Professional Documents
Culture Documents
nuestros clientes y redireccionarlo a un Portal para fines de autenticacin. Una vez el clientes es
autenticado, este puede acceder a todos los servicios de internet con "normalidad".
La configuracin estandar de MikroTik Hotspot es muy fcil de configurar, pero hay que hacer ciertas
modificaciones para evitar tener problemas en nuestra red si es que utilizamos AP's o Routers modo
cliente. Tengan en cuenta que un hotspot est pensado para ser utilizado en lugares relativamente
"pequeos", y que adems sus clientes NO se conectarn a travs de AP's o Routers modo cliente...
osea imagnense un Starbucks donde todas las personas que se conecten ah, lo harn directamente
con laptops, iPod, PDA, smartphones, etc.
Muchos usan MikroTik Hotspot en redes wireless extensas como nico sistema de seguridad, dejando
la seal abierta (sin encriptacin), teniendo la creencia que este sistema es inviolable, lo es bastante
falso. Sin contar que estamos dejando la puerta abierta para que cualquier persona malintencionada
haga un gran alboroto en nuestra red.
Para hacer esta gua, estoy tomando en cuenta que ya tenemos el servidor configurado y
funcionando, as que sugiero leer las dems guas bsicas si se presentan problemas o dudas que no
explico en esta gua. Quiz parexca algo complicado, pero con slo seguir las imgenes sera
suficiente, ya si se quiere profundizar o si se tiene duda de algo, tocara leer el contenido.
Parte 1: Configurando Hotspot con el asistente de configuracin.
Para empezar vamos a IP -> Hotspot -> pestaa Servers -> botn Hotspot Setup, para iniciar
con el asistente de configuracin de Hotspot Server.
Al igual que la configuracin del servidor DHCP de MikroTik, nos ayudaremos del asistente de
configuracin automtica para as configurar "correctamente" nuestro Hotspot, inclusive ambos son
muy parecidos.
Local Address of Network, aparecer automticamente la puerta de enlace de los clientes, que en
este caso es 192.168.10.1; claro, est tomando los datos del IP de ether2 que especificamos en el
paso anterior.
Masquerade Network, lo desmarcamos ya que tenemos el servidor funcionando, por lo tanto, ya
contamos con el enmascarado. Si activamos este check crear otro enmascarado, pero en este caso
ser por rango de red.
Address Pool of Network, aparecer un rango de IP's que sern asignados a los clientes para que
as obtengan un IP automticamente. En este caso apareci un rango ya definido, este rango lo tom
de una configuracin previa ya que tena configurado un servidor DHCP. Si no tuvieramos un
servidor DHCP funcionando, este paso activara uno obligatoriamente. Ya ms adelante podremos
deshabilitarlo.
Select Certificate, a momento slo vamos a elegir none, ya que no contamos con un certificado
SSL. Estos certificados son utilizados para validar una pgina web (como nuestro portal cautivo)
cuando se utiliza el protocolo
https y as encriptar las conexiones entre el cliente y servidor, muy utilizado en las pginas de los
bancos ya que as ofrecen seguridad respecto a las claves y los movimientos.
IP Address of SMTP Server, lo dejamos tal como est: 0.0.0.0 ya que no contamos un un servidor
SMTP.
DNS Name, aqu colocaremos un DNS para nuestra red de hotspot; para tenermo ms claro,
cuando hotspot ya est funcioando y queramos abrir una pgina, este nos redireccionar al portal
cautivo para que nos autentiquemos con nuestro usuario y clave, ese portal tendr
direccin http://login.hot.net/ ya que ese es el DNS que escribimos; en todo caso, si este valor se
deja en blanco, hotspot usar directamente la puerta de enlace de los clientes, o sea, el
http://192.168.10.1/
Name of Local Hotspot User, por defecto, el nombre de usuario administrador para el logueo en el
hotspot es admin, aunque si lo quieren cambiar, no hay problema, pero recurdenlo! ya que con ese
nombre se autenticarn al hotspot por primera vez.
Password for the User, el password de logueo, en este caso el password ser test, lo pueden
cambiar por el gusten, pero al igual que la opcin anterior, es necesario recordarlo.
Una vez hecho esto saldr un mensaje que nuestro hotspot fue configurado satisfactoriamente;
luego, si nuestro WinBox estaba conectado al servidor MikroTik por IP, seguramente nos
desconectaremos inmediatemente. Si estabamos conectados por MAC, seguiremos conectados. En
todo caso, nuestro servidor hotspot YA est configurado, y si intentramos abrir una nueva pgina,
este nos mostrar el portal cautivo de MikroTik.
Una vez que veamos el portal cautivo, tendremos que autenticarnos con el user y password que
configuramos previamente, en mi gua el login es admin y el password es test. Una vez
autenticados, hotspot nos dar un mensaje de bienvenida y tendremos internet normalmente (sin
esta autenticacin no hay absolutamente ningn servicio disponible que dependa de internet, o sea,
no juegos, no msn, no skype, etc.)
Parte 2: Modificar Hotspot para evitar algunos problemas.
Hasta aqu ya lo tenemos configurado, pero tenemos que modificarlo para evitar tener problemas. Si
vamos una vez ms a IP -> Hotspot -> pestaa Servers, veremos que apareci un nuevo
elemento: hotspot1, que es nuestro servidor hotspot recin configurado.
Nota: Tengan en cuenta que hasta el momento, ninguno de nuestros clientes tiene internet ya que
estos NO tienen un usuario y password para que se autentiquen en el portal que les apareci. Si lo
creen conviente, pueden deshabilitar momentneamente la regla hotspot1 para as no fastidiar a
nuestros clientes... ya cuando lo tengamos todo configurado y listo para funcionar, podemos
habilitarlo denuevo.
Empezaremos la modificacin abriendo la regla hotspot1 y as poder editar sus opciones.
Name, obviamene es el nombre del servidor hotspot que configuramos hace un momento. Si gustan
le cambian de nombre si es que tuvieran otros hotspots para distintas interfaces de red.
Interface, es la interfaz de red a la que configuramos el servidor hotspot, se trata de la interfaz de
los clientes, en este caso es ether2.
Address Pool, si los clientes de nuestro hotspot se conectan a travs de AP's modo cliente
Routers modo cliente, entonces es absolutamente necesario modificar esta valor a none. Si lo
dejamos tal como est por defecto (dhcp_pool1 si tenamos configurado un DHCP), entonces hotspot
entrar en modo captura de IP's y nos podra traer problemas cuando intentemos conectarnos a un
equipo (AP, Router, VoIP, etc) dentro de nuestra red, ya que MikroTik capturar esta conexin y nos
pondr trabas ingresar.
Profile, es el profile de del servidor hotspot, por defecto es hsprof1 que se autoconfigur al
momento de hacer el asistente de configuracin.
Vamos a IP -> Hotspot -> pestaa Server Profiles y abrimos la regla hsprof1
-> pestaa General para dar una revisada al server profile.
MAC, activar la autenticacin por MAC, o sea, el cliente no tendr que escribir usuario y clave, ya
que con solo conectarse, hotspot validar su MAC automticamente.
HTTP (CHAP PAP), activa la autenticacin por usuario y contrasea, por defecto es HTTP CHAP.
HTTPS, activa la autenticacin por usuario y cotrasea utilizando el protocolo HTTP Secure.
Trial, activa la autenticacin de prueba, para que los "invitados" puedan probar el servicio, al
comento de activar esta opcin, en el portal cautivo aparecer un link "trial", que servir para
Name, escribiremos el nombre de usuario (login) para autenticarnos en el portal cautivo, en este
ejemplo es usuario.
Password, escribiremos la contrasea para autenticarnos en el portal cautivo, en este ejemplo
es prueba.
Address, algunas personas suelen colocar el IP del cliente bajo la creencia que as estn amarrando
esta IP a la cuenta, cosa es incorrecto, lo que ocasionarn ser crear 2 IP's para el mismo cliente,
uno el de su PC y otro el que hotspot le dar (el que escribamos aqu) No recomendado.
MAC Address, para mayor seguridad, podemos amarrar el MAC del cliente a la cuenta de usuario
que estamos creando, esto quiere decir, que ese usuario y contrasea slo ser vlido si se hace la
autenticacin desde esa MAC. Si se utiliza un AP modo cliente, entonces tendr se tendr que
colocar la MAC de ese AP y no la del cliente. Si no se especifica un MAC, entonces este usuario y
password sern vlidos desde cualquier MAC.
Profile, ser el perfil de usuario que asociemos a esta cuenta, ahora estamos usando el perfil que
viene por defecto, estos User Profiles los veremos ms adelante en esta gua.
Una vez hecho esto, podremos autenticarnos en el portal cautivo utilizando el usuario y password
que creamos. As que slo quedara crear ms cuentas y entregar los usuarios y contraseas a
nuestros clientes.
Crear cuenta para autentitcacin por MAC.
Para autenticarnos por MAC, tiene que estar activada dicha opcin en IP -> Hotspot
-> pestaa Server Profiles y abrimos la regla hsprof1 -> pestaa Login
Si ya est activada, vamos a IP -> Hotspot -> Users y abrimos una nueva regla (+)
Name, escribiremos la MAC de nuestro cliente, ni bien el cliente abra su navegador, Hotspot al ver
Idle Timeout, es el tiempo mximo de inactividad para que Hotspot deautentique al cliente. Si un
cliente no genera trfico por el tiempo especificado, Hotspot lo desconectar. Por defecto est
en none.
Keepalive Timeout, es el tiempo mximo en que un cliente puede estar desconectado, si se llega a
ese tiempo, entonces hotspot deautenticar al cliente, por defecto es 00:02:00 (2 minutos) pero si
se prefiere, se puede cambiar este valor, inclusive por das.
Shared Users, es el nmero de usuarios que se pueden autenticar a la vez con una misma cuenta
de usuario. Por seguridad, tendra que ser slo uno.
Rate Limit, es la velocidad a la que se le asignar a un usuario. rx/tx quiere decir upload/download,
si se quiere limitar a 128k de subida y 512k de bajada, entonces se tendra que colocar,128k/512k,
cuando se activa esta opcin, ya no es necesario limitar la velocidad por Simple Queue.
Transparent Proxy, debe quitar este check si se ha configurado MikroTik webproxy siguiendo mis
manuales.
Se pueden crear y configurar tantos User Profiles como se necesiten, y asignarlos a la cuenta de
usuario al que se le quiera aplicar, como en la imagen de abajo.
Tener en cuenta que si se modifica un User Profile o se carga uno nuevo a un User, este no tendr
efecto hasta que el usuario se vuelva a autenticar, para eso hay que quitar al cliente desdeIP ->
Hotspot -> pestaa Active, y si se tiene activadas las Cookies, borrar la cookie desde IP ->
Hotspot -> pestaa Cookies.
IP -> Hotspot -> pestaa Active, veremos aqu la relacin de cliente que se autenticaron en
hotspot, ya sea escribiendo usuario y clave, autenticndose por MAC, o por trial.
Si quieramos deautenticar a un cliente, slo tendramos que quitarlo de la lista con el botn remover
( - ), ya si se utiliza cookies, primero tendramos que quitarlos de esa lista en IP -> Hotspot ->
pestaa Cookies.
Pestaa Hosts.
IP -> Hotspot -> pestaa Hosts, veremos aqu la relacin de todos las dispositivos que estn
conectadas a Hotspot, ya sea que estn autenticados o no, con o sin internet, e inclusive los
bloqueados.
Veremos al lado izquierdo de cada cliente, una letra o una combinacin de letras, estas quieren decir.
A = Cliente Autenticado.
H = Cliente con IP obtenida por DHCP.
D = Cliente con IP fija o no obtuvo su IP por DHCP (del servidor).
P = Cliente Bypassed, que se le di "tarjeta verde" para no pasar por hotspot, esto lo veremos
en IP -> Hotspot -> pestaa IP Bindings.
B = Bloqueado por User Profile o por su propio User, ya sea porque su Session Time se ha acabado,
porque fue bloqueado desde Advertise.
Tener en cuenta que nicamente slo tendrn internet los clientes que tengan la letra A o la letra P,
ya sea que estn solas, o acompaados de otra letra.
Pestaa IP Bindings.
IP -> Hotspot -> pestaa IP Bindings, aqu podemos configurar que un cliente no necesite
autenticacin alguna, supongamos que tenemos conectado un aparato VoIP y como estos no pueden
escribir usuario y password, sera conveniente utilizar IP Bindings.
MAC Address, aqu colocaremos el MAC del aparato al que le daremos carta verde, ya sea un PC,
un VoIP, un PS3, etc. Este paso puede ser opcional.
Address y To Address, colocaremos 2 veces el mismo IP del cliente al que le dar carta verde.
Type, elegiremos bypassed (hacer bypass al portal del hotspot)
Tener en cuenta que slo colocar el IP ses suficiente para dar carta verde a un cliente, pero si se
especifica el MAC, entonces se estara 'amarrando' el IP al MAC para dar mayor seguridad.
Pestaa Walled Garden y Walled Garden IP List.
IP -> Hotspot -> pestaa Walled Garden, ya sabemos que al tener portal cautivo, todas las
pginas que intentemos visitar sern redireccionadas al portal cautivo, pero con Walled Garden
podemos dar excepciones y asignar pginas permitidas para poder navegar en ellas sin estar
autenticados. Aqu slo nos limitamos a http y https.
IP -> Hotspot -> pestaa Walled Garden IP List, Es lo mismo que lo anterior, salvo que aqu ya
no trabajamos con http https, sino con directamente con IP's.
Pestaa Cookies.
IP -> Hotspot -> pestaa Cookies, si la opcin cookie est activada en Server Profile, entonces
veremos la lista de cookies generadas por todos los clientes autenticados. Si quisieramos
deautenticar a un cliente, tendramos que empezar borrando su cookie y luego sacarlo de IP ->
Hotspot -> pestaa Active.
Saludos