Documente Academic
Documente Profesional
Documente Cultură
Información general
Resumen
Dado un enrutador con dos interfaces: Local (donde están conectados los clientes
de HotSpot) y Público, que está conectado a Internet. Para configurar HotSpot en
la interfaz local:
Estos simples pasos deberían ser suficientes para habilitar el sistema HotSpot
Si esto no funciona:
compruebe que / ip dns contiene servidores DNS válidos, intente / ping
www.example.com para ver que la resolución DNS funciona
asegúrese de que el seguimiento de la conexión esté habilitado: /ip firewall
connection tracking set enabled=yes
Especificaciones
Descripción
Introducción a HotSpot
Obtener dirección
NAT uno a uno acepta cualquier dirección entrante de una interfaz de red
conectada y realiza una traducción de la dirección de red para que los datos se
puedan enrutar a través de redes IP estándar. Los clientes pueden usar cualquier
dirección preconfigurada. Si la función NAT uno a uno está configurada para
traducir la dirección de un cliente a una dirección IP pública, entonces el cliente
puede incluso ejecutar un servidor o cualquier otro servicio que requiera una
dirección IP pública. Este NAT está cambiando la dirección de origen de cada
paquete justo después de ser recibido por el enrutador (es como el NAT de origen
que se realiza al principio de la ruta del paquete, de modo que incluso la tabla de
interrupción del cortafuegos, que normalmente 've' los paquetes recibidos
inalterados, solo puede 'ver' la dirección traducida).
Antes de la autenticación
Jardín amurallado
Es posible que no desee solicitar autorización para algunos servicios (por
ejemplo, para permitir que los clientes accedan al servidor web de su empresa sin
registrarse), o incluso para solicitar autorización solo para una serie de servicios
(por ejemplo, para que los usuarios puedan acceder a un servidor de archivos
interno u otra área restringida). Esto se puede hacer configurando el sistema
Walled Garden.
Autenticación
HTTP PAP : método más simple, que muestra la página de inicio de sesión de
HotSpot y espera obtener la información de autenticación (es decir, nombre de
usuario y contraseña) en texto sin formato. Tenga en cuenta que las contraseñas
no se cifran cuando se transfieren a través de la red. Otro uso de este método es
la posibilidad de obtener información de autenticación codificada en la página de
inicio de sesión del servlet simplemente creando el enlace apropiado.
HTTP CHAP : método estándar, que incluye el desafío CHAP en la página de
inicio de sesión. El desafío hash CHAP MD5 se debe utilizar junto con la
contraseña del usuario para calcular la cadena que se enviará a la puerta de
enlace HotSpot. El resultado hash (como contraseña) junto con el nombre de
usuario se envía a través de la red al servicio HotSpot (por lo tanto, la contraseña
nunca se envía en texto sin formato a través de la red IP). En el lado del cliente, el
algoritmo MD5 se implementa en el applet de JavaScript, por lo que si un
navegador no es compatible con JavaScript (como, por ejemplo, Internet Explorer
2.0 o algunos navegadores PDA) o tiene JavaScipt deshabilitado, no podrá
autenticar a los usuarios. Es posible permitir que se acepten contraseñas sin cifrar
activando el método de autenticación HTTP PAP, pero no se recomienda (debido
a consideraciones de seguridad) usar esa función.
HTTPS : lo mismo que HTTP PAP, pero usando el protocolo SSL para encriptar
transmisiones. El usuario de HotSpot solo envía su contraseña sin hashing
adicional (tenga en cuenta que no hay necesidad de preocuparse por la exposición
de la contraseña de texto sin formato en la red, ya que la transmisión en sí está
encriptada). En cualquier caso, el método HTTP POST (si no es posible, entonces
- método HTTP GET) se utiliza para enviar datos a la puerta de enlace HotSpot.
Cookie HTTP- después de cada inicio de sesión exitoso, se envía una cookie al
navegador web y se agrega la misma cookie a la lista activa de cookies HTTP. La
próxima vez que el mismo usuario intente iniciar sesión, el navegador web enviará
la cookie HTTP guardada. Esta cookie se comparará con la almacenada en la
puerta de enlace HotSpot y solo si la dirección MAC de origen y la ID generada
aleatoriamente coinciden con las almacenadas en la puerta de enlace, el usuario
iniciará sesión automáticamente utilizando la información de inicio de sesión
(nombre de usuario y contraseña) se utilizó cuando La cookie se generó por
primera vez. De lo contrario, se le solicitará al usuario que inicie sesión y, en caso
de que la autenticación sea exitosa, la cookie anterior se eliminará de la lista de
cookies activas de HotSpot local y la nueva con diferente ID aleatoria y tiempo de
vencimiento se agregará a la lista y se enviará al navegador web. También es
posible borrar la cookie en el cierre de sesión manual del usuario (no en las
páginas predeterminadas del servidor, pero puede modificarlas para realizar
esto). Este método solo se puede usar junto con los métodos HTTP PAP, HTTP
CHAP o HTTPS, ya que de lo contrario no habría nada para generar cookies.
Dirección MAC : intente autenticar a los clientes tan pronto como aparezcan en la
lista de hosts (es decir, tan pronto como hayan enviado algún paquete al servidor
HotSpot), utilizando la dirección MAC del cliente como nombre de usuario.
Prueba : a los usuarios se les puede permitir usar el servicio de forma gratuita
durante un período de tiempo para la evaluación, y se les puede exigir que se
autentiquen solo después de que termine este período. HotSpot se puede
configurar para permitir cierto tiempo por dirección MAC para ser utilizado
libremente con algunas limitaciones impuestas por el perfil de usuario
proporcionado. En caso de que la dirección MAC todavía tenga algún tiempo de
prueba sin usar, la página de inicio de sesión contendrá el enlace para iniciar
sesión de prueba. El tiempo se restablece automáticamente después de la
cantidad de tiempo configurada (de modo que, por ejemplo, cualquier dirección
MAC puede usar 30 minutos al día sin registrarse). El nombre de usuario de dicho
usuario (como se ve en la tabla de usuario activo y en el enlace de inicio de
sesión) es "T-XX: XX: XX: XX: XX: XX" (donde XX: XX: XX: XX: XX: XX es su
dirección MAC). El procedimiento de autenticación no pedir permiso al servidor
RADIUS para autorizar a dicho usuario.
Autorización
Anuncio
Contabilidad
Menús de configuración
Preguntas
conjunto de direcciones de red ( nombre ) - conjunto de direcciones IP para el
HotSpot red de nombres DNS ( texto ) - nombre de dominio DNS de la pasarela
HotSpot (se puede configurar de forma estática en el proxy DNS local servidores
DNS ( dirección IP , [ dirección IP ]) - Servidores DNS para la interfaz de
punto de acceso de los clientes HotSpot ( nombre ): interfaz para ejecutar
HotSpot en la dirección IP del servidor smtp ( dirección IP ; valor
predeterminado: 0.0.0.0 ): dirección IP del servidor SMTP para redirigir las
solicitudes SMTP (puerto TCP 25) a
0.0.0.0 - sin redireccionamiento
ninguno - no use SSL
import-other-certificate : configure los certificados que aún no se importaron y
vuelva a hacer esta pregunta
Notas
Ejemplo
Descripción
descripción de propiedad
ninguno : no realice NAT uno a uno para los clientes de esta interfaz HotSpot
Notas
Ejemplo
Descripción
descripción de propiedad
Notas
El método de autenticación de prueba siempre debe usarse junto con uno de los
otros métodos de autenticación.
Ejemplo
Descripción
Descripción
Descripción
Cookies de HotSpot
Nivel de submenú: / cookie de punto de acceso ip
Descripción
descripción de propiedad
Notas
Puede haber múltiples cookies con la misma dirección MAC. Por ejemplo, habrá
una cookie separada para cada navegador web en la misma computadora.
Las cookies pueden caducar, así es como se supone que debe ser. El tiempo de
validez predeterminado para las cookies es de 3 días (72 horas), pero se puede
cambiar para cada perfil de servidor HotSpot individual, por ejemplo:
/ ip hotspot profile set default http-cookie-lifetime = 1d
Ejemplo
Descripción
descripción de propiedad
Ejemplo
descripción de propiedad
Ejemplo
Descripción
descripción de propiedad
regular : realice una traducción NAT uno a uno de acuerdo con los valores
establecidos en esta entrada
omitida : realice la traducción, pero excluya al cliente de tener que iniciar sesión
en el sistema HotSpot
bloqueado : la traducción no se realizará y todos los paquetes desde el host se
caerá
Notas
Esta es una lista ordenada, por lo que puede colocar entradas más específicas en
la parte superior de la lista para que anulen las reglas más comunes que aparecen
más abajo. Incluso puede poner una entrada con la dirección 0.0.0.0/0 al final de
la lista para hacer que la acción deseada sea predeterminada para aquellas
direcciones que no coincidan con ninguna otra entrada.
Descripción
Este menú muestra todos los hosts de red activos que están conectados a la puerta
de enlace HotSpot. Esta lista incluye todas las traducciones NAT de uno a uno
descripción de propiedad
dirección ( solo lectura: dirección IP ): la dirección IP original del
cliente autorizado ( solo lectura: marca ): si el cliente se autentica
correctamente mediante el puerto puente del sistema HotSpot ( solo
lectura: nombre ): el físico real interfaz, a la que está conectado el host. Esto se
usa cuando el servicio HotSpot se coloca en una interfaz de puente para
determinar el puerto real del host dentro del puente. omitido ( solo
lectura: marca ): si el cliente no necesita ser autorizado por los bytes del sistema
HotSpot ( solo lectura: entero) - cuántos bytes recibió el enrutador de la salida
de bytes del cliente ( solo lectura: entero ) - cuántos bytes envió el enrutador al
cliente encontrado ( solo lectura: texto ) - cómo se descubrió este host ( primer
tipo de paquete, remitente, destinatario : tiempo muerto del host ( solo
lectura: tiempo ): cuánto tiempo no ha recibido el enrutador ningún paquete
(incluidas las respuestas ARP, las respuestas de keepalive y el tráfico de
usuarios) desde este tiempo inactivo del host ( lectura- solo: tiempo ) - la
cantidad de tiempo que el usuario ha estado inactivo inactivo-tiempo de
espera ( solo lectura: tiempo ) - el valor exacto detiempo de inactividad que se
aplica a este usuario. Esta propiedad muestra cuánto tiempo debe permanecer
inactivo el usuario para que se cierre la sesión automáticamente keepalive-
timeout ( solo lectura: tiempo ): el valor exacto de keepalive-timeout que se
aplica a este usuario. Esta propiedad muestra cuánto tiempo debe permanecer
fuera del alcance de la computadora del usuario para que se cierre la sesión
automáticamente mac-address ( solo lectura: dirección MAC ) - la dirección
MAC real de los paquetes de entrada del usuario ( solo lectura: entero ) -
cuántos paquetes recibió el enrutador desde la salida de paquetes del
cliente ( solo lectura: entero) - cuántos paquetes envió el enrutador
al servidor del cliente ( solo lectura: nombre ) - nombre del servidor, al que está
conectado el host estático ( solo lectura: bandera ) - si esta traducción se ha
tomado de la estática lista de enlaces IP a dirección ( de sólo lectura: dirección
IP ) - ¿qué dirección es la dirección IP original del anfitrión traducido a tiempo
de actividad ( sólo lectura: el tiempo ) - tiempo de la sesión actual del usuario
(es decir, el tiempo que tiene el usuario estado en la lista de hosts activos)
Parámetros de entrada
sin nombre ( nombre ) - número de artículo
comentario ( texto ) - comentario personalizado a la entrada estática que se va a
crear
tipo (regular | anulado | bloqueado) - el tipo de entrada estática
Puerto de servicio
Nivel de submenú: / ip hotspot service-port
Descripción
Al igual que para el NAT clásico, el NAT integrado integrado HotSpot 'rompe'
algunos protocolos que son incompatibles con la traducción de direcciones. Para
dejar estos protocolos consistentes, se deben usar módulos auxiliares. Para el
NAT uno a uno, el único módulo de este tipo es para el protocolo FTP.
descripción de propiedad
Ejemplo
21
[admin @ MikroTik] puerto de servicio IP hotspot>
Reglas NAT
Desde el comando dinámico de impresión ip / nat firewall , puede obtener algo
como esto (los comentarios siguen después de cada una de las reglas):
0 D chain = dstnat action = jump jump-target = hotspot hotspot = desde-
cliente
Colocando todas las tareas relacionadas con HotSpot para paquetes de todos los
clientes de HotSpot en una cadena separada.
1 I chain = hotspot action = jump jump-target = pre-hotspot
Cualquier acción que deba realizarse antes de que se apliquen las reglas de
HotSpot, debe colocarse en la cadena previa al punto de acceso . Esta cadena
está bajo control total del administrador y no contiene ninguna regla establecida
por el sistema, de ahí la regla de salto no válida (ya que la cadena no tiene
ninguna regla por defecto).
Cadena 2 D = acción de zona activa = redireccionar a puertos = 64872
dst-port = 53 protocolo = udp
Cadena 3 D = acción de punto de acceso = redireccionar a puertos = 64872
puerto dst = 53 protocolo = tcp
HotSpot por defecto asume que solo estos puertos pueden usarse para solicitudes
de proxy HTTP. Estas dos entradas se utilizan para "capturar" solicitudes de
clientes a servidores proxy desconocidos (puede agregar más reglas aquí para
otros puertos). Es decir, hacer posible que los clientes con configuraciones de
proxy desconocidas trabajen con el sistema HotSpot. Esta característica se llama
"Proxy universal". Si se detecta que un cliente está utilizando algún servidor
proxy, el sistema marcará automáticamente esos paquetes con la marca de punto
de acceso http para solucionar el problema de proxy desconocido, como veremos
más adelante. Tenga en cuenta que el puerto utilizado (64874) es el mismo que
para las solicitudes HTTP en la regla n. ° 9 (por lo que tanto las solicitudes HTTP
como las proxy HTTP se procesan con el mismo código).
12 D chain = hs-unauth action = redirect to-ports = 64875 dst-port = 443
protocol = tcp
Proporcionar servicio proxy HTTP para usuarios autorizados. Es posible que las
solicitudes de usuarios autenticados deban estar sujetas a representación
transparente (la técnica "Proxy universal" y la función de
publicidad). Esta marca http se coloca automáticamente en las solicitudes de
proxy HTTP a los servidores detectados por el proxy HTTP HotSpot (el que está
escuchando en el puerto 64874) como solicitudes de proxy HTTP para servidores
proxy desconocidos. Esto se hace para que los usuarios que tengan algunas
configuraciones de proxy usen la puerta de enlace HotSpot en lugar del servidor
proxy [posiblemente no disponible fuera de su red de origen] que los usuarios
hayan configurado en sus computadoras. Esta marca también se aplica cuando se
debe mostrar publicidad al usuario, así como en cualquier solicitud HTTP
realizada a los usuarios cuyo perfil está configurado para proxy transparente de
sus solicitudes.
15 I chain = hs-auth action = jump jump-target = hs-smtp dst-port = 25
protocol = tcp
Proporcionar proxy SMTP para usuarios autorizados (lo mismo que en la regla #
13).
Todo lo que llega a los clientes a través del enrutador se redirige a otra cadena,
llamada hs-unauth-to . Esta cadena debe rechazar solicitudes no autorizadas a
los clientes.
2 D chain = input action = jump jump-target = hs-input hotspot = from-
client
Todo lo que proviene de los clientes al enrutador mismo, llega a otra cadena,
llamada hs-input .
3 I chain = hs-input action = jump jump-target = pre-hs-input
Todo lo demás que no haya sido incluido en la lista de Walled Garden será
rechazado. Tenga en cuenta el uso de TCP Reset para rechazar las conexiones
TCP.
11 D chain = hs-unauth-to action = protocolo de retorno = icmp
12 D ;;; www.mikrotik.com
chain = hs-unauth-to action = return src-address = 66.228.113.26
src-port = 80 protocolo = tcp
Se realiza la misma acción que en las reglas 7 y 8 para los paquetes destinados a
los clientes (cadena hs-unauth-to ) también.
13 D chain = hs-unauth-to action = rechazar rechazar-con = icmp-host-
prohibido
Rechace todos los paquetes a los clientes con el mensaje de rechazo ICMP.
rlogin.html - página, que redirige al cliente desde alguna otra URL a la página de
inicio de sesión, si se requiere autorización del cliente para acceder a esa URL
rstatus.html : de manera similar a rlogin.html, solo en caso de que el cliente ya
haya iniciado sesión y no se conozca la URL original
radvert.html : redirige al cliente al enlace de anuncio programado
flogin.html : se muestra en lugar de login.html, si se ha producido algún error
(nombre de usuario o contraseña no válidos, por ejemplo)
fstatus.html : se muestra en lugar de redirigir, si se solicita la página de estado,
pero el cliente no ha iniciado sesión
flogout.html : se muestra en lugar de redirigir, si se solicita la página de cierre de
sesión, pero el cliente no ha iniciado sesión
Para insertar una variable en algún lugar del archivo HTML, se usa la sintaxis $
(var_name), donde "var_name" es el nombre de la variable (sin comillas). Esta
construcción se puede utilizar en cualquier archivo HTML de HotSpot al que se
acceda como '/', '/ login', '/ status' o '/ logout', así como cualquier archivo de texto
o HTML ( .txt , .htm o .html ) almacenado en el servidor HotSpot (con la
excepción de los contadores de tráfico, que están disponibles solo en la página de
estado, y las variables error , orig-error , chap-id , chap-challenge y popup ,
que están disponibles solo en la página de inicio de sesión). Por ejemplo, para
mostrar un enlace a la página de inicio de sesión, se puede utilizar la siguiente
construcción:
<a href="$(link-login)"> inicio de sesión </a>
Variables
Todas las páginas HTML de Servlet usan variables para mostrar valores
específicos del usuario. Los nombres de las variables solo aparecen en la fuente
HTML de las páginas del servlet: el servlet HotSpot los reemplaza
automáticamente con los valores respectivos. Para la mayoría de las variables hay
un ejemplo de su posible valor incluido entre paréntesis. Todas las variables
descritas son válidas en todas las páginas de servlet, pero algunas de ellas pueden
estar vacías en el momento en que se accede (por ejemplo, no hay tiempo de
actividad antes de que un usuario haya iniciado sesión).
Notas
Ejemplo
a esta línea:
a esta línea:
Para enviar la dirección MAC del cliente a un servidor de registro en forma de:
https://www.example.com/register.html?mac=XX:XX:XX:XX:XX:XX
https://www.example.com/register.html?mac=$(mac)
Para mostrar un banner después del inicio de sesión del usuario, en alogin.html
después
(debe corregir el enlace para que apunte a la página que desea mostrar)
Para elegir una página diferente que se muestra después del inicio de sesión, en
login.html cambie:
a esta línea:
Para borrar la cookie al cerrar sesión, en la página que contiene el enlace al cierre
de sesión (por ejemplo, en status.html) cambie:
a esto:
antes de este:
Permitir acceso directo al servidor externo en un jardín amurallado (ya sea basado
en HTTP o basado en IP)
Modifique la página de inicio de sesión del servlet HotSpot para redirigir al servidor
de autenticación externo. El servidor externo debe modificar la base de datos
RADIUS según sea necesario
<html>
<title> ... </title>
<cuerpo>
<form name = "redirect" action =
"https://auth.example.com/login.php" method = "post">
<input type = "hidden" name = "mac" value = "$ (mac)">
<input type = "hidden" name = "ip" value = "$ (ip)">
<input type = "hidden" name = "username" value = "$ (username)">
<input type = "hidden" name = "link-login" value = "$ (link-
login)">
<input type = "hidden" name = "link-orig" value = "$ (link-orig)">
<input type = "hidden" name = "error" value = "$ (error)">
</form>
<script language = "JavaScript">
<! -
document.redirect.submit ();
// ->
</script>
</body>
</html>
<html>
<title> Página de inicio de sesión de Hotspot </title>
<cuerpo>
<form name = "login" action = "https://hotspot.example.com/login"
method = "post">
<input type = "text" name = "username" value = "demo">
<input type = "password" name = "password" value = "none">
<input type = "hidden" name = "domain" value = "">
<input type = "hidden" name = "dst" value =
"http://www.mikrotik.com/">
<input type = "submit" name = "login" value = "log in">
</form>
</body>
</html>