Configurar MikroTik Hotspot (Portal Cautivo)

Tema en 'Guías y Manuales' iniciado por ryohnosuke, 26 Mar 2011.

  1. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    115
    Un Portal Cautivo o Portal Captivo es un sistema que permite capturar el tráfico http (web) de nuestros clientes y redireccionarlo a un Portal para fines de autenticación. Una vez el clientes es autenticado, este puede acceder a todos los servicios de internet con "normalidad".

    La configuración estandar de MikroTik Hotspot es muy fácil de configurar, pero hay que hacer ciertas modificaciones para evitar tener problemas en nuestra red si es que utilizamos AP's o Routers modo cliente. Tengan en cuenta que un hotspot está pensado para ser utilizado en lugares relativamente "pequeños", y que además sus clientes NO se conectarán a través de AP's o Routers modo cliente... osea imagínense un Starbucks donde todas las personas que se conecten ahí, lo harán directamente con laptops, iPod, PDA, smartphones, etc.

    Muchos usan MikroTik Hotspot en redes wireless extensas como único sistema de seguridad, dejando la señal abierta (sin encriptación), teniendo la creencia que este sistema es inviolable, lo es bastante falso. Sin contar que estamos dejando la puerta abierta para que cualquier persona malintencionada haga un gran alboroto en nuestra red.

    Para hacer esta guía, estoy tomando en cuenta que ya tenemos el servidor configurado y funcionando, así que sugiero leer las demás guías básicas si se presentan problemas o dudas que no explico en esta guía. Quizá parexca algo complicado, pero con sólo seguir las imágenes sería suficiente, ya si se quiere profundizar o si se tiene duda de algo, tocaría leer el contenido.

    Parte 1: Configurando Hotspot con el asistente de configuración.

    Para empezar vamos a IP -> Hotspot -> pestaña Servers -> botón Hotspot Setup, para iniciar con el asistente de configuración de Hotspot Server.

    [​IMG]

    Al igual que la configuración del servidor DHCP de MikroTik, nos ayudaremos del asistente de configuración automática para así configurar "correctamente" nuestro Hotspot, inclusive ambos son muy parecidos.

    [​IMG]

    HotSpot Interface, debemos especificar la interfaz donde se configurará el Hotspot server, obviamente elegiremos la interfaz de red LAN o tarjeta de red de los clientes, que en este caso es ether2.

    [​IMG]

    Local Address of Network, aparecerá automáticamente la puerta de enlace de los clientes, que en este caso es 192.168.10.1; claro, está tomando los datos del IP de ether2 que especificamos en el paso anterior.

    Masquerade Network, lo desmarcamos ya que tenemos el servidor funcionando, por lo tanto, ya contamos con el enmascarado. Si activamos este check creará otro enmascarado, pero en este caso será por rango de red.

    [​IMG]

    Address Pool of Network, aparecerá un rango de IP's que serán asignados a los clientes para que así obtengan un IP automáticamente. En este caso apareció un rango ya definido, este rango lo tomó de una configuración previa ya que tenía configurado un servidor DHCP. Si no tuvieramos un servidor DHCP funcionando, este paso activaría uno obligatoriamente. Ya más adelante podremos deshabilitarlo.

    [​IMG]

    Select Certificate, a momento sólo vamos a elegir none, ya que no contamos con un certificado SSL. Estos certificados son utilizados para validar una página web (como nuestro portal cautivo) cuando se utiliza el protocolo

    https y así encriptar las conexiones entre el cliente y servidor, muy utilizado en las páginas de los bancos ya que así ofrecen seguridad respecto a las claves y los movimientos.

    [​IMG]

    IP Address of SMTP Server, lo dejamos tal como está: 0.0.0.0 ya que no contamos un un servidor SMTP.

    [​IMG]

    DNS Servers, si ya tuvieramos configurado el DNS Cache estos valores aparecerán automáticamente, sino, pues lo tendremos que agregar manualmente.

    [​IMG]

    DNS Name, aquí colocaremos un DNS para nuestra red de hotspot; para tenermo más claro, cuando hotspot ya esté funcioando y queramos abrir una página, este nos redireccionará al portal cautivo para que nos autentiquemos con nuestro usuario y clave, ese portal tendrá dirección http://login.hot.net/ ya que ese es el DNS que escribimos; en todo caso, si este valor se deja en blanco, hotspot usará directamente la puerta de enlace de los clientes, o sea, el
    http://192.168.10.1/

    [​IMG]

    Name of Local Hotspot User, por defecto, el nombre de usuario administrador para el logueo en el hotspot es admin, aunque si lo quieren cambiar, no hay problema, pero recuérdenlo! ya que con ese nombre se autenticarán al hotspot por primera vez.

    Password for the User, el password de logueo, en este caso el password será test, lo pueden cambiar por el gusten, pero al igual que la opción anterior, es necesario recordarlo.

    Una vez hecho esto saldrá un mensaje que nuestro hotspot fue configurado satisfactoriamente; luego, si nuestro WinBox estaba conectado al servidor MikroTik por IP, seguramente nos desconectaremos inmediatemente. Si estabamos conectados por MAC, seguiremos conectados. En todo caso, nuestro servidor hotspot YA está configurado, y si intentáramos abrir una nueva página, este nos mostrará el portal cautivo de MikroTik.

    [​IMG]

    Una vez que veamos el portal cautivo, tendremos que autenticarnos con el user y password que configuramos previamente, en mi guía el login es admin y el password es test. Una vez autenticados, hotspot nos dará un mensaje de bienvenida y tendremos internet normalmente (sin esta autenticación no hay absolutamente ningún servicio disponible que dependa de internet, o sea, no juegos, no msn, no skype, etc.)
    Última edición: 27 Mar 2014
    A Joseph, ..:: Husky WiFi ::.. y geniostech les gusta esto.
  2. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    115
    Parte 2: Modificar Hotspot para evitar algunos problemas.


    Hasta aquí ya lo tenemos configurado, pero tenemos que modificarlo para evitar tener problemas. Si vamos una vez más a IP -> Hotspot -> pestaña Servers, veremos que apareció un nuevo elemento: hotspot1, que es nuestro servidor hotspot recién configurado.

    [​IMG]

    Nota: Tengan en cuenta que hasta el momento, ninguno de nuestros clientes tiene internet ya que estos NO tienen un usuario y password para que se autentiquen en el portal que les apareció. Si lo creen conviente, pueden deshabilitar momentáneamente la regla hotspot1 para así no fastidiar a nuestros clientes... ya cuando lo tengamos todo configurado y listo para funcionar, podemos habilitarlo denuevo.

    Empezaremos la modificación abriendo la regla hotspot1 y así poder editar sus opciones.

    [​IMG]

    Name, obviamene es el nombre del servidor hotspot que configuramos hace un momento. Si gustan le cambian de nombre si es que tuvieran otros hotspots para distintas interfaces de red.

    Interface, es la interfaz de red a la que configuramos el servidor hotspot, se trata de la interfaz de los clientes, en este caso es ether2.

    Address Pool, si los clientes de nuestro hotspot se conectan a través de AP's modo cliente ó Routers modo cliente, entonces es absolutamente necesario modificar esta valor a none. Si lo dejamos tal como está por defecto (dhcp_pool1 si teníamos configurado un DHCP), entonces hotspot entrará en modo captura de IP's y nos podría traer problemas cuando intentemos conectarnos a un equipo (AP, Router, VoIP, etc) dentro de nuestra red, ya que MikroTik capturará esta conexión y nos pondrá trabas ingresar.

    Profile, es el profile de del servidor hotspot, por defecto es hsprof1 que se autoconfiguró al momento de hacer el asistente de configuración.

    Vamos a IP -> Hotspot -> pestaña Server Profiles y abrimos la regla hsprof1 -> pestaña General para dar una revisada al server profile.


    [​IMG]

    Name, nombre del perfíl del servidor, en este caso es hsprof1.

    Hotspot Address, es la puerta de enlace de nuestros clientes, en este caso, 192.168.10.1, si llegáramos a cambiar este gateway desde IP -> Addresses, tendríamos que modificar este cuadro manualmente para actualizar a la nueva configuración.

    DNS Name, es el nombre de nuestro portal cautivo, en este caso es login.hot.net (http://login.hot.net), que es el que colocamos al momento de hacer el asistente de configuración, lo podemos modificar a nuestro gusto.

    HTML Directory, es la carpeta donde se almacenan los archivos del portal cautivo, esta carpeta la encontramos en Interface.
    Última edición: 27 Mar 2014
    A Carlos Giraldo y geniostech les gusta esto.
  3. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    115
    Parte 3: Elegiendo el tipo de autenticación.

    Hasta este momento, todos nuestros clientes no pueden navegar ya que les apareció un portal cautivo solicitando un usuario y contraseña, al menos nosotros sí podremos autenticarnos ya que al momento de configurar el hotspot creamos una cuenta de administrador, que en el ejemplo es login: admin y password: test

    Por lo general existen 3 maneras de autenticarse al hotspot, descontando sus pequeñas variaciones: 1)Escribiendo usuario y clave, 2)Autenticandose por MAC, 3)Siendo un usuario trial (de prueba)

    Vamos a IP -> Hotspot -> pestaña Server Profiles y abrimos la regla hsprof1 -> pestaña Login, donde veremos todas las opciones de autenticación.

    [​IMG]

    MAC, activará la autenticación por MAC, o sea, el cliente no tendrá que escribir usuario y clave, ya que con solo conectarse, hotspot validará su MAC automáticamente.

    HTTP (CHAP ó PAP), activa la autenticación por usuario y contraseña, por defecto es HTTP CHAP.

    HTTPS, activa la autenticación por usuario y cotraseña utilizando el protocolo HTTP Secure.

    Trial, activa la autenticación de prueba, para que los "invitados" puedan probar el servicio, al comento de activar esta opción, en el portal cautivo aparecerá un link "trial", que servirá para autenticarnos con sólo presionar ese link.

    Cookie, si está activado, será el acompañante de toda autenticación, generará un cookie que se almacenará tanto en el server y el PC del cliente, y mientras este cookie siga 'vigente' no pedirá autenticación hasta que venza.

    HTTP Cookie Lifetime, si la opción Cookie está activada, entonces este apartado se desbloqueará. Aquí se puede elegir el tiempo de vida del cookie, por defecto es 3 días. Se pueden ver las cookies entregadas en IP -> Hotspot -> pestaña Cookies

    Trial Uptime Limit, si la opción Trial está activada, este apartado se desbloqueará. Aquí colocaremos el tiempo máximo que se le quiere dar a los 'invitados' para que prueben el servicio, por defecto es 30 minutos.

    Trial Uptime Reset, si la opción Trial está activada, este apartado se desbloqueará. Aquí colocaremos cada cuanto tiempo se le renovará el límite de tiempo para el invitado... esto quiere decir, si el invitado usó ya los 30 minutos de pruena, cada cuánto tiempo podrá usar una vez más otros 30 minutos... por defecto es cada 24 horas o cada día (1d 00:00:00).

    Trial User Profile, es el perfíl de usuario que se aplicará a los invitados, más adelante, en esta misma guía, vereremos sobre los User Profiles...

    Parte 4: Creando usuarios para autenticación.

    Crear cuenta para autenticación por usuario y contraseña.

    Vamos a IP -> Hotspot -> Users y abrimos una nueva regla (+)

    [​IMG]

    Name, escribiremos el nombre de usuario (login) para autenticarnos en el portal cautivo, en este ejemplo es usuario.

    Password, escribiremos la contraseña para autenticarnos en el portal cautivo, en este ejemplo es prueba.

    Address, algunas personas suelen colocar el IP del cliente bajo la creencia que así están amarrando esta IP a la cuenta, cosa es incorrecto, lo que ocasionarán será crear 2 IP's para el mismo cliente, uno el de su PC y otro el que hotspot le dará (el que escribamos aquí) No recomendado.

    MAC Address, para mayor seguridad, podemos amarrar el MAC del cliente a la cuenta de usuario que estamos creando, esto quiere decir, que ese usuario y contraseña sólo será válido si se hace la autenticación desde esa MAC. Si se utiliza un AP modo cliente, entonces tendrá se tendrá que colocar la MAC de ese AP y no la del cliente. Si no se especifica un MAC, entonces este usuario y password serán válidos desde cualquier MAC.

    Profile, será el perfil de usuario que asociemos a esta cuenta, ahora estamos usando el perfil que viene por defecto, estos User Profiles los veremos más adelante en esta guía.

    Una vez hecho esto, podremos autenticarnos en el portal cautivo utilizando el usuario y password que creamos. Así que sólo quedaría crear más cuentas y entregar los usuarios y contraseñas a nuestros clientes.

    Crear cuenta para autentitcación por MAC.

    Para autenticarnos por MAC, tiene que estar activada dicha opción en IP -> Hotspot -> pestaña Server Profiles y abrimos la regla hsprof1 -> pestaña Login

    Si ya está activada, vamos a IP -> Hotspot -> Users y abrimos una nueva regla (+)

    [​IMG]

    Name, escribiremos la MAC de nuestro cliente, ni bien el cliente abra su navegador, Hotspot al ver su MAC lo autenticará automáticamente.

    Profile, será el perfil de usuario que asociemos a esta cuenta, ahora estamos usando el perfil que viene por defecto, estos User Profiles los veremos más adelante en esta guía.

    Pueden utilizar el botón Comment para asignar un comentario a la regla, para poder reconocerla más adelante.
    Última edición: 27 Mar 2014
    A geniostech le gusta esto.
  4. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    115
    Parte 5: Entendiendo los User Profiles (Opcional).

    Con los User Profile, podemos ciertas características a las cuentas de los clientes, como por ejemplo, limitar su velocidad (sin utilizar Simple Queue), enviar mensajes a los clientes, controlar el tiempo para que al cliente le vuelva a aparecer el portal cautivo, etc.

    [​IMG]

    Name, nombre del perfíl de usuario, lo pueden cambiar a lo que quieran.

    Session Timeout, en este cuadro puede configurarse un tiempo máximo en que el cliente podrá tener acceso a internet, luego de ese tiempo, el cliente no podrá autenticarse más, por defecto está deshabilitado, como en la imagen.

    Idle Timeout, es el tiempo máximo de inactividad para que Hotspot deautentique al cliente. Si un cliente no genera tráfico por el tiempo especificado, Hotspot lo desconectará. Por defecto está en none.

    Keepalive Timeout, es el tiempo máximo en que un cliente puede estar desconectado, si se llega a ese tiempo, entonces hotspot deautenticará al cliente, por defecto es 00:02:00 (2 minutos) pero si se prefiere, se puede cambiar este valor, inclusive por días.

    Shared Users, es el número de usuarios que se pueden autenticar a la vez con una misma cuenta de usuario. Por seguridad, tendría que ser sólo uno.

    Rate Limit, es la velocidad a la que se le asignará a un usuario. rx/tx quiere decir upload/download, si se quiere limitar a 128k de subida y 512k de bajada, entonces se tendría que colocar, 128k/512k, cuando se activa esta opción, ya no es necesario limitar la velocidad por Simple Queue.

    Transparent Proxy, debe quitar este check si se ha configurado MikroTik webproxy siguiendo mis manuales.

    Se pueden crear y configurar tantos User Profiles como se necesiten, y asignarlos a la cuenta de usuario al que se le quiera aplicar, como en la imagen de abajo.

    [​IMG]

    Tener en cuenta que si se modifica un User Profile o se carga uno nuevo a un User, este no tendrá efecto hasta que el usuario se vuelva a autenticar, para eso hay que quitar al cliente desde IP -> Hotspot -> pestaña Active, y si se tiene activadas las Cookies, borrar la cookie desde IP -> Hotspot -> pestaña Cookies.


    Parte 5: Conociendo las otras pestañas (Opcional).

    Pestaña Active.

    IP -> Hotspot -> pestaña Active, veremos aquí la relación de cliente que se autenticaron en hotspot, ya sea escribiendo usuario y clave, autenticándose por MAC, o por trial.

    [​IMG]

    Si quieramos deautenticar a un cliente, sólo tendríamos que quitarlo de la lista con el botón remover ( - ), ya si se utiliza cookies, primero tendríamos que quitarlos de esa lista en IP -> Hotspot -> pestaña Cookies.

    Pestaña Hosts.

    IP -> Hotspot -> pestaña Hosts, veremos aquí la relación de todos las dispositivos que están conectadas a Hotspot, ya sea que estén autenticados o no, con o sin internet, e inclusive los bloqueados.

    [​IMG]

    Veremos al lado izquierdo de cada cliente, una letra o una combinación de letras, estas quieren decir.

    • A = Cliente Autenticado.
    • H = Cliente con IP obtenida por DHCP.
    • D = Cliente con IP fija o no obtuvo su IP por DHCP (del servidor).
    • P = Cliente Bypassed, que se le dió "tarjeta verde" para no pasar por hotspot, esto lo veremos en IP -> Hotspot -> pestaña IP Bindings.
    • B = Bloqueado por User Profile o por su propio User, ya sea porque su Session Time se ha acabado, porque fue bloqueado desde Advertise.
    Tener en cuenta que únicamente sólo tendrán internet los clientes que tengan la letra A o la letra P, ya sea que estén solas, o acompañados de otra letra.

    Pestaña IP Bindings.

    IP -> Hotspot -> pestaña IP Bindings, aquí podemos configurar que un cliente no necesite autenticación alguna, supongamos que tenemos conectado un aparato VoIP y como estos no pueden escribir usuario y password, sería conveniente utilizar IP Bindings.

    [​IMG]

    MAC Address, aquí colocaremos el MAC del aparato al que le daremos carta verde, ya sea un PC, un VoIP, un PS3, etc. Este paso puede ser opcional.

    Address y To Address, colocaremos 2 veces el mismo IP del cliente al que le dará carta verde.

    Type, elegiremos bypassed (hacer bypass al portal del hotspot)

    Tener en cuenta que sólo colocar el IP ses suficiente para dar carta verde a un cliente, pero si se especifica el MAC, entonces se estaría 'amarrando' el IP al MAC para dar mayor seguridad.

    Pestaña Walled Garden y Walled Garden IP List.

    IP -> Hotspot -> pestaña Walled Garden, ya sabemos que al tener portal cautivo, todas las páginas que intentemos visitar serán redireccionadas al portal cautivo, pero con Walled Garden podemos dar excepciones y asignar páginas permitidas para poder navegar en ellas sin estar autenticados. Aquí sólo nos limitamos a http y https.

    IP -> Hotspot -> pestaña Walled Garden IP List, Es lo mismo que lo anterior, salvo que aquí ya no trabajamos con http ó https, sino con directamente con IP's.

    Pestaña Cookies.

    IP -> Hotspot -> pestaña Cookies, si la opción cookie está activada en Server Profile, entonces veremos la lista de cookies generadas por todos los clientes autenticados. Si quisieramos deautenticar a un cliente, tendríamos que empezar borrando su cookie y luego sacarlo de IP -> Hotspot -> pestaña Active.

    [​IMG]

    Si se quiere profundizar aún más sonbre Hotspot, tendrían que leer su manual en la wiki (inglés) http://wiki.mikrotik.com/wiki/Manual:IP/Hotspot


    Saludos
    Última edición: 27 Mar 2014
    A ..:: Husky WiFi ::.. y geniostech les gusta esto.
  5. szac

    szac New Member

    Me Gusta recibidos:
    0
    Hasta que lo terminaste :eek:, hace como 2 semanas que lo veia como continuara

    Gracias por tu valiosa ayuda!
  6. nikodos

    nikodos Member

    Me Gusta recibidos:
    0
    Muy bueno +10 :D saludos
  7. leon200525

    leon200525 New Member

    Me Gusta recibidos:
    1
    Gracias ryohnosuke !!!!! aprendi mucho sobre hotspot y corregi varios errores graves en mi configuracion actual :D
    Eres mi dios en mikrotik... +10
    Espero ke sigas subiendo mas tutos y manuales...
    A ..:: Husky WiFi ::.. le gusta esto.
  8. deyhei

    deyhei New Member

    Me Gusta recibidos:
    0
    muy bueno amigo soy un pricipiante pero grasias a tus manueles pude configurar mi microtik :)
  9. santiago1985

    santiago1985 New Member

    Me Gusta recibidos:
    0
    Hola excelentes manueles los que han elavorado, he aprendido mucho sobre mikrotik gracias a ustedes, pero tengo uno duda tengo una red WIFI y quiero autenticar a mis clientes por MAC pero he hecho como explican y no me funciona por favor me podrían ayudar yo uso mikrotik 3.22, gracias y un saludo...
  10. darmak

    darmak New Member

    Me Gusta recibidos:
    0
    Amigo ryo como puedo configurar el hotspot para que funcione con balanceo de carga pcc
  11. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    115
    Necesitas hacer que tu balanceo sea compatible con este.

    Saludos.
  12. anderson

    anderson Member

    Me Gusta recibidos:
    0
    regularmente estoy modificando mi pagina de inicio colocando mensajes y algunas aplicaciones para ser descargadas desde la pagina por cualquier persona que se conecte a mi señal.

    pero la mayoria de mis usuarios no ven estas modificaciones ya que sus navegadores guardan sus login y passwords, como puedo hacer para que esto no suceda de tal forma que todos ellos tenga que autentificarse manualmente, recuerda la mayoria de ellos no limpian su historial de navegacion y cookis
  13. ibrahim1985

    ibrahim1985 New Member

    Me Gusta recibidos:
    0
    Amigo deshabilita los cookies Hotspot/Server Profile luego en Login y desmarca Cookie. Creo que eso soluciona lo que quieres.
  14. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    115
    En efecto, las cookies te están jugando mal. Ahí en el manual está explicada esa parte.

    Saludos.
  15. XMEN

    XMEN New Member

    Me Gusta recibidos:
    0
    Hola, al comienzo dice que no se utiliza para dar señal para ap y routers, si es asi entonces estoy en problemas ya que, doy internet wifi, pero con mac, y puse ese hotspot empecé a tener problemas con un cliente que tiene un ap como cliente y un cable baja a un router tplink, de ahi envia señal a varias laptops, soy un novato en estas cosas asi que, estoy en problemas actualmente y temo perder clientes por ese inconveniente, quisiera que me brinde su ayuda, uso un rb750, dijeron que vino configurado para bloquear p2p, pero donde se configuraba no habia esas reglas, los puse de otro manual. Gracias.
  16. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    115
    En realidad si lo configuras tal como está en el manual, no deberías de tener problemas, sería cosa que compares concienzudamente tu config con mi manual para así poder hacerlo igual.

    Saludos.
  17. darmak

    darmak New Member

    Me Gusta recibidos:
    0
    amigo ryo que pasa si de tras de un ap cliente tengo 9 pc conectados y mi authenticacion en hotspot es por mac, ¿se conectaran las 9 pc con la authenticacion por mac? una ayuda amigo k tengo problemas con esa authenticacion :(
  18. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    115
    Pues sería una GRAN desventaja en tu seguridad si usas autenticación por MAC con clientes detrás de un AP en modo cliente, en todo caso, deberías utilizar un enlace en WDS para que las MAC's de los clientes se muestren transparentemente.

    Saludos.
  19. enegraso

    enegraso New Member

    Me Gusta recibidos:
    0
    Hola, tengo configurado un hotspot como dice aquí. Pero mi sistema es así: Compu con RouterOS enviando a través de AP y los clientes reciben con un AP en modo cliente y su PC.
    Si configuro el Adress Pool en NONE no reciben IP los clientes (recién empiezo y solo tengo 2), y si le pongo el hs-pool-1 le da una IP al AP cliente y otra a la compu cliente (en este caso funciona, hasta ahora), pero a veces coloca a la compu el mismo IP del AP cliente y en ese caso no le solicita user y pass al cliente y no le da internet.
    Como puedo solucionarlo?
  20. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    115
    Si tu DHCP server está configurado, da igual si tienes Address Pool=none ya que el IP lo seguirá dando el DHCP server y no el hotspot.

    Saludos.

Compartir esta página