Anda di halaman 1dari 41

Libro de Estudio

NAS-HSM
RouterOS v6.36.0

HotSpot con MikroTik


RouterOS
por Mauro Escalante

Server, Server Profile, User, User Profile


Walled Garden, Walled Garden IP
IP Bindings, Directorio HTML

Introduccin a
HotSpot con
MikroTik RouterOS
v6.36.0.01
Libro de Estudio

ABC Xperts
Network Xperts
Academy Xperts

Derechos de autor y marcas registradas


Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo

Derechos de autor por Academy Xperts


Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier
medio ya sea este un auditorio, medio grfico, mecnico, o electrnico sin el permiso escrito del autor, excepto en los casos
en que se utilicen breves extractos para usarlos en artculos o revisiones. La reproduccin no autorizada de cualquier parte
de este libro es ilegal y sujeta a sanciones legales.

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS

Tabla de Contenido
Introduccin ......................................................................................................................................................... ii
Resumen .......................................................................................................................................................................... iii
Audiencia .......................................................................................................................................................................... iii
Convenciones usadas en este libro.................................................................................................................................. iii
Comentarios y preguntas ................................................................................................................................................. iii

Partners de Academy Xperts en Latinoamrica ............................................................................................... v


Empresas Asociadas ......................................................................................................................................................... v
Universidades e Institutos Superiores ............................................................................................................................... v
Deseas convertirte en Academia o ser Partner de Academy Xperts? .............................................................................. v
Un poco de Historia (Costa Rica) ..................................................................................................................................... vi
Cubriendo un Pas con MikroTik. ............................................................................................................................. vi

Detalle de cambios en las cinco ltimas versiones de RouterOS ................................................................ vii


v6.36, 20/Julio/2016, 14:09 ..................................................................................................................................... vii
v6.35.4, 09/Junio/2016, 12:02 .................................................................................................................................. xi
v6.35.3, 01/Junio/2016, 07:55 ................................................................................................................................. xii
v6.35.2, 02/Mayo/2016, 10:09 ................................................................................................................................. xii
v6.35.1, 26/Abril/2016, 09:29 ................................................................................................................................... xii

Captulo 1: Introduccin ..................................................................................................................................... 1


Sobre HotSpot .................................................................................................................................................................. 1
Limitantes: ................................................................................................................................................................ 1
Antes de la autenticacin ......................................................................................................................................... 1
Obteniendo una direccin ......................................................................................................................................... 2
Walled Garden .......................................................................................................................................................... 3
Mtodos de Autenticacin ........................................................................................................................................ 3
Autorizacin .............................................................................................................................................................. 4
Anuncios ................................................................................................................................................................... 4
Cuentas .................................................................................................................................................................... 4
Laboratorio 1 .................................................................................................................................................................... 5

Captulo 2: Users ................................................................................................................................................. 6


Users ................................................................................................................................................................................ 6
Laboratorio 2.1 ................................................................................................................................................................. 7
Laboratorio 2.2 ............................................................................................................................................................... 10

Captulo 3 ........................................................................................................................................................... 13
Cookies........................................................................................................................................................................... 13
Walled Garden................................................................................................................................................................ 13
Laboratorio 3.1 ............................................................................................................................................................... 14
Walled Garden IP ................................................................................................................................................... 14
Laboratorio 3.2 ............................................................................................................................................................... 15
IP Bindings ............................................................................................................................................................. 15
Laboratorio 3.3 ....................................................................................................................................................... 16
Service Port ............................................................................................................................................................ 16

Captulo 4 ........................................................................................................................................................... 17
HotSpot Server ............................................................................................................................................................... 17
HotSpot Server Profile ............................................................................................................................................ 17
Directorio HTML ..................................................................................................................................................... 17
Servicios de Paginas de Servlet ............................................................................................................................. 19
Variables ................................................................................................................................................................. 19
Descargar archivo HotSpot .................................................................................................................................... 21
Posibles mensajes de error .................................................................................................................................... 22

Captulo 5: Training ........................................................................................................................................... 24


Cursos de Certificacin MikroTik .................................................................................................................................... 24
MTCNA ................................................................................................................................................................... 24
MTCTCE ................................................................................................................................................................. 24
MTCWE .................................................................................................................................................................. 25
MTCUME ................................................................................................................................................................ 25
MTCRE ................................................................................................................................................................... 25
MTCINE .................................................................................................................................................................. 25

Academy Xperts

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS

Introduccin
MikroTik es una empresa que nace en Latvia (Letonia) en 1995 con el claro objetivo de proveer un sistema operativo de red
altamente robusto y eficiente al cual llam RouterOS en 1997. La evolucin del mismo llev a la creacin y lanzamiento al
mercado en el 2002 de un hardware que aprovechara al mximo sus grandes capacidades de multiprocesamiento simtrico
y multi-ncleo, este hardware es el RouterBOARD.
A lo largo de los aos a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes
por nuestros racks, siendo Cisco el referente, sin embargo siempre haba representado un costo ms o menos importante a
la hora de implementar una solucin de red ruteada en especial si se trataba de un ISP/WISP.
No es sino hasta hace una dcada aproximadamente en que MikroTik se empieza a hacer conocer en Latinoamrica y varios
emprendedores, y por sobre entusiastas, se vuelcan a la implementacin de soluciones basadas en RouterOS y
RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index Mxico (Ezequiel Garca) y REICO Costa Rica
(Miguel Sols) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y
gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letn en tierras americanas.
Estoy convencido de que MikroTik lleg no solo para quedarse sino para formar una parte muy importante en la historia del
networking y de las telecomunicaciones. De hecho, cientos de miles (quiz millones a esta fecha - Junio 2015) obtienen su
internet de banda ancha a un bajo costo a travs de una red ruteada gracias a que los proveedores de Internet, pequeos y
medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD.
Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeas, sino
que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamrica, rompiendo paradigmas de
fabricantes y costos de implementacin.
Este libro nace como un aporte a la comunidad tecnolgica de habla hispana y latinoamericana que ha decidido incursionar
en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta gua constituya una fuente
importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.

Mauro Escalante
CEO Academy Xperts
CEO Network Xperts

Academy Xperts

ii

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS

Resumen
Este libro busca promover el conocimiento de HotSpot MikroTik basado en experiencias que hemos encontrado en los
diferentes pases donde participamos.
Cada mes hayamos que la implementacin de HotSpot se realiza de una forma incorrecta y en situaciones que no son las
adecuadas. Por este motivo queremos difundir y ampliar el conocimiento entre la comunidad tecnolgica de habla hispana.
La informacin aqu presentada
www.youtube.com/abcxperts

se

complementa

con

nuestros

recursos

en

www.abcxperts.com

Este libro no pretende reemplazar la interaccin face-to-face con un instructor ya que su experiencia y conocimiento es
invaluable y nicamente explotable a travs del contacto interpersonal de un curso de certificacin. Sin embargo, todo el
material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas
que optan por leer un libro y estudiar a su propio ritmo.
Esta es la primera revisin dedicada a la versin 6.33.5. Las posteriores revisiones al material y a los nuevos releases de
RouterOS sern agregadas a esta edicin y estarn a disponibilidad de las personas que compren la suscripcin.
Tenemos una tarea inmensa por delante pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor gua
de autoestudio MikroTik.

Audiencia
Las personas que leen este libro deben estar familiarizados con:

Operaciones de red en Capa 2


Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP

Este libro est dirigido a:

Ingenieros y Tcnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a:

Redes Corporativas

Clientes WISP e ISP


Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalacin de redes
corporativa y PYMES
Ingenieros de Redes, Administradores de Red, Tcnicos en Soporte de Redes, y Tcnicos de Soporte a Usuario
(Help Desk)

Convenciones usadas en este libro


En este libro se utilizarn las siguientes convenciones tipogrficas:
Itlicas
Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, nfasis, y el primer uso
de trminos tcnicos
Courier new
Indica direcciones IP y ejemplos de lnea de comando
Courier new en itlica
Indica texto que puede ser reemplazado
Courier new en negrita
Indica datos de entrada del usuario
Este icono significa un consejo, sugerencia, o una nota general.

Este icono indica una advertencia o precaucin.

Comentarios y preguntas
Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente direccin:
Network Xperts S.A.
Av. Juan T. Marengo y J. Orrantia
Edificio Professional Center, Piso 5, Ofic. 507
Guayaquil, ECUADOR
+593-4-600-8590
+593-9-9535-2132

Academy Xperts

iii

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS

A travs del sitio web y por medio de su usuario y contrasea, tendr acceso a las actualizaciones, ejemplos, e informacin
adicional:
http://cursos.abcxperts.com
Puede enviarnos sus comentarios o preguntas tcnicas sobre este libro envindonos un email a:
libro@abcxperts.com
Para ms informacin sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite nuestros
Websites y canal de YouTube
http://www.abcxperts.com
http://www.academyxperts.com
http://www.youtube.com/abcxperts

Academy Xperts

iv

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS

Partners de Academy Xperts en Latinoamrica


Nuestro recorrido por Amrica Latina nos ha comprometido de una manera muy importante con nuestros alumnos, amigos
y socios. Y este compromiso conlleva la enorme responsabilidad de estar siempre a la vanguardia, de presentar a nuestros
estudiantes el mejor y ms completo material de estudio & laboratorio, y lo que es muy importante que el contenido siempre
est actualizado.
Nos encantara estar presente en cada uno de los 14 pases y las ms de 40 ciudades que recorremos todos los aos, pero
el tiempo y la disponibilidad fsica nos es un obstculo.
Por este motivo hemos desarrollado un esquema de Partnership con empresas, universidades e institutos superiores en
diferentes pases que trabajan junto con nosotros en sus respetivos ambientes, y que entregan a sus estudiantes el contenido
y el acceso a la suscripcin anual de este libro (y todos sus recursos) por un cmodo valor.

Empresas Asociadas

Universidades e Institutos Superiores

Deseas convertirte en Academia o ser Partner de Academy Xperts?

Si eres Universidad o Instituto Superior que cuenta con el respectivo acuerdo ministerial de tu pas, puedes
optar por convertirte en una Academia MikroTik. Escrbenos a libro@abcxperts.com para darte ms informacin.
Si eres Trainer Partner y quieres explotar junto a tus alumnos nuestro material y portal de capacitacin, te
invitamos escribirnos a mescalante@academyxperts.com para proporcionarte los detalles.
Si deseas que organicemos cursos en tu ciudad/pas de residencia, escrbenos a cursos@academyxperts.com

Academy Xperts

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS

Un poco de Historia (Costa Rica)


Cubriendo un Pas con MikroTik.
En el ao 1998, estando en una empresa de servicios pblicos en Costa Rica, el Ing. Miguel Sols en conjunto con el Ing.
Paulino Solano, comenzaron a utilizar MikroTik con gran xito en las telecomunicaciones de esta empresa. Se lograron 2
Mbps en una distancia de 8 Km, una velocidad record para aquellos tiempos en que la velocidad rondaba los 256 Kbps.
En esta empresa de Servicios Pblicos, se logr la interconexin de 52 sucursales mediante tecnologa inalmbrica, todas
bajo la misma marca MikroTik y su sistema operativo RouterOS.
Dado el xito alcanzado en este proyecto, ambos ingenieros en conjunto con uno ms llamado Olman Gonzlez, decidieron
formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no fuera factible o
se necesitara ms velocidad. Esta empresa fue nombrada Redes Inalmbricas de Costa Rica S.A (REICO).
Es as como a la fecha (Julio 2015), REICO, con solo Miguel Sols como propietario, tiene el liderato en telecomunicaciones
inalmbricas en el pas Centroamericano Costa Rica. REICO posee ms de 3,800 Km de red troncal inalmbrica y ms de
80,000 Km de red de acceso. Posee ms de 100 radio bases instaladas estratgicamente para alcanzar una cobertura de
ms del 80% del territorio y a ms del 90% de la poblacin.
La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales,
tursticos, comerciales, etc.
Su plataforma tiene una particularidad nica en el mundo, con sus ms de 1,000 clientes corporativos y empresariales y sus
ms de 1,500 equipos de acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA MIKROTIK.
REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con
grandes de las telecomunicaciones y aun as mantiene una posicin privilegiada, siendo el cuarto operador en Costa Rica
en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA pero por encima de Claro,
Telefnica, Cables & Wireless, etc. Esto segn el ltimo informe de Estadsticas del Sector de Telecomunicaciones de Costa
Rica 2014.

Texto desarrollado por el Ing. Miguel Sols, a quien agradezco por su aporte histrico
sobre los inicios de MikroTik en Latinoamrica.

Academy Xperts

vi

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS

Detalle de cambios en las cinco ltimas versiones de


RouterOS
Para una revisin ms amplia del histrico de cambios en la versin 6.x le recomendamos visitar el siguiente link:
http://abcxperts.com/index.php/bitacora-de-cambios

v6.36, 20/Julio/2016, 14:09


address
-

Permite que se agreguen mltiples direcciones IP ya sea que ninguna o solo una est habilitada

address-list
- Hace que la opcin dynamic=yes sea de solo lectura (read-only)
arm
- Se agreg el soporte para el Dude Server
- Se corrigi una falla de kernel cuando se tiene baja memoria
arp
- Se agreg la opcin arp-timeout por interface
bonding
-

Se corrigi el modo de balanceo de carga 802.3ad sobre tneles


Se corrigi la asignacin del esclavo primario del bonding para interfaces OPVN despus del arranque
Se corrigi un problema de cada en la transmisin del trfico RoMON
Se implement que el valor l2mtu sea ms pequeo que las interfaces l2mtu esclavas.

capsman
- Se corrigi un problema de cada cuando se ejecutaba sobre OVPN
certificate
- Se agreg un retardo de renovacin automtica scep despus del arranque para evitar todos los requerimientos de
acceso CA al mismo tiempo
- Se cancela la renovacin pendiente cuando el certificado vlido despus del cambio de fecha
- Se muestra el emisor y el asunto (subject) en una falla de chequeo
- No se sale despus de un card-verify
- Se fuerza la renovacin scep en las actualizaciones del reloj del sistema (system clock)
chr
- Se corrigi un problema en el CHR en el que estaba viendo su propio disco de sistema montado como un disco de
datos adicional
clock
- Se corrigi un problema de tiempo que tenan los equipos SXT ac, 911L, cAP, mAP lite, wAP
- Se graba el tiempo actual a la configuracin una vez por da, incluso si no hay ajustes de zona de tiempo (time zone)
pendientes
cloud
- Se corrigi el orden del export
console
- Se corrigi un problema en que obtena una funcin falsa

Academy Xperts

vii

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS

- Se muestra la fecha del mensaje en los mensajes de log echo


defconf
- Se cambi la extensin del canal a 20/40/80mhz para todas las tarjetas ac
dhcp-pd
- Se corrige el lista de servidor por lnea de comandos
dhcp-server
- Se corrigi un problema de adicin de una ruta enmarcada como radius despus de hacer reboot en la renovacin de
un cliente
dhcp6-client
- Se corrigi una validacin de ia lifetime cuando es configurado por el cliente dhcpv6
dhcpv6-relay
- Se configura el paquete link-address nicamente cuando se configura manualmente
dhcpv6-server
- Se corrigi el binding de la ltima actualizacin vista (last-seen update)
disk
- Se agreg soporte para Plextor PX-G128M62(A) SSD en CCR1072
dude
- Los cambios se discuten en este link: http://forum.mikrotik.com/viewtopic.php?f=8&t=110428
- El paquete del server se ha hecho ms pequeo. La actualizacin del contenido del lado del cliente ahora se remueve
de l, y es descargado directamente desde nuestra nube. Por lo tanto las estaciones de trabajo en el lado del cliente
requerirn acceso WAN. Se puede realizar una actualizacin alternativa reinstalando el cliente en cada nuevo release.
email
- Se corrigi el problema de envo desde Winbox
- Se removi el lmite de longitud del asunto (subject) y del cuerpo (body) del mensaje
ethernet
-

Se corrigi un problema de falla de memoria cuando se configura la interface sin cambiar la configuracin
Se corrigi un problema de velocidad de enlace incorrecta en ether1 despus de hacer reboot en los routers de la
serie rb4xx

fastpath
-

Se corrigi un problema de falla del kernel cuando el fastpath maneja el paquete con multicast dst-address

fetch
-

Se agreg soporte tls para las extensin del nombre de host

firewall
-

No se muestra el parmetro disabled=no en un export


Se agregaron los connection tracking helpers udplite, dccp, sctp
Se corrigi el deletreo del comentario construido en el firewall
Se agreg el men /interface list con el cual se permite crear una lista de interfaces que puede ser usado como un
matcher in/out-interface-list en el firewall y utilizarlo como un filtro en traffic-flow
Se agreg el filtro pre-connection tracking raw table, que permite proteger el connection tracking de trfico
innecesario
Se permite agregar un nombre de dominio al address-list (las entradas dinmicas para las direcciones resultas se
agregarn a la lista especificada)

gps
-

Se corrigi un problema en la parte de longitud segundos

health
-

Se corrigi un problema de fbrica en la data de calibracin de voltaje para algunas tarjetas hAP ac
Se corrigi un problema de voltaje incorrecto despus de que se ejecutaba un reboot en un RB2011UAS

icmp
-

Se corrigi un problema de fallo en el kernel cuando el paquete icmp no poda procesarse cuando haba una alta
carga

ippool6
-

Se corrigi un problema de cada en la adquisicin cuando la longitud de prefijo es igual que la longitud de prefijo del
pool

ipsec
-

Se corrigi un problema en mode-config export

Academy Xperts

viii

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS

Se corrigi un problema de desborde de route cache cuando se utiliza ipsec con el route cache deshabilitado
Se agreg la excepcin de deteccin del dead ph2 para Windows msgid que no es compatible con el rfc
Se agreg la deteccin de dead ph2 reply
No se registra temporalmente el ph2 en el dead list
Se corrigi un problema en el iniciador modecfg dynamics dns
Se corrigi el AH con SHA2
Se corrigi un problema en el chequeo antes de accesar a las opciones ph1 nat
Se corrigi un problema de chequeo en Windows msgid en dispositivos x86
Se muestra la direccin peer remota en los mensajes de error cuando sea posible
Se almacena el tipo de encapsulacin udp en proposal

kernel
-

Se corrigi un posible problema de punto muerto cuando se utiliza el modem Sierra USB

l2tp
-

Se corrigi un problema de cada cuando se hace reboot o se deshabilita el l2tp mientras hay todava conexiones
activas

lcd
-

Se redujo el valor ms bajo del backlight-timeout de 5 minutos a 30 segundos

license
-

No expira la licencia demo despus de una instalacin nueva de x86

log
-

Se agreg la opcin scep certificate chain print


Se increment el umbral de advertencia por excesivo multicast/broadcast cada vez que es enviado a bitcora (log)
Se hace que el proceso de logging sea menos agresivo al arranque

lte
-

Utiliza nicamente creg result codes como indicadores de estatus de red


Se agreg la opcin allow-roaming para dispositivos Huawei MU709, ME909s
Se agreg soporte para cinterion pls8
Se agreg soporte para Huawei E3531
Se agreg soporte para ZTE ZM8620
Se agreg la opcin use-peer-dns (trabajar nicamente combinado con add-default-route)
Se cambi la carga del driver para dispositivos rndis usb clase 2
Se muestra el mensaje en lte, error log si no se recibe respuesta
Se muestra el mensaje en lte, error log cuando se requiere PIN
Se corrigi un problema de cada en SXT LTE cuando se resetea la tarjeta en alto trfico
Se corrigi la tecnologa de acceso logging
Se corrigi la conexin para Huawei sin la info celular
Se corrigi el modem init cuando se presenta el requerimiento de pin
Se corrigi el chequeo de versin de configuracin de red del modem
Se corrigi el soporte network-mode despus de hacer un downgrade
El Huawei MU609 debe usar el ltimo firmware para trabajar correctamente
Se mejor la identificacin de mltiples mdems del mismo modelo
Se muestra el uicc para mdems Huawei

mesh
-

Se corrigi un problema de una cada cuando la conexin referencia a una red mesh pero que ya no est
disponinble

modem
-

Se agreg soporte para Alcatel OneTouch X600


Se agreg soporte para Quectel EC21 y EC25
Se agreg soporte para modem SpeedUP SU-900U

nand
-

Se mejor la caracterstica de nand refresh para mejorar la integridad de la data almacenada

ovpn
-

Se habilit el soporte perfect forwarding secrecy por default


Se corrigi la compatibilidad con OpenVPN 2.3.11

pppoe
-

Se permite configurar el MTU y MRU ms alto que 1500 para PPPoE


No se permite enviar paquetes ms grandes que l2mtu si se provee el mrru

proxy

Academy Xperts

ix

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS

Se limita el uso mximo de ram a 80% para dispositivos tile y x86

queue
-

Se resetea el queue type en las interfaces en las cuales el default queue type cambia a no-queue despus del
upgrade

rb2011
-

Se corrigi el flapping ether6-ether10 cuando dos puertos de ambos switch chips estn en el mismo bridge

rb3011
-

Se corrigi un problema de port flapping en las interface ether6-ether10


Se corrigi un problema de funcionabilidad en el botn reset
Se mejor el desempeo cuando existe un alto uso del CPU
Se corrigi un problema de carga del driver usb
Se corrigi un problema de montaje del almacenamiento usb

route
-

Se agreg soporte para ms de 8 bits de opciones


Se corrigi un problema en ospf manejando prefijos ipv6 codificados con stray bits

sniffer
-

Se corrigi un problema de matching de direccin ipv6

snmp
-

Se corrigi la funcin get para snmp >= v2 cuando el oid no existe


Se corrigi las estadsticas de interface de MikroTik MIB
Reporta la tecnologa de acceso actual y el cell id de los mdems lte
Reporta la memoria ram como ram en lugar de otro tipo de memoria

ssh
-

Se agrega el parmetro rsa host key size

ssh-keygen
-

Se agrega el parmetro rsa key size

ssl
-

No se sale mientras hay todava sesiones activas


Se corrige una fuga de memoria en ssl connect/disconnect (Fetch, ovpn, etc.)

sstp
-

Se corrige el soporte de nombre dns en el campo connect-to si se especifica el http-proxy

supout
-

Se elimina apropiadamente la data de pnico en Netinstall

switch
-

Se corrigi el switch compact export

timezone
-

Se actualiza la informacin del timezone de release tzdata2016e

traffic-flow
-

Se agreg el soporte ipfix (RFC5101 y RFC5102)

tunnel
-

Se agreg la opcin para auto detectar la local-address del tnel


Se corrigi un raro problema de cada cuando se especificaba una longitud de cabecera mnima inmediatamente en
la inicializacin del tnel

upnp
-

Se corrigi la regla de nat dst-nat hacindola visible nuevamente

usb
-

El dongle usb hub/ethernet I-tec U3GLAN3HUB ahora se muestra correctamente como una interface ethernet
Se implement la posibilidad de reconocer los dongles usb hubs/ethernet (si los usb hubs/ethernet-dongles no son
reconocidos en esta versin, por favor enviar un archivo supout.rif)

userman
-

Se corrigi un problema de cada en la carga de la base de datos


Se usa ipnpb.paypal.com para la verificacin de pago

wap-ac

Academy Xperts

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS

Se corrigen problemas de desempeo con wireless 2.4GHz (se requiere un reboot adicional despus de hacer el
upgrade)

webfig
-

No se permite presionar OK o Apply si los valores actuales de configuracin todava no se han cargado
Se reduce el tiempo de refresh de la tabla de registro wireless a 1 segundo

winbox
-

Se agreg la banda 2ghz-g/n para wireless-rep


Se agregaron los conos para las acciones de bridge filter similar a ip firewall
Se agreg soporte para ipv6 dhcp relay
Se permite reordenar las reglas de hotspot walled-garden & walled-garden-ip
No se permite especificar vlam-mode=no-tag en capsman datapath config
No se muestra el filtro para los campos combinados como bgp-vpn4 RD
No se muestra la configuracin de modo para las interfaces WDS
Se corrige un problema de cada en la desconexin en modo seguro
Se corrige un problema de cada cuando se usa ctrl+d
Se corrige un problema en el modo safe
Se mejora el filtrado en los campos de lista
Se reporta correctamente los usuarios de Dude en la lista de usuarios activos
Se configura por default el valor de sa-learning a yes para las reglas CRS Ingress VLAN Translation
Se muestra la columna de accin como primera en bridge firewall
Se muestra error cuando telnet no est permitido debido a permisos

wireless
-

Se corrigi un problema en que mltiples paquetes wireless se habilitaban al mismo tiempo despus del upgrade
Se descontina wireless-fp. Es necesario que se desinstale/deshabilite antes de hacer el upgrade

wireless-rep
-

Se agreg el soporte inicial API para snooper


Se corrigi un problema de cada al reconectar nv2
Se corrigi un problema en un scan-list no configurado
Se trata el elemento missing SSID como hidden SSID

v6.35.4, 09/Junio/2016, 12:02


address-list
-

Se hizo que dynamic=yes sea una opcin read-only (solo lectura)

bonding
-

Se corrigi un problema en el modo de balanceo 802.3ad sobre tneles


Se corrigi un problema de asignacin del esclavo en el bonding primario para interfaces OVPN uego de que se
inicia
Se corrigi un problema de cada en la transmisin de trfico RoMON

dhcpv6 client
-

Se corrigi un problema de validacin ia lifetime cuando se configura por el cliente dhcpv6

disk
-

Se agreg soporte para Plextor PX-G128M6e(A) SSD en el CCR1072

ethernet
-

Se corrigi un problema de falla de memoria cuando se configura la interface sin cambiar la configuracin

firewall
-

No se muestra el parmetro disabled=no en un export

health
-

Se corrigi un problema de fbrica en la data de calibracin de voltaje para algunas tarjetas hAP ac
Se corrigi un problema de voltaje incorrecto despus de que se ejecutaba un reboot en un RB2011UAS

ipsec
-

Se corrigi un problema en mode-config export


Se corrigi un problema de desborde de route cache cuando se utiliza ipsec con el route cache deshabilitado

lte
-

Utiliza nicamente creg result codes como indicadores de estatus de red

ovpn
-

Se habilita el soporte perfect forwarding secrecy por default

rb3011
Academy Xperts

xi

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS

Se corrigi un problema de port flapping en las interface ether6-ether10


Se corrigi un problema de funcionabilidad en el botn reset
Se mejor el desempeo cuando existe un alto uso del CPU

v6.35.3, 01/Junio/2016, 07:55


Fue un release nicamente de fbrica

v6.35.2, 02/Mayo/2016, 10:09


discovery
-

Se corrigi un problema del descubrimiento de identidad (se introdujo en v6..35.1)

firewall
-

Se corrigi un problema en las configuraciones de polticas de ruteo (se introdujo en v6.35rc38)

log
-

Se corrigi un problema de ajuste del time zone (se introdujo en v6.35.1)

queue
-

Se corrigi un problema del queue type en la interface para tneles OVPN

snmp
-

Se corrigi un problema de timeout snmp (se introdujo en v6.35.1)

vrrp
-

Se corrigi un problema de interfaces vrrp perdidas despus de hacer un upgrade (se introdujo en v6.35.1)

v6.35.1, 26/Abril/2016, 09:29


bonding
-

No se corrompen las estadsticas bonding en los cambios de configuracin


Se corrigi un problema de cada cuando el MTU de la VLAN padre es ms alto que el MTU del bonding

ethernet
-

No se permite que el MTU sea ms alto que el L2MTU, y que el L2MTU sea ms alto que el MAX-L2MTU (se reduce
automticamente en el upgrade si es que estaba equivocado anteriormente)

log
-

Se corrigieron los mensajes de log en el reboot

LTE
-

No se permiten configurar mltiples modos cuando no est soportado


Se corrigi la adquisicin de direccin (address acquisition) en las interfaces Huaweii LTE

winbox
-

Se muestra el voltaje en Health nicamente si es el monitor de voltaje

wireless
-

Se corrigi un problema cuando el CAPsMAN poda bloquear la interface CAPs

Academy Xperts

xii

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 1: Introduccin

Captulo 1: Introduccin
Caractersticas, Limitantes, Mtodos Autenticacin

Sobre HotSpot
HotSpot es una manera para que usuarios autorizados puedan acceder a los recursos de alguna red, pero sin cifrado de
datos.
Para poder hacer Login el usuario debera tener un navegador web (cualquier protocolo HTTP o HTTPS). No se requerir
ninguna instalacin de software adicional. El cliente estar conectado por un lmite de tiempo y se le podr asignar un ancho
de banda para cada usuario que se conecte. El gateway contabiliza el tiempo de espera y la cantidad de trafico de cada
cliente que han usado. Y tambin puede enviar informacin a un servidor RADIUS. El sistema de HotSpot podra limitar la
tasa de bits, la cantidad total de trfico, tiempo de espera y entre otros parmetros para cada uno de los usuarios.
El Sistema HotSpot es dirigido para proveer autenticacin sin una red local (para los usuarios de la red local que desean
acceder a Internet), pero es usado para autorizar acceso desde redes exteriores y que puedan acceder a los recursos locales
(como autenticacin de gateway para que el mundo exterior accede a tu red).
Tiene caractersticas como:

Proveer autenticacin antes de acceder a una red


Usuarios + contraseas
Aplicado a redes Wireless o Ethernet
Pantalla de Login personalizada (.html)
Acceder a ciertas paginas sin autenticacin
Diferentes mtodos de autenticacin
Base de datos local
RADIUS Server Remoto

Lugares de implementacin:

Lugares pblicos
Aeropuertos
Bibliotecas
Mall
Cafeteras
Hoteles
Escuelas
Empresas

Limitantes:
Debemos tener en cuanta una caracterstica muy importante al momento de querer implementar una red con hotspot:

Cantidad de usuarios que se estaran conectando a la red


Tener un buen ancho de banda para nuestra red
Tener una licencia adecuada en nuestro dispositivo donde va a ser configurado el servidor de HotSpot.

Equipos MikroTik con licencia nivel 4 nos permitir tener 200 usuarios activos.
Equipos MikroTik con licencia nivel 5 nos permitir tener 500 usuarios activos.
Equipos MikroTik con licencia nivel 6 nos permitir tener un nmero ilimitado de usuarios activos.

Antes de la autenticacin
Cuando se habilitada HotSpot en la interfaz, el sistema automticamente establece todo lo que se necesita para mostrar la
pgina de login a todos los clientes que no estn conectados. Esto es hecho agregando una regla dinmica de destination
NAT, el cual se puede observar en el sistema de HotSpot que ese est trabajando. Estas reglas son necesarias para
redireccionar todos los requerimientos HTTP y HTTPS de usuarios no autorizados a la autenticacin proxy de HotSpot.

Academy Xperts

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 1: Introduccin

Entre los ajustes ms comunes, abrir cualquier pgina HTTP que traiga la pgina de login de server HotSpot (el cual puede
ser ampliamente personalizado). El comportamiento de un usuario normal es abrir pginas web por los nombres de DNS,
una configuracion valida de DNS debera ajustarse al gateway de HotSpot (es posible volver a configurar el gateway si este
no ser requerido en la configuracion de DNS local, pero como configuracion es poco prctico y no es muy recomendado).
La configuracin de hotspot crea de forma Automtica reglas dinmicas de dst-nat (destination nat). Estas reglas son
necesarias para re-direccionar a los usuarios que no estn autorizados.

Deniega las conexiones de usuarios no autorizados y denegara todo tipo de proceso hasta que el usuario se autentique en
el servidor HotSpot.
Todas las reglas de permitir o denegar que se crean en las opciones como Walled Garden IP sern agregadas a las reglas
de Filtros de Firewall.

Obteniendo una direccin


Primero el cliente debe obtener una direccin IP. Se debe poner al cliente una direccin esttica u obtenerla desde un
servidor DHCP. El servidor DHCP puede proveer una forma de ligar las direcciones Ip a las direcciones MAC de los clientes,
si es requerido. El sistema HotSpot no tiene cuidado de como el cliente obtiene una direccin antes de acceder a la pgina
de login de HotSpot.
Adems, el servidor HotSpot automticamente y transparentemente cambia cualquier direccin Ip (significa realmente
cualquier direccin IP) de un cliente a una direccin vlida que no es usada desde la seleccin del pool de direcciones IP. Si
un usuario puede obtener su conexin a internet trabajando en su red HotSpot. Esta caracterstica da la posibilidad de
proveer acceso a la red (por ejemplo, accesos a Internet) a clientes mviles que no se encuentren dispuestos (o estn
rechazados, no calificados aun o de otra manera deshabilitados) para cambiar los ajustes de su red. Los usuarios que no se
dan cuentan de la traduccin (por ejemplo, all no estar cualquier cambio en las configuraciones de los usuarios), pero el
mismo router vera completamente diferente (que actualmente se ajusta en cada cliente) la direccin Ip origen en los paquetes
enviados desde los clientes (siempre que la tabla de firewall mangle vea la traduccin de direcciones). Esta tcnica es
llamada one-to-one NAT, pero tambin es conocida como cliente universal as fue llamado en la versin 2.8 de RouterOS.
One-to-one NAT acepta cualquier conexin entrante desde una interfaz de red conectada y el desempeo de la traduccin
de direcciones esto hace que los datos sean ruteados a travs del estndar de redes Ip. Los clientes deberan de usar
cualquier pre configuracin de direcciones. Si las caractersticas de one-to-one NAT es ajustar la traduccin de las
direcciones de los clientes a una direccin Ip pblica. Este NAT cambia la direccin origen de cada paquete solo despus

Academy Xperts

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 1: Introduccin

de que es recibido por el router (esto es como NAT origen que se desempea en la ruta del paquete, siempre y cuando la
tabla de firewall mangle, la cual normalmente ve los que los paquetes recibidos estn inalterados, solo puede ver la
traduccin de direcciones).
Tener en cuenta que el modo arp debe estar habilitado en la interfaz que se est usando one-to-one NAT.

Walled Garden
Walled Garden es una herramienta usada para dar acceso a ciertos servicios en la red sin la necesidad de una autenticacin.
Configurando las caractersticas de Walled Garden, es posible permitir a los usuarios acceder a ciertas pginas web sin la
necesidad de una autenticacin.
No se requiere autorizacin para ciertos servicios (por ejemplo, permitir a los clientes acceso al servidor web de tu compaa
sin registrarse) o siempre que se requiera autorizacin solo a un numero de servicios (por ejemplo, para ciertos usuarios que
se le permita el acceso a un servidor de archivos interno u otras restricciones del rea). Esto se puede hacer estableciendo
el Sistema de Walled Garden.
Cuando no hay ningn requerimiento de que un usuario ha accedido a un servicio permitido en la configuracion de Walled
Garden, el HotSpot gateway no es interceptado o en el caso de HTTP simplemente redirecciona los requerimientos al destino
original. Otros requerimientos son redireccionados al server HotSpot (infraestructura de las pagina de login). Cuando un
usuario accedi, no tiene ningn efecto en la tabla.
En los requerimientos de HTTP de Walled Garden se usa un servidor proxy embebido (/ip proxy). Esto significa que todos
los parmetros de configuraciones del servidor proxy tambin sern efectivos para los clientes de Walled Garden (tanto como
para todos los clientes que tienen habilitado un proxy transparente).
Por ejemplo:

Clientes que quieran acceder al servidor web de la compaa


Clientes pueden ingresar a un servidor de archivos
Tener acceso a ciertas pginas web
Ms adelante veremos detalles con configuracin.

Mtodos de Autenticacin
Tenemos 6 mtodos, podemos usar uno o ms simultneamente:

HTTP PAP: mtodo simple, el cual muestra la pgina de login HotSpot y se espera obtener la informacin de
autenticacin (nombre de usuario y contrasea) en texto plano. Nota: las contraseas no son encriptadas cuando
transferidas en la red. Otro uso de este mtodo es la posibilidad de informacin de autenticacin no modificable en
la pgina de login de servlet simplemente creando el link apropiado.
HTTP CHAP: mtodo estndar, el cual incluye el CHAP en la pgina de login. El hash de CHAP MD5 es usado
junto con contraseas de usuarios para calcular el string el cual ser enviado al gateway HotSpot. El resultado de
(como una contrasea) junto con el nombre de usuario es enviado a travs de la red al servicio HotSpot (adems,
la contrasea nunca es enviada en texto plano a travs de la red IP). En el lado del cliente, el algoritmo de MD5
algoritmo es implementado en JavaScript applet, adems si el navegador no soporta JavaScript (como, por ejemplo,
Internet Explorer 2.0 o algunos navegadores PDA) o el JavaScript esta deshabilitado, esto no podr autenticar a
los usuarios. Tambin es posible permitir que se desencripte las contraseas para que sean aceptadas habilitando
el mtodo de autenticacin HTTP PAP, pero esto no es recomendado (debido a las consideraciones de seguridad)
usar esta caracterstica.
HTTPS: lo mismo como HTTP PAP, pero usando el protocolo SSL para transmisiones encriptadas. El usuario
HotSpot solo enva su contrasea sin ningn hashing adicional (nota: ya no es necesario preocuparse acerca de
las contraseas en texto plano expuestas en la red, la transmisin es encriptada). En otro caso, el mtodo HTTP
POST (si no es posible, luego de obtener el mtodo HTTP) es usado para enviar datos al gateway HotSpot.
HTTP cookie: despus de cada exitoso login, una cookie es enviada al navegador web y la misma cookie es
agregada para activar la lista de HTTP cookie. La prxima vez que el mismo usuario intente conectarse, el
navegador web enviara la cookie HTPP que se guard. Esta cookie ser comparada con la una que se almaceno
en el gateway HotSpot y solo si la direccin MAC origen y aleatoriamente genera un ID que la compara con la una
que esta almacenada en el gateway, el usuario automticamente se conectara usando la informacin de login
(nombre de usuario y contrasea) fue usado cuando la cookie fue la primera vez generada. De otra manera, el
usuario se conectar y en el caso de una autenticacin exitosa, la antigua cookie ser removida de la lista de cookie
active de HotSpot local y la nueva con diferente ID aleatorio y el tiempo de expiracin ser agregado a la lista y
enviado al navegador web. Esto es posible borrando la cookie en el usuario manualmente salido del login (no en
las pginas del servidor por defecto, pero puede modificarlo para tener un mejor desempeo). Este mtodo puede
solo ser usado junto con los mtodos de HTTP PAP, HTTP CHAP o HTTPS.
MAC address: para la autenticacin mediante la Mac address sin la necesidad de un username.
Trial: se les permite a los usuarios usar el servicio free de cargo por cierto periodo de tiempo de evaluacin, y es
requerido autenticarse solo despus que el periodo ha terminado. HotSpot puede ser configurado para permitir
cierta cantidad de tiempo por direccin MAC para que sea libremente usado sin limitaciones impuestas por el user
profile. En el caso que permanezca Ia direccin y tenga cierto tiempo de inactividad, la pgina de login contendr
el link para el rial login. El tiempo automticamente se resetea despus de configurar cierta cantidad de tiempo (por
ejemplo, cualquier direccin MAC puede usar 30 minutos al da sin la necesidad de registrarse).

Academy Xperts

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 1: Introduccin

MAC Cookie: es una nueva caracterstica de Hotspot diseada para los dispositivos como Smartphones, laptops y
gadgets.

HotSpot puede autenticar usuarios consultando usuarios de la base datos local o en el servidor RADIUS (la base de datos
local es primero consultada, luego al servidor RADIUS). En el caso de HTTP cookie la autenticacin va servidor RADIUS,
el router enviara la misma informacin al servidor que fue usado donde la cookie fue generada primero. Si la autenticacin
es hecha localmente, se usa el profile correspondiente a ese usuario, de otra manera (en el caso de RADIUS la contestacin
no contiene el grupo para el usuario) el profile por defecto es usado para ajustar los valores por defecto para los parmetros.

Autorizacin
Despus de la autenticacin, el usuario obtiene acceso a Internet y recibe algunas limitaciones (el cual es un profile de un
usuario especifico). HotSpot tambin utiliza one-to-one NAT para el cliente, adems un usuario en particular podra recibir
siempre la misma direccin IP de la PC que est trabajando.
El Sistema automticamente detecta y redirecciona los requerimientos a un servidor proxy, a un cliente que est usando al
servidor proxy que esta embebido en el router.
La autorizacin puede ser delegada a un servidor RADIUS, el cual entrega similares opciones de configuraciones como base
datos local. Para cualquier usuario que solicite autorizacin, un servidor RADIUS obtiene la primera consulta, y si no recibe
alguna respuesta, la base de datos local es examinada. El servidor RADIUS enva un requerimiento de cambio de
autorizacin acordando con los estndares para alterar los parmetros previamente aceptados.

Anuncios
El mismo proxy es usado para proveer a los clientes no autorizados para las facilidades de Walled-Garden, tambin es usado
para usuarios autorizados para mostrarles anuncios. El proxy transparente para usuarios autorizados permite monitorear
requerimientos http de clientes y toma varias acciones si se requiere. Esto habilita la posibilidad de abrir el status de la
pgina siempre si el cliente est conectado por direccin mac.
Cuando el tiempo ha llegado a mostrar el anuncio, el servidor redirecciona el navegador web del cliente al status de la pgina.
Solo los requerimientos, los cuales proveen contenido html, son redireccionados (imgenes y otros contenidos no se vern
afectados). El status de la pgina muestra el anuncio y el prximo intervalo del anuncio es usado para programar el prximo
anuncio. Si el status de la pgina esta deshabilitado para mostrar un anuncio para configurar el tiempo de espera empezando
desde ese momento, cuando el horario es mostrado, el acceso del cliente es bloqueado dentro de walled-garden (solo para
clientes que no son autorizados). El cliente es desbloqueado cuando el horario de la pgina muestra la finalizacin.
Mientras que el cliente es bloqueado, FTP y otros servicios no sern permitidos. Esto requiere que el cliente abra un anuncio
por cualquier actividad en internet no especializada permitido por Walled-Garden.

Cuentas
El Sistema HotSpot implementa la contabilizacin internamente, no se requiere hacer algo en especial para trabajar. La
informacin contabilizada por cada usuario es enviada al servidor RADIUS server.
Men de configuraciones

ip Hotspot: Servidores HotSpot en interfaces particulares (un servidor por interfaz). El servidor HotSpot debe ser
agregado en este men en orden para que el Sistema HotSpot trabaje en una interfaz.
Profile: lista dinmica de los hosts activos en la red en todas las interfaces HotSpot. Aqu tambin se puede
encontrar las direcciones ip bindings de one-to-one NAT.
Host: lista dinmica de los hosts activos en la red en todas las interfaces HotSpot. Aqu tambin se puede encontrar
las direcciones ip bindings de one-to-one NAT
Ip-Bindings: darle acceso a un host o Red a internet sin pasar por las reglas de Hotspot
Service-port: Helpers para one-to-one NAT
Walled-garden: reglas de Walled Garden para los niveles de HTTP (nombres de DNS, requerimientos de
substrings de HTTP)
Walled-garden-ip: reglas de Walled Garden a nivel de IP (direcciones IP, protocolos IP).
User: sistema de base de datos local
User profile: profiles de los usuarios del Sistema local de HotSpot (grupos de usuarios).
Active: lista dinmica de los usuarios hotspot autenticados.
Cookie: lista dinmica de todas las cookies HTTP validas

IP HotSpot
Este men es diseado para manejar los servidores HotSpot en el router. Es posible ejecutar un HotSpot en Ethernet,
wireless, VLAN e interfaces bridge. Solo un servidor HotSpot es permitido por interfaz.
HotSpot Setup
Usar /ip hotspot setup para la configuracin de un servidor hotspot, Recomendado!!
Todos los ajustes de configuracin pueden ser agregados manualmente.
Antes de realizar la configuracin del servidor HotSpot debemos tener en cuenta ciertos detalles como:

El dispositivo que vamos a configurar con servidor HotSpot debe tener salida a internet.
Debe tener configurada una IP valida en la interface donde se va a configurar el servidor de HotSpot.

Academy Xperts

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 1: Introduccin

Tener servidores DNS configurados.

Descripcin de las propiedades

HTTPS (read-only: flag): si el servicio de HTTPS est actualmente ejecutndose en la interfaz (por ejemplo,
establecer el profile del servidor, y un certificado valido es importado en el router).
address-pool (name | none; default: none): nombre del pool de direcciones IP para el desempeo de oneto-one NAT. Se puede escoger no utilizar one-to-one NAT.
o none no hacer funcionar one-to-one NAT para los clientes de las interfaces HotSpot.
addresses-per-mac (integer | unlimited; default: 2): nmeros de direcciones IP asignadas a ser
enlazadas con una direccin MAC en particular (esto es una oportunidad pequea de reducir los ataques de
denegacin de servicio basado en tomar el control de todas las direcciones IP en el pool de direcciones). No
disponible si el address-pool est en none
o unlimited nmero de direcciones IP por direcciones MAC no est limitada.
idle-timeout (time | none; default: 00:05:00): tiempo de espera de idle (periodo mximo de inactividad)
para clientes no autorizados. Este es usado para detectar, que clientes no estn usado en redes externas (Ejemplo:
Internet), i.e., ah no hay trafico viniendo desde que cliente y yendo a travs del router. Alcanzado el tiempo de
espera, el usuario deja la lista de host.
o none tiempo de espera de idle de los usuarios.
interface (name) interfaz en que se ejecuta HotSpot
ip-of-dns-name (read-only: IP address) direccin IP del DNS del gateway de HotSpot que se estableci
en la interfaz de HotSpot
keepalive-timeout (time | none; default: none) mantener el tiempo de espera para clientes no
autorizados. Usado para detectar, que la computadora del cliente sea alcanzable. Si la verificacin falla durante
este periodo, el usuario ser rechazado de la lista de host.
o none tiempo de espera de los usuarios inalcanzables.
profile (name; default: default) profile de HotSpot para la interfaz.

Nota
addresses-per-mac trabaja si el pool de direcciones est definido. Tambin tomar en cuenta de que, si se autentican
usuarios conectados a travs del router, que todas las direcciones Ip parecen haber venido desde una direccin MAC.
Ejemplo
Para agregar un sistema HotSpot en la interfaz local, permitiendo al Sistema hacer one-to-one NAT para cada cliente
(direcciones desde el pool de direcciones HS-real ser usado para el NAT):
[admin@MikroTik] ip hotspot> add interface=local address-pool=HS-real
[admin@MikroTik] ip hotspot> print
Flags: X - disabled, I - invalid, S - HTTPS
#
NAME
INTERFACE
ADDRESS-POOL PROFILE IDLE-TIMEOUT

Laboratorio 1
>>> Ir al Manual de Laboratorio

Academy Xperts

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 2: Users

Captulo 2: Users
Users
En esta seccin de configuracin podremos encontrar la forma de generar usuarios para los distintos servidores hotspot que
tengamos configurados en nuestra red

Server: Nombre del servidor Hotspot


Name: nombre de usuario para que el cliente se pueda hacer Login
Password: contrasea del usuario
Address: Se especifica una direccin IP, el host con dicha direccin podr usar este user and password.
MAC Address: Se especifica una direccin MAC, el host con dicha direccin MAC podr usar este user and
password.
Profile: escoger el profile creado en ip hotspot user-profile
Routes: me permite especificar una ruta y que los usuarios que se conecten la reciban de forma automtica. El
formato es: dst-address gateway metric

Limit
Limit
Limit
Limit

Uptime: lmite de conexiones de este usuario.


Bytes in: mxima cantidad de bytes que pueden ser recibidos desde el usuario.
Bytes Out: mxima cantidad de bytes que puede ser transmitidos desde el usuario.
Bytes Total: es la unin del Limit bytes in y Limit bytes Out.

Academy Xperts

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 2: Users

Muestra estadsticas de conexin del usuario.

Laboratorio 2.1
Monitoreo de usuarios
En esta opcin podremos ver todos los hosts que estn conectados o no autorizados en nuestra red.

En esta opcin podremos ver todos los hosts que estn conectados y autorizados en nuestra red.

Mtodos de autenticacin

HTTP CHAP, HTTP PAP


HTTPS
MAC-Address

Academy Xperts

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 2: Users

Cookie
Trial

Login page es lo que se muestra a los usuarios.


Login/Password son necesarios.
CHAP, para poderlo usar debemos tener habilitado JavaScript en los navegadores.
PAP, es para los antiguos navegadores

HTTPS

El uso del mtodo de HTTPS nos cifrara los datos a travs del protocolo SSL.
El certificado a user debe ser importado al Router.

Academy Xperts

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 2: Users

Cookie

Es enviado al cliente despus de hacer un Login HTTP exitoso.


El hotspot no preguntara el usuario y contrasea en la segunda vez que se acceda a la red.

MAC-Address

Evitar pgina de Login


Agregar una MAC-address como username
La autenticacin solo ocurre cuando el usuario est conectado al HotSpot.

Academy Xperts

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 2: Users

Trial
Permite dar acceso a usuarios por un tiempo determinado, lo cuales podemos especificarlos en la opcin: Trial Uptime
Limit.

Laboratorio 2.2
Grupo de usuarios
La opcin de user profile es usada para clientes HotSpot. Los Profiles son como grupos de usuarios con los mismos ajustes
de rate-limit, filter chain name, etc.

Academy Xperts

10

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 2: Users

Address-Pool, nombre del pool de las IPs que los usuarios obtendrn al conectarse a la red.
Session Timeout, el usuario se desconectar luego del tiempo estimado.
Keepalive Timeout, detecta si el cliente est activo.
Shared Users, permite logins simultneos con el mismo username.
Rate Limit (rx/tx), Limite de ancho de banda por cliente HotSpot.
Crea colas simples dinmicas

Sintaxis:

[rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate] [rx-burst-threshold[/tx-burst-threshold]


[rx-burst-time[/tx-burst-time] [priority] [rx-rate-min[/tx-rate-min]]]].
RX es Upload
TX es Download

Advertencias

Sirve para mostrar una pgina web despus de un perodo de tiempo.


Si no se muestra las pginas el internet est bloqueado.

Academy Xperts

11

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 2: Users

Advertise: Habilitar la opcin de advertencias. Despus la advertencia aparecer en una pgina web especfica a
los usuarios HotSpot.
Advertise URL: Listas de URLs que se mostraran como anuncios. Luego de que la ltima URL es usada, la lista
empezara desde el comienzo.
Advertise Interval: Ajustes de intervalo de tiempo entre las advertencias.
Advertise Timeout: cantidad de tiempo que la advertencia es mostrada, antes de bloquear el acceso a la red
para los clientes HotSpot.

Ejemplo
Configurar un profile con los siguientes datos:

Max-limit=1M/2M
Limit-at=512K/1M
Priority=3

Academy Xperts

12

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 3

Captulo 3
Cookies
Los Cookies guardan en una base local los datos de los usuarios que se conectan y se autentican. Permitiendo que el hotspot
ya no les pida en otra ocasin que ingresen los datos de autenticacin, ya que esta base compara los datos basados por la
MAC address.
Descripcin de la Propiedades

domain (read-only: text): nombre de dominio (si se dividi desde el nombre de usuario).
expires-in (read-only: time): por cuanto tiempo es vlida la cookie.
mac-address (read-only: MAC address): direccin MAC del usuario
user (read-only: name): nombre de usuario.

Nota
Puede ser varias cookies con la misma direccin MAC. Por ejemplo, ser una cookie separada por cada navegador web en
la misma computadora.
Las cookies pueden expirar, esa es la manera de cmo debe ser. La validacin de tiempo por defecto es de 3 das (72 horas),
pero puede cambiarse por cada profile individual del servidor HotSpot, por ejemplo:
/ip hotspot profile set default http-cookie-lifetime=1d
Ejemplo
Para obtener una lista de cookies:
/ip hotspot cookie print
# USER
DOMAIN
0 ex
/ip hotspot cookie

MAC-ADDRESS
EXPIRES-IN
01:23:45:67:89:AB 23h54m16s

Walled Garden
Walled Garden es una herramienta usada para dar acceso a ciertos servicios en la red sin la necesidad de una autenticacin,
mediante protocolo HTTP.
Para los requerimientos de HTTP utiliza un servidor proxy incorporado. Esto significa que todos los parmetros configurados
de ese servidor proxy se aplicaran para los clientes Walled Garden (as como para todos los clientes que tienen habilitada
la opcin de proxy transparente).

Action: accin a realizar cuando los paquetes cumplen la regla.


o Allow- permite el acceso a una pgina web sin autorizacin.
o Deny- se requiere autorizacin para acceder a la pgina web.
Server: nombre del servidor HotSpot y la regla se aplica a ese servidor.
dst-address: direccin IP de destino del servidor web server (instalado por IP-level walled garden).
hits: cuantas veces ha sido usada esta regla.
Src-address: direccin origen del usuario, usualmente la direccin IP del cliente HotSpot.
Method: mtodo que se va aplicar
Dst-host: nombre de dominio del servidor web de destino.
Dst-port: nmero de puerto TCP al que los clientes envan una solicitud.
Path: la ruta de la solicitud, la ruta viene despus

Academy Xperts

13

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 3

Por ejemplo:

Clientes que quieran acceder al servidor web de la compaa


Clientes pueden ingresar a un servidor de archivos
Tener acceso a ciertas pginas web

Nota
Propiedades de Wildcard (dst-host and dst-path) compara un string completo (no se comparar "example.com" si se
estableci "example"). Las wildcards son '*' (compara cualquier nmero de cualquier carcter) y '?' (compara un carcter).
Expresiones regulares son tambin aceptadas aqu, pero las propiedades pueden ser tratadas como expresiones regulares,
debera de comenzar con dos puntos (':').
Pequeos hits usando en expresiones regulares:

\\ secuencia de smbolos son usadas para entrar por consola el carcter \\


\. Patrn solo (en expresiones regulares simples in regular, el punto en el patrn significa cualquier smbolo)
Para mostrar que smbolos son permitidos antes del patrn dado, se usa el smbolo ^ al principio del patrn.
Para especificar que smbolos son permitidos despus del patrn dado, se usa el smbolo $ al final del patrn.

Se puede usar la propiedad path para requerimientos HTTPS de como el router no puede (que no debera el protocolo
HTTPS protocolo fue hecho para esto) des-encriptar el requerimiento.
Ejemplo
Para permitir requerimientos no autorizados a la pgina www.example.com domain's /paynow.html:
/ip hotspot walled-garden add path="/paynow.html" dst-host="www.example.com"
/ip hotspot walled-garden print detail
Flags: X - disabled, D - dynamic
0
dst-host="www.example.com" path="/paynow.html" action=allow

Laboratorio 3.1
Walled Garden IP
Walled Garden IP es una herramienta usada para dar acceso a ciertos servicios en la red sin la necesidad de una
autenticacin, mediante protocolo IP.

Action: accin a realizar cuando los paquetes cumplen la regla.


o Accept- permite el acceso a una pgina web sin autorizacin.
o Drop- se requiere autorizacin para acceder a la pgina web.
o Reject: la autorizacin es requerida para acceder a los recursos, un mensaje ICMP se enviar al cliente
cuando el paquete cumpla con la regla.
Server: nombre del servidor HotSpot y la regla se aplica a ese servidor.
Src-address: direccin origen del usuario, usualmente la direccin IP del cliente HotSpot.
Dst-address: direccin IP destino del servidor web, ignorar si se especific un dst-host.
Dst-host: nombre de dominio del servidor web de destino.
Dst-port: nmero de puerto TCP al que los clientes envan una solicitud.
protocol (integer | ddp egp encap ggp gre hmp icmp idpr-cmtp igmp ipencap ipip ipsec-ah ipsec-esp iso-tp4 ospf
pup rdp rspf st tcp udp vmtp xns-idp xtp) -nombre del protocolo IP.
rc-address (IP address): direccin IP del usuario que enviara el requerimiento.

Por ejemplo:

Clientes que quieran acceder al servidor web de la compaa


Clientes pueden ingresar a un servidor de archivos

Academy Xperts

14

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 3

Laboratorio 3.2
IP Bindings
Permite aceptar cualquier direccin IP que este configurada en el cliente forzando un NAT 1:1. Tambin es posible hacer
traducciones NAT estticas en base a: IP origen, IP de red, MAC del cliente. Adems, es posible permitir que ciertas
direcciones hagan un Bypass a la autenticacin del Hotspot y tambin permite bloquear hosts especficos y subredes de
una red HotSpot.

Address: direccin IP del cliente.


Mac Address: direccin Mac del cliente
Server: nombre del servidor HotSpot
All- sern aplicados a todos los servidores HotSpot.
To-Address: nueva Ip Address del cliente, traduccin ocurre en el router (el cliente no conoce nada acerca de la
traduccin).
Type: tipo de accin de IP-Binding
o Regular- para realizar One-to-One NAT de acuerdo con la regla, traduce address a to-address.
o Bypassed- realiza la traduccin, pero excluye los clientes de Login a HotSpot.
o Blocked- la traduccin no es realizada y los paquetes desde el host son descartados.

Notas
Esta es una lista ordenada, donde se puede poner entradas ms especficas en el tope de la lista para sobrescribirlos las
reglas ms comunes que aparecen abajo. Se puede poner siempre una entrada con direccin 0.0.0.0/0 al final de la lista
para hacer la accin por defecto deseada para esas direcciones que no coincidirn con otras entradas.
Escenario Tpico
1.
2.

Cuando agregamos una nueva red en la misma interfaz y queremos que esa nueva red no pase por el Hotspot.
cuando en la misma red hotspot tenemos dispositivos como: cmaras, impresoras entre otros, y no tienen forma de
poderse autenticar, le hacemos un Bypass

Academy Xperts

15

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 3

Laboratorio 3.3

Service Port
Solo para el clsico NAT, el HotSpot creado, rompe ciertos protocolos que son incompatibles con la traduccin de direcciones
one-to-one NAT. Para dejara estos protocolos estn consistentes, los mdulos de ayuda deberan ser usados. Para el oneto-one NAT solo un mdulo es para el protocolo FTP.
Descripcin de las Propiedades

name (read-only: name) nombre del protocolo.


ports (read-only: integer) lista de puertos con el protocol que se est trabajando.

Ejemplo
Para establecer el protocolo FTP protocol use ambos puertos Tcp 20 y 21 TCP:
/ip hotspot service-port> print
Flags: X - disabled
#
NAME
0
ftp
/ip hotspot service-port> set ftp ports=20,21
/ip hotspot service-port> print
Flags: X - disabled
#
NAME
0
ftp

Academy Xperts

PORTS
21

PORTS
20
21

16

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 4

Captulo 4
HotSpot Server
Permite configurar un Servidor HotSpot especificando de manera ms detalla las configuraciones del mismo. Servers,
muestra toda la lista de servidores hotspot

Name: especifica la interfaz donde debe estar configurado el servidor HotSpot.


Address pool: direcciones Ip que van a ser entregadas a los clientes autorizados.
Timeout: tiempo de espera para clientes no autorizados.
Address-Per-Mac: nmero de direcciones permitidas por Mac address.

HotSpot Server Profile


Existen diferentes sistemas de HotSpot, definidos como profiles del servidor HotSpot, en el mismo gateway de la mquina.
Una o ms interfaces pueden ser agrupadas entre un profile del servidor. Hay pocas configuraciones para los servidores en
interfaces particulares, la mayora de las configuraciones son se las realiza el profile del servidor. Por ejemplo, es posible
hacer completamente diferentes ajustes en la pgina del servert por cada profile del servidor, y definir diferentes servidores
RADIUS para autenticacin.

DNS name, nombre del servidor DNS del HotSpot. Este es el nombre DNS usado como el nombre del servidor
HotSpot (este aparece como la localizacin de la pgina de login). Este nombre automticamente ser agregado
como una entrada de DNS esttica en la cache de DNS.
Rate limit, especificar un lmite de ancho de banda para las entradas en el servidor hotspot
HTTP proxy, configurar un proxy transparente.
SMTP server, para re-direccionar correos.

Directorio HTML
Se localiza los archivos en el servidor hotspot, en la opcin de File en el RouterOS. Para descargarlos podemos ingresar va
FTP o dando clic derecho Download en el directorio HotSpot en el file.

Academy Xperts

17

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 4

Se puede crear un conjunto completamente diferente de las pginas para cada servidor HotSpot que se tenga, especificando
el directorio donde ser almacenado en las propiedades de html-directory del profile del servidor HotSpot (/ip hotspot
profile). Las pginas de servidor por defecto son copiadas en el directorio de nuestra eleccin despus de crear el profile.
Este directorio puede ser accedido conectando el router con un cliente FTP. Se puede modificar las paginas como ms nos
agrade usando la informacin de esta seccin del manual.
Nota: se sugiere editar los archivos manualmente, como herramientas automatizadas de edicin de HTML ya puede daar
las pginas mediante la eliminacin de las variables u otras partes.

Paginas disponibles
Principales pginas HTML, que se muestran al usuario:

redirect.html redirecciona al usuario a otra url (por ejemplo, la pgina de login)


login.html pgina de login mostrada al usuario, donde se pregunta el nombre de usuario y contrasea. Esta pgina
puede tomar los siguientes parmetros:
o username nombre de usuario
o password ya sea en texto plano la contrasea (en caso de autenticacin PAP) o MD5 hash de la variable
chap-id, contrasea y CHAP (en caso de autenticacin CHAP). Este valor es usado como direccin de email address para los usuarios que usen trial.
o dst - URL original solicitada antes de la redireccin. Esto se abrir al inicio de sesin que sea satisfactorio.
o popup - ya sea para que aparezca una ventana de estado de inicio de sesin correcto.
o radius<id> - enviar el atributo identificado con <id> en el string de texto desde el servidor RADIUS (en caso
de autenticacin de RADIUS; de otra manera se perdera)
o radius<id>u enviar el atributo identificado con <id> en forma de entero sin signo en el servidor RADIUS (en
caso de autenticacin de RADIUS; de otra manera se perdera)
o radius<id>-<vnd-id> - enviar el atributo identificado con <id> y vendor ID <vnd-id> en cadena de texto
desde el servidor RADIUS (en caso de autenticacin de RADIUS; de otra manera se perdera)
o radius<id>-<vnd-id>u - enviar el atributo identificado con <id> y vendor ID <vnd-id> en forma de entero sin
signo en el servidor RADIUS (en caso de autenticacin de RADIUS; de otra manera se perdera)
md5.js - JavaScript para contraseas con MD5 hashing. Usado junto con el mtodo de autenticacin http-chap.
alogin.html pgina mostrada despus de que los clientes hayan hecho un login. Aparece la pgina de estado y el
navegador redirecciona a la pgina solicitada originalmente (antes de que l / ella fue redireccionando a la pgina
de login de HotSpot).
status.html estado de la pgina, muestra estadsticas para los clientes. Tambin es capaz de mostrar anuncios
automticamente.
logout.html pgina de logout, mostrada despus de que el usuario es desconectado. Muestra las estadsticas
finales acerca de la sesin finalizada. Esta pgina toma los siguientes parmetros:
o erase-cookie borrar cookies del servidor HotSpot en el cierre de sesin (hace imposible conectarse con
la cookie prxima vez desde el mismo navegador, podra ser til en entornos multi-usuario)
error.html pgina de error, muestra solamente los errores fatales.

Algunas otras pginas estn disponibles, as, si se necesita ms control:

rlogin.html - pagina, la cual redirecciona los clientes desde otras URL a la pgina de login, si se requiere autorizacin
del cliente para acceder a la URL.
rstatus.html - similar a rlogin.html, solo en caso si el cliente esta aun autenticado y la URL original no es conocido.
radvert.html redirecciona al cliente a los anuncios que fueron programados.
flogin.html se muestra en lugar de login.html, si un error ha pasado (nombre de usuario invalido o contrasea)

Academy Xperts

18

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 4

fstatus.html se muestra en vez de el redireccionamiento, si el estado de la pgina es requerido, pero el cliente no


est conectado
flogout.html - se muestra en vez de el redireccionamiento, si la pgina de logout es requerida, pero el cliente no
est autenticado.

Servicios de Paginas de Servlet


El servlet HotSpot reconoce 5 diferentes tipos de requerimientos:
1.

requerimiento de un host remoto


o si un usuario est conectado y la publicidad se debe visualizar, radvert.html se visualiza. Esta pgina permite
redirigir a la pgina de publicidad programada
o si el usuario ha iniciado sesin y la publicidad no est prevista para este usuario, se sirve la pgina solicitada.
o si el usuario no est conectado, y el host de destino no est permitido por el Walled Garden, rlogin.html es
visualizado; si rlogin.html no es encontrado, es usado redirect.html para redireccionar a la pgina de login.
Requerimiento para "/" en HotSpot host
o Si un usuario est conectado, rstatus.html es visualizado;
o Si no se encuentra rstatus.html, redirect.html es usado para redireccionar al estado de la pgina.
o Si un usuario no est conectado, rlogin.html es visualizado; si rlogin.html no es encontrado, redirect.html es
usado para redireccionar la pgina de login
Requerimiento para la pgina de "/login"
o Si un usuario se ha conectado correctamente (o todava est conectado), alogin.html es visualizado; si
alogin.html no es encontrado, redirect.html es usado para redireccionar el requerimiento original de la pgina o
el estado de la pgina (en caso, de que la pagina original no fuera dada)
o Si el usuario no est conectado (nombre de usuario no fue proporcionado, ningn mensaje de error aparecer,),
login.html es mostrado.
o Si procedimiento de login ha fallado (un mensaje de error es proporcionado), flogin.html es visualizado; si
flogin.html no es encontrado, login.html es usado.
o En caso de errores fatales, error.html es mostrado.
Requerimiento para la pgina de "/status"
o Si el usuario est conectado, status.html es visualizado.
o Si el usuario no est conectado, fstatus.html es visualizado; si fstatus.html no es encontrado, redirect.html es
usado para redireccionar a la pgina de login.
Requerimiento para la pgina de '/logout'
o Si el usuario est conectado, logout.html es visualizado.
o Si el usuario no est conectado, flogout.html es visualizado; si flogout.html no es encontrado, redirect.html es
usado para redireccionar a la pgina de login.

2.

3.

4.

5.

Nota: si no es posible satisfacer una solicitud utilizando las pginas almacenadas en el servidor FTP del router, Error 404 es
visualizado.
Hay muchas posibilidades para personalizar la pgina de autenticacin de HotSpot:

La pgina es fcilmente modificable. Estn almacenadas se almacenan en el servidor FTP del router en el directorio
que uno escoja para el perfil del servidor HotSpot.
Cambiando las variables, el cual el cliente enva al servlet HotSpot, es posible reducir el nmero de palabra clave
para una (nombre de usuario o contrasea; por ejemplo, direcciona MAC del cliente podra ser usada como otro
valor) o siempre a cero (acuerdo de la licencia, los valores generales predefinidos o la direccin MAC del cliente
puede ser usada como nombre de usuario y contrasea).
El registro puede ocurrir en un servidor diferente (por ejemplo, en un servidor que pueda cobrar tarjetas de crdito).
La direccin MAC del cliente puede ser pasadas a el servidor, esa informacin necesita ser escribida manualmente.
Despus del registro, el servidor debera cambiar la base de datos del servidor RADIUS habilitando al cliente para
cargar cierta cantidad de tiempo.

Para insertar una variable en cierto lugar en el archive HTML, la $(var_name) sintaxis es usada, donde el the "var_name" es
el nombre de la variable (sin comillas). Esta construccin puede ser usada en cualquier archivo de acceso de HotSpot HTML
como as '/', '/login', '/status' o '/logout', como cualquier otro texto o HTML (.txt, .htm o .html) archive almacenado en servidor
HotSpot (con la excepcin de contadores de trfico, el cual est disponible solo en el estado de la pgina). Por ejemplo, para
mostrar un link en la pgina de login, siguiendo la construccin puede ser usada:
<a href="$(link-login)">login</a>

Variables
Todas las pginas del Servlet HTML usan variables para mostrar al usuario valores especficos. Nombres de variables
aparecen solo en el origen de HTML de la pgina del servlet ellos son automticamente reemplazados con los valores
respectivos por el servlet HotSpot. Para las dems variables es un Ejemplo de los posibles valores incluidos en parntesis.
Todas las variables descritas son vlidas en todas las pginas de servlet, pero algunas de ellas solo estn vacas en el
tiempo que son accedidas (por ejemplo, sin tiempo de actividad antes de que un usuario se ha conectado).

Academy Xperts

19

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 4

Variables comunes del servidor:


o hostname nombre de DNS o direccin IP (si el nombre de DNS no es dado) del servidor HotSpot
("hotspot.example.net")
o identity nombre de identidad de RouterOS ("MikroTik")
o login-by mtodo de autenticacin usado por el usuario.
o plain-passwd - una representacin de "yes/no" del mtodo de login de HTTP-PAP.
o server-address direccin del servidor HotSpot ("10.5.50.1:80")
o ssl-login representacin "yes/no" del mtodo HTTPS fue usado para acceder a la pgina del servidor
("no")
o server-name nombre del servidor HotSpot (ajustado en el men /ip hotspot, como el name)
Links:
o link-login link hacia la pgina de login incluyendo el requerimiento de la URL original.
("http://10.5.50.1/login?dst=http://www.example.com/")
o link-login-only - link a la pgina de login, no incluye el requerimiento de la URL original
("http://10.5.50.1/login")
o link-logout - link a la pgina de logout ("http://10.5.50.1/logout")
o link-status link a la pgina de estado ("http://10.5.50.1/status")
o link-orig requerimiento de la URL original ("http://www.example.com/")
Informacin general del cliente
o domain nombre de dominio del usuario ("example.com")
o interface-name nombre de la interfaz fsica de HotSpot interface (en el caso de interfaces bridged, estas
regresaran al nombre del puerto bridge actual)
o ip direccin IP del cliente ("10.5.50.2")
o logged-in - "yes" if the user is logged in, otherwise - "no" ("yes")
o mac direccin MAC del usuario ("01:23:45:67:89:AB")
o trial representacin "yes/no" del usuario que ha accedido al tiempo de trial. Si el tiempo de trial de los
usuarios ha expirado el valor es "no".
o username - the name of the user ("John")
Informacin de estado del usuario:
o idle-timeout tiempo terminado de idle ("20m" o "" si ninguno)
o idle-timeout-secs tiempo terminado en segundos de idle ("88" o "0" si no est el tiempo de espera)
o limit-bytes-in lmites de byte por enviar ("1000000" o "---" si no tiene lmite)
o limit-bytes-out lmites de byte para recibir ("1000000" o "---" si no tiene lmite)
o refresh-timeout tiempo de espera de refresh de la pgina de estado ("1m30s" o "" sin ninguno)
o refresh-timeout-secs - tiempo de espera de refresh de la pgina de estado en segundos ("90s" o "0" sin
ninguno)
o session-timeout tiempo de sesin que el usuario dejo ("5h" o "" sin ninguno)
o session-timeout-secs - tiempo de sesin que el usuario dejo, en segundos ("3475" o "0" si no est el tiempo
de espera)
o session-time-left - tiempo de sesin que el usuario dejo ("5h" o "" sin nada)
o session-time-left-secs - tiempo de sesin que el usuario dejo, en segundos ("3475" o "0" si no est el
tiempo de espera)
o uptime tiempo de actividad de las sesiones ("10h2m33s")
o uptime-secs - tiempo de actividad de las sesiones en segundos ("125")
Contadores de trfico, el cual solo estn disponibles en el estado de la pgina:
o bytes-in nmeros de bytes que el usuario recibi ("15423")
o bytes-in-nice - formato de fcil uso del nmero de bytes recibidos por parte del usuario ("15423")
o bytes-out Nmeros de bytes enviados al usuario ("11352")
o bytes-out-nice - formato de fcil uso del nmero de bytes enviados por parte del usuario ("11352")
o packets-in nmeros de paquetes recibidos del usuario ("251")
o packets-out nmeros de paquetes enviados al usuario ("211")
o remain-bytes-in - se alcanzar bytes hasta el lmite de bytes entrantes que restan ("337465" o "---" si no
hay lmite)
o remain-bytes-out - se alcanzar bytes hasta el lmite de bytes de salida que restan ("124455" o "---" si no
hay lmite)
Diversas variables
o session-id valor de parmetro de 'session-id' en el ltimo requerimiento.
o var valor del parmetro 'var' en el ltimo requerimiento.
o error mensaje de error, si algo ha fallado ("nombre de usuario invalido o contrasea")
o error-orig mensaje de error original (sin traducciones recuperadas de errors.txt), si algo ha fallado
("nombre de usuario invalido o contrasea"")
o chap-id valor del chap ID ("\371")
o chap-challenge valor del chap challenge
("\357\015\330\013\021\234\145\245\303\253\142\246\133\175\375\316")
o popup - ya sea para que aparezca la casilla de verificacin ("verdadero" o "falso")
o advert-pending ya sea que un aviso este pendiente de ser visualizado ("si" o "no")

Academy Xperts

20

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 4

RADIUS-related variables
o radius<id> - mostrar el atributo identificado con <id> forma de cadena de texto (en caso de autenticacin
RADIUS fuera usada; de otra manera "")
o radius<id>u - mostrar el atributo identificado <id> en forma de entero sin signo (en caso de autenticacin
RADIUS fuera usada; de otra manera "0")
o radius<id>-<vnd-id> - muestra el atributo identificado con <id> and vendor ID <vnd-id> en la cadena de
texto (en caso de autenticacin RADIUS fuera usada; de otra manera "")
o radius<id>-<vnd-id>u - muestra el atributo identificado con <id> and vendor ID <vnd-id> en forma de entero
sin signo (en caso de autenticacin RADIUS fuera usada; de otra manera "0")

Descargar archivo HotSpot


Vamos a File, una vez que encontramos la carpeta de HotSpot damos clic derecho en Download y guardamos la carpeta en
la ruta que deseamos en nuestra PC.

Una vez que guardamos la carpeta en nuestra PC, abrimos la carpeta y localizamos dos archivos:

Alogin: para re-direccionar a alguna pgina web luego de hacer Login


Login: para personalizar la pantalla de Login

Ejemplo
Modificar la pgina de Login de hotspot:

Ocultar las opciones de Login y password


Re-direccionar a la pgina de cursos.abcxperts.com

Archivo Login.html
Abrimos el archivo y modificamos lo siguiente:
Antes

Academy Xperts

21

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 4

Despus

Archivo Alogin.html
Abrimos el archivo y modificamos lo siguiente:
Antes

Despus

Posibles mensajes de error


Descripcin
Hay dos clases de errores: fatal y non-fatal. Fatal errors son mostrados en una pgina separada de HTML llamada error.html.
Non-fatal errors bsicamente indica las incorrectas acciones de usuario y se muestran en el formulario de inicio de sesin.
General non-fatal errors:

You are not logged in intenta accede a la pgina de estado o de log off mientras no est conectado. Solucin:
conectarse
already authorizing, retry later autorizacin en progreso. Cliente ya ha emitido una solicitud de
autorizacin que an no se ha completado. Solucin: esperar a que la solicitud actual para ser completado y, a
continuacin, intentarlo de nuevo.
chap-missing = web browser did not send challenge response (try again, enable JavaScript)
intentar conectarse con el mtodo HTTP-CHAP usando MD5 hash, pero el servidor HotSpot no conoce sabe el reto
utilizado para el hash. Esto puede suceder si utiliza los botones traseros en el navegador; si JavaScript no est
habilitado en el navegador web; si la pgina de login.html no es vlida; o si el valor de autenticacin ha caducado
en el servidor (ms de una inactividad). Solucin: instrucciones del navegador para volver a cargar (actualizar) la
pgina de inicio de sesin por lo general ayuda si JavaScript est habilitado y la pagina es login.html.
invalid username ($(username)): esta direccin MAC address no es nuestra intentando conectarse usando
la direccin MAC del nombre de un usuario diferente de esa MAC. Solucin: no hay usuarios con nombres de
usuario que se parecen a una direccin MAC (ejemplo., 12:34:56:78:9a:bc) slo se puede acceder desde la
direccin MAC especificada como su nombre de usuario.

Academy Xperts

22

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 4

session limit reached ($(error-orig)) - dependiendo del nmero de licencia de clientes activos HotSpot se
limita a algunos nmeros, slo se puede acceder desde la direccin MAC especificada como su nombre de usuario.
El error se muestra cuando se alcanza este lmite. Solucin: tratar de conectarse en otro momento en que no habr
sesiones de usuario menos concurrentes, o comprar otra licencia que permite ms sesiones simultneas.
hotspot service is shutting down - RouterOS actualmente est siendo reiniciado o apagado. Solucin:
esperar hasta que el servicio est disponible de nuevo.

General fatal errors:

internal error ($(error-orig)) esto nunca debera pasar. Si esto pasa, la pgina de error mostrar un
mensaje de error (error-orig describir que ha pasado). Solucin: corregir el reporte del error.
configuration error ($(error-orig)) el servidor HotSpot server no est configurado correctamente (errororig describir que ha pasado). Solucin: corregir el reporte del error.
cannot assign ip address - no more free addresses from deshabilitado la obtencin de direcciones IP
address desde un pool IP, porque no hay ms direcciones IP libres en el pool. Solucin: estar seguro que hay
suficiente cantidad de direcciones IP libre en el pool IP.

Base de Datos local de los usuarios de non-fatal errors:

invalid username or password - autoexplicativo


user $(username) is not allowed to log in from this MAC address intentando conectarse desde una
direccin MAC diferente especificada en la base de datos de usuarios. Solucin: conectarse correctamente desde
la direccin MAC.
user $(username) has reached uptime limit autoexplicativo
user $(username) has reached traffic limit - either limit-bytes-in o limit-bytes-out limite es
alcanzado.
no more sessions are allowed for user $(username) - el lmite de shared-users para el profile de los
usuarios es alcanzado. Solucin: esperar hasta que con el nombre de usuario se desconecte, usar un diferente
nombre de login o extender el lmite de shared-users.

Cliente RADIUS non-fatal errors:

invalid username or password el servidor RADIUS ha rechazado el nombre de usuario y contrasea enviada
sin especificar una razn. Causa: ya sea el nombre de usuario y contrasea incorrecta u otro error. Solucin: debera
ser aclarado en los archivos del servidor RADIUS.
<error_message_sent_by_radius_server> - esto podra ser cualquier mensaje (cualquier cadena de texto)
enviar de regreso al servidor RADIUS. Consulta con el servidor RADIUS la documentacin para informacin
adicional.

Cliente RADIUS fatal errors:


RADIUS server is not responding el usuario est Siendo autenticado por el servidor RADIUS, pero ninguna respuesta
es recibida desde el. Solucin: verificar si el servidor RADIUS esta ejecutndose y es alcanzable desde el router HotSpot.

Academy Xperts

23

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 5: Training

Captulo 5: Training
Certificaciones, MTCNA, MTCTCE, MTCWE, MTCUME, MTCRE, MTCINE

Cursos de Certificacin MikroTik

MTCNA
MTCNA es la primera certificacin del portafolio que ofrece MikroTik para su sistema operativo RouterOS.
Este curso representa una gua completa para administradores de red y usuarios que desean iniciar sus conocimientos en
configuracin de equipos MikroTik RouterOS, como tambin para aquellos que desean afianzar su expertise y orientarse
hacia un estudio formal de las principales funciones del Sistema Operativo RouterOS.
Contenido
1.
2.
3.
4.
5.
6.
7.
8.
9.

Introduccin
ARP, DHCP
Ruteo
Bridge
Wireless
Firewall
QoS
Tneles
Herramientas de RouterOS

MTCTCE
MTCTCE es una de las cinco certificaciones avanzadas de MikroTik RouterOS.
Este curso cubre los principales temas relacionados con la optimizacin del trfico en una red LAN/WAN/Wireless, no solo
concentrndose en la correcta implementacin de la Calidad de Servicio (QoS) sino tambin prestando especial importancia
al trfico que en pequeas proporciones puede ocasionar un flujo notable a travs de canales de comunicacin de baja
velocidad o en conexiones de internet restringidas.
Contenido
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.

DNS
DHCP
Firewall Filter
Firewall Chain Input
Firewall Chain Forward
Bogon IPs
Firewall NAT
Firewall Mangle
HTB
Queue Tree
Burst
Web Proxy
TTL
Balanceo de carga

Academy Xperts

24

RouterOS v6.36.0.01 Introduccin a HotSpot con MikroTik RouterOS Captulo 5: Training

MTCWE
MTCWE es una de las cinco certificaciones avanzadas de MikroTik RouterOS.
Este curso realiza un revisin profunda a los parmetros de configuracin wireless de RouterOS. Los laboratorios han sido
desarrollados de tal manera que arrojen resultados que sern lo ms cercanos a los ambientes reales y tpicos en produccin.
Para la ejecucin de los mismos se deben trabajar con estadsticas obtenidas de las prcticas anotando dichos resultados
en tablas que podrn ser evaluadas a lo largo de los dems laboratorios.
Contenido
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.

Banda, Frecuencia, scan-list


Herramientas Wireless
DFS Seleccin Dinmica de frecuencia
Anlisis de la tabla de registros + Troubleshooting
Configuraciones avanzadas para Troubleshooting
Modificando data-rates y tx-power
Virtual AP
Access-List y Connect-List
Administracin Centralizada Access-list Radius
Seguridad Wireless
Protegiendo de ataques por de autenticacin y clonacin de MAC
Wireless WDS y MESH
Bridge Transparente Wireless
Protocolo Nstreme
Protocolo Nstreme Dual
802.11n
802.11ac

MTCUME
MTCUME es una de las cinco certificaciones avanzadas de MikroTik RouterOS
Este curso permitir al estudiante obtener todos los conocimientos necesarios para comprender el funcionamiento del
paquete User Manager en un RouterOS MikroTik, asociado con los servicios Login(router), Wireless, DHCP, HotSpot, PPP
Contenido
1.
2.
3.
4.
5.
6.
7.

PPP
PPTP/L2TP
PPPoE
PPP Bridging
IPSec
Hotspot
RADIUS

MTCRE
MTCRE es una de las cinco certificaciones avanzadas de Mikrotik RouterOS
Este curso permite obtener el expertise necesario para entender el funcionamiento del ruteo esttico aplicando diferentes
parmetros de distancia, routing mark, o haciendo uno de ECMP, llegando a la conclusin de que estas tcnicas por si solas
no son suficientes para proveer funciones como un Failover confiable
Contenido
1.
2.
3.
4.
5.

Ruteo Esttico
Direccionamiento punto a punto
VPN
OSPF
VRRP

MTCINE
MTCINE es el TOP de las certificaciones avanzadas de MikroTik RouterOS
Es el curso estrella del sistema operativo MikroTik RouterOS y centra su estudio en los protocolos BGP y MPLS
El estudiante podr entender y fortalecer conceptos como sistemas Autnomos, Algoritmo Path vector, transporte y tipos de
paquetes BGP, iBGP & eBGP, distribucin de rutas, loopbacks, atributos de prefijos, reflectores de rutas y confederaciones
BGP.
Contenido
1.
2.
3.
4.

BGP
Multicast
MPLS
Ingeniera de trafico

Academy Xperts

25

HotSpot con MikroTik


RouterOS
por Mauro Escalante