HotSpot Gateway

HotSpot Gateway
Información general
Resumen
El MikroTik HotSpot Gateway permite proporcionar acceso a la red pública para

clientes que utilizan conexiones de red inalámbricas o cableadas.
Características de HotSpot Gateway:
 autenticación de clientes utilizando la base de datos de clientes local o el servidor

RADIUS
 contabilidad utilizando la base de datos local o el servidor RADIUS
 Sistema de jardín amurallado (acceso a algunas páginas web sin autorización)
Guía de configuración rápida
Dado un enrutador con dos interfaces: Local (donde están conectados los clientes
de HotSpot) y Público, que está conectado a Internet. Para configurar HotSpot en
la interfaz local:
1. primero, se requiere una configuración IP válida en ambas interfaces. Esto

se puede hacer con el comando / setup o configurando el enrutador
manualmente. En este ejemplo asumiremos la configuración con el
servidor DHCP ya habilitado en la interfaz local
2. la configuración de DNS válida debe configurarse en el submenú / ip dns
3. Para poner HotSpot en la interfaz local, usando el mismo grupo de
direcciones IP que el servidor DHCP usa para esa interfaz: /ip hotspot
add interface=local address-pool=dhcp-pool-1
4. y finalmente, agregue al menos un usuario de HotSpot: /ip hotspot user
add name=admin
Estos simples pasos deberían ser suficientes para habilitar el sistema HotSpot
Encuentre los procedimientos de HotSpot, que responderán a la mayoría de sus

preguntas sobre la configuración de una puerta de enlace de HotSpot, al final de
este manual. Todavía se recomienda que lea y comprenda toda la sección
de Descripción a continuación antes de implementar un sistema HotSpot.
Si esto no funciona:
 compruebe que / ip dns contiene servidores DNS válidos, intente / ping
www.example.com para ver que la resolución DNS funciona
 asegúrese de que el seguimiento de la conexión esté habilitado: /ip firewall
connection tracking set enabled=yes
Especificaciones
Paquetes requeridos: punto de acceso , dhcp (opcional)

Licencia requerida: Nivel1 (limitado a 1 usuario activo) , Nivel3 (limitado a 1
usuario activo) , Nivel4 (limitado a 200 usuarios activos) , Nivel5 (limitado a
500 usuarios activos) , Submenú Nivel6
nivel: / IP hotspot
Estándares y tecnologías: ICMP , DHCP
Uso de hardware: no significativo
Descripción
MikroTik HotSpot Gateway debe tener al menos dos interfaces de red:
1. Interfaz HotSpot, que se utiliza para conectar clientes HotSpot

2. Interfaz LAN / WAN, que se utiliza para acceder a los recursos de la
red. Por ejemplo, los servidores DNS y RADIUS deben estar accesibles
El siguiente diagrama muestra un ejemplo de configuración de HotSpot.

La interfaz de HotSpot debe tener asignada una dirección IP. Se debe establecer
una conexión de red física entre la computadora del usuario de HotSpot y la
puerta de enlace. Puede ser inalámbrico (la tarjeta inalámbrica debe estar
registrada en AP) o cableada (la tarjeta NIC debe estar conectada a un
concentrador o conmutador).
Introducción a HotSpot
HotSpot es una forma de autorizar a los usuarios a acceder a algunos recursos de

la red. No proporciona cifrado de tráfico. Para iniciar sesión, los usuarios pueden
usar casi cualquier navegador web (protocolo HTTP o HTTPS), por lo que no
están obligados a instalar software adicional. La puerta de enlace está contando el
tiempo de actividad y la cantidad de tráfico que ha utilizado cada uno de sus
clientes, y también puede enviar esta información a un servidor RADIUS. El
sistema HotSpot puede limitar la tasa de bits de cada usuario en particular, la
cantidad total de tráfico, el tiempo de actividad y algunos otros parámetros que se
mencionarán más adelante en este documento.
El sistema HotSpot tiene como objetivo proporcionar autenticación dentro de una

red local (para que los usuarios de la red local accedan a Internet), pero también
puede usarse para autorizar el acceso desde redes externas para acceder a
recursos locales (como una puerta de enlace de autenticación para que el mundo
exterior pueda acceder a su red). Al configurar la función Jardín amurallado, es
posible permitir a los usuarios acceder a algunas páginas web sin necesidad de
autenticación previa.
Obtener dirección
En primer lugar, un cliente debe obtener una dirección IP. Puede establecerse en

el cliente de forma estática o alquilarse desde un servidor DHCP. El servidor
DHCP puede proporcionar formas de vincular las direcciones IP prestadas a las
direcciones MAC de los clientes, si es necesario. Al sistema HotSpot no le
importa cómo obtuvo un cliente una dirección antes de llegar a la página de
inicio de sesión de HotSpot.
Además, el servidor HotSpot puede cambiar de forma automática y transparente

cualquier dirección IP (sí, lo que significa realmente cualquierDirección IP) de
un cliente a una dirección válida no utilizada del grupo de IP seleccionado. Si un
usuario puede hacer que su conexión a Internet funcione en su lugar, podrá hacer
que su conexión funcione en la red HotSpot. Esta característica brinda la
posibilidad de proporcionar un acceso de red (por ejemplo, acceso a Internet) a
clientes móviles que no están dispuestos (o no están autorizados, no están lo
suficientemente calificados o no pueden) cambiar sus configuraciones de
red. Los usuarios no notarán la traducción (es decir, no habrá ningún cambio en
la configuración de los usuarios), pero el enrutador verá direcciones IP de origen
completamente diferentes (de lo que está configurado en cada cliente) en los
paquetes enviados desde los clientes (incluso la tabla de control de firewall
"verá" las direcciones traducidas). Esta técnica se llama NAT uno a uno,
NAT uno a uno acepta cualquier dirección entrante de una interfaz de red
conectada y realiza una traducción de la dirección de red para que los datos se
puedan enrutar a través de redes IP estándar. Los clientes pueden usar cualquier
dirección preconfigurada. Si la función NAT uno a uno está configurada para
traducir la dirección de un cliente a una dirección IP pública, entonces el cliente
puede incluso ejecutar un servidor o cualquier otro servicio que requiera una
dirección IP pública. Este NAT está cambiando la dirección de origen de cada
paquete justo después de ser recibido por el enrutador (es como el NAT de origen
que se realiza al principio de la ruta del paquete, de modo que incluso la tabla de
interrupción del cortafuegos, que normalmente 've' los paquetes recibidos
inalterados, solo puede 'ver' la dirección traducida).
Tenga en cuenta también que el modo arp debe estar habilitado en la interfaz

en la que utiliza NAT uno a uno.
Antes de la autenticación
Al habilitar HotSpot en una interfaz, el sistema configura automáticamente todo

lo necesario para mostrar la página de inicio de sesión para todos los clientes que
no están conectados. Esto se realiza agregando reglas NAT de destino dinámico,
que puede observar en un sistema HotSpot en funcionamiento. Estas reglas son
necesarias para redirigir todas las solicitudes HTTP y HTTPS de usuarios no
autorizados al proxy de autenticación HotSpot. Otras reglas que también se
insertan se describirán más adelante en una sección especial de este manual.
En la configuración más común, abrir cualquier página HTTP abrirá la página de

inicio de sesión del servlet HotSpot (que se puede personalizar ampliamente,
como se describe más adelante). Como el comportamiento normal del usuario es
abrir páginas web por sus nombres DNS, se debe configurar una configuración
DNS válida en la puerta de enlace HotSpot (es posible volver a configurar la
puerta de enlace para que no requiera una configuración DNS local, pero dicha
configuración es poco práctico y por lo tanto no recomendado).
Jardín amurallado
Es posible que no desee solicitar autorización para algunos servicios (por
ejemplo, para permitir que los clientes accedan al servidor web de su empresa sin
registrarse), o incluso para solicitar autorización solo para una serie de servicios
(por ejemplo, para que los usuarios puedan acceder a un servidor de archivos
interno u otra área restringida). Esto se puede hacer configurando el sistema
Walled Garden.
Cuando un usuario no conectado solicita un servicio permitido en la

configuración de Walled Garden, la puerta de enlace HotSpot no lo intercepta o,
en el caso de HTTP, simplemente redirige la solicitud al destino original. Otras
solicitudes se redirigen al servlet HotSpot (infraestructura de la página de inicio
de sesión). Cuando un usuario inicia sesión, no hay efecto de esta tabla en él /
ella.
Walled Garden para solicitudes HTTP está utilizando el servidor proxy

incorporado ( / ip proxy ). Esto significa que todos los parámetros configurados
de ese servidor proy también serán efectivos para los clientes WalledGarden (así
como para todos los clientes que tienen habilitado el proxy transparente)
Autenticación
Actualmente hay 6 métodos de autenticación diferentes. Puede usar uno o más de

ellos simultáneamente:
 HTTP PAP : método más simple, que muestra la página de inicio de sesión de
HotSpot y espera obtener la información de autenticación (es decir, nombre de
usuario y contraseña) en texto sin formato. Tenga en cuenta que las contraseñas
no se cifran cuando se transfieren a través de la red. Otro uso de este método es
la posibilidad de obtener información de autenticación codificada en la página de
inicio de sesión del servlet simplemente creando el enlace apropiado.
 HTTP CHAP : método estándar, que incluye el desafío CHAP en la página de
inicio de sesión. El desafío hash CHAP MD5 se debe utilizar junto con la
contraseña del usuario para calcular la cadena que se enviará a la puerta de
enlace HotSpot. El resultado hash (como contraseña) junto con el nombre de
usuario se envía a través de la red al servicio HotSpot (por lo tanto, la contraseña
nunca se envía en texto sin formato a través de la red IP). En el lado del cliente, el
algoritmo MD5 se implementa en el applet de JavaScript, por lo que si un
navegador no es compatible con JavaScript (como, por ejemplo, Internet Explorer
2.0 o algunos navegadores PDA) o tiene JavaScipt deshabilitado, no podrá
autenticar a los usuarios. Es posible permitir que se acepten contraseñas sin cifrar
activando el método de autenticación HTTP PAP, pero no se recomienda (debido
a consideraciones de seguridad) usar esa función.
 HTTPS : lo mismo que HTTP PAP, pero usando el protocolo SSL para encriptar
transmisiones. El usuario de HotSpot solo envía su contraseña sin hashing
adicional (tenga en cuenta que no hay necesidad de preocuparse por la exposición
de la contraseña de texto sin formato en la red, ya que la transmisión en sí está
encriptada). En cualquier caso, el método HTTP POST (si no es posible, entonces
- método HTTP GET) se utiliza para enviar datos a la puerta de enlace HotSpot.
 Cookie HTTP- después de cada inicio de sesión exitoso, se envía una cookie al
navegador web y se agrega la misma cookie a la lista activa de cookies HTTP. La
próxima vez que el mismo usuario intente iniciar sesión, el navegador web enviará
la cookie HTTP guardada. Esta cookie se comparará con la almacenada en la
puerta de enlace HotSpot y solo si la dirección MAC de origen y la ID generada
aleatoriamente coinciden con las almacenadas en la puerta de enlace, el usuario
iniciará sesión automáticamente utilizando la información de inicio de sesión
(nombre de usuario y contraseña) se utilizó cuando La cookie se generó por
primera vez. De lo contrario, se le solicitará al usuario que inicie sesión y, en caso
de que la autenticación sea exitosa, la cookie anterior se eliminará de la lista de
cookies activas de HotSpot local y la nueva con diferente ID aleatoria y tiempo de
vencimiento se agregará a la lista y se enviará al navegador web. También es
posible borrar la cookie en el cierre de sesión manual del usuario (no en las
páginas predeterminadas del servidor, pero puede modificarlas para realizar
esto). Este método solo se puede usar junto con los métodos HTTP PAP, HTTP
CHAP o HTTPS, ya que de lo contrario no habría nada para generar cookies.
 Dirección MAC : intente autenticar a los clientes tan pronto como aparezcan en la
lista de hosts (es decir, tan pronto como hayan enviado algún paquete al servidor
HotSpot), utilizando la dirección MAC del cliente como nombre de usuario.
 Prueba : a los usuarios se les puede permitir usar el servicio de forma gratuita
durante un período de tiempo para la evaluación, y se les puede exigir que se
autentiquen solo después de que termine este período. HotSpot se puede
configurar para permitir cierto tiempo por dirección MAC para ser utilizado
libremente con algunas limitaciones impuestas por el perfil de usuario
proporcionado. En caso de que la dirección MAC todavía tenga algún tiempo de
prueba sin usar, la página de inicio de sesión contendrá el enlace para iniciar
sesión de prueba. El tiempo se restablece automáticamente después de la
cantidad de tiempo configurada (de modo que, por ejemplo, cualquier dirección
MAC puede usar 30 minutos al día sin registrarse). El nombre de usuario de dicho
usuario (como se ve en la tabla de usuario activo y en el enlace de inicio de
sesión) es "T-XX: XX: XX: XX: XX: XX" (donde XX: XX: XX: XX: XX: XX es su
dirección MAC). El procedimiento de autenticación no pedir permiso al servidor
RADIUS para autorizar a dicho usuario.
HotSpot puede autenticar a los usuarios que consultan la base de datos de

usuarios local o un servidor RADIUS (primero se consulta la base de datos local,
luego, un servidor RADIUS). En el caso de la autenticación de cookies HTTP a
través del servidor RADIUS, el enrutador enviará la misma información al
servidor que se utilizó cuando se generó la cookie por primera vez. Si la
autenticación se realiza localmente, se usa el perfil correspondiente a ese usuario;
de lo contrario (en caso de que la respuesta RADIUS no contuviera el grupo para
ese usuario), el perfil predeterminado se usa para establecer los valores
predeterminados para los parámetros, que no se establecen en RADIUS access-
accept mensaje. Para obtener más información sobre cómo funciona la
interacción con un servidor RADIUS, consulte la sección correspondiente del
manual.
El método HTTP PAP también permite la autenticación solicitando la
página /login?username=username&password=password. En caso de que desee
iniciar sesión utilizando la conexión telnet, la solicitud HTTP exacta se vería
así: GET / login? Username = username & password = password HTTP /
1.0 (tenga en cuenta que la solicitud distingue entre mayúsculas y minúsculas)
Autorización
Después de la autenticación, el usuario obtiene acceso a Internet y recibe algunas

limitaciones (que son específicas del perfil del usuario). HotSpot también puede
realizar un NAT uno a uno para el cliente, de modo que un usuario en particular
siempre reciba la misma dirección IP independientemente de en qué PC esté
trabajando.
El sistema detectará y redirigirá automáticamente las solicitudes a un servidor

proxy que esté utilizando un cliente (si lo hay; puede configurarse en su
configuración para usar un servidor proxy desconocido para nosotros) al servidor
proxy incorporado en el enrutador.
La autorización se puede delegar a un servidor RADIUS, que ofrece opciones de

configuración similares a las de la base de datos local. Para cualquier usuario que
requiera autorización, primero se consulta un servidor RADIUS y, si no se recibe
respuesta, se examina la base de datos local. El servidor RADIUS puede enviar
una solicitud de cambio de autorización de acuerdo con los estándares para
alterar los parámetros previamente aceptados.
Anuncio
El mismo proxy utilizado para clientes no autorizados para proporcionar

instalaciones Walled-Garden, también se puede utilizar para usuarios autorizados
para mostrarles ventanas emergentes de publicidad. El proxy transparente para
usuarios autorizados permite monitorear las solicitudes http de los clientes y
tomar algunas medidas si es necesario. Permite la posibilidad de abrir la página
de estado incluso si el cliente ha iniciado sesión con una dirección MAC, así
como mostrar anuncios una y otra vez
Cuando llega el momento de mostrar un anuncio, el servidor redirige el

navegador web del cliente a la página de estado. Solo se redirigen las solicitudes
que proporcionan contenido html (las imágenes y otro contenido no se verán
afectados). La página de estado muestra el anuncio y el siguiente intervalo de
publicidad se usa para programar el próximo anuncio. Si la página de estado no
puede mostrar un anuncio para el tiempo de espera configurado a partir del
momento, cuando está programado para mostrarse, el acceso del cliente se
bloquea dentro del jardín amurallado (al igual que los clientes no autorizados). El
cliente se desbloquea cuando finalmente se muestra la página programada. Tenga
en cuenta que si las ventanas emergentes están bloqueadas en el navegador, el
enlace en la página de estado puede usarse para abrir el anuncio manualmente.
Mientras el cliente esté bloqueado, no se permitirán FTP ni otros servicios. Por lo

tanto, se requiere que el cliente abra un anuncio para cualquier actividad en
Internet no permitida especialmente por Walled-Garden.
Contabilidad
El sistema HotSpot implementa la contabilidad internamente, no está obligado a

hacer nada especial para que funcione. La información contable de cada usuario
puede enviarse a un servidor RADIUS.
Menús de configuración
 / ip hotspot : servidores HotSpot en interfaces particulares (un servidor por

interfaz). El servidor HotSpot debe agregarse en este menú para que el sistema
HotSpot funcione en una interfaz
 / ip hotspot profile : perfiles del servidor HotSpot. Aquí se configuran los ajustes
que afectan el procedimiento de inicio de sesión para los clientes de HotSpot. Más
de un servidor HotSpot puede usar el mismo perfil
 / ip hotspot host : lista dinámica de hosts de red activos en todas las interfaces
HotSpot. Aquí también puede encontrar enlaces de direcciones IP del NAT uno a
uno
 / ip hotspot ip-binding - reglas para vincular direcciones IP a hosts en interfaces
de hotspot
 / ip hotspot service-port - ayudantes de traducción de direcciones para NAT uno
a uno
 / ip hotspot walled-garden : reglas de Walled Garden a nivel HTTP (nombres
DNS, subcadenas de solicitud HTTP)
 / ip hotspot walled-garden ip - Reglas de Walled Garden a nivel de IP
(direcciones IP, protocolos IP)
 / ip hotspot user : usuarios del sistema HotSpot local
 / ip hotspot user profile - perfiles de usuarios del sistema HotSpot local (grupos
de usuarios)
 / ip hotspot active : lista dinámica de todos los usuarios de HotSpot autenticados
 / ip hotspot cookie : lista dinámica de todas las cookies HTTP válidas
Configuración basada en preguntas y respuestas

Nombre del comando: / ip hotspot setup
Preguntas
conjunto de direcciones de red ( nombre ) - conjunto de direcciones IP para el
HotSpot red de nombres DNS ( texto ) - nombre de dominio DNS de la pasarela
HotSpot (se puede configurar de forma estática en el proxy DNS local servidores
DNS ( dirección IP , [ dirección IP ]) - Servidores DNS para la interfaz de
punto de acceso de los clientes HotSpot ( nombre ): interfaz para ejecutar
HotSpot en la dirección IP del servidor smtp ( dirección IP ; valor
predeterminado: 0.0.0.0 ): dirección IP del servidor SMTP para redirigir las
solicitudes SMTP (puerto TCP 25) a

0.0.0.0 - sin redireccionamiento
dirección local de la red ( dirección IP ; valor predeterminado: 10.5.50.1/24 ):

dirección de puerta de enlace HotSpot para la red de enmascaramiento de la
interfaz (sí | no; valor predeterminado: sí ): si se debe enmascarar el nombre de
la red HotSpot del usuario del punto de acceso local ( texto ; valor
predeterminado : admin ) - nombre de usuario de una frase de contraseña
de usuario creada automáticamente ( texto ) - la frase de contraseña del
certificado que está importando contraseña para el usuario ( texto ) - contraseña
para el certificado de selección de usuario creado automáticamente ( nombreEl
| none import-other-certificate): elija el certificado SSL de la lista de certificados
importados

ninguno - no use SSL
import-other-certificate : configure los certificados que aún no se importaron y
vuelva a hacer esta pregunta
Notas
Dependiendo de la configuración actual y las respuestas a las preguntas

anteriores, los valores predeterminados de las siguientes preguntas pueden ser
diferentes. Algunas preguntas pueden desaparecer si se vuelven redundantes
Ejemplo
Para configurar HotSpot en la interfaz ether1 (que ya está configurada con la

dirección 192.0.2.1/25) y agregar administrador de usuario con basura de
contraseña:
[admin @ MikroTik]> configuración de punto de acceso ip
interfaz de punto de acceso: ether1
dirección local de la red: 192.0.2.1/24
red de disfraces: sí
grupo de direcciones de red: 192.0.2.2-192.0.2.126
seleccione certificado: ninguno
Dirección IP del servidor SMTP: 0.0.0.0
servidores dns: 192.0.2.254
nombre dns: hs.example.net
nombre del usuario del punto de acceso local: admin
contraseña para el usuario: basura
[admin @ MikroTik]>
Configuración de la interfaz HotSpot

Nivel de submenú: / punto de acceso ip
Descripción
El sistema HotSpot se coloca en interfaces individuales. Puede ejecutar

configuraciones de HotSpot completamente diferentes en diferentes interfaces
descripción de propiedad
HTTPS ( solo lectura: indicador ): si el servicio HTTPS se está ejecutando

realmente en la interfaz (es decir, está configurado en el perfil del servidor y se
importa un certificado válido en el enrutador) grupo de direcciones ( nombre |
ninguno; predeterminado : none ): nombre del grupo de direcciones IP para
realizar NAT uno a uno. Puedes elegir no usar el NAT uno a uno
ninguno : no realice NAT uno a uno para los clientes de esta interfaz HotSpot
direcciones por mac ( entero | ilimitado; valor predeterminado: 2 ): número de

direcciones IP que se pueden vincular con cualquier dirección MAC en particular
(es una pequeña posibilidad de reducir el ataque de denegación de servicio
basado en hacerse cargo de todas las direcciones IP libres grupo de
direcciones). No disponible si el conjunto de direcciones está establecido
en none
ilimitado : el número de direcciones IP por una dirección MAC no está limitado
idle-timeout ( time | none; default: 00:05:00 ) - tiempo de inactividad (período

máximo de inactividad) para clientes no autorizados. Se utiliza para detectar que
el cliente no está utilizando redes externas (por ejemplo, Internet), es decir, NO
HAY TRÁFICO que provenga de ese cliente y pase por el enrutador. Al llegar al
tiempo de espera, el usuario será eliminado de la lista de hosts y la dirección
utilizada para comprar al usuario será liberada.
ninguno : no agote el tiempo de espera de los usuarios inactivos
interfaz ( nombre ): interfaz para ejecutar HotSpot en ip-of-dns-name ( solo

lectura: dirección IP ): dirección IP del nombre DNS de la puerta de enlace de
HotSpot establecida en el perfil de interfaz de HotSpot keepalive-
timeout ( tiempo | ninguno; valor predeterminado: none ): tiempo de espera de
keepalive para clientes no autorizados. Se usa para detectar que la computadora
del cliente está viva y accesible. Si la verificación falla durante este período, el
usuario será eliminado de la lista de hosts y la dirección utilizada para comprar al
usuario será liberada
ninguno : no agote el tiempo de espera de los usuarios inalcanzables
perfil ( nombre ; predeterminado: predeterminado ): perfil predeterminado de

HotSpot para la interfaz
Descripción del comando
reset-html ( nombre ): sobrescribe el servlet HotSpot existente con los archivos

HTML originales. Se usa si ha cambiado el servlet y no funciona después de eso
Notas
La propiedad direcciones por mac solo funciona si se define el grupo de

direcciones. También tenga en cuenta que en caso de que esté autenticando
usuarios conectados a través de un enrutador, parece que todas las direcciones IP
provienen de una dirección MAC.
Ejemplo
Para agregar el sistema HotSpot a la interfaz local , permitiendo que el sistema

realice NAT uno a uno para cada cliente (las direcciones del grupo de
direcciones HS-real se utilizarán para el NAT):
[admin @ MikroTik] punto de acceso ip> agregar interfaz = grupo de
direcciones local = HS-real
[admin @ MikroTik] punto de acceso ip> imprimir
Banderas: X - deshabilitado, I - inválido, S - HTTPS
# NOMBRE INTERFAZ DIRECCIÓN-PISCINA PERFIL IDLE-TIMEOUT
0 hs-local local HS-real por defecto 00:05:00
[admin @ MikroTik] punto de acceso ip>
Perfiles del servidor HotSpot

Nivel de submenú: / ip hotspot profile
Descripción
Puede haber varios sistemas HotSpot diferentes, definidos como Perfiles de

servidor HotSpot, en la misma máquina de puerta de enlace. Una o más
interfaces se pueden agrupar en un perfil de servidor. Hay muy pocas
configuraciones para los servidores en interfaces particulares: la mayor parte de
la configuración se establece en los perfiles del servidor. Por ejemplo, es posible
crear un conjunto completamente diferente de páginas de servlet para cada perfil
de servidor y definir diferentes servidores RADIUS para la autenticación.
dns-name ( texto ): nombre DNS del servidor HotSpot. Este es el nombre DNS

utilizado como el nombre del servidor HotSpot (es decir, aparece como la
ubicación de la página de inicio de sesión). Este nombre se agregará
automáticamente como una entrada DNS estática en la dirección de punto de
acceso de caché de DNS ( dirección IP ; valor predeterminado: 0.0.0.0 ) -
Dirección IP para el directorio html del servicio HotSpot ( texto ; valor
predeterminado: punto de acceso ) - nombre del directorio ( accesible con FTP),
que almacena las páginas de servlet HTML (cuando se cambia, las páginas
predeterminadas se copian automáticamente en el directorio especificado si aún
no existe) http-cookie-Lifetime ( tiempo ; predeterminado:3d ): tiempo de
validez de las cookies HTTP http-proxy ( dirección IP ; valor
predeterminado: 0.0.0.0 ): dirección del servidor proxy que el servicio HotSpot
utilizará como servidor proxy [principal] para todas aquellas solicitudes
interceptadas por el sistema Universal Proxy y no definido en la lista directa de
proxy / ip . Si no se especifica, la dirección definida en el parámetro padre-
proxy de / ip proxy . Si eso también está ausente, la solicitud será resuelta por el
proxy local de inicio de sesión ( opción múltiple: cookie | http-chap | http-pap |
https | mac | trial; predeterminado: cookie, http-chap ) - qué autenticación
métodos para usar
cookie : use cookies HTTP para autenticarse, sin solicitar credenciales de

usuario. Se utilizará otro método en caso de que el cliente no tenga cookie, o el
par de nombre de usuario y contraseña almacenados ya no sean válidos desde la
última autenticación. Solo se puede usar junto con otros métodos de
autenticación HTTP (HTTP-PAP, HTTP-CHAP o HTTPS), ya que en el otro
caso no habría forma de que las cookies se generen en primer lugar
http-chap - use CHAP challenge- Método de respuesta con algoritmo de hash
MD5 para contraseñas de hash. De esta forma, es posible evitar el envío de
contraseñas de texto claro a través de una red insegura. Este es el método de
autenticación predeterminado
http-pap- use la autenticación de texto sin formato en la red. Tenga en cuenta
que, en caso de que se utilice este método, sus contraseñas de usuario estarán
expuestas en las redes locales, por lo que será posible interceptarlas
https : use el túnel SSL encriptado para transferir las comunicaciones de los
usuarios con el servidor HotSpot. Tenga en cuenta que para que esto funcione, se
debe importar un certificado válido en el enrutador (consulte un manual separado
sobre administración de certificados)
mac : intente utilizar primero la dirección MAC del cliente como nombre de
usuario. Si la dirección MAC coincidente existe en la base de datos de usuarios
local o en el servidor RADIUS, el cliente se autenticará sin solicitar que complete
el formulario de inicio de sesión de
prueba ; no requiere autenticación durante un cierto período de tiempo
mac-auth-password ( texto ): si se usa la autenticación MAC, este campo se

puede usar para especificar la contraseña para que los usuarios se autentiquen por
sus direcciones MAC nas-port-type ( texto ; valor predeterminado: wireless-
802.11 ) - NAS- Valor de atributo de tipo de puerto que se enviará al servidor
RADIUS de contabilidad de radio (sí | no; valor predeterminado: sí ): si se debe
enviar información de contabilidad de servidor RADIUS de cada usuario de vez
en cuando (el "while" se define en el radio- propiedad de actualización
provisional ) radius-default-domain ( texto ; valor predeterminado: ""):
dominio predeterminado para usar para solicitudes RADIUS. Permite seleccionar
diferentes servidores RADIUS dependiendo del perfil del servidor HotSpot, pero
también puede ser útil para un solo servidor RADIUS. radius-interim-
update ( tiempo | recibido; predeterminado: recibido ): con qué frecuencia se
envían informes contables acumulativos.
0s - igual que recibido

recibido - use cualquier valor recibido del servidor RADIUS
radius-location-id ( texto ): valor del atributo Raduis-Location-Id que se enviará

al servidor RADIUS radius-location-name ( texto ): valor del atributo Raduis-
Location-Name que se enviará al límite de velocidad del servidor
RADIUS ( texto ; valor predeterminado: "" ) - Limitación de velocidad en forma
de tasa rx [/ tx-rate] [rx-burst-rate [/ tx-burst-rate] [rx-burst-umbral [/ tx-
burst-umbral] [rx-burst-time [/ tx-burst-time]]]] [prioridad] [rx-rate-min [/
tx-rate-min]]desde el punto de vista del enrutador (por lo que "rx" es la carga del
cliente y "tx" es la descarga del cliente). Todas las tarifas deben ser números con
'k' (1,000s) o 'M' (1,000,000s) opcionales. Si no se especifica tx-rate, rx-rate
también es tx-rate. Lo mismo ocurre con tx-burst-rate y tx-burst-umbral y tx-
burst-time. Si no se especifican el umbral de ráfaga de rx y el umbral de ráfaga de
tx (pero se especifica la tasa de ráfaga), la tasa de rx y la tasa de tx se usan como
umbrales de ráfaga. Si no se especifican el tiempo de ráfaga rx y el tiempo de
ráfaga tx, se utiliza 1s como valor predeterminado. rx-rate-min y tx-rate min son
los valores de limit-at properties smtp-server ( dirección IP ; valor
predeterminado: 0.0.0.(sí | no; predeterminado: no ): si se debe dividir el nombre
de usuario del nombre de dominio cuando el nombre de usuario se proporciona
en "usuario @ dominio" o en formato "dominio \ usuario" certificado
SSL ( nombre | ninguno; predeterminado: ninguno ) - nombre del certificado
SSL a utilizar para la autenticación HTTPS. No se utiliza para otros métodos de
autenticación tiempo de prueba ( tiempo / tiempo ; predeterminado: 30 m / 1d ):
se usa solo cuando el método de autenticación es de prueba. Especifica la
cantidad de tiempo que el usuario identificado por la dirección MAC puede usar
los servicios de HotSpot sin autenticación y el tiempo, que tiene que pasar para
que el usuario pueda volver a usar los servicios de HotSpot trial-user-
profile (nombrar ; predeterminado: predeterminado ): se usa solo cuando el
método de autenticación es de prueba. Especifica el perfil de usuario, que los
usuarios de prueba usarán use -radius (yes | no; default: no ) - si usar RADIUS
para autenticar a los usuarios de HotSpot
Notas
Si no se especifica la propiedad dns-name , en su lugar se utiliza la dirección de

punto de acceso . Si la dirección del punto de acceso también está ausente,
ambos deben detectarse automáticamente.
Para utilizar la autenticación RADIUS, el menú / radius debe configurarse

correctamente.
El método de autenticación de prueba siempre debe usarse junto con uno de los
otros métodos de autenticación.
Ejemplo
Perfiles de usuario de HotSpot

Nivel de submenú: / perfil de usuario de punto de acceso ip
Descripción
Artículo movido a: HotSpot AAA section

Usuarios de HotSpot
Nivel de submenú: / usuario de punto de acceso ip
Descripción
Usuarios activos de HotSpot

Nivel de submenú: / punto de acceso ip activo
Descripción
Cookies de HotSpot
Nivel de submenú: / cookie de punto de acceso ip
Descripción
Las cookies se pueden usar para la autenticación en el servicio Hotspot
dominio ( solo lectura: texto ) - nombre de dominio (si se divide del nombre de

usuario) caduca ( solo lectura: tiempo ) - cuánto tiempo dura la cookie la
dirección mac válida ( solo lectura: dirección MAC ) - usuario de la dirección
MAC del usuario ( solo lectura: nombre ) - nombre de usuario
Notas
Puede haber múltiples cookies con la misma dirección MAC. Por ejemplo, habrá
una cookie separada para cada navegador web en la misma computadora.
Las cookies pueden caducar, así es como se supone que debe ser. El tiempo de
validez predeterminado para las cookies es de 3 días (72 horas), pero se puede
cambiar para cada perfil de servidor HotSpot individual, por ejemplo:
/ ip hotspot profile set default http-cookie-lifetime = 1d
Ejemplo
Para obtener la lista de cookies válidas:

[admin @ MikroTik] cookie de punto de acceso ip> imprimir
# DOMINIO DE USUARIO DIRECCIÓN MAC VENCIMIENTO
0 ex 01: 23: 45: 67: 89: AB 23h54m16s
[admin @ MikroTik] cookie de punto de acceso ip>
Jardín amurallado a nivel HTTP

Nivel del submenú: / ip hotspot walled-garden
Descripción
El jardín amurallado es un sistema que permite el uso no autorizado de algunos

recursos, pero requiere autorización para acceder a otros recursos. Esto es útil,
por ejemplo, para dar acceso a información general sobre el proveedor de
servicios HotSpot o las opciones de facturación.
Este menú solo administra Walled Garden para protocolos HTTP y

HTTPS. También se pueden incluir otros protocolos en Walled Garden, pero eso
está configurado en otra parte (en / ip hotspot walled-garden ip ; consulte la
siguiente sección de este manual para más detalles)
acción (permitir | denegar; valor predeterminado: permitir ): acción a realizar si

una solicitud coincide con la regla:
permitir - permitir el acceso a la página sin autorización previa

denegar - se requiere autorización para acceder a esta página
dst-address ( solo lectura: dirección IP ): dirección IP del servidor web de

destino (instalado por un jardín amurallado de nivel IP) dst-host ( comodín ;
valor predeterminado: "" ): nombre de dominio del servidor web de
destino puerto dst ( entero ; predeterminado: "" ): el puerto TCP que un cliente
ha enviado la solicitud a hits ( solo lectura: entero ): cuántas veces se ha
utilizado esta regla método ( texto ) - Método HTTP de la ruta
de solicitud ( comodín ; predeterminado: "" ) - la ruta de la
solicitudservidor ( nombre ): nombre del servidor HotSpot, esta regla se aplica
a la dirección src ( dirección IP ): dirección IP del usuario que envía la solicitud
Notas
Las propiedades comodín ( dst-host y dst-path ) coinciden con una cadena

completa (es decir, no coincidirán con "example.com" si están configuradas
como "ejemplo"). Los comodines disponibles son '*' (coincide con cualquier
número de caracteres) y '?' (coincide con cualquier personaje). Aquí también se
aceptan expresiones regulares, pero para que la propiedad se trate como una
expresión regular, debe comenzar con dos puntos (':').
Pequeños golpes al usar expresiones regulares:
 La secuencia de símbolos \\ se usa para ingresar el carácter \ en la consola

 \. patrón significa . solo (en expresiones regulares, un solo punto en el patrón
significa cualquier símbolo)
 para mostrar que no se permiten símbolos antes del patrón dado, usamos
el símbolo ^ al comienzo del patrón
 para especificar que no se permiten símbolos después del patrón dado,
usamos $ symbol al final del patrón
No puede usar la propiedad de ruta para las solicitudes HTTPS ya que el

enrutador no puede (y no debería, ¡para eso se creó el protocolo HTTPS!)
Descifrar la solicitud.
El jardín amurallado a nivel de IP, descrito en la siguiente sección, hace entradas

dinámicas aquí. En este caso, se llena la propiedad dst-address (de lo contrario,
está vacía).
Ejemplo
Para permitir solicitudes no autorizadas a la página /paynow.html del

dominio www.example.com :
[admin @ MikroTik] ip hotspot walled-garden> agregar ruta = "/
paynow.html" \
\ ... dst-host = "www.example.com"
[admin @ MikroTik] ip hotspot walled-garden> imprimir detalles
Banderas: X - deshabilitado, D - dinámico
0 dst-host = "www.example.com" ruta = "/ paynow.html" action = permitir
[admin @ MikroTik] hotspot ip jardín amurallado>
Jardín amurallado de nivel IP

Nivel de submenú: / ip hotspot walled-garden ip
Descripción
Este menú administra Walled Garden para solicitudes de IP genéricas. Consulte

la sección anterior para administrar las propiedades específicas del protocolo
HTTP y HTTPS (como el nombre DNS real, el método HTTP y la ruta utilizada
en las solicitudes).
acción (aceptar | soltar | rechazar; valor predeterminado: aceptar ): acción a

realizar si un paquete coincide con la regla:
aceptar - permitir el acceso a la página sin autorización previa

gota - se requiere la autorización para acceder a esta página
rechazan - se requiere la autorización para acceder a esta página, en caso de que
la página se accsessed withot autorización ICMP mensaje de rechazo anfitrión
inalcanzable se generará
dst-address ( dirección IP ): dirección IP del servidor web de destino dst-

host ( texto ; valor predeterminado: "" ): nombre de dominio del servidor web de
destino (esta no es una expresión regular ni un comodín de ningún tipo). El
nombre DNS especificado se resuelve a una lista de direcciones IP cuando se
añade la regla, y todas esas direcciones IP se utilizan dst-port ( número entero ;
por defecto: "" ) - el puerto TCP o UDP (protocolo DEBE ser especificado
explícitamente en el propiedad del protocolo ) un cliente ha enviado la solicitud
al protocolo ( enteroEl | ddp egp encap ggp gre hmp icmp idpr-cmtp igmp
ipencap ipip ipsec-ah ipsec-esp iso-tp4 ospf pup rdp rspf st tcp udp vmtp xns-idp
xtp) - Servidor de nombres de protocolo IP ( nombre ) - nombre del servidor
HotSpot this regla aplicada a la dirección src ( dirección IP ): dirección IP del
usuario que envía la solicitud
Ejemplo
Enlaces de dirección estática NAT uno a uno

Nivel de submenú: / ip hotspot ip-binding
Descripción
Puede configurar las traducciones NAT estáticamente según la dirección IP

original (o la red IP) o la dirección MAC original. También puede permitir que
algunas direcciones omitan la autenticación HotSpot (es decir, podrán funcionar
sin tener que iniciar sesión en la red primero) y bloquear completamente algunas
direcciones.
dirección ( dirección IP / [ máscara de red ]; valor predeterminado: "" ) - la

dirección IP original o la red de la dirección MAC del cliente ( dirección MAC ;
valor predeterminado: "" ) - la dirección MAC de origen
del servidor cliente ( nombre | todos; predeterminado: todos ): el nombre del
servidor al que se está conectando el cliente a la dirección ( dirección IP ;
predeterminado: "" ): dirección IP para traducir la dirección original del
cliente. Si la propiedad de dirección se proporciona como red, esta es la
dirección inicial para la traducción (es decir, la primera direcciónse traduce
a dirección , dirección + 1 a dirección + 1, y así sucesivamente) tipo (regular |
anulado | bloqueado) - tipo de entrada de enlace estático
regular : realice una traducción NAT uno a uno de acuerdo con los valores
establecidos en esta entrada
omitida : realice la traducción, pero excluya al cliente de tener que iniciar sesión
en el sistema HotSpot
bloqueado : la traducción no se realizará y todos los paquetes desde el host se
caerá
Notas
Esta es una lista ordenada, por lo que puede colocar entradas más específicas en
la parte superior de la lista para que anulen las reglas más comunes que aparecen
más abajo. Incluso puede poner una entrada con la dirección 0.0.0.0/0 al final de
la lista para hacer que la acción deseada sea predeterminada para aquellas
direcciones que no coincidan con ninguna otra entrada.
Lista de host activo

Nivel de submenú: / ip hotspot host
Descripción
Este menú muestra todos los hosts de red activos que están conectados a la puerta
de enlace HotSpot. Esta lista incluye todas las traducciones NAT de uno a uno
dirección ( solo lectura: dirección IP ): la dirección IP original del
cliente autorizado ( solo lectura: marca ): si el cliente se autentica
correctamente mediante el puerto puente del sistema HotSpot ( solo
lectura: nombre ): el físico real interfaz, a la que está conectado el host. Esto se
usa cuando el servicio HotSpot se coloca en una interfaz de puente para
determinar el puerto real del host dentro del puente. omitido ( solo
lectura: marca ): si el cliente no necesita ser autorizado por los bytes del sistema
HotSpot ( solo lectura: entero) - cuántos bytes recibió el enrutador de la salida
de bytes del cliente ( solo lectura: entero ) - cuántos bytes envió el enrutador al
cliente encontrado ( solo lectura: texto ) - cómo se descubrió este host ( primer
tipo de paquete, remitente, destinatario : tiempo muerto del host ( solo
lectura: tiempo ): cuánto tiempo no ha recibido el enrutador ningún paquete
(incluidas las respuestas ARP, las respuestas de keepalive y el tráfico de
usuarios) desde este tiempo inactivo del host ( lectura- solo: tiempo ) - la
cantidad de tiempo que el usuario ha estado inactivo inactivo-tiempo de
espera ( solo lectura: tiempo ) - el valor exacto detiempo de inactividad que se
aplica a este usuario. Esta propiedad muestra cuánto tiempo debe permanecer
inactivo el usuario para que se cierre la sesión automáticamente keepalive-
timeout ( solo lectura: tiempo ): el valor exacto de keepalive-timeout que se
aplica a este usuario. Esta propiedad muestra cuánto tiempo debe permanecer
fuera del alcance de la computadora del usuario para que se cierre la sesión
automáticamente mac-address ( solo lectura: dirección MAC ) - la dirección
MAC real de los paquetes de entrada del usuario ( solo lectura: entero ) -
cuántos paquetes recibió el enrutador desde la salida de paquetes del
cliente ( solo lectura: entero) - cuántos paquetes envió el enrutador
al servidor del cliente ( solo lectura: nombre ) - nombre del servidor, al que está
conectado el host estático ( solo lectura: bandera ) - si esta traducción se ha
tomado de la estática lista de enlaces IP a dirección ( de sólo lectura: dirección
IP ) - ¿qué dirección es la dirección IP original del anfitrión traducido a tiempo
de actividad ( sólo lectura: el tiempo ) - tiempo de la sesión actual del usuario
(es decir, el tiempo que tiene el usuario estado en la lista de hosts activos)
Descripción del comando
make-binding : copia una entrada dinámica de esta lista a la lista de enlaces IP

estáticos
Parámetros de entrada
sin nombre ( nombre ) - número de artículo
comentario ( texto ) - comentario personalizado a la entrada estática que se va a
crear
tipo (regular | anulado | bloqueado) - el tipo de entrada estática
Puerto de servicio
Nivel de submenú: / ip hotspot service-port
Descripción
Al igual que para el NAT clásico, el NAT integrado integrado HotSpot 'rompe'
algunos protocolos que son incompatibles con la traducción de direcciones. Para
dejar estos protocolos consistentes, se deben usar módulos auxiliares. Para el
NAT uno a uno, el único módulo de este tipo es para el protocolo FTP.
nombre ( solo lectura: nombre ): puertos de nombre de protocolo ( solo

lectura: entero ): lista de los puertos en los que funciona el protocolo
Ejemplo
Para configurar el protocolo FTP utiliza el puerto TCP 20 y 21:

[admin @ MikroTik] puerto de servicio IP hotspot> imprimir
Banderas: X - deshabilitado
# NOMBRE PUERTOS
0 ftp 21
[admin @ MikroTik] IP hotspot service-port> set ftp ports = 20,21
[admin @ MikroTik] puerto de servicio IP hotspot> imprimir
Banderas: X - deshabilitado
# NOMBRE PUERTOS
0 ftp 20
21
[admin @ MikroTik] puerto de servicio IP hotspot>
Personalizar HotSpot: Sección de firewall

Descripción
Además de las entradas dinámicas obvias en el submenú / ip hotspot (como

hosts y usuarios activos), se agregan algunas reglas adicionales en las tablas del
firewall cuando se activa un servicio HotSpot. A diferencia de RouterOS versión
2.8, hay relativamente pocas reglas de firewall agregadas en el firewall ya que el
trabajo principal lo realiza el algoritmo NAT uno a uno.
Reglas NAT
Desde el comando dinámico de impresión ip / nat firewall , puede obtener algo
como esto (los comentarios siguen después de cada una de las reglas):
0 D chain = dstnat action = jump jump-target = hotspot hotspot = desde-
cliente
Colocando todas las tareas relacionadas con HotSpot para paquetes de todos los
clientes de HotSpot en una cadena separada.
1 I chain = hotspot action = jump jump-target = pre-hotspot
Cualquier acción que deba realizarse antes de que se apliquen las reglas de
HotSpot, debe colocarse en la cadena previa al punto de acceso . Esta cadena
está bajo control total del administrador y no contiene ninguna regla establecida
por el sistema, de ahí la regla de salto no válida (ya que la cadena no tiene
ninguna regla por defecto).
Cadena 2 D = acción de zona activa = redireccionar a puertos = 64872
dst-port = 53 protocolo = udp
Cadena 3 D = acción de punto de acceso = redireccionar a puertos = 64872
puerto dst = 53 protocolo = tcp
Redireccionar todas las solicitudes de DNS al servicio HotSpot. El puerto 64872

proporciona servicio DNS para todos los usuarios de HotSpot. Si desea que el
servidor HotSpot escuche también otro puerto, agregue las reglas aquí de la
misma manera, cambiando la propiedad dst-port .
4 D chain = hotspot action = redirect to-ports = 64873 hotspot = local-
dst dst-port = 80
protocolo = tcp
Redirija todas las solicitudes de inicio de sesión HTTP al servlet de inicio de

sesión HTTP. El 64873 es un puerto de servlet HTTP HotSpot.
5 D chain = hotspot action = redirigir a puertos = 64875 hotspot =
local-dst dst-port = 443
protocolo = tcp
Redirija todas las solicitudes de inicio de sesión HTTPS al servlet de inicio de

sesión HTTPS. El 64875 es un puerto de servlet HTTPS HotSpot.
6 D chain = hotspot action = jump jump-target = hs-unauth hotspot =!
Auth protocol = tcp
Todos los demás paquetes, excepto DNS y solicitudes de inicio de sesión de

clientes no autorizados, deben pasar por la cadena hs-unauth .
7 Cadena D = punto de acceso acción = saltar jump-target = hs-auth
hotspot = protocolo de autenticación = tcp
Y paquetes de los clientes autorizados, a través de la cadena hs-auth .

8 D ;;; www.mikrotik.com
chain = hs-unauth action = return dst-address = 66.228.113.26 dst-
port = 80 protocolo = tcp
Primero en la cadena hs-unauth se coloca todo lo que afecta el protocolo TCP en

el submenú ip / ip hotspot walled-garden (es decir, todo donde ninguno de los
protocolos está configurado o configurado en TCP). Aquí estamos excluyendo
www.mikrotik.com de ser redirigido a la página de inicio de sesión.
9 D chain = hs-unauth action = redirect to-ports = 64874 dst-port = 80
protocol = tcp
Todas las demás solicitudes HTTP se redirigen al servidor proxy de Walled

Garden que escucha el puerto 64874. Si hay un permiten la entrada en el / IP
punto de acceso amurallado jardín de menú para una petición HTTP, que se
reenvía al destino. De lo contrario, la solicitud se redirigirá automáticamente al
servlet de inicio de sesión de HotSpot (puerto 64873).
protocol = tcp
protocol = tcp
HotSpot por defecto asume que solo estos puertos pueden usarse para solicitudes
de proxy HTTP. Estas dos entradas se utilizan para "capturar" solicitudes de
clientes a servidores proxy desconocidos (puede agregar más reglas aquí para
otros puertos). Es decir, hacer posible que los clientes con configuraciones de
proxy desconocidas trabajen con el sistema HotSpot. Esta característica se llama
"Proxy universal". Si se detecta que un cliente está utilizando algún servidor
proxy, el sistema marcará automáticamente esos paquetes con la marca de punto
de acceso http para solucionar el problema de proxy desconocido, como veremos
más adelante. Tenga en cuenta que el puerto utilizado (64874) es el mismo que
para las solicitudes HTTP en la regla n. ° 9 (por lo que tanto las solicitudes HTTP
como las proxy HTTP se procesan con el mismo código).
protocol = tcp
El proxy HTTPS está escuchando en el puerto 64875.

13 I chain = hs-unauth action = jump jump-target = hs-smtp dst-port = 25
protocol = tcp
El redireccionamiento para el protocolo SMTP también se puede definir en la

configuración de HotSpot. En caso de que sea así, se colocará una regla de
redireccionamiento en la cadena hs-smtp . Esto se hace para que los usuarios con
una configuración SMTP desconocida puedan enviar su correo a través del
servidor SMTP del proveedor de servicios (su) en lugar de ir al servidor SMTP
[posiblemente no disponible fuera de su red de origen] que los usuarios han
configurado en sus computadoras. La cadena está vacía por defecto, de ahí la
regla de salto no válida.
14 D chain = acción hs-auth = redirigir a puertos = 64874 hotspot =
protocolo http = tcp
Proporcionar servicio proxy HTTP para usuarios autorizados. Es posible que las
solicitudes de usuarios autenticados deban estar sujetas a representación
transparente (la técnica "Proxy universal" y la función de
publicidad). Esta marca http se coloca automáticamente en las solicitudes de
proxy HTTP a los servidores detectados por el proxy HTTP HotSpot (el que está
escuchando en el puerto 64874) como solicitudes de proxy HTTP para servidores
proxy desconocidos. Esto se hace para que los usuarios que tengan algunas
configuraciones de proxy usen la puerta de enlace HotSpot en lugar del servidor
proxy [posiblemente no disponible fuera de su red de origen] que los usuarios
hayan configurado en sus computadoras. Esta marca también se aplica cuando se
debe mostrar publicidad al usuario, así como en cualquier solicitud HTTP
realizada a los usuarios cuyo perfil está configurado para proxy transparente de
sus solicitudes.
15 I chain = hs-auth action = jump jump-target = hs-smtp dst-port = 25
protocol = tcp
Proporcionar proxy SMTP para usuarios autorizados (lo mismo que en la regla #
13).
Reglas de filtro de paquetes
Desde / ip firewall filter print dynamic command, puede obtener algo como

esto (los comentarios siguen después de cada una de las reglas):
0 cadena D = acción hacia adelante = salto jump-target = hs-unauth
hotspot = desde-cliente,! Auth
Cualquier paquete que atraviese el enrutador desde un cliente no autorizado será

enviado a la cadena hs-unauth . Los HS-UNAUTH implementa el filtro Walled
Garden basada en IP.
1 cadena D = acción hacia adelante = saltar jump-target = hs-unauth-to
hotspot = to-client,! Auth
Todo lo que llega a los clientes a través del enrutador se redirige a otra cadena,
llamada hs-unauth-to . Esta cadena debe rechazar solicitudes no autorizadas a
los clientes.
2 D chain = input action = jump jump-target = hs-input hotspot = from-
client
Todo lo que proviene de los clientes al enrutador mismo, llega a otra cadena,
llamada hs-input .
3 I chain = hs-input action = jump jump-target = pre-hs-input
Antes de continuar con las reglas dinámicas [predefinidas], el paquete llega a

la cadena pre-hs-input controlada administrativamente , que está vacía por
defecto, de ahí el estado no válido de la regla de salto.
4 D chain = hs-input action = aceptar dst-port = 64872 protocolo = udp
5 D chain = hs-input action = accept dst-port = 64872-64875 protocol =
tcp
Permita el acceso del cliente a los servicios de autenticación y proxy locales

(como se describió anteriormente)
6 D chain = hs-input action = jump jump-target = hs-unauth hotspot =!
Auth
El resto del tráfico de clientes no autorizados al enrutador se tratará de la misma

manera que el tráfico que atraviesa los enrutadores.
7 D chain = hs-unauth action = protocolo de retorno = icmp
chain = hs-unauth action = return dst-address = 66.228.113.26 dst-
port = 80 protocolo = tcp
A diferencia de la tabla NAT en la que solo se agregaron las entradas de Walled

Garden relacionadas con el protocolo TCP, en la cadena de filtro de paquetes hs-
unauth se agrega todo lo que ha configurado en el menú ip / ip hotspot walled
garden . Por eso, aunque haya visto solo una entrada en la tabla NAT, aquí hay
dos reglas.
9 Cadena D = acción hs-unauth = rechazar rechazar-con = tcp-reset
protocolo = tcp
Cadena 10 D = acción hs-unauth = rechazar rechazar-con = icmp-net-
prohibido
Todo lo demás que no haya sido incluido en la lista de Walled Garden será
rechazado. Tenga en cuenta el uso de TCP Reset para rechazar las conexiones
TCP.
11 D chain = hs-unauth-to action = protocolo de retorno = icmp
chain = hs-unauth-to action = return src-address = 66.228.113.26
src-port = 80 protocolo = tcp
Se realiza la misma acción que en las reglas 7 y 8 para los paquetes destinados a
los clientes (cadena hs-unauth-to ) también.
13 D chain = hs-unauth-to action = rechazar rechazar-con = icmp-host-
prohibido
Rechace todos los paquetes a los clientes con el mensaje de rechazo ICMP.
Personalización de HotSpot: páginas de servlet HTTP

Descripción
Puede crear un conjunto completamente diferente de páginas de servlet para cada
servidor HotSpot que tenga, especificando el directorio que se almacenará en
la propiedad de directorio html de un perfil de servidor HotSpot ( / perfil de
punto de acceso ip ). Las páginas de servlet predeterminadas se copian en el
directorio de su elección justo después de crear el perfil. Se puede acceder a este
directorio conectándose al enrutador con un cliente FTP. Puede modificar las
páginas como desee utilizando la información de esta sección del manual. Tenga
en cuenta que se sugiere editar los archivos manualmente, ya que las
herramientas de edición HTML automatizadas pueden dañar las páginas al
eliminar variables u otras partes vitales.
Páginas de servlet disponibles
Páginas principales de servlet HTML, que se muestran al usuario:
 redirect.html : redirige al usuario a otra url (por ejemplo, a la página de inicio de

sesión)
 login.html : página de inicio de sesión que se muestra a un usuario para solicitar
nombre de usuario y contraseña. Esta página puede tomar los siguientes
parámetros:
o nombre de usuario - nombre de usuario
o contraseña : contraseña de texto sin formato (en caso de
autenticación PAP) o hash MD5 de variable de id-cap , contraseña y
desafío CHAP (en caso de autenticación CHAP). Este valor se utiliza
como dirección de correo electrónico para usuarios de prueba
o dst : URL original solicitada antes de la redirección. Esto se abrirá
al iniciar sesión correctamente
o ventana emergente : si se debe abrir una ventana de estado al
iniciar sesión correctamente
o radius <id> : envía el atributo identificado con <id> en forma de
cadena de texto al servidor RADIUS (en caso de que se use la
autenticación RADIUS; de lo contrario, se perderá)
o radius <id> u : envía el atributo identificado con <id> en forma de
entero sin signo al servidor RADIUS (en caso de que se use la
autenticación RADIUS; de lo contrario, se perderá)
o radius <id> - <vnd-id> : envía el atributo identificado con <id> y el
ID del proveedor <vnd-id> en forma de cadena de texto al servidor
RADIUS (en caso de que se use la autenticación RADIUS; de lo
contrario, se perderá)
o radius <id> - <vnd-id> u - envía el atributo identificado con <id> y
la ID del proveedor <vnd-id> en forma de entero sin signo al
servidor RADIUS (en caso de que se use la autenticación RADIUS; de
lo contrario, se perderá)
 md5.js : JavaScript para el hashing de contraseñas MD5. Se usa junto con
el método de inicio de sesión http-chap
 alogin.html: página que se muestra después de que el cliente ha iniciado sesión.
Abre la página de estado y redirige el navegador a la página solicitada
originalmente (antes de que fuera redirigido a la página de inicio de sesión de
HotSpot)
 status.html : página de estado, muestra estadísticas para el cliente. También
puede mostrar anuncios automáticamente
 logout.html : página de cierre de sesión, que se muestra después de que el
usuario cierra sesión. Muestra estadísticas finales sobre la sesión finalizada. Esta
página puede tomar los siguientes parámetros adicionales:
o erase-cookie : si se deben borrar las cookies del servidor HotSpot al
cerrar sesión (hace imposible iniciar sesión con cookies la próxima
vez desde el mismo navegador, puede ser útil en entornos
multiusuario)
 error.html : página de error, que se muestra solo en errores fatales
Algunas otras páginas también están disponibles, si se necesita más control:
 rlogin.html - página, que redirige al cliente desde alguna otra URL a la página de
inicio de sesión, si se requiere autorización del cliente para acceder a esa URL
 rstatus.html : de manera similar a rlogin.html, solo en caso de que el cliente ya
haya iniciado sesión y no se conozca la URL original
 radvert.html : redirige al cliente al enlace de anuncio programado
 flogin.html : se muestra en lugar de login.html, si se ha producido algún error
(nombre de usuario o contraseña no válidos, por ejemplo)
 fstatus.html : se muestra en lugar de redirigir, si se solicita la página de estado,
pero el cliente no ha iniciado sesión
 flogout.html : se muestra en lugar de redirigir, si se solicita la página de cierre de
sesión, pero el cliente no ha iniciado sesión
Servir páginas de servlet
El servlet HotSpot reconoce 5 tipos de solicitud diferentes:
1. solicitud de un host remoto

o si el usuario ha iniciado sesión y se va a mostrar publicidad , se
muestra radvert.html . Esta página redirige a la página de anuncios
programados
o Si el usuario ha iniciado sesión y la publicidad no está programada para
este usuario, se sirve la página solicitada.
o si el usuario no ha iniciado sesión, pero el jardín amurallado permite el host
de destino, entonces la solicitud también se sirve
o si el usuario no ha iniciado sesión y el jardín amurallado no permite el host
de destino, se muestra rlogin.html ; Si no se
encuentra rlogin.html , redirect.html se utiliza para redirigir a la página de
inicio de sesión
2. solicitud de "/" en el host de HotSpot
o si el usuario ha iniciado sesión, se muestra rstatus.html ; si no se
encuentra rstatus.html , redirect.html se usa para redirigir a la página de
estado
o si el usuario no ha iniciado sesión, se muestra rlogin.html ; Si no se
encuentra rlogin.html , redirect.html se utiliza para redirigir a la página de
inicio de sesión
3. solicitud de página "/ login"
o si el usuario ha iniciado sesión correctamente (o ya ha iniciado sesión), se
muestra alogin.html ; si no se encuentra alogin.html , redirect.html se
utiliza para redirigir a la página solicitada originalmente o la página de
estado (en caso de que no se haya proporcionado la página de destino
original)
o si el usuario no ha iniciado sesión (no se proporcionó el nombre de usuario,
no apareció ningún mensaje de error), se muestra login.html
o si el procedimiento de inicio de sesión ha fallado (se proporciona un
mensaje de error), se muestra flogin.html ; Si flogin.html no se
encuentra, login.html se usa
o en caso de errores fatales, se muestra error.html
4. solicitud de página "/ estado"
o si el usuario ha iniciado sesión, se muestra status.html
o si el usuario no ha iniciado sesión, se muestra fstatus.html ; si no se
encuentra fstatus.html , redirect.html se usa para redirigir a la página de
inicio de sesión
5. solicitud de página '/ cerrar sesión'
o si el usuario ha iniciado sesión, se muestra logout.html
o si el usuario no ha iniciado sesión, se muestra flogout.html ; si no se
encuentra flogout.html , redirect.html se usa para redirigir a la página de
inicio de sesión
Tenga en cuenta que si no es posible atender una solicitud utilizando las páginas

almacenadas en el servidor FTP del enrutador, se muestra el error 404
Hay muchas posibilidades para personalizar el aspecto de las páginas de

autenticación de HotSpot:
 Las páginas son fácilmente modificables. Se almacenan en el servidor FTP del

enrutador en el directorio que elija para el perfil del servidor HotSpot
correspondiente.
 Al cambiar las variables, que el cliente envía al servlet HotSpot, es posible reducir
el recuento de palabras clave a uno (nombre de usuario o contraseña; por
ejemplo, la dirección MAC del cliente puede usarse como el otro valor) o incluso a
cero (Acuerdo de licencia; algunos valores predefinidos generales para todos los
usuarios o la dirección MAC del cliente pueden usarse como nombre de usuario y
contraseña)
 El registro puede ocurrir en un servidor diferente (por ejemplo, en un servidor que
puede cargar tarjetas de crédito). La dirección MAC del cliente se le puede pasar,
de modo que esta información no necesita ser escrita manualmente. Después del
registro, el servidor debe cambiar la base de datos RADIUS permitiendo que el
cliente inicie sesión durante un período de tiempo.
Para insertar una variable en algún lugar del archivo HTML, se usa la sintaxis $
(var_name), donde "var_name" es el nombre de la variable (sin comillas). Esta
construcción se puede utilizar en cualquier archivo HTML de HotSpot al que se
acceda como '/', '/ login', '/ status' o '/ logout', así como cualquier archivo de texto
o HTML ( .txt , .htm o .html ) almacenado en el servidor HotSpot (con la
excepción de los contadores de tráfico, que están disponibles solo en la página de
estado, y las variables error , orig-error , chap-id , chap-challenge y popup ,
que están disponibles solo en la página de inicio de sesión). Por ejemplo, para
mostrar un enlace a la página de inicio de sesión, se puede utilizar la siguiente
construcción:
<a href="$(link-login)"> inicio de sesión </a>
Variables
Todas las páginas HTML de Servlet usan variables para mostrar valores
específicos del usuario. Los nombres de las variables solo aparecen en la fuente
HTML de las páginas del servlet: el servlet HotSpot los reemplaza
automáticamente con los valores respectivos. Para la mayoría de las variables hay
un ejemplo de su posible valor incluido entre paréntesis. Todas las variables
descritas son válidas en todas las páginas de servlet, pero algunas de ellas pueden
estar vacías en el momento en que se accede (por ejemplo, no hay tiempo de
actividad antes de que un usuario haya iniciado sesión).
 Variables comunes del servidor:

o hostname : nombre DNS o dirección IP (si no se proporciona el
nombre DNS) del Servlet HotSpot ("hotspot.example.net")
o identity : nombre de identidad de RouterOS ("MikroTik")
o login-by : método de autenticación utilizado por el usuario
o plain-passwd : una representación "sí / no" de si el método de
inicio de sesión HTTP-PAP está permitido ("no")
o server-address : dirección del servidor HotSpot ("10.5.50.1:80")
o ssl-login : una representación "sí / no" de si se utilizó el método
HTTPS para acceder a esa página de servlet ("no")
o server-name : nombre del servidor HotSpot (establecido en
el menú / ip hotspot , como la propiedad del nombre )
 Enlaces:
o link-login : enlace a la página de inicio de sesión, incluida la URL
original solicitada ("http://10.5.50.1/login?
dst=http://www.example.com/")
o link-login-only : enlace a la página de inicio de sesión, sin incluir la
URL original solicitada ("http://10.5.50.1/login")
o link-logout - enlace a la página de cierre de sesión
("http://10.5.50.1/logout")
o link-status : enlace a la página de estado
("http://10.5.50.1/status")
o link-orig : URL original solicitada ("http://www.example.com/")
 Información general del cliente
o dominio : nombre de dominio del usuario ("ejemplo.com")
o nombre-interfaz - nombre de interfaz físico HotSpot (en caso de
interfaces puenteadas, esto devolverá el nombre real del puerto del
puente)
o ip : dirección IP del cliente ("10.5.50.2")
o conectado : "sí" si el usuario ha iniciado sesión; de lo contrario, "no"
("sí")
o mac : dirección MAC del usuario ("01: 23: 45: 67: 89: AB")
o juicio : una representación "sí / no" de si el usuario tiene acceso al
tiempo de prueba. Si el tiempo de prueba de los usuarios ha
expirado, el valor es "no"
o nombre de usuario : el nombre del usuario ("John")
 Información del estado del usuario:
o idle-timeout - idle timeout ("20m" o "" si ninguno)
o idle-timeout-secs : tiempo de espera inactivo en segundos ("88" o
"0" si existe dicho tiempo de espera)
o limit-bytes-in : límite de bytes para el envío ("1000000" o "---" si no
hay límite)
o limit-bytes-out - límite de bytes para recibir ("1000000" o "---" si no
hay límite)
o refresh-timeout : tiempo de espera de actualización de la página
de estado ("1m30s" o "" si no hay ninguno)
o refresh-timeout-secs : tiempo de espera de actualización de la
página de estado en segundos ("90s" o "0" si no hay ninguno)
o session-timeout : tiempo de sesión restante para el usuario ("5h" o
"" si no hay ninguno)
o session-timeout-secs : tiempo de sesión restante para el usuario,
en segundos ("3475" o "0" si existe dicho tiempo de espera)
o session-time-left - tiempo de sesión restante para el usuario ("5h" o
"" si no hay ninguno)
o session-time-left-secs : tiempo de sesión restante para el usuario,
en segundos ("3475" o "0" si existe dicho tiempo de espera)
o tiempo de actividad : tiempo de actividad de la sesión actual
("10h2m33s")
o tiempo de actividad segundos - tiempo de actividad sesión actual
en segundos ( "125")
 Contadores de tráfico, que solo están disponibles en la página de estado:
o bytes de entrada : número de bytes recibidos del usuario ("15423")
o bytes-en-nice - forma fácil de usar del número de bytes recibidos
del usuario ("15423")
o bytes de salida : número de bytes enviados al usuario ("11352")
o bytes-out-nice : forma fácil de usar del número de bytes enviados
al usuario ("11352")
o paquetes entrantes : número de paquetes recibidos del usuario
("251")
o paquetes de salida - número de paquetes enviados al usuario
("211")
o permanecer-bytes-en - bytes restantes hasta que se alcance el
límite de bytes de entrada ("337465" o "---" si no hay límite)
o resto de bytes : bytes restantes hasta que se alcance el límite de
bytes de salida ("124455" o "---" si no hay límite)
 Variables varias
o session-id : valor del parámetro 'session-id' en la última solicitud
o var - valor del parámetro 'var' en la última solicitud
o error - mensaje de error, si algo falla ("nombre de usuario o
contraseña no válidos")
o error-orig : mensaje de error original (sin traducciones recuperadas
de errors.txt ), si algo falla ("nombre de usuario o contraseña no
válidos")
o chap-id - valor de chap ID ("\ 371")
o chap-challenge - valor de chap challenge ("\ 357 \ 015 \ 330 \ 013 \
021 \ 234 \ 145 \ 245 \ 303 \ 253 \ 142 \ 246 \ 133 \ 175 \ 375 \ 316")
o emergente : si se debe activar la casilla de verificación emergente
("verdadero" o "falso")
o pendiente de anuncio : si un anuncio está pendiente de mostrarse
("sí" o "no")
 Variables relacionadas con RADIUS
o radio <id> : muestra el atributo identificado con <id> en forma de
cadena de texto (en caso de que se haya usado la autenticación
RADIUS; "" de lo contrario)
o radio <id> u : muestra el atributo identificado con <id> en forma
de entero sin signo (en caso de que se haya utilizado la
autenticación RADIUS; de lo contrario, "0")
o radio <id> - <vnd-id> : muestra el atributo identificado con <id> y
el ID del proveedor <vnd-id> en forma de cadena de texto (en caso
de que se usara la autenticación RADIUS; "" de lo contrario)
o radio <id> - <vnd-id> u - muestra el atributo identificado con <id>
y la ID del proveedor <vnd-id> en forma de entero sin signo (en caso
de que se usara la autenticación RADIUS; de lo contrario, "0")
Trabajando con variables

$(if <var_name>)las declaraciones se pueden usar en estas páginas. Se incluirá el
siguiente contenido, si el valor de <var_name> no será una cadena vacía. Es
equivalente a $(if <var_name> != "")Es posible comparar también en
equivalencia: $(if <var_name> == <value>)Estas declaraciones tienen
efecto hasta $(elif <var_name>), $(else)o $(endif). En general, se ve así:
algún contenido, que siempre se mostrará
$ (si nombre de usuario == john)
Hola, tu nombre de usuario es john
$ (nombre de usuario elif == mareado)
Hola mareado ¿Cómo estás? Su administrador
$ (elif ip == 10.1.2.3)
Estás sentado en esa computadora de mierda, que es muy lenta ...
$ (elif mac == 00: 01: 02: 03: 04: 05)
Esta es una tarjeta ethernet, que fue robada hace unos meses ...
$ (más)
No sé quién eres, así que vivamos en paz.
$ (endif)
otro contenido, que siempre se mostrará
Solo se mostrará una de esas expresiones. Cuál depende de los valores de esas

variables para cada cliente.
Personalizar mensajes de error
Todos los mensajes de error se almacenan en el archivo errors.txt dentro del

directorio de servlets HotSpot correspondiente. Puede cambiar y traducir todos
estos mensajes a su idioma nativo. Para hacerlo, edite
el archivo errors.txt . También puede usar variables en los mensajes. Todas las
instrucciones se dan en ese archivo.
Varias versiones de páginas HotSpot
Se admiten varios conjuntos de páginas HotSpot para el mismo servidor

HotSpot. Pueden ser elegidos por el usuario (para seleccionar el idioma) o
automáticamente por JavaScript (para seleccionar PDA / versión normal de
páginas HTML).
Para utilizar esta función, cree subdirectorios en el directorio HTML de HotSpot

y coloque esos archivos HTML, que son diferentes, en ese subdirectorio. Por
ejemplo, para traducir todo en letón, se puede crear el subdirectorio "lv" con los
archivos login.html, logout.html, status.html, alogin.html, radvert.html y
errors.txt, que se traducen al letón. Si la página HTML solicitada no se puede
encontrar en el subdirectorio solicitado, se utilizará el archivo HTML
correspondiente del directorio principal. A continuación, el archivo principal
login.html contendría enlace a "/ lv / entrada dst = $ (enlace-orig-ESC)?", Que
luego se muestra la versión letona de la página de inicio de sesión: <a
href="/lv/login?dst=$(link-orig-esc)">Latviski</a>. Y la versión letona
contendría un enlace a la versión en inglés: <a href="/login?dst=$(link-orig-
esc)">English</a>
Otra forma de hacer referencia a directorios es especificar la variable 'objetivo':

<a href="$(link-login-only)?dst=$(link-orig-esc)&target=lv">
Latviski </a>
<a href="$(link-login-only)?dst=$(link-orig-esc)&target=%2F">
inglés </a>
Después de que se haya seleccionado el directorio preferido (por ejemplo, "lv"),

todos los enlaces a páginas locales de HotSpot contendrán esa ruta (por
ejemplo, $(link-status) = "http://hotspot.mt.lv/lv/status"). Entonces, si
todas las páginas de HotSpot hacen referencia a enlaces que usan variables "$
(link-xxx)", entonces no se realizarán más cambios: cada cliente permanecerá en
el directorio seleccionado todo el tiempo.
Notas
Si desea utilizar el método de autenticación HTTP-CHAP, se supone que incluye

la función doLogin () (que hace referencia a md5.js que ya debe estar cargada)
antes de la acción Enviar del formulario de inicio de sesión. De lo contrario, el
inicio de sesión CHAP fallará.
La contraseña resultante que se enviará a la puerta de enlace de HotSpot en el

caso del método HTTP-CHAP, se forma MD5-hashing la concatenación de lo
siguiente: chap-id, la contraseña del usuario y chap-challenge (en el orden dado)
En caso de que las variables se usen directamente en el enlace, se deben escapar

en consecuencia. Por ejemplo, en la página de inicio de sesión, <a
href="https://login.example.com/login?mac=$(mac)&user=$(username)"> el
enlace </a> no funcionará según lo previsto, si el nombre de usuario será "123 y
456 = 1 2". En este caso, en lugar de $ (usuario), se debe usar su versión con
escape: $ (user-esc): <a href = "https: //login.server.serv/login? Mac = $ (mac-
esc) & user = $ (user-esc) "> enlace </a>. Ahora el mismo nombre de usuario se
convertirá a "123% 26456% 3D1 + 2", que es la representación válida de "123 &
456 = 1 2" en la URL. Este truco se puede usar con cualquier variable, no solo
con $ (nombre de usuario).
Hay un parámetro booleano "erase-cookie" en la página de cierre de sesión, que
puede estar "activado" o "verdadero" para eliminar la cookie del usuario al
finalizar la sesión (para que el usuario no inicie sesión automáticamente cuando
abre un navegador) la próxima vez.
Ejemplo
Con el conocimiento básico del lenguaje HTML y los ejemplos a continuación,

debería ser fácil implementar las ideas descritas anteriormente.
 Para proporcionar un valor predefinido como nombre de usuario, en login.html

cambie:
<type = "text" value = "$ (nombre de usuario)>
a esta línea:
<input type = "hidden" name = "username" value = "hsuser">
(donde hsuser es el nombre de usuario que está proporcionando)
 Para proporcionar un valor predefinido como contraseña, en login.html cambie:
<input type = "contraseña">
a esta línea:
<input type = "hidden" name = "password" value = "hspass">
(donde hspass es la contraseña que está proporcionando)
 Para enviar la dirección MAC del cliente a un servidor de registro en forma de:
https://www.example.com/register.html?mac=XX:XX:XX:XX:XX:XX
cambie el enlace del botón Iniciar sesión en login.html a:
https://www.example.com/register.html?mac=$(mac)
(debe corregir el enlace para apuntar a su servidor)
 Para mostrar un banner después del inicio de sesión del usuario, en alogin.html
después
$ (si emergente == 'verdadero')
agregue la siguiente línea:

abierto ('http://www.example.com/your-banner-page.html', 'my-
banner-name', '');
(debe corregir el enlace para que apunte a la página que desea mostrar)
 Para elegir una página diferente que se muestra después del inicio de sesión, en
login.html cambie:
<input type = "hidden" name = "dst" value = "$ (link-orig)">
a esta línea:
<input type = "hidden" name = "dst" value =

"http://www.example.com">
(debe corregir el enlace para apuntar a su servidor)
 Para borrar la cookie al cerrar sesión, en la página que contiene el enlace al cierre
de sesión (por ejemplo, en status.html) cambie:
open ('$ (link-logout)', 'hotspot_logout', ...
a esto:
open ('$ (link-logout)? erase-cookie = on', 'hotspot_logout', ...
o, alternativamente, agregue esta línea:
<input type = "hidden" name = "erase-cookie" value = "on">
antes de este:
<input type = "submit" value = "cerrar sesión">
Otro ejemplo es hacer que HotSpot se autentique en un servidor remoto (que

puede, por ejemplo, realizar el cobro con tarjeta de crédito):
 Permitir acceso directo al servidor externo en un jardín amurallado (ya sea basado
en HTTP o basado en IP)
 Modifique la página de inicio de sesión del servlet HotSpot para redirigir al servidor
de autenticación externo. El servidor externo debe modificar la base de datos
RADIUS según sea necesario
Aquí hay un ejemplo de dicha página de inicio de sesión para colocar en el

enrutador HotSpot (se está redirigiendo a https://auth.example.com/login.php,
reemplace con la dirección real de un servidor de autenticación externo):
<html>
<title> ... </title>
<cuerpo>
<form name = "redirect" action =
"https://auth.example.com/login.php" method = "post">
<input type = "hidden" name = "mac" value = "$ (mac)">
<input type = "hidden" name = "ip" value = "$ (ip)">
<input type = "hidden" name = "username" value = "$ (username)">
<input type = "hidden" name = "link-login" value = "$ (link-
login)">
<input type = "hidden" name = "link-orig" value = "$ (link-orig)">
<input type = "hidden" name = "error" value = "$ (error)">
</form>
<script language = "JavaScript">
<! -
document.redirect.submit ();
// ->
</script>
</body>
</html>
 El servidor externo puede iniciar sesión en un cliente HotSpot redirigiéndolo de

nuevo a la página de inicio de sesión del servlet HotSpot original, especificando el
nombre de usuario y contraseña correctos
Aquí hay un ejemplo de dicha página (se está redirigiendo a

https://hotspot.example.com/login, reemplace con la dirección real de un enrutador
HotSpot; también, se muestra www.mikrotik.com después de iniciar sesión con
éxito, reemplace con lo necesario):
<html>
<title> Página de inicio de sesión de Hotspot </title>
<cuerpo>
<form name = "login" action = "https://hotspot.example.com/login"
method = "post">
<input type = "text" name = "username" value = "demo">
<input type = "password" name = "password" value = "none">
<input type = "hidden" name = "domain" value = "">
<input type = "hidden" name = "dst" value =
"http://www.mikrotik.com/">
<input type = "submit" name = "login" value = "log in">
</form>
</body>
</html>
 Hotspot le preguntará al servidor RADIUS si permite el inicio de sesión o no. Si no

está permitido, se mostrará la página alogin.html (se puede modificar para hacer
cualquier cosa). Si no está permitido, se mostrará la página flogin.html (o
login.html), que redirigirá al cliente nuevamente al servidor de autenticación
externo.
 Nota: como se muestra en estos ejemplos, el protocolo HTTPS y el método POST
pueden usarse para proteger las comunicaciones.
Posibles mensajes de error

Descripción
Hay dos tipos de errores: fatales y no fatales. Los errores fatales se muestran en

una página HTML separada llamada error.html. Los errores no fatales
básicamente indican acciones incorrectas del usuario y se muestran en el
formulario de inicio de sesión.
Errores generales no fatales:
 No ha iniciado sesión : intenta acceder a la página de estado o cerrar sesión

mientras no está conectado. Solución : iniciar sesión
 ya autorizando, vuelva a intentarlo más tarde - autorización en curso. El cliente
ya ha emitido una solicitud de autorización que aún no está completa. Solución :
espere a que se complete la solicitud actual e intente nuevamente
 chap-missing = el navegador web no envió la respuesta de desafío (intente
nuevamente, habilite JavaScript) : intente iniciar sesión con el método HTTP-
CHAP utilizando el hash MD5, pero el servidor HotSpot no conoce el desafío
utilizado para el hash. Esto puede suceder si usa los botones ATRÁS en el
navegador; si JavaScript no está habilitado en el navegador web; si
la página login.html no es válida; o si el valor de desafío ha expirado en el
servidor (más de 1 hora de inactividad). Solución : indicar al navegador que
vuelva a cargar (actualizar) la página de inicio de sesión generalmente ayuda si
JavaScript está habilitado y la página login.html es válida
 nombre de usuario no válido ($ (nombre de usuario)): esta dirección MAC no
es suya , tratando de iniciar sesión con un nombre de usuario de dirección MAC
diferente de la dirección MAC del usuario real. Solución : no, los usuarios con
nombres de usuario que se parecen a una dirección MAC (por ejemplo, 12: 34: 56:
78: 9a: bc) solo pueden iniciar sesión desde la dirección MAC especificada como
su nombre de usuario
 límite de sesión alcanzado ($ (error-orig)) - dependiendo del número de licencia
de los clientes activos de HotSpot se limita a algún número. El error se muestra
cuando se alcanza este límite. Solución : intente iniciar sesión más tarde cuando
haya menos sesiones de usuario concurrentes, o compre otra licencia que permita
más sesiones simultáneas
 El servicio de punto de acceso se está cerrando : RouterOS se está reiniciando
o apagando actualmente. Solución : espere hasta que el servicio vuelva a estar
disponible
Errores fatales generales:
 error interno ($ (error-orig)) : esto nunca debería suceder. Si es así, se mostrará

la página de error mostrando este mensaje de error (error-orig describirá lo que ha
sucedido). Solución : corrija el error informado
 error de configuración ($ (error-orig)) : el servidor HotSpot no está configurado
correctamente (error-orig describirá lo que sucedió). Solución : corrija el error
informado
 no se puede asignar una dirección IP, no más direcciones libres del grupo ,
no se puede obtener una dirección IP de un grupo IP ya que no hay más
direcciones IP libres en ese grupo. Solución : asegúrese de que haya una
cantidad suficiente de direcciones IP libres en el grupo de IP
Errores no fatales de la base de datos de usuarios de HotSpot local:
 nombre de usuario o contraseña no válidos - se explica por sí mismo

 El usuario $ (nombre de usuario) no puede iniciar sesión desde esta
dirección MAC , intentando iniciar sesión desde una dirección MAC diferente de
la especificada en la base de datos del usuario. Solución : inicie sesión desde la
dirección MAC correcta o elimine la limitación
 el usuario $ (nombre de usuario) ha alcanzado el límite de tiempo de
actividad - se explica por sí mismo
 $ usuario (nombre de usuario) ha alcanzado el límite de tráfico - ya sea límite
de bytes en o límite de bytes de salida se alcanza el límite
 no se permiten más sesiones para el usuario $ (nombre de usuario) : se
alcanza el límite de usuarios compartidos para el perfil del usuario. Solución :
espere hasta que alguien con este nombre de usuario cierre sesión, use un
nombre de inicio de sesión diferente o extienda el límite de usuarios compartidos
Errores no fatales del cliente RADIUS:
 nombre de usuario o contraseña no válidos : el servidor RADIUS ha rechazado

el nombre de usuario y la contraseña que se le enviaron sin especificar un
motivo. Causa : nombre de usuario y / o contraseña incorrectos u otro
error. Solución : debe aclararse en los archivos de registro del servidor RADIUS
 <error_message_sent_by_radius_server> : este puede ser cualquier mensaje
(cualquier cadena de texto) enviado por el servidor RADIUS. Consulte con la
documentación de su servidor RADIUS para más información
Errores fatales del cliente RADIUS:
 El servidor RADIUS no responde : el servidor RADIUS está autenticando al

usuario, pero no se recibe ninguna respuesta. Solución : compruebe si el servidor
RADIUS se está ejecutando y si es accesible desde el enrutador HotSpot
Cómo hacer HotSpot

Descripción
Esta sección se centrará en algunos ejemplos simples de cómo usar su sistema

HotSpot, así como también le dará algunas ideas útiles.
Configurar la autorización HTTPS
En el primer certificado debe estar presente con la clave privada descifrada:

[admin @ MikroTik]> / impresión de certificado
Banderas: K - clave privada descifrada, Q - clave privada, R - rsa, D -
dsa
0 KR name = "hotspot.example.net"
sujeto = C = LV, L = Riga, O = MT, OU = dev, CN =
hotspot.example.net,
emailAddress=admin@hotsot.example.net
emisor = C = LV, L = Riga, O = MT, OU = dev, CN =
hotsot.example.net,
emailAddress=admin@hotsot.example.net
serial-number = "0" email=admin@hotsot.example.net
inválido-antes = 27 / oct / 2004 11:43:22 inválido-después = 27 /
oct / 2005 11:43:22
ca = sí
Entonces podemos usar ese certificado para HotSpot:

/ ip hotspot profile set default login-by = cookie, http-chap, https \
ssl-certificate = hotsot.example.net
Después de eso podemos ver que HTTPS se está ejecutando en la interfaz

HotSpot:
[admin @ MikroTik]> / ip hotspot print
Banderas: X - deshabilitado, I - inválido, S - HTTPS
# NOMBRE INTERFAZ DIRECCIÓN-PISCINA PERFIL IDLE-TIMEOUT
0 S hs-local local predeterminado 00:05:00
Omitir HotSpot para algunos dispositivos en la red HotSpot
No se solicitará autorización a todas las entradas de enlace de IP con propiedad

de tipo establecida como anulada , lo que significa que tendrán acceso libre de
inicio de sesión:
[admin @ MikroTik] IP hotspot enlace de ip> imprimir
Banderas: X - deshabilitado, P - anulado, B - bloqueado
# MAC-ADDRESS DIRECCIÓN AL SERVIDOR DE DIRECCIONES
0 P 10.11.12.3
Si todos los campos se han rellenado en la tabla de enlace de IP y el tipo se ha

configurado como anulado , entonces la dirección IP de esta entrada será
accesible desde las interfaces públicas de inmediato:
[admin @ MikroTik] IP hotspot enlace de ip> imprimir
Banderas: X - deshabilitado, P - anulado, B - bloqueado
# MAC-ADDRESS DIRECCIÓN AL SERVIDOR DE DIRECCIONES
0 P 10.11.12.3
1 P 00: 01: 02: 03: 04: 05 10.11.12.3 10.11.12.3 hs-local
[admin @ MikroTik] enlace de IP de punto de acceso IP> .. host print
Indicadores: S - estático, H - DHCP, D - dinámico, A - autorizado, P -
anulado
# DIRECCIÓN MAC DIRECCIÓN SERVIDOR DIRECCIÓN TIEMPO DE inactividad
0 P 00: 01: 02: 03: 04: 05 10.11.12.3 10.11.12.3 hs-local

HotSpot Gateway

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

HotSpot Gateway

Încărcat de

Drepturi de autor:

Formate disponibile

HotSpot Gateway

El MikroTik HotSpot Gateway permite proporcionar acceso a la red pública para

Características de HotSpot Gateway:

 autenticación de clientes utilizando la base de datos de clientes local o el servidor

Guía de configuración rápida

1. primero, se requiere una configuración IP válida en ambas interfaces. Esto

Encuentre los procedimientos de HotSpot, que responderán a la mayoría de sus

Paquetes requeridos: punto de acceso , dhcp (opcional)

MikroTik HotSpot Gateway debe tener al menos dos interfaces de red:

1. Interfaz HotSpot, que se utiliza para conectar clientes HotSpot

El siguiente diagrama muestra un ejemplo de configuración de HotSpot.

HotSpot es una forma de autorizar a los usuarios a acceder a algunos recursos de

El sistema HotSpot tiene como objetivo proporcionar autenticación dentro de una

En primer lugar, un cliente debe obtener una dirección IP. Puede establecerse en

Además, el servidor HotSpot puede cambiar de forma automática y transparente

Tenga en cuenta también que el modo arp debe estar habilitado en la interfaz

Al habilitar HotSpot en una interfaz, el sistema configura automáticamente todo

En la configuración más común, abrir cualquier página HTTP abrirá la página de

Cuando un usuario no conectado solicita un servicio permitido en la

Walled Garden para solicitudes HTTP está utilizando el servidor proxy

Actualmente hay 6 métodos de autenticación diferentes. Puede usar uno o más de

HotSpot puede autenticar a los usuarios que consultan la base de datos de

Después de la autenticación, el usuario obtiene acceso a Internet y recibe algunas

El sistema detectará y redirigirá automáticamente las solicitudes a un servidor

La autorización se puede delegar a un servidor RADIUS, que ofrece opciones de

El mismo proxy utilizado para clientes no autorizados para proporcionar

Cuando llega el momento de mostrar un anuncio, el servidor redirige el

Mientras el cliente esté bloqueado, no se permitirán FTP ni otros servicios. Por lo

El sistema HotSpot implementa la contabilidad internamente, no está obligado a

 / ip hotspot : servidores HotSpot en interfaces particulares (un servidor por

Configuración basada en preguntas y respuestas

dirección local de la red ( dirección IP ; valor predeterminado: 10.5.50.1/24 ):

Dependiendo de la configuración actual y las respuestas a las preguntas

Para configurar HotSpot en la interfaz ether1 (que ya está configurada con la

Configuración de la interfaz HotSpot

El sistema HotSpot se coloca en interfaces individuales. Puede ejecutar

HTTPS ( solo lectura: indicador ): si el servicio HTTPS se está ejecutando

direcciones por mac ( entero | ilimitado; valor predeterminado: 2 ): número de

ilimitado : el número de direcciones IP por una dirección MAC no está limitado

idle-timeout ( time | none; default: 00:05:00 ) - tiempo de inactividad (período

interfaz ( nombre ): interfaz para ejecutar HotSpot en ip-of-dns-name ( solo

ninguno : no agote el tiempo de espera de los usuarios inalcanzables

perfil ( nombre ; predeterminado: predeterminado ): perfil predeterminado de

Descripción del comando

reset-html ( nombre ): sobrescribe el servlet HotSpot existente con los archivos

La propiedad direcciones por mac solo funciona si se define el grupo de

Para agregar el sistema HotSpot a la interfaz local , permitiendo que el sistema

Perfiles del servidor HotSpot

Puede haber varios sistemas HotSpot diferentes, definidos como Perfiles de

dns-name ( texto ): nombre DNS del servidor HotSpot. Este es el nombre DNS

cookie : use cookies HTTP para autenticarse, sin solicitar credenciales de

mac-auth-password ( texto ): si se usa la autenticación MAC, este campo se

0s - igual que recibido

radius-location-id ( texto ): valor del atributo Raduis-Location-Id que se enviará

Si no se especifica la propiedad dns-name , en su lugar se utiliza la dirección de

Para utilizar la autenticación RADIUS, el menú / radius debe configurarse

Perfiles de usuario de HotSpot

Artículo movido a: HotSpot AAA section

Artículo movido a: HotSpot AAA section

Usuarios activos de HotSpot

Artículo movido a: HotSpot AAA section

Las cookies se pueden usar para la autenticación en el servicio Hotspot

dominio ( solo lectura: texto ) - nombre de dominio (si se divide del nombre de