Académique Documents
Professionnel Documents
Culture Documents
RouterOS
i
Introducción
MikroTik es una empresa que nace en Latvia (Letonia) en 1995 con el claro objetivo de proveer un sistema operativo de red
altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al
mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico
y multi-núcleo, este hardware es el RouterBOARD.
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es
invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el
material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas
que optan por leer un libro y estudiar a su propio ritmo.
Esta es la primera revisión dedicada a la versión 6.33.5. Las posteriores revisiones al material y a los nuevos releases de
RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción.
Tenemos una tarea inmensa por delante pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía
de autoestudio MikroTik.
Audiencia
Las personas que leen este libro deben estar familiarizados con:
Operaciones de red en Capa 2
Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP
Este libro está dirigido a:
Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a:
Redes Corporativas
Clientes WISP e ISP
Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes
corporativa y PYMES
Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario
(Help Desk)
ii
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 1: Introducción
Capítulo 1: Introducción
Características, Limitantes, Métodos Autenticación
Sobre HotSpot
HotSpot es una manera para que usuarios autorizados puedan acceder a los recursos de alguna red, pero sin cifrado de
datos.
Para poder hacer Login el usuario debería tener un navegador web (cualquier protocolo HTTP o HTTPS). No se requerirá
ninguna instalación de software adicional. El cliente estará conectado por un límite de tiempo y se le podrá asignar un ancho
de banda para cada usuario que se conecte. El gateway contabiliza el tiempo de espera y la cantidad de trafico de cada
cliente que han usado. Y también puede enviar información a un servidor RADIUS. El sistema de HotSpot podría limitar la
tasa de bits, la cantidad total de tráfico, tiempo de espera y entre otros parámetros para cada uno de los usuarios.
El Sistema HotSpot es dirigido para proveer autenticación sin una red local (para los usuarios de la red local que desean
acceder a Internet), pero es usado para autorizar acceso desde redes exteriores y que puedan acceder a los recursos locales
(como autenticación de gateway para que el mundo exterior accede a tu red).
Tiene características como:
Proveer autenticación antes de acceder a una red
Usuarios + contraseñas
Aplicado a redes Wireless o Ethernet
Pantalla de Login personalizada (.html)
Acceder a ciertas paginas sin autenticación
Diferentes métodos de autenticación
Base de datos local
RADIUS Server Remoto
Lugares de implementación:
Lugares públicos
Aeropuertos
Bibliotecas
Mall
Cafeterías
Hoteles
Escuelas
Empresas
Limitantes:
Debemos tener en cuanta una característica muy importante al momento de querer implementar una red con hotspot:
Cantidad de usuarios que se estarían conectando a la red
Tener un buen ancho de banda para nuestra red
Tener una licencia adecuada en nuestro dispositivo donde va a ser configurado el servidor de HotSpot.
Equipos MikroTik con licencia nivel 4 nos permitirá tener 200 usuarios activos.
Equipos MikroTik con licencia nivel 5 nos permitirá tener 500 usuarios activos.
Equipos MikroTik con licencia nivel 6 nos permitirá tener un número ilimitado de usuarios activos.
Antes de la autenticación
Cuando se habilitada HotSpot en la interfaz, el sistema automáticamente establece todo lo que se necesita para mostrar la
página de login a todos los clientes que no están conectados. Esto es hecho agregando una regla dinámica de destination
NAT, el cual se puede observar en el sistema de HotSpot que ese está trabajando. Estas reglas son necesarias para
redireccionar todos los requerimientos HTTP y HTTPS de usuarios no autorizados a la autenticación proxy de HotSpot.
s 1
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 1: Introducción
Entre los ajustes más comunes, abrir cualquier página HTTP que traiga la página de login de server HotSpot (el cual puede
ser ampliamente personalizado). El comportamiento de un usuario normal es abrir páginas web por los nombres de DNS,
una configuracion valida de DNS debería ajustarse al gateway de HotSpot (es posible volver a configurar el gateway si este
no será requerido en la configuracion de DNS local, pero como configuracion es poco práctico y no es muy recomendado).
La configuración de hotspot crea de forma Automática reglas dinámicas de dst-nat (destination nat). Estas reglas son
necesarias para re-direccionar a los usuarios que no están autorizados.
Deniega las conexiones de usuarios no autorizados y denegara todo tipo de proceso hasta que el usuario se autentique en
el servidor HotSpot.
Todas las reglas de permitir o denegar que se crean en las opciones como Walled Garden IP serán agregadas a las reglas
de Filtros de Firewall.
s 2
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 1: Introducción
de que es recibido por el router (esto es como NAT origen que se desempeña en la ruta del paquete, siempre y cuando la
tabla de firewall mangle, la cual normalmente ve los que los paquetes recibidos estén inalterados, solo puede ver la
traducción de direcciones).
Tener en cuenta que el modo arp debe estar habilitado en la interfaz que se está usando one-to-one NAT.
Walled Garden
Walled Garden es una herramienta usada para dar acceso a ciertos servicios en la red sin la necesidad de una autenticación.
Configurando las características de Walled Garden, es posible permitir a los usuarios acceder a ciertas páginas web sin la
necesidad de una autenticación.
No se requiere autorización para ciertos servicios (por ejemplo, permitir a los clientes acceso al servidor web de tu compañía
sin registrarse) o siempre que se requiera autorización solo a un numero de servicios (por ejemplo, para ciertos usuarios que
se le permita el acceso a un servidor de archivos interno u otras restricciones del área). Esto se puede hacer estableciendo
el Sistema de Walled Garden.
Cuando no hay ningún requerimiento de que un usuario ha accedido a un servicio permitido en la configuracion de Walled
Garden, el HotSpot gateway no es interceptado o en el caso de HTTP simplemente redirecciona los requerimientos al destino
original. Otros requerimientos son redireccionados al server HotSpot (infraestructura de las pagina de login). Cuando un
usuario accedió, no tiene ningún efecto en la tabla.
En los requerimientos de HTTP de Walled Garden se usa un servidor proxy embebido (/ip proxy). Est o significa que todos
los parámetros de configuraciones del servidor proxy también serán efectivos para los clientes de Walled Garden (tanto como
para todos los clientes que tienen habilitado un proxy transparente).
Por ejemplo:
Clientes que quieran acceder al servidor web de la compañía
Clientes pueden ingresar a un servidor de archivos
Tener acceso a ciertas páginas web
Más adelante veremos detalles con configuración.
Métodos de Autenticación
Tenemos 6 métodos, podemos usar uno o más simultáneamente:
HTTP PAP: método simple, el cual muestra la página de login HotSpot y se espera obtener la información de
autenticación (nombre de usuario y contraseña) en texto plano. Nota: las contraseñas no son encriptadas cuando
transferidas en la red. Otro uso de este método es la posibilidad de información de autenticación no modificable en
la página de login de servlet simplemente creando el link apropiado.
HTTP CHAP: método estándar, el cual incluye el CHAP en la página de login. El hash de CHAP MD5 es usado
junto con contraseñas de usuarios para calcular el string el cual será enviado al gateway HotSpot. El resultado de
(como una contraseña) junto con el nombre de usuario es enviado a través de la red al servicio HotSpot (además,
la contraseña nunca es enviada en texto plano a través de la red IP). En el lado del cliente, el algoritmo de MD5
algoritmo es implementado en JavaScript applet, además si el navegador no soporta JavaScript (como, por ejemplo,
Internet Explorer 2.0 o algunos navegadores PDA) o el JavaScript esta deshabilitado, esto no podrá autenticar a
los usuarios. También es posible permitir que se desencripte las contraseñas para que sean aceptadas habilitando
el método de autenticación HTTP PAP, pero esto no es recomendado (debido a las consideraciones de seguridad)
usar esta característica.
HTTPS: lo mismo como HTTP PAP, pero usando el protocolo SSL para transmisiones encriptadas. El usuario
HotSpot solo envía su contraseña sin ningún hashing adicional (nota: ya no es necesario preocuparse acerca de
las contraseñas en texto plano expuestas en la red, la transmisión es encriptada). En otro caso, el método HTTP
POST (si no es posible, luego de obtener el método HTTP) es usado para enviar datos al gateway HotSpot.
HTTP cookie: después de cada exitoso login, una cookie es enviada al navegador web y la misma cookie es
agregada para activar la lista de HTTP cookie. La próxima vez que el mismo usuario intente conectarse, el
navegador web enviara la cookie HTPP que se guardó. Esta cookie será comparada con la una que se almaceno
en el gateway HotSpot y solo si la dirección MAC origen y aleatoriamente genera un ID que la compara con la una
que esta almacenada en el gateway, el usuario automáticamente se conectara usando la información de login
(nombre de usuario y contraseña) fue usado cuando la cookie fue la primera vez generada. De otra manera, el
usuario se conectará y en el caso de una autenticación exitosa, la antigua cookie será removida de la lista de cookie
active de HotSpot local y la nueva con diferente ID aleatorio y el tiempo de expiración será agregado a la lista y
enviado al navegador web. Esto es posible borrando la cookie en el usuario manualmente salido del login (no en
las páginas del servidor por defecto, pero puede modificarlo para tener un mejor desempeño). Este método puede
solo ser usado junto con los métodos de HTTP PAP, HTTP CHAP o HTTPS.
MAC address: para la autenticación mediante la Mac address sin la necesidad de un username.
Trial: se les permite a los usuarios usar el servicio free de cargo por cierto periodo de tiempo de evaluación, y es
requerido autenticarse solo después que el periodo ha terminado. HotSpot puede ser configurado para permitir
cierta cantidad de tiempo por dirección MAC para que sea libremente usado sin limitaciones impuestas por el user
profile. En el caso que permanezca Ia dirección y tenga cierto tiempo de inactividad, la pág ina de login contendrá
el link para el rial login. El tiempo automáticamente se resetea después de configurar cierta cantidad de tiempo (por
ejemplo, cualquier dirección MAC puede usar 30 minutos al día sin la necesidad de registrarse).
s 3
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 1: Introducción
MAC Cookie: es una nueva característica de Hotspot diseñada para los dispositivos como Smartphones, laptops y
gadgets.
HotSpot puede autenticar usuarios consultando usuarios de la base datos local o en el servidor RADIUS (la base de datos
local es primero consultada, luego al servidor RADIUS). En el caso de HTTP cookie la autenticación vía servidor RADIUS,
el router enviara la misma información al servidor que fue usado donde la cookie fue generada primero. Si la autenticación
es hecha localmente, se usa el profile correspondiente a ese usuario, de otra manera (en el caso de RADIUS la contestación
no contiene el grupo para el usuario) el profile por defecto es usado para ajustar los valores por defecto para los parámetros.
Autorización
Después de la autenticación, el usuario obtiene acceso a Internet y recibe algunas limitaciones (el cual es un profile de un
usuario especifico). HotSpot también utiliza one-to-one NAT para el cliente, además un usuario en particular podría recibir
siempre la misma dirección IP de la PC que esté trabajando.
El Sistema automáticamente detecta y redirecciona los requerimientos a un servidor proxy, a un cliente que está usando al
servidor proxy que esta embebido en el router.
La autorización puede ser delegada a un servidor RADIUS, el cual entrega similares opciones de configuraciones como base
datos local. Para cualquier usuario que solicite autorización, un servidor RADIUS obtiene la primera consulta, y si no recibe
alguna respuesta, la base de datos local es examinada. El servidor RADIUS envía un requerimiento de cambio de
autorización acordando con los estándares para alterar los parámetros previamente aceptados.
Anuncios
El mismo proxy es usado para proveer a los clientes no autorizados para las facilidades de Walled-Garden, también es usado
para usuarios autorizados para mostrarles anuncios. El proxy transparente para usuarios autorizados permite monitorear
requerimientos http de clientes y toma varias acciones si se requiere. Esto habilita la posibilidad d e abrir el status de la
página siempre si el cliente está conectado por dirección mac.
Cuando el tiempo ha llegado a mostrar el anuncio, el servidor redirecciona el navegador web del cliente al status de la página.
Solo los requerimientos, los cuales proveen contenido html, son redireccionados (imágenes y otros contenidos no se verán
afectados). El status de la página muestra el anuncio y el próximo intervalo del anuncio es usado para programar el próximo
anuncio. Si el status de la página esta deshabilitado para mostrar un anuncio para configurar el tiempo de espera empezando
desde ese momento, cuando el horario es mostrado, el acceso del cliente es bloqueado dentro de walled -garden (solo para
clientes que no son autorizados). El cliente es desbloqueado cuando el horario de la página muestra la finalización.
Mientras que el cliente es bloqueado, FTP y otros servicios no serán permitidos. Esto requiere que el cliente abra un anuncio
por cualquier actividad en internet no especializada permitido por Walled-Garden.
Cuentas
El Sistema HotSpot implementa la contabilización internamente, no se requiere hacer algo en especial para trabajar. La
información contabilizada por cada usuario es enviada al servidor RADIUS server.
Menú de configuraciones
ip Hotspot: Servidores HotSpot en interfaces particulares (un servidor por interfaz). El servidor HotSpot debe ser
agregado en este menú en orden para que el Sistema HotSpot trabaje en una interfaz.
Profile: lista dinámica de los hosts activos en la red en todas las interfaces HotSpot. Aquí también se puede
encontrar las direcciones ip bindings de one-to-one NAT.
Host: lista dinámica de los hosts activos en la red en todas las interfaces HotSpot. Aquí también se puede encontrar
las direcciones ip bindings de one-to-one NAT
Ip-Bindings: darle acceso a un host o Red a internet sin pasar por las reglas de Hotspot
Service-port: Helpers para one-to-one NAT
Walled-garden: reglas de Walled Garden para los niveles de HTTP (nombres de DNS, requerimientos de
substrings de HTTP)
Walled-garden-ip: reglas de Walled Garden a nivel de IP (direcciones IP, protocolos IP).
User: sistema de base de datos local
User profile: profiles de los usuarios del Sistema local de HotSpot (grupos de usuarios).
Active: lista dinámica de los usuarios hotspot autenticados.
Cookie: lista dinámica de todas las cookies HTTP validas
IP HotSpot
Este menú es diseñado para manejar los servidores HotSpot en el router. Es posible ejecutar un HotSpot en Ethernet,
wireless, VLAN e interfaces bridge. Solo un servidor HotSpot es permitido por interfaz.
HotSpot Setup
Usar /ip hotspot setup para la configuración de un servidor hotspot, Recomendado!!
Todos los ajustes de configuración pueden ser agregados manualmente.
Antes de realizar la configuración del servidor HotSpot debemos tener en cuenta ciertos detalles como:
El dispositivo que vamos a configurar con servidor HotSpot debe tener salida a internet.
Debe tener configurada una IP valida en la interface donde se va a configurar el servidor de HotSpot.
s 4
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 1: Introducción
Ejemplo
Para agregar un sistema HotSpot en la interfaz local, permitiendo al Sistema hacer one-to-one NAT para cada cliente
(direcciones desde el pool de direcciones HS-real será usado para el NAT):
[admin@MikroTik] ip hotspot> add interface=local address-pool=HS-real
[admin@MikroTik] ip hotspot> print
Flags: X - disabled, I - invalid, S - HTTPS
# NAME INTERFACE ADDRESS-POOL PROFILE IDLE-TIMEOUT
Laboratorio 1
>>> Ir al Manual de Laboratorio
s 5
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
Capítulo 2: Users
Users
En esta sección de configuración podremos encontrar la forma de generar usuarios para los distintos servidores hotspot que
tengamos configurados en nuestra red
s 6
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
Laboratorio 2.1
Monitoreo de usuarios
En esta opción podremos ver todos los hosts que están conectados o no autorizados en nuestra red.
En esta opción podremos ver todos los hosts que están conectados y autorizados en nuestra red.
Métodos de autenticación
HTTP CHAP, HTTP PAP
HTTPS
MAC-Address
s 7
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
Cookie
Trial
HTTPS
El uso del método de HTTPS nos cifrara los datos a través del protocolo SSL.
El certificado a user debe ser importado al Router.
s 8
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
Cookie
Es enviado al cliente después de hacer un Login HTTP exitoso.
El hotspot no preguntara el usuario y contraseña en la segunda vez que se acceda a la red.
MAC-Address
Evitar página de Login
Agregar una MAC-address como username
La autenticación solo ocurre cuando el usuario está conectado al HotSpot.
s 9
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
Trial
Permite dar acceso a usuarios por un tiempo determinado, lo cuales podemos especificarlos en la opción: Trial Uptime
Limit.
Laboratorio 2.2
Grupo de usuarios
La opción de user profile es usada para clientes HotSpot. Los Profiles son como grupos de usuarios con los mismos ajustes
de rate-limit, filter chain name, etc.
s 10
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
Address-Pool, nombre del pool de las IPs que los usuarios obtendrán al con ectarse a la red.
Session Timeout, el usuario se desconectará luego del tiempo estimado.
Keepalive Timeout, detecta si el cliente está activo.
Shared Users, permite logins simultáneos con el mismo username.
Rate Limit (rx/tx), Limite de ancho de banda por cliente HotSpot.
Crea colas simples dinámicas
Sintaxis:
[rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate] [rx-burst-threshold[/tx-burst-threshold]
[rx-burst-time[/tx-burst-time] [priority] [rx-rate-min[/tx-rate-min]]]].
RX es Upload
TX es Download
Advertencias
Sirve para mostrar una página web después de un período de tiempo.
Si no se muestra las páginas el internet está bloqueado.
s 11
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 2: Users
Advertise: Habilitar la opción de advertencias. Después la advertencia aparecerá en una página web específica a
los usuarios HotSpot.
Advertise URL: Listas de URLs que se mostraran como anuncios. Luego de que la última URL es usada, la lista
empezara desde el comienzo.
Advertise Interval: Ajustes de intervalo de tiempo entre las advertencias.
Advertise Timeout: cantidad de tiempo que la advertencia es mostrada, antes de bloquear el acceso a la red
para los clientes HotSpot.
Ejemplo
Configurar un profile con los siguientes datos:
Max-limit=1M/2M
Limit-at=512K/1M
Priority=3
s 12
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 3
Capítulo 3
Cookies
Los Cookies guardan en una base local los datos de los usuarios que se conectan y se autentican. Permitiendo que el hotspot
ya no les pida en otra ocasión que ingresen los datos de autenticación, ya que esta base compara los datos basados por la
MAC address.
Descripción de la Propiedades
domain (read-only: text): nombre de dominio (si se dividió desde el nombre de usuario).
expires-in (read-only: time): por cuanto tiempo es válida la cookie.
mac-address (read-only: MAC address): dirección MAC del usuario
user (read-only: name): nombre de usuario.
Nota
Puede ser varias cookies con la misma dirección MAC. Por ejemplo, será una cookie separada por cada navegador web en
la misma computadora.
Las cookies pueden expirar, esa es la manera de cómo debe ser. La validación de tiempo por defecto es de 3 días (72 horas),
pero puede cambiarse por cada profile individual del servidor HotSpot, por ejemplo:
/ip hotspot profile set default http-cookie-lifetime=1d
Ejemplo
Para obtener una lista de cookies:
/ip hotspot cookie print
# USER DOMAIN MAC-ADDRESS EXPIRES-IN
0 ex 01:23:45:67:89:AB 23h54m16s
/ip hotspot cookie
Walled Garden
Walled Garden es una herramienta usada para dar acceso a ciertos servicios en la red sin la necesidad de una autenticación,
mediante protocolo HTTP.
Para los requerimientos de HTTP utiliza un servidor proxy incorporado. Esto significa que todos los parámetros configurados
de ese servidor proxy se aplicaran para los clientes Walled Garden (así como para todos los clientes que tienen habilitada
la opción de proxy transparente).
s 13
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 3
Por ejemplo:
Clientes que quieran acceder al servidor web de la compañía
Clientes pueden ingresar a un servidor de archivos
Tener acceso a ciertas páginas web
Nota
Propiedades de Wildcard (dst-host and dst-path) compara un string completo (no se comparará "example.com" si se
estableció "example"). Las wildcards son '*' (compara cualquier número de cualquier carácter) y '?' (compara un carácter).
Expresiones regulares son también aceptadas aquí, pero las propiedades pueden ser tratadas como expresiones regulares,
debería de comenzar con dos puntos (':').
Pequeños hits usando en expresiones regulares:
\\ secuencia de símbolos son usadas para entrar por consola el carácter “\\”
\. Patrón solo (en expresiones regulares simples in regular, el punto en el patrón significa cualquier símbolo)
Para mostrar que símbolos son permitidos antes del patrón dado, se usa el símbolo ^ al principio del patrón.
Para especificar que símbolos son permitidos después del patrón dado, se usa el símbolo $ al final del patrón.
Se puede usar la propiedad path para requerimientos HTTPS de como el router no puede (que no debería – el protocolo
HTTPS protocolo fue hecho para esto) des-encriptar el requerimiento.
Ejemplo
Para permitir requerimientos no autorizados a la página www.example.com domain's /paynow.html:
/ip hotspot walled-garden add path="/paynow.html" dst-host="www.example.com"
/ip hotspot walled-garden print detail
Flags: X - disabled, D - dynamic
0 dst-host="www.example.com" path="/paynow.html" action=allow
Laboratorio 3.1
Walled Garden IP
Walled Garden IP es una herramienta usada para dar acceso a ciertos servicios en la red sin la necesidad de una
autenticación, mediante protocolo IP.
s 14
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 3
Laboratorio 3.2
IP Bindings
Permite aceptar cualquier dirección IP que este configurada en el cliente forzando un NAT 1:1. También es posible hacer
traducciones NAT estáticas en base a: IP origen, IP de red, MAC del cliente. Además, es posible permitir que ciertas
direcciones hagan un Bypass a la autenticación del Hotspot y también permite bloquear hosts específicos y subredes de
una red HotSpot.
Notas
Esta es una lista ordenada, donde se puede poner entradas más específicas en el tope de la lista para sobrescribirlos las
reglas más comunes que aparecen abajo. Se puede poner siempre una entrada con dirección 0.0.0.0/0 al final de la lista
para hacer la acción por defecto deseada para esas direcciones que no coincidirán con otras entradas.
Escenario Típico
1. Cuando agregamos una nueva red en la misma interfaz y queremos que esa nueva red no pase por el Hotspot.
2. cuando en la misma red hotspot tenemos dispositivos como: cámaras, impresoras entre otros, y no tienen forma de
poderse autenticar, le hacemos un Bypass
s 15
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 3
Laboratorio 3.3
Service Port
Solo para el clásico NAT, el HotSpot creado, rompe ciertos protocolos que son incompatibles con la traducción de direcciones
one-to-one NAT. Para dejara estos protocolos estén consistentes, los módulos de ayuda deberían ser usados. Para el one -
to-one NAT solo un módulo es para el protocolo FTP.
Descripción de las Propiedades
name (read-only: name) – nombre del protocolo.
ports (read-only: integer) – lista de puertos con el protocol que se está trabajando.
Ejemplo
Para establecer el protocolo FTP protocol use ambos puertos Tcp 20 y 21 TCP:
/ip hotspot service-port> print
Flags: X - disabled
# NAME PORTS
0 ftp 21
/ip hotspot service-port> set ftp ports=20,21
/ip hotspot service-port> print
Flags: X - disabled
# NAME PORTS
0 ftp 20
21
s 16
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
Capítulo 4
HotSpot Server
Permite configurar un Servidor HotSpot especificando de manera más detalla las configuraciones del mismo. Servers,
muestra toda la lista de servidores hotspot
DNS name, nombre del servidor DNS del HotSpot. Este es el nombre DNS usado como el nombre del servidor
HotSpot (este aparece como la localización de la página de login). Este nombre automáticamente será agregado
como una entrada de DNS estática en la cache de DNS.
Rate limit, especificar un límite de ancho de banda para las entradas en el servidor hotspot
HTTP proxy, configurar un proxy transparente.
SMTP server, para re-direccionar correos.
Directorio HTML
Se localiza los archivos en el servidor hotspot, en la opción de File en el RouterOS. Para descargarlos podemos ingresar vía
FTP o dando clic derecho Download en el directorio HotSpot en el file.
s 17
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
Se puede crear un conjunto completamente diferente de las páginas para cada servidor HotSpot que se tenga, especificando
el directorio donde será almacenado en las propiedades de html-directory del profile del servidor HotSpot (/ip hotspot
profile). Las páginas de servidor por defecto son copiadas en el directorio de nuestra elección después de crear el profile.
Este directorio puede ser accedido conectando el router con un cliente FTP. Se puede modificar las paginas como más nos
agrade usando la información de esta sección del manual.
Nota: se sugiere editar los archivos manualmente, como herramientas automatizadas de edición de HTML ya puede dañar
las páginas mediante la eliminación de las variables u otras partes.
Paginas disponibles
Principales páginas HTML, que se muestran al usuario:
redirect.html – redirecciona al usuario a otra url (por ejemplo, la página de login)
login.html – página de login mostrada al usuario, donde se pregunta el nombre de usuario y contraseña. Esta página
puede tomar los siguientes parámetros:
o username – nombre de usuario
o password – ya sea en texto plano la contraseña (en caso de autenticación PAP) o MD5 hash de la variable
chap-id, contraseña y CHAP (en caso de autenticación CHAP). Este valor es usado como dirección de e -
mail address para los usuarios que usen trial.
o dst - URL original solicitada antes de la redirección. Esto se abrirá al inicio de sesión que sea satisfactorio.
o popup - ya sea para que aparezca una ventana de estado de inicio de sesión correcto.
o radius<id> - enviar el atributo identificado con <id> en el string de texto desde el servidor RADIUS (en caso
de autenticación de RADIUS; de otra manera se perdería)
o radius<id>u enviar el atributo identificado con <id> en forma de entero sin signo en el servidor RADIUS (en
caso de autenticación de RADIUS; de otra manera se perdería)
o radius<id>-<vnd-id> - enviar el atributo identificado con <id> y vendor ID <vnd-id> en cadena de texto
desde el servidor RADIUS (en caso de autenticación de RADIUS; de otra manera se perdería)
o radius<id>-<vnd-id>u - enviar el atributo identificado con <id> y vendor ID <vnd-id> en forma de entero sin
signo en el servidor RADIUS (en caso de autenticación de RADIUS; de otra manera se perdería)
md5.js - JavaScript para contraseñas con MD5 hashing. Usado junto con el método de autenticación http-chap.
alogin.html – página mostrada después de que los clientes hayan hecho un login. Aparece la página de estado y el
navegador redirecciona a la página solicitada originalmente (antes de que él / ella fue redireccionando a la página
de login de HotSpot).
status.html – estado de la página, muestra estadísticas para los clientes. También es capaz de mostrar anuncios
automáticamente.
logout.html – página de logout, mostrada después de que el usuario es desconectado. Muestra las estadísticas
finales acerca de la sesión finalizada. Esta página toma los siguientes parámetros:
o erase-cookie – borrar cookies del servidor HotSpot en el cierre de sesión (hace imposible conectarse con
la cookie próxima vez desde el mismo navegador, podría ser útil en entornos multi-usuario)
error.html – página de error, muestra solamente los errores fatales.
Algunas otras páginas están disponibles, así, si se necesita más control:
rlogin.html - pagina, la cual redirecciona los clientes desde otras URL a la página de login, si se requiere autorización
del cliente para acceder a la URL.
rstatus.html - similar a rlogin.html, solo en caso si el cliente esta aun autenticado y la URL original no es conocido.
radvert.html – redirecciona al cliente a los anuncios que fueron programados.
flogin.html – se muestra en lugar de login.html, si un error ha pasado (nombre de usuario invalido o contraseña)
s 18
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
Variables
Todas las páginas del Servlet HTML usan variables para mostrar al usuario valores específicos. Nombres de variables
aparecen solo en el origen de HTML de la página del servlet – ellos son automáticamente reemplazados con los valores
respectivos por el servlet HotSpot. Para las demás variables es un Ejemplo de los posibles valores incluidos en paréntesis.
Todas las variables descritas son válidas en todas las páginas de servlet, pero algunas de ellas solo están vacías en el
tiempo que son accedidas (por ejemplo, sin tiempo de actividad antes de que un usuario se ha conectado).
s 19
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
s 20
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
RADIUS-related variables
o radius<id> - mostrar el atributo identificado con <id> forma de cadena de texto (en caso de autenticación
RADIUS fuera usada; de otra manera "")
o radius<id>u - mostrar el atributo identificado <id> en forma de entero sin signo (en caso de autenticación
RADIUS fuera usada; de otra manera "0")
o radius<id>-<vnd-id> - muestra el atributo identificado con <id> and vendor ID <vnd-id> en la cadena de
texto (en caso de autenticación RADIUS fuera usada; de otra manera "")
o radius<id>-<vnd-id>u - muestra el atributo identificado con <id> and vendor ID <vnd-id> en forma de entero
sin signo (en caso de autenticación RADIUS fuera usada; de otra manera "0")
Una vez que guardamos la carpeta en nuestra PC, abrimos la carpeta y localizamos dos archivos:
Alogin: para re-direccionar a alguna página web luego de hacer Login
Login: para personalizar la pantalla de Login
Ejemplo
Modificar la página de Login de hotspot:
Ocultar las opciones de Login y password
Re-direccionar a la página deseada
Archivo Login.html
Abrimos el archivo y modificamos lo siguiente:
Antes
s 21
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
Después
Archivo Alogin.html
Abrimos el archivo y modificamos lo siguiente:
Antes
Después
s 22
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 4
session limit reached ($(error-orig)) - dependiendo del número de licencia de clientes activos HotSpot se
limita a algunos números, sólo se puede acceder desde la dirección MAC especificada como su nombre de usuario.
El error se muestra cuando se alcanza este límite. Solución: tratar de conectarse en otro momento en que no habrá
sesiones de usuario menos concurrentes, o comprar otra licencia que permite más sesiones simultáneas.
hotspot service is shutting down - RouterOS actualmente está siendo reiniciado o apagado. Solución:
esperar hasta que el servicio esté disponible de nuevo.
General fatal errors:
internal error ($(error-orig)) – esto nunca debería pasar. Si esto pasa, la página de error mostrará un
mensaje de error (error-orig describirá que ha pasado). Solución: corregir el reporte del error.
configuration error ($(error-orig)) – el servidor HotSpot server no está configurado correctamente (error-
orig describirá que ha pasado). Solución: corregir el reporte del error.
cannot assign ip address - no more free addresses from – deshabilitado la obtención de direcciones IP
address desde un pool IP, porque no hay más direcciones IP libres en el pool. Solución: estar seguro que hay
suficiente cantidad de direcciones IP libre en el pool IP.
Base de Datos local de los usuarios de non-fatal errors:
invalid username or password - autoexplicativo
user $(username) is not allowed to log in from this MAC address – intentando conectarse desde una
dirección MAC diferente especificada en la base de datos de usuarios. Solución: conectarse correctamente desde
la dirección MAC.
user $(username) has reached uptime limit – autoexplicativo
user $(username) has reached traffic limit - either limit-bytes-in o limit-bytes-out limite es
alcanzado.
no more sessions are allowed for user $(username) - el límite de shared-users para el profile de los
usuarios es alcanzado. Solución: esperar hasta que con el nombre de usuario se desconecte, usar un diferente
nombre de login o extender el límite de shared-users.
Cliente RADIUS non-fatal errors:
invalid username or password – el servidor RADIUS ha rechazado el nombre de usuario y contraseña enviada
sin especificar una razón. Causa: ya sea el nombre de usuario y contraseña incorrecta u otro error. Solución: debería
ser aclarado en los archivos del servidor RADIUS.
<error_message_sent_by_radius_server> - esto podría ser cualquier mensaje (cualquier cadena de texto)
enviar de regreso al servidor RADIUS. Consulta con el servidor RADIUS la documentación para información
adicional.
Cliente RADIUS fatal errors:
RADIUS server is not responding – el usuario está Siendo autenticado por el servidor RADIUS, pero ninguna respuesta
es recibida desde el. Solución: verificar si el servidor RADIUS esta ejecutándose y es alcanzable desde el router HotSpot.
s 23
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 5: Training
Capítulo 5: Training
Certificaciones, MTCNA, MTCTCE, MTCWE, MTCUME, MTCRE, MTCINE
MTCNA
MTCNA es la primera certificación del portafolio que ofrece MikroTik para su sistema operativo RouterOS.
Este curso representa una guía completa para administradores de red y usuarios que desean iniciar sus conocimientos en
configuración de equipos MikroTik RouterOS, como también para aquellos que desean afianzar su expertise y orientarse
hacia un estudio formal de las principales funciones del Sistema Operativo RouterOS.
Contenido
1. Introducción
2. ARP, DHCP
3. Ruteo
4. Bridge
5. Wireless
6. Firewall
7. QoS
8. Túneles
9. Herramientas de RouterOS
MTCTCE
MTCTCE es una de las cinco certificaciones avanzadas de MikroTik RouterOS.
Este curso cubre los principales temas relacionados con la optimización del tráfico en una red LAN/WAN/Wireless, no solo
concentrándose en la correcta implementación de la Calidad de Servicio (QoS) sino también prestando especial importancia
al tráfico que en pequeñas proporciones puede ocasionar un flujo notable a través de canales de comunicación de baja
velocidad o en conexiones de internet restringidas.
Contenido
1. DNS
2. DHCP
3. Firewall – Filter
4. Firewall – Chain Input
5. Firewall – Chain Forward
6. Bogon IPs
7. Firewall NAT
8. Firewall Mangle
9. HTB
10. Queue Tree
11. Burst
12. Web Proxy
13. TTL
14. Balanceo de carga
s 24
RouterOS v6.36.0.01 – Introducción a HotSpot con MikroTik RouterOS – Capítulo 5: Training
MTCWE
MTCWE es una de las cinco certificaciones avanzadas de MikroTik RouterOS.
Este curso realiza un revisión profunda a los parámetros de configuración wireless de RouterOS. Los laboratorios han sido
desarrollados de tal manera que arrojen resultados que serán lo más cercanos a los ambientes reales y típicos en producción.
Para la ejecución de los mismos se deben trabajar con estadísticas obtenidas de las prácticas anotando dichos resultados
en tablas que podrán ser evaluadas a lo largo de los demás laboratorios.
Contenido
1. Banda, Frecuencia, scan-list
2. Herramientas Wireless
3. DFS – Selección Dinámica de frecuencia
4. Análisis de la tabla de registros + Troubleshooting
5. Configuraciones avanzadas para Troubleshooting
6. Modificando data-rates y tx-power
7. Virtual AP
8. Access-List y Connect-List
9. Administración Centralizada Access-list Radius
10. Seguridad Wireless
11. Protegiendo de ataques por “de autenticación” y “clonación de MAC”
12. Wireless WDS y MESH
13. Bridge Transparente Wireless
14. Protocolo Nstreme
15. Protocolo Nstreme Dual
16. 802.11n
17. 802.11ac
MTCUME
MTCUME es una de las cinco certificaciones avanzadas de MikroTik RouterOS
Este curso permitirá al estudiante obtener todos los conocimientos necesarios para comprender el funcionamiento del
paquete User Manager en un RouterOS MikroTik, asociado con los servicios Login(router), Wireless, DHCP, HotSpot, PPP
Contenido
1. PPP
2. PPTP/L2TP
3. PPPoE
4. PPP Bridging
5. IPSec
6. Hotspot
7. RADIUS
MTCRE
MTCRE es una de las cinco certificaciones avanzadas de Mikrotik RouterOS
Este curso permite obtener el expertise necesario para entender el funcionamiento del ruteo estático aplicando diferentes
parámetros de distancia, routing mark, o haciendo uno de ECMP, llegando a la conclusión de que estas técnicas por si solas
no son suficientes para proveer funciones como un Failover confiable
Contenido
1. Ruteo Estático
2. Direccionamiento punto a punto
3. VPN
4. OSPF
5. VRRP
MTCINE
MTCINE es el TOP de las certificaciones avanzadas de MikroTik RouterOS
Es el curso estrella del sistema operativo MikroTik RouterOS y centra su estudio en los protocolos BGP y MPLS
El estudiante podrá entender y fortalecer conceptos como sistemas Autónomos, Algoritmo Path vector, transporte y tipos de
paquetes BGP, iBGP & eBGP, distribución de rutas, loopbacks, atributos de prefijos, reflectores de rutas y confederaciones
BGP.
Contenido
1. BGP
2. Multicast
3. MPLS
4. Ingeniería de trafico
s 25