Вы находитесь на странице: 1из 45

Hotspot

Configuración Avanzada de
Hotspot en MikroTik

Mikrotik HotSpot © Index 2007 1


Métodos de identificación de usuarios
 Controlando e Identificando por Hardware:
Dirección IP: firewall
Dirección MAC: firewall
Dirección MAC: entrada estática en ARP
Dirección MAC: Server DHCP

 Controlando e Identificando por Usuario:


PPPoE, requiere configuración de Cliente PPPoE
Hotspot, redirecciona a los clientes a una página de
autenticación o autentifica automáticamente
PPTP, requiere configuración de Cliente PPTP

Mikrotik HotSpot © Index 2007 2


Hotspot
 MikroTik Hotspot es usado para la autenticación en redes
locales

 La autenticación esta basada en los protocolos


HTTP/HTTPS, lo cual significa que trabaja con cualquier
navegador (IExplorer, Netscape, Mozilla, Firefox, etc),
también hay otras formas de permitir acceso.

 Hotspot es un sistema que combina varias


funcionalidades independientes que el RouterOS provee
y debido a su facilidad de uso es también llamado acceso
„Plug-and-Play‟

Mikrotik HotSpot © Index 2007 3


Sistema Hotspot

Mikrotik HotSpot © Index 2007 4


Como trabaja Hotspot?

 El usuario abre el
navegador web
 El router verifica si el
usuario está autentificado
en el sistema Hotspot, si
no es así, lo redirige a la
pagina de autenticación.
 El usuario ingresa sus
datos, “Nombre de Usuario
y Contraseña”, y listo, ya
puede acceder a la red a
través del Hotspot.

Mikrotik HotSpot © Index 2007 5


Ventana de Estado

 Cuando el usuario es
correctamente autenticado,
se abre la página que tiene
como “Pagina de Inicio” en
el navegador y se abre una
nueva ventana de estado
(popup) mostrando algunos
datos como los que se ven
en la imagen.

Mikrotik HotSpot © Index 2007 6


Funcionalidades de Hotspot
 Autenticación de usuarios

 Control de usuarios por tiempo, cantidad de datos


transferidos/recibidos

 Limitar por:
 Ancho de banda

 Consumo

 Tiempo

 Soporte de gestión vía Servidor RADIUS

 Zona de navegación libre (Walled Garden)

Mikrotik HotSpot © Index 2007 7


Uso de Hotspot

 Hotspot es una tecnología de autenticación de usuarios


ampliamente usado a nivel mundial para acceso público
y/o comercial por:

 ISPs, Universidades, Hospitales, Hoteles, Oficinas,


Salones de exposiciones, Barcos…

 En escenarios cableados o inalámbricos.

Mikrotik HotSpot © Index 2007 8


Asistente de configuración de
Hotspot
 La mejor manera de configurar un Servidor Hotspot en
Mikrotik
 Automáticamente crea configuraciones en:
• /ip hotspot
• /ip hotspot profile
• /ip hotspot users
• /ip pool
• /ip dhcp-server
• /ip dhcp-server networks
• /ip firewall nat (reglas dinámicas)
• /ip firewall filter (reglas dinámicas)

Mikrotik HotSpot © Index 2007 9


Asistente de Configuración de
HotSpot
/iphotspot setup
Seleccione la interfase donde estarán los
usuarios a autentificar
 hotspot interface: local
Active dirección en la Interface HotSpot
 Dirección local de la red hotspot: 10.5.50.1/24
 Enmascarar red de hotspot: yes
(No use enmascaramiento si se están usando IP‟s
publicas en la red de HotSpot)

Mikrotik HotSpot © Index 2007 10


Asistente de Configuración de
HotSpot
 Active un pool para la red HotSpot
 Direcciones de la red HotSpot: 10.5.50.2-10.5.50.254
(Este pool es usado por el server DHCP para darles IP‟s a los
clientes HotSpot)

Indique si usará o no un Certificado para autentificación


SSL?
 Seleccione-certificado: none

Indique si redireccionará la salida de mails a su servidor


SMTP
 Dirección IP del server SMTP: 159.148.147.194
(El server de HotSpot redireccionará todos los mails de salida al
server SMTP local, por tanto los clientes no necesitan cambiar la
configuración de correo en sus clientes de email)
Mikrotik HotSpot © Index 2007 11
Asistente de Configuración de
HotSpot
 Configuración del DNS
 Servidores DNS: 159.148.147.194,159.148.60.20
(Estos DNS servers serán añadidos a la
configuración de DNS de los ruteadores y usados por
los clientes de DHCP de HotSpot)

 Nombre DNS del servidor HotSpot


 dns name: hotspot.index.com.mx
(Optativamente, especifique un nombre DNS, el cuál
será cargado automáticamente en la lista de DNS
estáticos del RouterOS y a la cuál serán
redireccionados los clientes, si deja en blanco, serán
redireccionados a la IP de la interfaz Hotspot)
Mikrotik HotSpot © Index 2007 12
Asistente de Configuración de
HotSpot

 Cree un usuario local de hotspot

 Nombre del usuario local de hotspot: training

 Password para el usuario: mikrotik

Mikrotik HotSpot © Index 2007 13


Interpretando Hotspot Server
 Nombre
 Interface
 Address-Pool (Cliente Universal)
 Perfil
 Idle Timeout
 Keepalive Tiemout
 Direcciones por MAC
 IP del Nombre DNS

Mikrotik HotSpot © Index 2007 14


Hotspot Server Profiles
Como el RouterOS es capaz de correr varios servidores
Hotspot en un mismo equipo, en Profiles, se encuentran
los parámetros independientes que corresponderán a cada
servidor Hotspot:
 Identificación del sistema

 Directorio de alojamiento de la página Hotspot

 Limitación de ancho de banda

 Servidores Proxy y SMTP

 Método de autenticación (MAC, HTTP, Cookies, etc)

 Parámetros RADIUS

Se puede elegir 6 diferentes métodos de autenticación por


perfil

Mikrotik HotSpot © Index 2007 15


Configuración del Perfil del
Servidor HotSpot
 General
 Nombre

 Dirección del Hotspot

 Nombre DNS

 Directorio HTML

 Rate Limit (rx/tx)

 HTTP-Proxy

 HTTP-Proxy Port

 SMTP Server

Mikrotik HotSpot © Index 2007 16


Configuración del Perfil del
Servidor HotSpot
 Login (Tipos de Autenticación):

 MAC
 HTTP CHAP
 HTTP PAP
 Cookies
 HTTPS
 Trial (Cuenta de evaluación)
 Tiempo de vida de las Cookies

Mikrotik HotSpot © Index 2007 17


Métodos de Autenticación
Hotspot
 HTTP PAP – método más simple, el cuál muestra la
pagina de autenticación de hotspot y permite
autenticar usuarios en modo texto plano. (Necesario
para algunos navegadores antiguos)

 HTTP CHAP – método estándar, el cuál utiliza un


algoritmo de encriptación MD5 en el intercambio de
datos de autenticación asegurando el tráfico

 HTTPS – lo mismo que HTTP PAP, pero usa


protocolo SSL para la encriptación de la transmisión.

© MikroTik 2007 18
Métodos de Autenticación
Hotspot (cont.)
 HTTP cookie – después de cada logueo válido, una
cookie es enviada al navegador web y la misma
cookie es agregada en la lista de cookies del router.
Este método solo puede ser usado con HTTP PAP,
HTTP CHAP or HTTPS, sin http-cookies habilitado,
estos métodos no generarían cookies
 MAC address - intenta autenticar los clientes tan
pronto como aparezcan en la tabla de hosts, con la
dirección MAC del cliente como username
 Trial – son cuentas de prueba sin necesidad de
autenticar, con un ancho de banda asignado por un
perfil y por un determinado período de tiempo
© MikroTik 2007 19
Hotspot Users
 Se especifica Nombre de usuario, Contraseña y Perfil de
los clientes

 Se puede limitar por tiempo, bytes-entrantes y bytes-


salientes a los clientes

 Se puede fijar una IP para que el cliente siempre obtenga


la misma

 Permite restringir el acceso a una cuenta desde una


MAC específica

© MikroTik 2007 20
Hotspot User Profiles
 Contiene información común para grupos de usuarios

 Se puede especificar que el tráfico entrante o saliente


pase por una cadena de filtrado de firewall diferente.

 Se puede agregar una marca de paquete (packet mark)


en todos los paquetes de cada usuario del perfil
automaticamente.

 Se puede especificar el ancho de banda y la cantidad de


sesiones permitidas a cada usuario

© MikroTik 2007 21
Configuración de Cuentas de
Usuario HotSpot
Configuración de Cuentas de Usuarios:
 Servidor Hotspot

 Usuario y password

 Dirección IP de usuario

 Dirección MAC del usuario (restringe)

 Perfil

 Adición automática de rutas

 Email

Mikrotik HotSpot © Index 2007 22


Laboratorio de Configuración
Hotspot
 Cree un Servidor Hotspot para su red privada usando el
Asistente de Configuración Hotspot

 Ingrese al sistema y revise la configuración!

 Desconéctese

 Cambie los valores de IP, Máscara, Puerta de Enlace,


DNS de su laptop por cualquier otro aleatoriamente

 Ingrese nuevamente y revise la configuración!


© MikroTik 2007 23
Hotspot IP bindings
 Configura una traducción de NAT estática basada en:

 la dirección IP origen (o una subred),

 o la dirección MAC de origen.

 Se pueden definir que algunas direcciones pasen de


largo sin necesidad de autenticación(bypassed), o
puedan completamente serm bloqueadas(blocked).

© MikroTik 2007 24
Walled Garden (zona libre)

 Es un sistema que permite el uso de ciertos recursos a


usuarios no autentificados, que de cualquier manera
requerirán autorización para otros recursos. Esto es útil
para que los usuarios de Hotspot puedan ingresar a
paginas de ayuda o de cobranza aun si no han ingresado
un login y password válido

Mikrotik HotSpot © Index 2007 25


Hotspot HTTP-level walled garden

 HTTP-level Walled Garden maneja protocolos HTTP y


HTTPS

 HTTP-level Walled Garden trabaja de manera similar a


un Web-proxy, se puede utilizar el mismo método HTTP
y las mismas expresiones para discriminar una URL

© MikroTik 2007 26
HotSpot IP-Level Walled
Garden

 IP-level Walled Garden trabaja a nivel de IP, por ende,


puede aplicar reglas similares a las de filtrado de
firewall

© MikroTik 2007 27
Ejemplo de Walled Garden

Para permitir accesos a gente no autorizada a la pagina


www.example.com liga /paynow.html:
/ip hotspot walled-garden add path="^/paynow\\.html$" \ \...
dst-host="^www\\.example\\.com$"

Mikrotik HotSpot © Index 2007 28


Autentificación Local y/o Remota?

Hotspot siempre buscará primero autenticar los usuarios


desde la base de datos local, si no lo encuentra en la lista
local, preguntará al RADIUS server configurado si hay
información de dicho usuario.

Nota: la autentificación remota debe estar habilitada con la


información del RADIUS server.

Mikrotik HotSpot © Index 2007 29


RADIUS en HotSpot

Remote Authentication Dial-In User Service (RADIUS)


provee contabilización, autentificación y autorización (AAA)
centralizada , lo cual significa que puedes tener múltiples
servidores de Hotspot en diferentes localidades pero toda
la información de usuarios guardada en un solo servidor
RADIUS, esto da la facilidad de ofrecer ROAMING a los
usuarios de Hotspot.

Mikrotik HotSpot © Index 2007 30


User Manager para HotSpot

• Sistema Centralizado de Contabilización y Autenticación

• Trabaja como un Servidor RADIUS

• Totalmente integrado al MikroTik RouterOS como un


paquete separado

© MikroTik 2007 31
Recomendaciones para utilizar
User Manager
• Router basado en una PC x86 con MikroTik RouterOS
v2.9.x

• 128MB RAM

• 20MB de espacio libre para almacenamiento

• RouterOS Nivel 6 para más de 10 sesiones activas (en


RouterOS v2.9.x)

© MikroTik 2007 32
Características de User Manager
• Autorización de Usuarios usando PAP,CHAP
• Soporte de múltiples suscriptores y permisos
administrativos
• Soporte de sistemas a Crédito o Prepago (Paypal y
Authorize.net)
• Soporta atributos de control de ancho de banda
• Brinda una interfáz amigable Web para el usuario
• Genera reportes por tiempo o cantidad de datos
• Soporta detalles de sesiones y registros
• Soporta adicionar usuarios de manera muy simple e
imprimir tickets de uso

© MikroTik 2007 33
Personalizando página de
autentificación
 Las paginas de login de HotSpot son fácilmente
modificables, están guardadas en el ftp server del
ruteador en el directorio “Hotspot”

 Cambiando estas paginas se puede facilitar el proceso


de acceso al usuario, insertar publicidad, personalizarla
acorde a sus necesidades y/o gustos, adicionar, integrar
compra de crédito, reglas de uso del servicio, etc etc

Mikrotik HotSpot © Index 2007 34


Cache de DNS
 Cache de DNS es usado para minimizar requisiciones a
un server DNS externo, asi como para minimizar el
tiempo de resolución
 Esto es un simple DNS recursivo con entradas locales
 La configuración de DNS cache esta bajo „/ip dns„
 Ejemplo: /ip dns print
primary-dns: 159.148.147.194
secondary-dns: 159.148.60.20
allow-remote-requests: yes
cache-size: 2048 kB
cache-max-ttl: 7d
cache-used: 202 kB

Mikrotik HotSpot © Index 2007 35


Cache de DNS
 Entradas estáticas pueden ser añadidas bajo „/ip
dns static„
Ejemplo: /ip dns static print
0 name="hotspot.mikrotik.com“ address=10.5.50.1
ttl=1d

 El cache puede ser visto bajo „/ip dns cache‟


Ejemplo: /ip dns cache print
0 name="ns.internet.lv" address=194.105.56.6
ttl=20h47m56s
1 name="nsz.latnet.lv" address=159.148.60.4
ttl=22h43m32s

Mikrotik HotSpot © Index 2007 36


Solución Web proxy
 Web Proxy es usado para optimizar el acceso a Internet
y reducir el flujo de datos desde Internet

 Cuando un cliente pide cierta información vía Web, el


Web Proxy la entrega y la guarda. Si alguien mas solicita
la misma información , es tomada del cache del Web
Proxy y no desde el Internet

 Puede guardar cache de flujos de datos de protocolos


HTTP y FTP , adicionalmente como mediador para flujos
de datos de protocolo HTTPS

Mikrotik HotSpot © Index 2007 37


Modo de Operación de Web
proxy server
 Modo Regular:
 El cliente debe especificar en la configuración del
explorador las configuraciones del proxy server
 El Web proxy puede ser un server separado
 Modo transparente:
 No hay necesidad de especificar los parametros del
proxy server en la configuracion del explorador
 El Router redirecciona las requisiciones de los
clientes directamente al web proxy local
 Web proxy debe ser configurado en el ruteador
 FTP no es soportado en modo transparente

Mikrotik HotSpot © Index 2007 38


Funcionalidades de Web proxy
 Proxy HTTP Regular
 Proxy Transparente
 Puede ser transparente y regular al mismo tiempo
 Lista de acceso por origen, destino, URL y método de
requisición
 Lista de acceso directo (especifica cuales recursos
deben ser accedidos directamente y cuales a través de
otro proxy server)
 Facilidad de Logging
 El cache puede ser guardado en un disco duro
secundario
 Registros de uso en tiempo real

Mikrotik HotSpot © Index 2007 39


Configuración de Web proxy
 '/ip web-proxy':
 Src-address
El web proxy usara esta dirección para conectarse a los sitios
remotos.
 Port
 Parent-proxy/port
 Cache-drive
Cache puede ser almacenado en un segundo disco duro
 Cache-administrator
 Max-Disk-Cache-Size
 Max-RAM-Cache-Size
 Cache-only-on-Disk
 Max-Client-Connection
 Max-Server-Connection
 Max-Object-Size
Objetos mas grandes que el tamaño especificado no serán
almacenados en el cache
Mikrotik HotSpot © Index 2007 40
Monitoreo de Web proxy
 Monitor de uso en tiempo real „/ip proxy monitor‟

 Ejemplo: /ip proxy monitor


status: running
uptime: 2d5h48m58s
clients: 56
requests: 258236
hits: 121730
cache-size: 23018668 kB
received-from-servers: 1262203 kB
sent-to-clients: 1564439 kB
hits-sent-to-clients: 300121 kB

Mikrotik HotSpot © Index 2007 41


Server UPnP
 UPnP (Universal Plug-n-Play) implementa una simple y
poderosa solución de NAT transversal, esto habilita al
cliente para obtener completo soporte de una red peer-
to-peer desde y hacia el NAT

 Soporta red con descubrimiento automático sin ninguna


configuración inicial, con esto un dispositivo o aplicación
compatible con UPnP puede dinámicamente enlazarse a
la red

 UPnP se encuentra en „/ip upnp‟

Mikrotik HotSpot © Index 2007 42


Configuracion de server UPnP

 Configuracion UPnP bajo „/ip upnp‟

 Ejemplo:
/ip upnp set enabled=yes
/ip upnp interfaces add interface=public type=external
disabled=no
/ip upnp interfaces add interface=local type=internal
disabled=no

Mikrotik HotSpot © Index 2007 43


Reparando Hotspot
 No ejecute el Wizard de Hotspot mas de una vez ya que
no se configurará adecuadamente, si necesita
reconfigurar de un „system reset‟

 Si después de cambiar las páginas de Hotspot este deja


de funcionar, restaure por las páginas html por defento
en „/ip hotspot server reset-html‟

 Si especificó un nombre DNS para el servidor Hotspot y


este no funciona correctamente, pruebe dejar el nombre
DNS vacío

 Si los clientes que deben tener acceso sin autenticar, les


pide login, revise las reglas en IP-bindings

Mikrotik HotSpot © Index 2007 44


PREGUNTAS…???

Mikrotik HotSpot © Index 2007 45