Libro de Estudio
NAS-HSM RouterOS v6.36.0
HotSpot con MikroTik RouterOS por Mauro Escalante
Server, Server Profile, User, User Profile Walled Garden, Walled Garden IP IP Bindings, Directorio HTML
Introducción a HotSpot con MikroTik RouterOS v6.36.0.01 Libro de Estudio
ABC Xperts ® Network Xperts ® Academy Xperts ®
Derechos de autor y marcas registradas Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo
Derechos de autor © por Academy Xperts Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales.
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS
Tabla de Contenido Introducción ......................................................................................................................................................... ii Resumen .......................................................................................................................................................................... iii Audiencia .......................................................................................................................................................................... iii Convenciones usadas en este libro.................................................................................................................................. iii Comentarios y preguntas ................................................................................................................................................. iii
Partners de Academy Xperts en Latinoamérica ............................................................................................... v Empresas Asociadas ......................................................................................................................................................... v Universidades e Institutos Superiores ............................................................................................................................... v Deseas convertirte en Academia o ser Partner de Academy Xperts? .............................................................................. v Un poco de Historia (Costa Rica) ..................................................................................................................................... vi Cubriendo un País con MikroTik. ............................................................................................................................. vi
Detalle de cambios en las cinco últimas versiones de RouterOS ................................................................ vii v6.36, 20/Julio/2016, 14:09 ..................................................................................................................................... vii v6.35.4, 09/Junio/2016, 12:02 .................................................................................................................................. xi v6.35.3, 01/Junio/2016, 07:55 ................................................................................................................................. xii v6.35.2, 02/Mayo/2016, 10:09 ................................................................................................................................. xii v6.35.1, 26/Abril/2016, 09:29 ................................................................................................................................... xii
Capítulo 1: Introducción ..................................................................................................................................... 1 Sobre HotSpot .................................................................................................................................................................. 1 Limitantes: ................................................................................................................................................................ 1 Antes de la autenticación ......................................................................................................................................... 1 Obteniendo una dirección ......................................................................................................................................... 2 Walled Garden .......................................................................................................................................................... 3 Métodos de Autenticación ........................................................................................................................................ 3 Autorización .............................................................................................................................................................. 4 Anuncios ................................................................................................................................................................... 4 Cuentas .................................................................................................................................................................... 4 Laboratorio 1 .................................................................................................................................................................... 5
Capítulo 2: Users ................................................................................................................................................. 6 Users ................................................................................................................................................................................ 6 Laboratorio 2.1 ................................................................................................................................................................. 7 Laboratorio 2.2 ............................................................................................................................................................... 10
Capítulo 3 ........................................................................................................................................................... 13 Cookies........................................................................................................................................................................... 13 Walled Garden................................................................................................................................................................ 13 Laboratorio 3.1 ............................................................................................................................................................... 14 Walled Garden IP ................................................................................................................................................... 14 Laboratorio 3.2 ............................................................................................................................................................... 15 IP Bindings ............................................................................................................................................................. 15 Laboratorio 3.3 ....................................................................................................................................................... 16 Service Port ............................................................................................................................................................ 16
Capítulo 4 ........................................................................................................................................................... 17 HotSpot Server ............................................................................................................................................................... 17 HotSpot Server Profile ............................................................................................................................................ 17 Directorio HTML ..................................................................................................................................................... 17 Servicios de Paginas de Servlet ............................................................................................................................. 19 Variables ................................................................................................................................................................. 19 Descargar archivo HotSpot .................................................................................................................................... 21 Posibles mensajes de error .................................................................................................................................... 22
Capítulo 5: Training ........................................................................................................................................... 24 Cursos de Certificación MikroTik .................................................................................................................................... 24 MTCNA ................................................................................................................................................................... 24 MTCTCE ................................................................................................................................................................. 24 MTCWE .................................................................................................................................................................. 25 MTCUME ................................................................................................................................................................ 25 MTCRE ................................................................................................................................................................... 25 MTCINE .................................................................................................................................................................. 25
Academy Xperts
i
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS
Introducción MikroTik es una empresa que nace en Latvia (Letonia) en 1995 con el claro objetivo de proveer un sistema operativo de red altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico y multi-núcleo, este hardware es el RouterBOARD. A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes por nuestros racks, siendo Cisco el referente, sin embargo siempre había representado un costo más o menos importante a la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP. No es sino hasta hace una década aproximadamente en que MikroTik se empieza a hacer conocer en Latinoamérica y varios emprendedores, y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index México (Ezequiel García) y REICO Costa Rica (Miguel Solís) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas. Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha - Junio 2015) obtienen su internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños y medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD. Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamérica, rompiendo paradigmas de fabricantes y costos de implementación. Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.
Mauro Escalante CEO Academy Xperts CEO Network Xperts
Academy Xperts
ii
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS
Resumen Este libro busca promover el conocimiento de HotSpot MikroTik basado en experiencias que hemos encontrado en los diferentes países donde participamos. Cada mes hayamos que la implementación de HotSpot se realiza de una forma incorrecta y en situaciones que no son las adecuadas. Por este motivo queremos difundir y ampliar el conocimiento entre la comunidad tecnológica de habla hispana. La información aquí presentada www.youtube.com/abcxperts
se
complementa
con
nuestros
recursos
en
www.abcxperts.com
y
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas que optan por leer un libro y estudiar a su propio ritmo. Esta es la primera revisión dedicada a la versión 6.33.5. Las posteriores revisiones al material y a los nuevos releases de RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción. Tenemos una tarea inmensa por delante pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía de autoestudio MikroTik.
Audiencia Las personas que leen este libro deben estar familiarizados con: • •
Operaciones de red en Capa 2 Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP
Este libro está dirigido a: • • •
Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a: § Redes Corporativas § Clientes WISP e ISP Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes corporativa y PYMES Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario (Help Desk)
Convenciones usadas en este libro En este libro se utilizarán las siguientes convenciones tipográficas: Itálicas Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso de términos técnicos Courier new Indica direcciones IP y ejemplos de línea de comando Courier new en itálica Indica texto que puede ser reemplazado Courier new en negrita Indica datos de entrada del usuario Este icono significa un consejo, sugerencia, o una nota general.
Este icono indica una advertencia o precaución.
Comentarios y preguntas Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección: Network Xperts S.A. Av. Juan T. Marengo y J. Orrantia Edificio Professional Center, Piso 5, Ofic. 507 Guayaquil, ECUADOR +593-4-600-8590 +593-9-9535-2132
Academy Xperts
iii
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS
A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información adicional: http://cursos.abcxperts.com Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a:
[email protected] Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite nuestros Websites y canal de YouTube http://www.abcxperts.com http://www.academyxperts.com http://www.youtube.com/abcxperts
Academy Xperts
iv
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS
Partners de Academy Xperts en Latinoamérica Nuestro recorrido por América Latina nos ha comprometido de una manera muy importante con nuestros alumnos, amigos y socios. Y este compromiso conlleva la enorme responsabilidad de estar siempre a la vanguardia, de presentar a nuestros estudiantes el mejor y más completo material de estudio & laboratorio, y lo que es muy importante… que el contenido siempre esté actualizado. Nos encantaría estar presente en cada uno de los 14 países y las más de 40 ciudades que recorremos todos los años, pero el tiempo y la disponibilidad física nos es un obstáculo. Por este motivo hemos desarrollado un esquema de Partnership con empresas, universidades e institutos superiores en diferentes países que trabajan junto con nosotros en sus respetivos ambientes, y que entregan a sus estudiantes el contenido y el acceso a la suscripción anual de este libro (y todos sus recursos) por un cómodo valor.
Empresas Asociadas
Universidades e Institutos Superiores
Deseas convertirte en Academia o ser Partner de Academy Xperts? • • •
Si eres Universidad o Instituto Superior que cuenta con el respectivo acuerdo ministerial de tu país, puedes optar por convertirte en una Academia MikroTik. Escríbenos a
[email protected] para darte más información. Si eres Trainer Partner y quieres explotar junto a tus alumnos nuestro material y portal de capacitación, te invitamos escribirnos a
[email protected] para proporcionarte los detalles. Si deseas que organicemos cursos en tu ciudad/país de residencia, escríbenos a
[email protected]
Academy Xperts
v
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS
Un poco de Historia (Costa Rica) Cubriendo un País con MikroTik. En el año 1998, estando en una empresa de servicios públicos en Costa Rica, el Ing. Miguel Solís en conjunto con el Ing. Paulino Solano, comenzaron a utilizar MikroTik con gran éxito en las telecomunicaciones de esta empresa. Se lograron 2 Mbps en una distancia de 8 Km, una velocidad record para aquellos tiempos en que la velocidad rondaba los 256 Kbps. En esta empresa de Servicios Públicos, se logró la interconexión de 52 sucursales mediante tecnología inalámbrica, todas bajo la misma marca MikroTik y su sistema operativo RouterOS. Dado el éxito alcanzado en este proyecto, ambos ingenieros en conjunto con uno más llamado Olman González, decidieron formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no fuera factible o se necesitara más velocidad. Esta empresa fue nombrada Redes Inalámbricas de Costa Rica S.A (REICO). Es así como a la fecha (Julio 2015), REICO, con solo Miguel Solís como propietario, tiene el liderato en telecomunicaciones inalámbricas en el país Centroamericano Costa Rica. REICO posee más de 3,800 Km de red troncal inalámbrica y más de 80,000 Km de red de acceso. Posee más de 100 radio bases instaladas estratégicamente para alcanzar una cobertura de más del 80% del territorio y a más del 90% de la población. La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales, turísticos, comerciales, etc. Su plataforma tiene una particularidad única en el mundo, con sus más de 1,000 clientes corporativos y empresariales y sus más de 1,500 equipos de acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA MIKROTIK. REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con grandes de las telecomunicaciones y aun así mantiene una posición privilegiada, siendo el cuarto operador en Costa Rica en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA pero por encima de Claro, Telefónica, Cables & Wireless, etc. Esto según el último informe de Estadísticas del Sector de Telecomunicaciones de Costa Rica 2014.
Texto desarrollado por el Ing. Miguel Solís, a quien agradezco por su aporte histórico sobre los inicios de MikroTik en Latinoamérica.
Academy Xperts
vi
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS
Detalle de cambios en las cinco últimas versiones de RouterOS Para una revisión más amplia del histórico de cambios en la versión 6.x le recomendamos visitar el siguiente link: http://abcxperts.com/index.php/bitacora-de-cambios
v6.36, 20/Julio/2016, 14:09 address -
Permite que se agreguen múltiples direcciones IP ya sea que ninguna o solo una esté habilitada
address-list - Hace que la opción dynamic=yes sea de solo lectura (read-only) arm - Se agregó el soporte para el Dude Server - Se corrigió una falla de kernel cuando se tiene baja memoria arp - Se agregó la opción arp-timeout por interface bonding -
Se corrigió el modo de balanceo de carga 802.3ad sobre túneles Se corrigió la asignación del esclavo primario del bonding para interfaces OPVN después del arranque Se corrigió un problema de caída en la transmisión del tráfico RoMON Se implementó que el valor l2mtu sea más pequeño que las interfaces l2mtu esclavas.
capsman - Se corrigió un problema de caída cuando se ejecutaba sobre OVPN certificate - Se agregó un retardo de renovación automática scep después del arranque para evitar todos los requerimientos de acceso CA al mismo tiempo - Se cancela la renovación pendiente cuando el certificado válido después del cambio de fecha - Se muestra el emisor y el asunto (subject) en una falla de chequeo - No se sale después de un card-verify - Se fuerza la renovación scep en las actualizaciones del reloj del sistema (system clock) chr - Se corrigió un problema en el CHR en el que estaba viendo su propio disco de sistema montado como un disco de datos adicional clock - Se corrigió un problema de tiempo que tenían los equipos SXT ac, 911L, cAP, mAP lite, wAP - Se graba el tiempo actual a la configuración una vez por día, incluso si no hay ajustes de zona de tiempo (time zone) pendientes cloud - Se corrigió el orden del export console - Se corrigió un problema en que obtenía una función falsa
Academy Xperts
vii
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS
- Se muestra la fecha del mensaje en los mensajes de log echo defconf - Se cambió la extensión del canal a 20/40/80mhz para todas las tarjetas ac dhcp-pd - Se corrige el lista de servidor por línea de comandos dhcp-server - Se corrigió un problema de adición de una ruta enmarcada como radius después de hacer reboot en la renovación de un cliente dhcp6-client - Se corrigió una validación de ia lifetime cuando es configurado por el cliente dhcpv6 dhcpv6-relay - Se configura el paquete link-address únicamente cuando se configura manualmente dhcpv6-server - Se corrigió el binding de la última actualización vista (last-seen update) disk - Se agregó soporte para Plextor PX-G128M62(A) SSD en CCR1072 dude - Los cambios se discuten en este link: http://forum.mikrotik.com/viewtopic.php?f=8&t=110428 - El paquete del server se ha hecho más pequeño. La actualización del contenido del lado del cliente ahora se remueve de él, y es descargado directamente desde nuestra nube. Por lo tanto las estaciones de trabajo en el lado del cliente requerirán acceso WAN. Se puede realizar una actualización alternativa reinstalando el cliente en cada nuevo release. email - Se corrigió el problema de envío desde Winbox - Se removió el límite de longitud del asunto (subject) y del cuerpo (body) del mensaje ethernet -
Se corrigió un problema de falla de memoria cuando se configura la interface sin cambiar la configuración Se corrigió un problema de velocidad de enlace incorrecta en ether1 después de hacer reboot en los routers de la serie rb4xx
fastpath -
Se corrigió un problema de falla del kernel cuando el fastpath maneja el paquete con multicast dst-address
fetch -
Se agregó soporte tls para las extensión del nombre de host
firewall -
No se muestra el parámetro disabled=no en un export Se agregaron los connection tracking helpers udplite, dccp, sctp Se corrigió el deletreo del comentario construido en el firewall Se agregó el menú “/interface list” con el cual se permite crear una lista de interfaces que puede ser usado como un matcher in/out-interface-list en el firewall y utilizarlo como un filtro en traffic-flow Se agregó el filtro pre-connection tracking – raw table, que permite proteger el connection tracking de tráfico innecesario Se permite agregar un nombre de dominio al address-list (las entradas dinámicas para las direcciones resultas se agregarán a la lista especificada)
gps -
Se corrigió un problema en la parte de longitud segundos
health -
Se corrigió un problema de fábrica en la data de calibración de voltaje para algunas tarjetas hAP ac Se corrigió un problema de voltaje incorrecto después de que se ejecutaba un reboot en un RB2011UAS
icmp -
Se corrigió un problema de fallo en el kernel cuando el paquete icmp no podía procesarse cuando había una alta carga
ippool6 -
Se corrigió un problema de caída en la adquisición cuando la longitud de prefijo es igual que la longitud de prefijo del pool
ipsec -
Se corrigió un problema en mode-config export
Academy Xperts
viii
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS
-
Se corrigió un problema de desborde de route cache cuando se utiliza ipsec con el route cache deshabilitado Se agregó la excepción de detección del dead ph2 para Windows msgid que no es compatible con el rfc Se agregó la detección de dead ph2 reply No se registra temporalmente el ph2 en el dead list Se corrigió un problema en el iniciador modecfg dynamics dns Se corrigió el AH con SHA2 Se corrigió un problema en el chequeo antes de accesar a las opciones ph1 nat Se corrigió un problema de chequeo en Windows msgid en dispositivos x86 Se muestra la dirección peer remota en los mensajes de error cuando sea posible Se almacena el tipo de encapsulación udp en proposal
kernel -
Se corrigió un posible problema de punto muerto cuando se utiliza el modem Sierra USB
l2tp -
Se corrigió un problema de caída cuando se hace reboot o se deshabilita el l2tp mientras hay todavía conexiones activas
lcd -
Se redujo el valor más bajo del backlight-timeout de 5 minutos a 30 segundos
license -
No expira la licencia demo después de una instalación nueva de x86
log -
Se agregó la opción scep certificate chain print Se incrementó el umbral de advertencia por excesivo multicast/broadcast cada vez que es enviado a bitácora (log) Se hace que el proceso de logging sea menos agresivo al arranque
lte -
Utiliza únicamente creg result codes como indicadores de estatus de red Se agregó la opción allow-roaming para dispositivos Huawei MU709, ME909s Se agregó soporte para cinterion pls8 Se agregó soporte para Huawei E3531 Se agregó soporte para ZTE ZM8620 Se agregó la opción use-peer-dns (trabajará únicamente combinado con add-default-route) Se cambió la carga del driver para dispositivos rndis usb clase 2 Se muestra el mensaje en lte, error log si no se recibe respuesta Se muestra el mensaje en lte, error log cuando se requiere PIN Se corrigió un problema de caída en SXT LTE cuando se resetea la tarjeta en alto tráfico Se corrigió la tecnología de acceso logging Se corrigió la conexión para Huawei sin la info celular Se corrigió el modem init cuando se presenta el requerimiento de pin Se corrigió el chequeo de versión de configuración de red del modem Se corrigió el soporte network-mode después de hacer un downgrade El Huawei MU609 debe usar el último firmware para trabajar correctamente Se mejoró la identificación de múltiples módems del mismo modelo Se muestra el uicc para módems Huawei
mesh -
Se corrigió un problema de una caída cuando la conexión referencia a una red mesh pero que ya no está disponinble
modem -
Se agregó soporte para Alcatel OneTouch X600 Se agregó soporte para Quectel EC21 y EC25 Se agregó soporte para modem SpeedUP SU-900U
nand -
Se mejoró la característica de nand refresh para mejorar la integridad de la data almacenada
ovpn -
Se habilitó el soporte perfect forwarding secrecy por default Se corrigió la compatibilidad con OpenVPN 2.3.11
pppoe -
Se permite configurar el MTU y MRU más alto que 1500 para PPPoE No se permite enviar paquetes más grandes que l2mtu si se provee el mrru
proxy
Academy Xperts
ix
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS
-
Se limita el uso máximo de ram a 80% para dispositivos tile y x86
queue -
Se resetea el queue type en las interfaces en las cuales el default queue type cambia a no-queue después del upgrade
rb2011 -
Se corrigió el flapping ether6-ether10 cuando dos puertos de ambos switch chips están en el mismo bridge
rb3011 -
Se corrigió un problema de port flapping en las interface ether6-ether10 Se corrigió un problema de funcionabilidad en el botón reset Se mejoró el desempeño cuando existe un alto uso del CPU Se corrigió un problema de carga del driver usb Se corrigió un problema de montaje del almacenamiento usb
route -
Se agregó soporte para más de 8 bits de opciones Se corrigió un problema en ospf manejando prefijos ipv6 codificados con stray bits
sniffer -
Se corrigió un problema de matching de dirección ipv6
snmp -
Se corrigió la función get para snmp >= v2 cuando el oid no existe Se corrigió las estadísticas de interface de MikroTik MIB Reporta la tecnología de acceso actual y el cell id de los módems lte Reporta la memoria ram como ram en lugar de otro tipo de memoria
ssh -
Se agrega el parámetro rsa host key size
ssh-keygen -
Se agrega el parámetro rsa key size
ssl -
No se sale mientras hay todavía sesiones activas Se corrige una fuga de memoria en ssl connect/disconnect (Fetch, ovpn, etc.)
sstp -
Se corrige el soporte de nombre dns en el campo connect-to si se especifica el http-proxy
supout -
Se elimina apropiadamente la data de pánico en Netinstall
switch -
Se corrigió el switch compact export
timezone -
Se actualiza la información del timezone de release tzdata2016e
traffic-flow -
Se agregó el soporte ipfix (RFC5101 y RFC5102)
tunnel -
Se agregó la opción para auto detectar la local-address del túnel Se corrigió un raro problema de caída cuando se especificaba una longitud de cabecera mínima inmediatamente en la inicialización del túnel
upnp -
Se corrigió la regla de nat dst-nat haciéndola visible nuevamente
usb -
El dongle usb hub/ethernet I-tec U3GLAN3HUB ahora se muestra correctamente como una interface ethernet Se implementó la posibilidad de reconocer los dongles usb hubs/ethernet (si los usb hubs/ethernet-dongles no son reconocidos en esta versión, por favor enviar un archivo supout.rif)
userman -
Se corrigió un problema de caída en la carga de la base de datos Se usa ipnpb.paypal.com para la verificación de pago
wap-ac
Academy Xperts
x
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS
-
Se corrigen problemas de desempeño con wireless 2.4GHz (se requiere un reboot adicional después de hacer el upgrade)
webfig -
No se permite presionar OK o Apply si los valores actuales de configuración todavía no se han cargado Se reduce el tiempo de refresh de la tabla de registro wireless a 1 segundo
winbox -
Se agregó la banda 2ghz-g/n para wireless-rep Se agregaron los íconos para las acciones de bridge filter similar a ip firewall Se agregó soporte para ipv6 dhcp relay Se permite reordenar las reglas de hotspot walled-garden & walled-garden-ip No se permite especificar vlam-mode=no-tag en capsman datapath config No se muestra el filtro para los campos combinados como bgp-vpn4 RD No se muestra la configuración de modo para las interfaces WDS Se corrige un problema de caída en la desconexión en modo seguro Se corrige un problema de caída cuando se usa ctrl+d Se corrige un problema en el modo safe Se mejora el filtrado en los campos de lista Se reporta correctamente los usuarios de Dude en la lista de usuarios activos Se configura por default el valor de sa-learning a “yes” para las reglas CRS Ingress VLAN Translation Se muestra la columna de acción como primera en bridge firewall Se muestra error cuando telnet no está permitido debido a permisos
wireless -
Se corrigió un problema en que múltiples paquetes wireless se habilitaban al mismo tiempo después del upgrade Se descontinúa wireless-fp. Es necesario que se desinstale/deshabilite antes de hacer el upgrade
wireless-rep -
Se agregó el soporte inicial API para snooper Se corrigió un problema de caída al reconectar nv2 Se corrigió un problema en un scan-list no configurado Se trata el elemento missing SSID como hidden SSID
v6.35.4, 09/Junio/2016, 12:02 address-list -
Se hizo que dynamic=yes sea una opción read-only (solo lectura)
bonding -
Se corrigió un problema en el modo de balanceo 802.3ad sobre túneles Se corrigió un problema de asignación del esclavo en el bonding primario para interfaces OVPN ñuego de que se inicia Se corrigió un problema de caída en la transmisión de tráfico RoMON
dhcpv6 client -
Se corrigió un problema de validación ia lifetime cuando se configura por el cliente dhcpv6
disk -
Se agregó soporte para Plextor PX-G128M6e(A) SSD en el CCR1072
ethernet -
Se corrigió un problema de falla de memoria cuando se configura la interface sin cambiar la configuración
firewall -
No se muestra el parámetro disabled=no en un export
health -
Se corrigió un problema de fábrica en la data de calibración de voltaje para algunas tarjetas hAP ac Se corrigió un problema de voltaje incorrecto después de que se ejecutaba un reboot en un RB2011UAS
ipsec -
Se corrigió un problema en mode-config export Se corrigió un problema de desborde de route cache cuando se utiliza ipsec con el route cache deshabilitado
lte -
Utiliza únicamente creg result codes como indicadores de estatus de red
ovpn -
Se habilita el soporte perfect forwarding secrecy por default
rb3011 Academy Xperts
xi
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS
-
Se corrigió un problema de port flapping en las interface ether6-ether10 Se corrigió un problema de funcionabilidad en el botón reset Se mejoró el desempeño cuando existe un alto uso del CPU
v6.35.3, 01/Junio/2016, 07:55 Fue un release únicamente de fábrica
v6.35.2, 02/Mayo/2016, 10:09 discovery -
Se corrigió un problema del descubrimiento de identidad (se introdujo en v6..35.1)
firewall -
Se corrigió un problema en las configuraciones de políticas de ruteo (se introdujo en v6.35rc38)
log -
Se corrigió un problema de ajuste del time zone (se introdujo en v6.35.1)
queue -
Se corrigió un problema del queue type en la interface para túneles OVPN
snmp -
Se corrigió un problema de timeout snmp (se introdujo en v6.35.1)
vrrp -
Se corrigió un problema de interfaces vrrp perdidas después de hacer un upgrade (se introdujo en v6.35.1)
v6.35.1, 26/Abril/2016, 09:29 bonding -
No se corrompen las estadísticas bonding en los cambios de configuración Se corrigió un problema de caída cuando el MTU de la VLAN padre es más alto que el MTU del bonding
ethernet -
No se permite que el MTU sea más alto que el L2MTU, y que el L2MTU sea más alto que el MAX-L2MTU (se reduce automáticamente en el upgrade si es que estaba equivocado anteriormente)
log -
Se corrigieron los mensajes de log en el reboot
LTE -
No se permiten configurar múltiples modos cuando no está soportado Se corrigió la adquisición de dirección (address acquisition) en las interfaces Huaweii LTE
winbox -
Se muestra el voltaje en Health únicamente si es el monitor de voltaje
wireless -
Se corrigió un problema cuando el CAPsMAN podía bloquear la interface CAPs
Academy Xperts
xii
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 1: Introducción
Capítulo 1: Introducción Características, Limitantes, Métodos Autenticación
Sobre HotSpot HotSpot es una manera para que usuarios autorizados puedan acceder a los recursos de alguna red, pero sin cifrado de datos. Para poder hacer Login el usuario debería tener un navegador web (cualquier protocolo HTTP o HTTPS). No se requerirá ninguna instalación de software adicional. El cliente estará conectado por un límite de tiempo y se le podrá asignar un ancho de banda para cada usuario que se conecte. El gateway contabiliza el tiempo de espera y la cantidad de trafico de cada cliente que han usado. Y también puede enviar información a un servidor RADIUS. El sistema de HotSpot podría limitar la tasa de bits, la cantidad total de tráfico, tiempo de espera y entre otros parámetros para cada uno de los usuarios. El Sistema HotSpot es dirigido para proveer autenticación sin una red local (para los usuarios de la red local que desean acceder a Internet), pero es usado para autorizar acceso desde redes exteriores y que puedan acceder a los recursos locales (como autenticación de gateway para que el mundo exterior accede a tu red). Tiene características como: • • • • • • • •
Proveer autenticación antes de acceder a una red Usuarios + contraseñas Aplicado a redes Wireless o Ethernet Pantalla de Login personalizada (.html) Acceder a ciertas paginas sin autenticación Diferentes métodos de autenticación Base de datos local RADIUS Server Remoto
Lugares de implementación: • • • • • • • •
Lugares públicos Aeropuertos Bibliotecas Mall Cafeterías Hoteles Escuelas Empresas
Limitantes: Debemos tener en cuanta una característica muy importante al momento de querer implementar una red con hotspot: • • •
Cantidad de usuarios que se estarían conectando a la red Tener un buen ancho de banda para nuestra red Tener una licencia adecuada en nuestro dispositivo donde va a ser configurado el servidor de HotSpot.
• • •
Equipos MikroTik con licencia nivel 4 nos permitirá tener 200 usuarios activos. Equipos MikroTik con licencia nivel 5 nos permitirá tener 500 usuarios activos. Equipos MikroTik con licencia nivel 6 nos permitirá tener un número ilimitado de usuarios activos.
Antes de la autenticación Cuando se habilitada HotSpot en la interfaz, el sistema automáticamente establece todo lo que se necesita para mostrar la página de login a todos los clientes que no están conectados. Esto es hecho agregando una regla dinámica de destination NAT, el cual se puede observar en el sistema de HotSpot que ese está trabajando. Estas reglas son necesarias para redireccionar todos los requerimientos HTTP y HTTPS de usuarios no autorizados a la autenticación proxy de HotSpot.
Academy Xperts
1
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 1: Introducción
Entre los ajustes más comunes, abrir cualquier página HTTP que traiga la página de login de server HotSpot (el cual puede ser ampliamente personalizado). El comportamiento de un usuario normal es abrir páginas web por los nombres de DNS, una configuracion valida de DNS debería ajustarse al gateway de HotSpot (es posible volver a configurar el gateway si este no será requerido en la configuracion de DNS local, pero como configuracion es poco práctico y no es muy recomendado). La configuración de hotspot crea de forma Automática reglas dinámicas de dst-nat (destination nat). Estas reglas son necesarias para re-direccionar a los usuarios que no están autorizados.
Deniega las conexiones de usuarios no autorizados y denegara todo tipo de proceso hasta que el usuario se autentique en el servidor HotSpot. Todas las reglas de permitir o denegar que se crean en las opciones como Walled Garden IP serán agregadas a las reglas de Filtros de Firewall.
Obteniendo una dirección Primero el cliente debe obtener una dirección IP. Se debe poner al cliente una dirección estática u obtenerla desde un servidor DHCP. El servidor DHCP puede proveer una forma de ligar las direcciones Ip a las direcciones MAC de los clientes, si es requerido. El sistema HotSpot no tiene cuidado de como el cliente obtiene una dirección antes de acceder a la página de login de HotSpot. Además, el servidor HotSpot automáticamente y transparentemente cambia cualquier dirección Ip (significa realmente cualquier dirección IP) de un cliente a una dirección válida que no es usada desde la selección del pool de direcciones IP. Si un usuario puede obtener su conexión a internet trabajando en su red HotSpot. Esta característica da la posibilidad de proveer acceso a la red (por ejemplo, accesos a Internet) a clientes móviles que no se encuentren dispuestos (o estén rechazados, no calificados aun o de otra manera deshabilitados) para cambiar los ajustes de su red. Los usuarios que no se dan cuentan de la traducción (por ejemplo, allí no estará cualquier cambio en las configuraciones de los usuarios), pero el mismo router vera completamente diferente (que actualmente se ajusta en cada cliente) la dirección Ip origen en los paquetes enviados desde los clientes (siempre que la tabla de firewall mangle vea la traducción de direcciones). Esta técnica es llamada one-to-one NAT, pero también es conocida como “cliente universal” así fue llamado en la versión 2.8 de RouterOS. One-to-one NAT acepta cualquier conexión entrante desde una interfaz de red conectada y el desempeño de la traducción de direcciones esto hace que los datos sean ruteados a través del estándar de redes Ip. Los clientes deberían de usar cualquier pre configuración de direcciones. Si las características de one-to-one NAT es ajustar la traducción de las direcciones de los clientes a una dirección Ip pública. Este NAT cambia la dirección origen de cada paquete solo después
Academy Xperts
2
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 1: Introducción
de que es recibido por el router (esto es como NAT origen que se desempeña en la ruta del paquete, siempre y cuando la tabla de firewall mangle, la cual normalmente ve los que los paquetes recibidos estén inalterados, solo puede ver la traducción de direcciones). Tener en cuenta que el modo arp debe estar habilitado en la interfaz que se está usando one-to-one NAT.
Walled Garden Walled Garden es una herramienta usada para dar acceso a ciertos servicios en la red sin la necesidad de una autenticación. Configurando las características de Walled Garden, es posible permitir a los usuarios acceder a ciertas páginas web sin la necesidad de una autenticación. No se requiere autorización para ciertos servicios (por ejemplo, permitir a los clientes acceso al servidor web de tu compañía sin registrarse) o siempre que se requiera autorización solo a un numero de servicios (por ejemplo, para ciertos usuarios que se le permita el acceso a un servidor de archivos interno u otras restricciones del área). Esto se puede hacer estableciendo el Sistema de Walled Garden. Cuando no hay ningún requerimiento de que un usuario ha accedido a un servicio permitido en la configuracion de Walled Garden, el HotSpot gateway no es interceptado o en el caso de HTTP simplemente redirecciona los requerimientos al destino original. Otros requerimientos son redireccionados al server HotSpot (infraestructura de las pagina de login). Cuando un usuario accedió, no tiene ningún efecto en la tabla. En los requerimientos de HTTP de Walled Garden se usa un servidor proxy embebido (/ip proxy). Esto significa que todos los parámetros de configuraciones del servidor proxy también serán efectivos para los clientes de Walled Garden (tanto como para todos los clientes que tienen habilitado un proxy transparente). Por ejemplo: • • • •
Clientes que quieran acceder al servidor web de la compañía Clientes pueden ingresar a un servidor de archivos Tener acceso a ciertas páginas web Más adelante veremos detalles con configuración.
Métodos de Autenticación Tenemos 6 métodos, podemos usar uno o más simultáneamente: •
•
•
•
• •
HTTP PAP: método simple, el cual muestra la página de login HotSpot y se espera obtener la información de autenticación (nombre de usuario y contraseña) en texto plano. Nota: las contraseñas no son encriptadas cuando transferidas en la red. Otro uso de este método es la posibilidad de información de autenticación no modificable en la página de login de servlet simplemente creando el link apropiado. HTTP CHAP: método estándar, el cual incluye el CHAP en la página de login. El hash de CHAP MD5 es usado junto con contraseñas de usuarios para calcular el string el cual será enviado al gateway HotSpot. El resultado de (como una contraseña) junto con el nombre de usuario es enviado a través de la red al servicio HotSpot (además, la contraseña nunca es enviada en texto plano a través de la red IP). En el lado del cliente, el algoritmo de MD5 algoritmo es implementado en JavaScript applet, además si el navegador no soporta JavaScript (como, por ejemplo, Internet Explorer 2.0 o algunos navegadores PDA) o el JavaScript esta deshabilitado, esto no podrá autenticar a los usuarios. También es posible permitir que se desencripte las contraseñas para que sean aceptadas habilitando el método de autenticación HTTP PAP, pero esto no es recomendado (debido a las consideraciones de seguridad) usar esta característica. HTTPS: lo mismo como HTTP PAP, pero usando el protocolo SSL para transmisiones encriptadas. El usuario HotSpot solo envía su contraseña sin ningún hashing adicional (nota: ya no es necesario preocuparse acerca de las contraseñas en texto plano expuestas en la red, la transmisión es encriptada). En otro caso, el método HTTP POST (si no es posible, luego de obtener el método HTTP) es usado para enviar datos al gateway HotSpot. HTTP cookie: después de cada exitoso login, una cookie es enviada al navegador web y la misma cookie es agregada para activar la lista de HTTP cookie. La próxima vez que el mismo usuario intente conectarse, el navegador web enviara la cookie HTPP que se guardó. Esta cookie será comparada con la una que se almaceno en el gateway HotSpot y solo si la dirección MAC origen y aleatoriamente genera un ID que la compara con la una que esta almacenada en el gateway, el usuario automáticamente se conectara usando la información de login (nombre de usuario y contraseña) fue usado cuando la cookie fue la primera vez generada. De otra manera, el usuario se conectará y en el caso de una autenticación exitosa, la antigua cookie será removida de la lista de cookie active de HotSpot local y la nueva con diferente ID aleatorio y el tiempo de expiración será agregado a la lista y enviado al navegador web. Esto es posible borrando la cookie en el usuario manualmente salido del login (no en las páginas del servidor por defecto, pero puede modificarlo para tener un mejor desempeño). Este método puede solo ser usado junto con los métodos de HTTP PAP, HTTP CHAP o HTTPS. MAC address: para la autenticación mediante la Mac address sin la necesidad de un username. Trial: se les permite a los usuarios usar el servicio free de cargo por cierto periodo de tiempo de evaluación, y es requerido autenticarse solo después que el periodo ha terminado. HotSpot puede ser configurado para permitir cierta cantidad de tiempo por dirección MAC para que sea libremente usado sin limitaciones impuestas por el user profile. En el caso que permanezca Ia dirección y tenga cierto tiempo de inactividad, la página de login contendrá el link para el rial login. El tiempo automáticamente se resetea después de configurar cierta cantidad de tiempo (por ejemplo, cualquier dirección MAC puede usar 30 minutos al día sin la necesidad de registrarse).
Academy Xperts
3
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 1: Introducción
•
MAC Cookie: es una nueva característica de Hotspot diseñada para los dispositivos como Smartphones, laptops y gadgets.
HotSpot puede autenticar usuarios consultando usuarios de la base datos local o en el servidor RADIUS (la base de datos local es primero consultada, luego al servidor RADIUS). En el caso de HTTP cookie la autenticación vía servidor RADIUS, el router enviara la misma información al servidor que fue usado donde la cookie fue generada primero. Si la autenticación es hecha localmente, se usa el profile correspondiente a ese usuario, de otra manera (en el caso de RADIUS la contestación no contiene el grupo para el usuario) el profile por defecto es usado para ajustar los valores por defecto para los parámetros.
Autorización Después de la autenticación, el usuario obtiene acceso a Internet y recibe algunas limitaciones (el cual es un profile de un usuario especifico). HotSpot también utiliza one-to-one NAT para el cliente, además un usuario en particular podría recibir siempre la misma dirección IP de la PC que esté trabajando. El Sistema automáticamente detecta y redirecciona los requerimientos a un servidor proxy, a un cliente que está usando al servidor proxy que esta embebido en el router. La autorización puede ser delegada a un servidor RADIUS, el cual entrega similares opciones de configuraciones como base datos local. Para cualquier usuario que solicite autorización, un servidor RADIUS obtiene la primera consulta, y si no recibe alguna respuesta, la base de datos local es examinada. El servidor RADIUS envía un requerimiento de cambio de autorización acordando con los estándares para alterar los parámetros previamente aceptados.
Anuncios El mismo proxy es usado para proveer a los clientes no autorizados para las facilidades de Walled-Garden, también es usado para usuarios autorizados para mostrarles anuncios. El proxy transparente para usuarios autorizados permite monitorear requerimientos http de clientes y toma varias acciones si se requiere. Esto habilita la posibilidad de abrir el status de la página siempre si el cliente está conectado por dirección mac. Cuando el tiempo ha llegado a mostrar el anuncio, el servidor redirecciona el navegador web del cliente al status de la página. Solo los requerimientos, los cuales proveen contenido html, son redireccionados (imágenes y otros contenidos no se verán afectados). El status de la página muestra el anuncio y el próximo intervalo del anuncio es usado para programar el próximo anuncio. Si el status de la página esta deshabilitado para mostrar un anuncio para configurar el tiempo de espera empezando desde ese momento, cuando el horario es mostrado, el acceso del cliente es bloqueado dentro de walled-garden (solo para clientes que no son autorizados). El cliente es desbloqueado cuando el horario de la página muestra la finalización. Mientras que el cliente es bloqueado, FTP y otros servicios no serán permitidos. Esto requiere que el cliente abra un anuncio por cualquier actividad en internet no especializada permitido por Walled-Garden.
Cuentas El Sistema HotSpot implementa la contabilización internamente, no se requiere hacer algo en especial para trabajar. La información contabilizada por cada usuario es enviada al servidor RADIUS server. Menú de configuraciones • • • • • • • • • • •
ip Hotspot: Servidores HotSpot en interfaces particulares (un servidor por interfaz). El servidor HotSpot debe ser agregado en este menú en orden para que el Sistema HotSpot trabaje en una interfaz. Profile: lista dinámica de los hosts activos en la red en todas las interfaces HotSpot. Aquí también se puede encontrar las direcciones ip bindings de one-to-one NAT. Host: lista dinámica de los hosts activos en la red en todas las interfaces HotSpot. Aquí también se puede encontrar las direcciones ip bindings de one-to-one NAT Ip-Bindings: darle acceso a un host o Red a internet sin pasar por las reglas de Hotspot Service-port: Helpers para one-to-one NAT Walled-garden: reglas de Walled Garden para los niveles de HTTP (nombres de DNS, requerimientos de substrings de HTTP) Walled-garden-ip: reglas de Walled Garden a nivel de IP (direcciones IP, protocolos IP). User: sistema de base de datos local User profile: profiles de los usuarios del Sistema local de HotSpot (grupos de usuarios). Active: lista dinámica de los usuarios hotspot autenticados. Cookie: lista dinámica de todas las cookies HTTP validas
IP HotSpot Este menú es diseñado para manejar los servidores HotSpot en el router. Es posible ejecutar un HotSpot en Ethernet, wireless, VLAN e interfaces bridge. Solo un servidor HotSpot es permitido por interfaz. HotSpot Setup Usar /ip hotspot setup para la configuración de un servidor hotspot, Recomendado!! Todos los ajustes de configuración pueden ser agregados manualmente. Antes de realizar la configuración del servidor HotSpot debemos tener en cuenta ciertos detalles como: • •
El dispositivo que vamos a configurar con servidor HotSpot debe tener salida a internet. Debe tener configurada una IP valida en la interface donde se va a configurar el servidor de HotSpot.
Academy Xperts
4
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 1: Introducción
•
Tener servidores DNS configurados.
Descripción de las propiedades • •
•
•
• • •
•
HTTPS (read-only: flag): si el servicio de HTTPS está actualmente ejecutándose en la interfaz (por ejemplo, establecer el profile del servidor, y un certificado valido es importado en el router). address-pool (name | none; default: none): nombre del pool de direcciones IP para el desempeño de oneto-one NAT. Se puede escoger no utilizar one-to-one NAT. o none – no hacer funcionar one-to-one NAT para los clientes de las interfaces HotSpot. addresses-per-mac (integer | unlimited; default: 2): números de direcciones IP asignadas a ser enlazadas con una dirección MAC en particular (esto es una oportunidad pequeña de reducir los ataques de denegación de servicio basado en tomar el control de todas las direcciones IP en el pool de direcciones). No disponible si el address-pool está en none o unlimited – número de direcciones IP por direcciones MAC no está limitada. idle-timeout (time | none; default: 00:05:00): tiempo de espera de idle (periodo máximo de inactividad) para clientes no autorizados. Este es usado para detectar, que clientes no están usado en redes externas (Ejemplo: Internet), i.e., ahí no hay trafico viniendo desde que cliente y yendo a través del router. Alcanzado el tiempo de espera, el usuario deja la lista de host. o none – tiempo de espera de idle de los usuarios. interface (name) – interfaz en que se ejecuta HotSpot ip-of-dns-name (read-only: IP address) – dirección IP del DNS del gateway de HotSpot que se estableció en la interfaz de HotSpot keepalive-timeout (time | none; default: none) – mantener el tiempo de espera para clientes no autorizados. Usado para detectar, que la computadora del cliente sea alcanzable. Si la verificación falla durante este periodo, el usuario será rechazado de la lista de host. o none – tiempo de espera de los usuarios inalcanzables. profile (name; default: default) – profile de HotSpot para la interfaz.
Nota addresses-per-mac trabaja si el pool de direcciones está definido. También tomar en cuenta de que, si se autentican usuarios conectados a través del router, que todas las direcciones Ip parecen haber venido desde una dirección MAC. Ejemplo Para agregar un sistema HotSpot en la interfaz local, permitiendo al Sistema hacer one-to-one NAT para cada cliente (direcciones desde el pool de direcciones HS-real será usado para el NAT): [admin@MikroTik] ip hotspot> add interface=local address-pool=HS-real [admin@MikroTik] ip hotspot> print Flags: X - disabled, I - invalid, S - HTTPS # NAME INTERFACE ADDRESS-POOL PROFILE IDLE-TIMEOUT
Laboratorio 1 >>> Ir al Manual de Laboratorio
Academy Xperts
5
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
Capítulo 2: Users Users En esta sección de configuración podremos encontrar la forma de generar usuarios para los distintos servidores hotspot que tengamos configurados en nuestra red
• • • • • • •
• • • •
Server: Nombre del servidor Hotspot Name: nombre de usuario para que el cliente se pueda hacer Login Password: contraseña del usuario Address: Se especifica una dirección IP, el host con dicha dirección podrá usar este user and password. MAC Address: Se especifica una dirección MAC, el host con dicha dirección MAC podrá usar este user and password. Profile: escoger el profile creado en ip à hotspot à user-profile Routes: me permite especificar una ruta y que los usuarios que se conecten la reciban de forma automática. El formato es: dst-address gateway metric
Limit Limit Limit Limit
Uptime: límite de conexiones de este usuario. Bytes in: máxima cantidad de bytes que pueden ser recibidos desde el usuario. Bytes Out: máxima cantidad de bytes que puede ser transmitidos desde el usuario. Bytes Total: es la unión del Limit bytes in y Limit bytes Out.
Academy Xperts
6
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
•
Muestra estadísticas de conexión del usuario.
Laboratorio 2.1 Monitoreo de usuarios En esta opción podremos ver todos los hosts que están conectados o no autorizados en nuestra red.
En esta opción podremos ver todos los hosts que están conectados y autorizados en nuestra red.
Métodos de autenticación • • •
HTTP CHAP, HTTP PAP HTTPS MAC-Address
Academy Xperts
7
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
• •
Cookie Trial
• • • •
Login page es lo que se muestra a los usuarios. Login/Password son necesarios. CHAP, para poderlo usar debemos tener habilitado JavaScript en los navegadores. PAP, es para los antiguos navegadores
HTTPS • •
El uso del método de HTTPS nos cifrara los datos a través del protocolo SSL. El certificado a user debe ser importado al Router.
Academy Xperts
8
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
Cookie • •
Es enviado al cliente después de hacer un Login HTTP exitoso. El hotspot no preguntara el usuario y contraseña en la segunda vez que se acceda a la red.
MAC-Address • • •
Evitar página de Login Agregar una MAC-address como username La autenticación solo ocurre cuando el usuario está conectado al HotSpot.
Academy Xperts
9
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
Trial Permite dar acceso a usuarios por un tiempo determinado, lo cuales podemos especificarlos en la opción: Trial Uptime Limit.
Laboratorio 2.2 Grupo de usuarios La opción de user profile es usada para clientes HotSpot. Los Profiles son como grupos de usuarios con los mismos ajustes de rate-limit, filter chain name, etc.
Academy Xperts
10
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
• • • • • •
Address-Pool, nombre del pool de las IPs que los usuarios obtendrán al conectarse a la red. Session Timeout, el usuario se desconectará luego del tiempo estimado. Keepalive Timeout, detecta si el cliente está activo. Shared Users, permite logins simultáneos con el mismo username. Rate Limit (rx/tx), Limite de ancho de banda por cliente HotSpot. Crea colas simples dinámicas
Sintaxis: • • •
[rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate] [rx-burst-threshold[/tx-burst-threshold] [rx-burst-time[/tx-burst-time] [priority] [rx-rate-min[/tx-rate-min]]]]. RX es Upload TX es Download
Advertencias • •
Sirve para mostrar una página web después de un período de tiempo. Si no se muestra las páginas el internet está bloqueado.
Academy Xperts
11
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
• • • •
Advertise: Habilitar la opción de advertencias. Después la advertencia aparecerá en una página web específica a los usuarios HotSpot. Advertise URL: Listas de URLs que se mostraran como anuncios. Luego de que la última URL es usada, la lista empezara desde el comienzo. Advertise Interval: Ajustes de intervalo de tiempo entre las advertencias. Advertise Timeout: cantidad de tiempo que la advertencia es mostrada, antes de bloquear el acceso a la red para los clientes HotSpot.
Ejemplo Configurar un profile con los siguientes datos: • • •
Max-limit=1M/2M Limit-at=512K/1M Priority=3
Academy Xperts
12
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 3
Capítulo 3 Cookies Los Cookies guardan en una base local los datos de los usuarios que se conectan y se autentican. Permitiendo que el hotspot ya no les pida en otra ocasión que ingresen los datos de autenticación, ya que esta base compara los datos basados por la MAC address. Descripción de la Propiedades • • • •
domain (read-only: text): nombre de dominio (si se dividió desde el nombre de usuario). expires-in (read-only: time): por cuanto tiempo es válida la cookie. mac-address (read-only: MAC address): dirección MAC del usuario user (read-only: name): nombre de usuario.
Nota Puede ser varias cookies con la misma dirección MAC. Por ejemplo, será una cookie separada por cada navegador web en la misma computadora. Las cookies pueden expirar, esa es la manera de cómo debe ser. La validación de tiempo por defecto es de 3 días (72 horas), pero puede cambiarse por cada profile individual del servidor HotSpot, por ejemplo: /ip hotspot profile set default http-cookie-lifetime=1d Ejemplo Para obtener una lista de cookies: /ip hotspot cookie print # USER DOMAIN 0 ex /ip hotspot cookie
MAC-ADDRESS EXPIRES-IN 01:23:45:67:89:AB 23h54m16s
Walled Garden Walled Garden es una herramienta usada para dar acceso a ciertos servicios en la red sin la necesidad de una autenticación, mediante protocolo HTTP. Para los requerimientos de HTTP utiliza un servidor proxy incorporado. Esto significa que todos los parámetros configurados de ese servidor proxy se aplicaran para los clientes Walled Garden (así como para todos los clientes que tienen habilitada la opción de proxy transparente).
•
• • • • • • • •
Action: acción a realizar cuando los paquetes cumplen la regla. o Allow- permite el acceso a una página web sin autorización. o Deny- se requiere autorización para acceder a la página web. Server: nombre del servidor HotSpot y la regla se aplica a ese servidor. dst-address: dirección IP de destino del servidor web server (instalado por IP-level walled garden). hits: cuantas veces ha sido usada esta regla. Src-address: dirección origen del usuario, usualmente la dirección IP del cliente HotSpot. Method: método que se va aplicar Dst-host: nombre de dominio del servidor web de destino. Dst-port: número de puerto TCP al que los clientes envían una solicitud. Path: la ruta de la solicitud, la ruta viene después
Academy Xperts
13
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 3
Por ejemplo: • • •
Clientes que quieran acceder al servidor web de la compañía Clientes pueden ingresar a un servidor de archivos Tener acceso a ciertas páginas web
Nota Propiedades de Wildcard (dst-host and dst-path) compara un string completo (no se comparará "example.com" si se estableció "example"). Las wildcards son '*' (compara cualquier número de cualquier carácter) y '?' (compara un carácter). Expresiones regulares son también aceptadas aquí, pero las propiedades pueden ser tratadas como expresiones regulares, debería de comenzar con dos puntos (':'). Pequeños hits usando en expresiones regulares: • • • •
\\ secuencia de símbolos son usadas para entrar por consola el carácter “\\” \. Patrón solo (en expresiones regulares simples in regular, el punto en el patrón significa cualquier símbolo) Para mostrar que símbolos son permitidos antes del patrón dado, se usa el símbolo ^ al principio del patrón. Para especificar que símbolos son permitidos después del patrón dado, se usa el símbolo $ al final del patrón.
Se puede usar la propiedad path para requerimientos HTTPS de como el router no puede (que no debería – el protocolo HTTPS protocolo fue hecho para esto) des-encriptar el requerimiento. Ejemplo Para permitir requerimientos no autorizados a la página www.example.com domain's /paynow.html: /ip hotspot walled-garden add path="/paynow.html" dst-host="www.example.com" /ip hotspot walled-garden print detail Flags: X - disabled, D - dynamic 0 dst-host="www.example.com" path="/paynow.html" action=allow
Laboratorio 3.1 Walled Garden IP Walled Garden IP es una herramienta usada para dar acceso a ciertos servicios en la red sin la necesidad de una autenticación, mediante protocolo IP.
•
• • • • • • •
Action: acción a realizar cuando los paquetes cumplen la regla. o Accept- permite el acceso a una página web sin autorización. o Drop- se requiere autorización para acceder a la página web. o Reject: la autorización es requerida para acceder a los recursos, un mensaje ICMP se enviará al cliente cuando el paquete cumpla con la regla. Server: nombre del servidor HotSpot y la regla se aplica a ese servidor. Src-address: dirección origen del usuario, usualmente la dirección IP del cliente HotSpot. Dst-address: dirección IP destino del servidor web, ignorar si se especificó un dst-host. Dst-host: nombre de dominio del servidor web de destino. Dst-port: número de puerto TCP al que los clientes envían una solicitud. protocol (integer | ddp egp encap ggp gre hmp icmp idpr-cmtp igmp ipencap ipip ipsec-ah ipsec-esp iso-tp4 ospf pup rdp rspf st tcp udp vmtp xns-idp xtp) -nombre del protocolo IP. rc-address (IP address): dirección IP del usuario que enviara el requerimiento.
Por ejemplo: • •
Clientes que quieran acceder al servidor web de la compañía Clientes pueden ingresar a un servidor de archivos
Academy Xperts
14
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 3
Laboratorio 3.2 IP Bindings Permite aceptar cualquier dirección IP que este configurada en el cliente forzando un NAT 1:1. También es posible hacer traducciones NAT estáticas en base a: IP origen, IP de red, MAC del cliente. Además, es posible permitir que ciertas direcciones hagan un Bypass a la autenticación del Hotspot y también permite bloquear hosts específicos y subredes de una red HotSpot.
• • • • • •
Address: dirección IP del cliente. Mac Address: dirección Mac del cliente Server: nombre del servidor HotSpot All- serán aplicados a todos los servidores HotSpot. To-Address: nueva Ip Address del cliente, traducción ocurre en el router (el cliente no conoce nada acerca de la traducción). Type: tipo de acción de IP-Binding o Regular- para realizar One-to-One NAT de acuerdo con la regla, traduce address a to-address. o Bypassed- realiza la traducción, pero excluye los clientes de Login a HotSpot. o Blocked- la traducción no es realizada y los paquetes desde el host son descartados.
Notas Esta es una lista ordenada, donde se puede poner entradas más específicas en el tope de la lista para sobrescribirlos las reglas más comunes que aparecen abajo. Se puede poner siempre una entrada con dirección 0.0.0.0/0 al final de la lista para hacer la acción por defecto deseada para esas direcciones que no coincidirán con otras entradas. Escenario Típico 1. 2.
Cuando agregamos una nueva red en la misma interfaz y queremos que esa nueva red no pase por el Hotspot. cuando en la misma red hotspot tenemos dispositivos como: cámaras, impresoras entre otros, y no tienen forma de poderse autenticar, le hacemos un Bypass
Academy Xperts
15
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 3
Laboratorio 3.3
Service Port Solo para el clásico NAT, el HotSpot creado, rompe ciertos protocolos que son incompatibles con la traducción de direcciones one-to-one NAT. Para dejara estos protocolos estén consistentes, los módulos de ayuda deberían ser usados. Para el oneto-one NAT solo un módulo es para el protocolo FTP. Descripción de las Propiedades • •
name (read-only: name) – nombre del protocolo. ports (read-only: integer) – lista de puertos con el protocol que se está trabajando.
Ejemplo Para establecer el protocolo FTP protocol use ambos puertos Tcp 20 y 21 TCP: /ip hotspot service-port> print Flags: X - disabled # NAME 0 ftp /ip hotspot service-port> set ftp ports=20,21 /ip hotspot service-port> print Flags: X - disabled # NAME 0 ftp
Academy Xperts
PORTS 21
PORTS 20 21
16
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
Capítulo 4 HotSpot Server Permite configurar un Servidor HotSpot especificando de manera más detalla las configuraciones del mismo. Servers, muestra toda la lista de servidores hotspot
• • • •
Name: especifica la interfaz donde debe estar configurado el servidor HotSpot. Address pool: direcciones Ip que van a ser entregadas a los clientes autorizados. Timeout: tiempo de espera para clientes no autorizados. Address-Per-Mac: número de direcciones permitidas por Mac address.
HotSpot Server Profile Existen diferentes sistemas de HotSpot, definidos como profiles del servidor HotSpot, en el mismo gateway de la máquina. Una o más interfaces pueden ser agrupadas entre un profile del servidor. Hay pocas configuraciones para los servidores en interfaces particulares, la mayoría de las configuraciones son se las realiza el profile del servidor. Por ejemplo, es posible hacer completamente diferentes ajustes en la página del servert por cada profile del servidor, y definir diferentes servidores RADIUS para autenticación.
•
• • •
DNS name, nombre del servidor DNS del HotSpot. Este es el nombre DNS usado como el nombre del servidor HotSpot (este aparece como la localización de la página de login). Este nombre automáticamente será agregado como una entrada de DNS estática en la cache de DNS. Rate limit, especificar un límite de ancho de banda para las entradas en el servidor hotspot HTTP proxy, configurar un proxy transparente. SMTP server, para re-direccionar correos.
Directorio HTML Se localiza los archivos en el servidor hotspot, en la opción de File en el RouterOS. Para descargarlos podemos ingresar vía FTP o dando clic derecho Download en el directorio HotSpot en el file.
Academy Xperts
17
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
Se puede crear un conjunto completamente diferente de las páginas para cada servidor HotSpot que se tenga, especificando el directorio donde será almacenado en las propiedades de html-directory del profile del servidor HotSpot (/ip hotspot profile). Las páginas de servidor por defecto son copiadas en el directorio de nuestra elección después de crear el profile. Este directorio puede ser accedido conectando el router con un cliente FTP. Se puede modificar las paginas como más nos agrade usando la información de esta sección del manual. Nota: se sugiere editar los archivos manualmente, como herramientas automatizadas de edición de HTML ya puede dañar las páginas mediante la eliminación de las variables u otras partes.
Paginas disponibles Principales páginas HTML, que se muestran al usuario: • •
• • • •
•
redirect.html – redirecciona al usuario a otra url (por ejemplo, la página de login) login.html – página de login mostrada al usuario, donde se pregunta el nombre de usuario y contraseña. Esta página puede tomar los siguientes parámetros: o username – nombre de usuario o password – ya sea en texto plano la contraseña (en caso de autenticación PAP) o MD5 hash de la variable chap-id, contraseña y CHAP (en caso de autenticación CHAP). Este valor es usado como dirección de email address para los usuarios que usen trial. o dst - URL original solicitada antes de la redirección. Esto se abrirá al inicio de sesión que sea satisfactorio. o popup - ya sea para que aparezca una ventana de estado de inicio de sesión correcto. o radius
- enviar el atributo identificado con en el string de texto desde el servidor RADIUS (en caso de autenticación de RADIUS; de otra manera se perdería) o radiusu enviar el atributo identificado con en forma de entero sin signo en el servidor RADIUS (en caso de autenticación de RADIUS; de otra manera se perdería) o radius- - enviar el atributo identificado con y vendor ID en cadena de texto desde el servidor RADIUS (en caso de autenticación de RADIUS; de otra manera se perdería) o radius-u - enviar el atributo identificado con y vendor ID en forma de entero sin signo en el servidor RADIUS (en caso de autenticación de RADIUS; de otra manera se perdería) md5.js - JavaScript para contraseñas con MD5 hashing. Usado junto con el método de autenticación http-chap. alogin.html – página mostrada después de que los clientes hayan hecho un login. Aparece la página de estado y el navegador redirecciona a la página solicitada originalmente (antes de que él / ella fue redireccionando a la página de login de HotSpot). status.html – estado de la página, muestra estadísticas para los clientes. También es capaz de mostrar anuncios automáticamente. logout.html – página de logout, mostrada después de que el usuario es desconectado. Muestra las estadísticas finales acerca de la sesión finalizada. Esta página toma los siguientes parámetros: o erase-cookie – borrar cookies del servidor HotSpot en el cierre de sesión (hace imposible conectarse con la cookie próxima vez desde el mismo navegador, podría ser útil en entornos multi-usuario) error.html – página de error, muestra solamente los errores fatales.
Algunas otras páginas están disponibles, así, si se necesita más control: • • • •
rlogin.html - pagina, la cual redirecciona los clientes desde otras URL a la página de login, si se requiere autorización del cliente para acceder a la URL. rstatus.html - similar a rlogin.html, solo en caso si el cliente esta aun autenticado y la URL original no es conocido. radvert.html – redirecciona al cliente a los anuncios que fueron programados. flogin.html – se muestra en lugar de login.html, si un error ha pasado (nombre de usuario invalido o contraseña)
Academy Xperts
18
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
• •
fstatus.html – se muestra en vez de el redireccionamiento, si el estado de la página es requerido, pero el cliente no está conectado flogout.html - se muestra en vez de el redireccionamiento, si la página de logout es requerida, pero el cliente no está autenticado.
Servicios de Paginas de Servlet El servlet HotSpot reconoce 5 diferentes tipos de requerimientos: 1.
requerimiento de un host remoto o si un usuario está conectado y la publicidad se debe visualizar, radvert.html se visualiza. Esta página permite redirigir a la página de publicidad programada o si el usuario ha iniciado sesión y la publicidad no está prevista para este usuario, se sirve la página solicitada. o si el usuario no está conectado, y el host de destino no está permitido por el Walled Garden, rlogin.html es visualizado; si rlogin.html no es encontrado, es usado redirect.html para redireccionar a la página de login. Requerimiento para "/" en HotSpot host o Si un usuario está conectado, rstatus.html es visualizado; o Si no se encuentra rstatus.html, redirect.html es usado para redireccionar al estado de la página. o Si un usuario no está conectado, rlogin.html es visualizado; si rlogin.html no es encontrado, redirect.html es usado para redireccionar la página de login Requerimiento para la página de "/login" o Si un usuario se ha conectado correctamente (o todavía está conectado), alogin.html es visualizado; si alogin.html no es encontrado, redirect.html es usado para redireccionar el requerimiento original de la página o el estado de la página (en caso, de que la pagina original no fuera dada) o Si el usuario no está conectado (nombre de usuario no fue proporcionado, ningún mensaje de error aparecerá,), login.html es mostrado. o Si procedimiento de login ha fallado (un mensaje de error es proporcionado), flogin.html es visualizado; si flogin.html no es encontrado, login.html es usado. o En caso de errores fatales, error.html es mostrado. Requerimiento para la página de "/status" o Si el usuario está conectado, status.html es visualizado. o Si el usuario no está conectado, fstatus.html es visualizado; si fstatus.html no es encontrado, redirect.html es usado para redireccionar a la página de login. Requerimiento para la página de '/logout' o Si el usuario está conectado, logout.html es visualizado. o Si el usuario no está conectado, flogout.html es visualizado; si flogout.html no es encontrado, redirect.html es usado para redireccionar a la página de login.
2.
3.
4.
5.
Nota: si no es posible satisfacer una solicitud utilizando las páginas almacenadas en el servidor FTP del router, Error 404 es visualizado. Hay muchas posibilidades para personalizar la página de autenticación de HotSpot: • •
•
La página es fácilmente modificable. Están almacenadas se almacenan en el servidor FTP del router en el directorio que uno escoja para el perfil del servidor HotSpot. Cambiando las variables, el cual el cliente envía al servlet HotSpot, es posible reducir el número de palabra clave para una (nombre de usuario o contraseña; por ejemplo, direcciona MAC del cliente podría ser usada como otro valor) o siempre a cero (acuerdo de la licencia, los valores generales predefinidos o la dirección MAC del cliente puede ser usada como nombre de usuario y contraseña). El registro puede ocurrir en un servidor diferente (por ejemplo, en un servidor que pueda cobrar tarjetas de crédito). La dirección MAC del cliente puede ser pasadas a el servidor, esa información necesita ser escribida manualmente. Después del registro, el servidor debería cambiar la base de datos del servidor RADIUS habilitando al cliente para cargar cierta cantidad de tiempo.
Para insertar una variable en cierto lugar en el archive HTML, la $(var_name) sintaxis es usada, donde el the "var_name" es el nombre de la variable (sin comillas). Esta construcción puede ser usada en cualquier archivo de acceso de HotSpot HTML como as '/', '/login', '/status' o '/logout', como cualquier otro texto o HTML (.txt, .htm o .html) archive almacenado en servidor HotSpot (con la excepción de contadores de tráfico, el cual está disponible solo en el estado de la página). Por ejemplo, para mostrar un link en la página de login, siguiendo la construcción puede ser usada: login
Variables Todas las páginas del Servlet HTML usan variables para mostrar al usuario valores específicos. Nombres de variables aparecen solo en el origen de HTML de la página del servlet – ellos son automáticamente reemplazados con los valores respectivos por el servlet HotSpot. Para las demás variables es un Ejemplo de los posibles valores incluidos en paréntesis. Todas las variables descritas son válidas en todas las páginas de servlet, pero algunas de ellas solo están vacías en el tiempo que son accedidas (por ejemplo, sin tiempo de actividad antes de que un usuario se ha conectado).
Academy Xperts
19
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
•
•
•
•
•
•
Variables comunes del servidor: o hostname – nombre de DNS o dirección IP (si el nombre de DNS no es dado) del servidor HotSpot ("hotspot.example.net") o identity – nombre de identidad de RouterOS ("MikroTik") o login-by – método de autenticación usado por el usuario. o plain-passwd - una representación de "yes/no" del método de login de HTTP-PAP. o server-address – dirección del servidor HotSpot ("10.5.50.1:80") o ssl-login – representación "yes/no" del método HTTPS fue usado para acceder a la página del servidor ("no") o server-name – nombre del servidor HotSpot (ajustado en el menú /ip hotspot, como el name) Links: o link-login – link hacia la página de login incluyendo el requerimiento de la URL original. ("http://10.5.50.1/login?dst=http://www.example.com/") o link-login-only - link a la página de login, no incluye el requerimiento de la URL original ("http://10.5.50.1/login") o link-logout - link a la página de logout ("http://10.5.50.1/logout") o link-status – link a la página de estado ("http://10.5.50.1/status") o link-orig – requerimiento de la URL original ("http://www.example.com/") Información general del cliente o domain – nombre de dominio del usuario ("example.com") o interface-name – nombre de la interfaz física de HotSpot interface (en el caso de interfaces bridged, estas regresaran al nombre del puerto bridge actual) o ip – dirección IP del cliente ("10.5.50.2") o logged-in - "yes" if the user is logged in, otherwise - "no" ("yes") o mac – dirección MAC del usuario ("01:23:45:67:89:AB") o trial – representación "yes/no" del usuario que ha accedido al tiempo de trial. Si el tiempo de trial de los usuarios ha expirado el valor es "no". o username - the name of the user ("John") Información de estado del usuario: o idle-timeout – tiempo terminado de idle ("20m" o "" si ninguno) o idle-timeout-secs – tiempo terminado en segundos de idle ("88" o "0" si no está el tiempo de espera) o limit-bytes-in – límites de byte por enviar ("1000000" o "---" si no tiene límite) o limit-bytes-out – límites de byte para recibir ("1000000" o "---" si no tiene límite) o refresh-timeout – tiempo de espera de refresh de la página de estado ("1m30s" o "" sin ninguno) o refresh-timeout-secs - tiempo de espera de refresh de la página de estado en segundos ("90s" o "0" sin ninguno) o session-timeout – tiempo de sesión que el usuario dejo ("5h" o "" sin ninguno) o session-timeout-secs - tiempo de sesión que el usuario dejo, en segundos ("3475" o "0" si no está el tiempo de espera) o session-time-left - tiempo de sesión que el usuario dejo ("5h" o "" sin nada) o session-time-left-secs - tiempo de sesión que el usuario dejo, en segundos ("3475" o "0" si no está el tiempo de espera) o uptime – tiempo de actividad de las sesiones ("10h2m33s") o uptime-secs - tiempo de actividad de las sesiones en segundos ("125") Contadores de tráfico, el cual solo están disponibles en el estado de la página: o bytes-in – números de bytes que el usuario recibió ("15423") o bytes-in-nice - formato de fácil uso del número de bytes recibidos por parte del usuario ("15423") o bytes-out – Números de bytes enviados al usuario ("11352") o bytes-out-nice - formato de fácil uso del número de bytes enviados por parte del usuario ("11352") o packets-in – números de paquetes recibidos del usuario ("251") o packets-out – números de paquetes enviados al usuario ("211") o remain-bytes-in - se alcanzará bytes hasta el límite de bytes entrantes que restan ("337465" o "---" si no hay límite) o remain-bytes-out - se alcanzará bytes hasta el límite de bytes de salida que restan ("124455" o "---" si no hay límite) Diversas variables o session-id – valor de parámetro de 'session-id' en el último requerimiento. o var – valor del parámetro 'var' en el último requerimiento. o error – mensaje de error, si algo ha fallado ("nombre de usuario invalido o contraseña") o error-orig – mensaje de error original (sin traducciones recuperadas de errors.txt), si algo ha fallado ("nombre de usuario invalido o contraseña"") o chap-id – valor del chap ID ("\371") o chap-challenge – valor del chap challenge ("\357\015\330\013\021\234\145\245\303\253\142\246\133\175\375\316") o popup - ya sea para que aparezca la casilla de verificación ("verdadero" o "falso") o advert-pending – ya sea que un aviso este pendiente de ser visualizado ("si" o "no")
Academy Xperts
20
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
•
RADIUS-related variables o radius - mostrar el atributo identificado con forma de cadena de texto (en caso de autenticación RADIUS fuera usada; de otra manera "") o radiusu - mostrar el atributo identificado en forma de entero sin signo (en caso de autenticación RADIUS fuera usada; de otra manera "0") o radius- - muestra el atributo identificado con and vendor ID en la cadena de texto (en caso de autenticación RADIUS fuera usada; de otra manera "") o radius-u - muestra el atributo identificado con and vendor ID en forma de entero sin signo (en caso de autenticación RADIUS fuera usada; de otra manera "0")
Descargar archivo HotSpot Vamos a File, una vez que encontramos la carpeta de HotSpot damos clic derecho en Download y guardamos la carpeta en la ruta que deseamos en nuestra PC.
Una vez que guardamos la carpeta en nuestra PC, abrimos la carpeta y localizamos dos archivos: • •
Alogin: para re-direccionar a alguna página web luego de hacer Login Login: para personalizar la pantalla de Login
Ejemplo Modificar la página de Login de hotspot: • •
Ocultar las opciones de Login y password Re-direccionar a la página de cursos.abcxperts.com
Archivo Login.html Abrimos el archivo y modificamos lo siguiente: Antes
Academy Xperts
21
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
Después
Archivo Alogin.html Abrimos el archivo y modificamos lo siguiente: Antes
Después
Posibles mensajes de error Descripción Hay dos clases de errores: fatal y non-fatal. Fatal errors son mostrados en una página separada de HTML llamada error.html. Non-fatal errors básicamente indica las incorrectas acciones de usuario y se muestran en el formulario de inicio de sesión. General non-fatal errors: • •
•
•
You are not logged in – intenta accede a la página de estado o de log off mientras no esté conectado. Solución: conectarse already authorizing, retry later – autorización en progreso. Cliente ya ha emitido una solicitud de autorización que aún no se ha completado. Solución: esperar a que la solicitud actual para ser completado y, a continuación, intentarlo de nuevo. chap-missing = web browser did not send challenge response (try again, enable JavaScript) – intentar conectarse con el método HTTP-CHAP usando MD5 hash, pero el servidor HotSpot no conoce sabe el reto utilizado para el hash. Esto puede suceder si utiliza los botones traseros en el navegador; si JavaScript no está habilitado en el navegador web; si la página de login.html no es válida; o si el valor de autenticación ha caducado en el servidor (más de una inactividad). Solución: instrucciones del navegador para volver a cargar (actualizar) la página de inicio de sesión por lo general ayuda si JavaScript está habilitado y la pagina es login.html. invalid username ($(username)): esta dirección MAC address no es nuestra – intentando conectarse usando la dirección MAC del nombre de un usuario diferente de esa MAC. Solución: no hay usuarios con nombres de usuario que se parecen a una dirección MAC (ejemplo., 12:34:56:78:9a:bc) sólo se puede acceder desde la dirección MAC especificada como su nombre de usuario.
Academy Xperts
22
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
•
•
session limit reached ($(error-orig)) - dependiendo del número de licencia de clientes activos HotSpot se limita a algunos números, sólo se puede acceder desde la dirección MAC especificada como su nombre de usuario. El error se muestra cuando se alcanza este límite. Solución: tratar de conectarse en otro momento en que no habrá sesiones de usuario menos concurrentes, o comprar otra licencia que permite más sesiones simultáneas. hotspot service is shutting down - RouterOS actualmente está siendo reiniciado o apagado. Solución: esperar hasta que el servicio esté disponible de nuevo.
General fatal errors: • • •
internal error ($(error-orig)) – esto nunca debería pasar. Si esto pasa, la página de error mostrará un mensaje de error (error-orig describirá que ha pasado). Solución: corregir el reporte del error. configuration error ($(error-orig)) – el servidor HotSpot server no está configurado correctamente (errororig describirá que ha pasado). Solución: corregir el reporte del error. cannot assign ip address - no more free addresses from – deshabilitado la obtención de direcciones IP address desde un pool IP, porque no hay más direcciones IP libres en el pool. Solución: estar seguro que hay suficiente cantidad de direcciones IP libre en el pool IP.
Base de Datos local de los usuarios de non-fatal errors: • •
• • •
invalid username or password - autoexplicativo user $(username) is not allowed to log in from this MAC address – intentando conectarse desde una dirección MAC diferente especificada en la base de datos de usuarios. Solución: conectarse correctamente desde la dirección MAC. user $(username) has reached uptime limit – autoexplicativo user $(username) has reached traffic limit - either limit-bytes-in o limit-bytes-out limite es alcanzado. no more sessions are allowed for user $(username) - el límite de shared-users para el profile de los usuarios es alcanzado. Solución: esperar hasta que con el nombre de usuario se desconecte, usar un diferente nombre de login o extender el límite de shared-users.
Cliente RADIUS non-fatal errors: •
•
invalid username or password – el servidor RADIUS ha rechazado el nombre de usuario y contraseña enviada sin especificar una razón. Causa: ya sea el nombre de usuario y contraseña incorrecta u otro error. Solución: debería ser aclarado en los archivos del servidor RADIUS. - esto podría ser cualquier mensaje (cualquier cadena de texto) enviar de regreso al servidor RADIUS. Consulta con el servidor RADIUS la documentación para información adicional.
Cliente RADIUS fatal errors: RADIUS server is not responding – el usuario está Siendo autenticado por el servidor RADIUS, pero ninguna respuesta es recibida desde el. Solución: verificar si el servidor RADIUS esta ejecutándose y es alcanzable desde el router HotSpot.
Academy Xperts
23
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 5: Training
Capítulo 5: Training Certificaciones, MTCNA, MTCTCE, MTCWE, MTCUME, MTCRE, MTCINE
Cursos de Certificación MikroTik
MTCNA MTCNA es la primera certificación del portafolio que ofrece MikroTik para su sistema operativo RouterOS. Este curso representa una guía completa para administradores de red y usuarios que desean iniciar sus conocimientos en configuración de equipos MikroTik RouterOS, como también para aquellos que desean afianzar su expertise y orientarse hacia un estudio formal de las principales funciones del Sistema Operativo RouterOS. Contenido 1. 2. 3. 4. 5. 6. 7. 8. 9.
Introducción ARP, DHCP Ruteo Bridge Wireless Firewall QoS Túneles Herramientas de RouterOS
MTCTCE MTCTCE es una de las cinco certificaciones avanzadas de MikroTik RouterOS. Este curso cubre los principales temas relacionados con la optimización del tráfico en una red LAN/WAN/Wireless, no solo concentrándose en la correcta implementación de la Calidad de Servicio (QoS) sino también prestando especial importancia al tráfico que en pequeñas proporciones puede ocasionar un flujo notable a través de canales de comunicación de baja velocidad o en conexiones de internet restringidas. Contenido 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14.
DNS DHCP Firewall – Filter Firewall – Chain Input Firewall – Chain Forward Bogon IPs Firewall NAT Firewall Mangle HTB Queue Tree Burst Web Proxy TTL Balanceo de carga
Academy Xperts
24
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 5: Training
MTCWE MTCWE es una de las cinco certificaciones avanzadas de MikroTik RouterOS. Este curso realiza un revisión profunda a los parámetros de configuración wireless de RouterOS. Los laboratorios han sido desarrollados de tal manera que arrojen resultados que serán lo más cercanos a los ambientes reales y típicos en producción. Para la ejecución de los mismos se deben trabajar con estadísticas obtenidas de las prácticas anotando dichos resultados en tablas que podrán ser evaluadas a lo largo de los demás laboratorios. Contenido 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.
Banda, Frecuencia, scan-list Herramientas Wireless DFS – Selección Dinámica de frecuencia Análisis de la tabla de registros + Troubleshooting Configuraciones avanzadas para Troubleshooting Modificando data-rates y tx-power Virtual AP Access-List y Connect-List Administración Centralizada Access-list Radius Seguridad Wireless Protegiendo de ataques por “de autenticación” y “clonación de MAC” Wireless WDS y MESH Bridge Transparente Wireless Protocolo Nstreme Protocolo Nstreme Dual 802.11n 802.11ac
MTCUME MTCUME es una de las cinco certificaciones avanzadas de MikroTik RouterOS Este curso permitirá al estudiante obtener todos los conocimientos necesarios para comprender el funcionamiento del paquete User Manager en un RouterOS MikroTik, asociado con los servicios Login(router), Wireless, DHCP, HotSpot, PPP Contenido 1. 2. 3. 4. 5. 6. 7.
PPP PPTP/L2TP PPPoE PPP Bridging IPSec Hotspot RADIUS
MTCRE MTCRE es una de las cinco certificaciones avanzadas de Mikrotik RouterOS Este curso permite obtener el expertise necesario para entender el funcionamiento del ruteo estático aplicando diferentes parámetros de distancia, routing mark, o haciendo uno de ECMP, llegando a la conclusión de que estas técnicas por si solas no son suficientes para proveer funciones como un Failover confiable Contenido 1. 2. 3. 4. 5.
Ruteo Estático Direccionamiento punto a punto VPN OSPF VRRP
MTCINE MTCINE es el TOP de las certificaciones avanzadas de MikroTik RouterOS Es el curso estrella del sistema operativo MikroTik RouterOS y centra su estudio en los protocolos BGP y MPLS El estudiante podrá entender y fortalecer conceptos como sistemas Autónomos, Algoritmo Path vector, transporte y tipos de paquetes BGP, iBGP & eBGP, distribución de rutas, loopbacks, atributos de prefijos, reflectores de rutas y confederaciones BGP. Contenido 1. 2. 3. 4.
BGP Multicast MPLS Ingeniería de trafico
Academy Xperts
25
HotSpot con MikroTik RouterOS por Mauro Escalante