP2P

Reglas de DST-NAT:Reglas de DST-NAT:/ip firewall dst-nat add flow=allP2P/ip firewall dst-nat add flow=allP2PNotaNota, , Tienes que mover esta regla arriba de la regla de redirectTienes que mover esta regla arriba de la regla de redirect

Regla de Cadena de FW Hotspot-temp:Regla de Cadena de FW Hotspot-temp:/ip firewall rule hotspot-temp add flow=allP2P action=return/ip firewall rule hotspot-temp add flow=allP2P action=returnNotaNota, , tienes que mover esta regla arriba dela regla de rechazartienes que mover esta regla arriba dela regla de rechazar

Reglas de Ques de Arbol:Reglas de Ques de Arbol:/queue tree add name=uploadP2P parent=public flow=allP2P max-/queue tree add name=uploadP2P parent=public flow=allP2P max-limit=64000limit=64000/queue tree add name=downloadP2P parent=local flow=allP2P max-/queue tree add name=downloadP2P parent=local flow=allP2P max-limit=128000limit=128000


SumarioSumario

Manual de MikroTik RouterOS HotSpotManual de MikroTik RouterOS HotSpot mikrotik.com/docs/ros/2.8/ip/hotspot.mainmikrotik.com/docs/ros/2.8/ip/hotspot.main

Manual de Authentication, Authorization Manual de Authentication, Authorization and Accountingand Accounting mikrotik.com/docs/ros/2.8/guide/aaa.mainmikrotik.com/docs/ros/2.8/guide/aaa.main


Laboratorio de HotSpotLaboratorio de HotSpot

Haga system reset: ‘/system reset’Haga system reset: ‘/system reset’ Ejecute setup de HotSpotEjecute setup de HotSpot Pruebe el cliente UniversalPruebe el cliente Universal Adicione un profile de HotSpot , Adicione un profile de HotSpot , modifíquelomodifíquelo y y

verifique limitaciones de ancho de bandaverifique limitaciones de ancho de banda

__________________________________________________________

__________________________________________________________

__________________________________________________________

© index 2005 hotspot configuración de hotspot de mikrotik

Documents