Un Portal Cautivo o Portal Captivo es un sistema que permite capturar el trfico http (web) de nuestros clientes y redireccionarlo a un Portal para fines de autenticacin. Una vez el clientes es autenticado, este puede acceder a todos los servicios de internet con "normalidad".

La configuracin estandar de MikroTik Hotspot es muy fcil de configurar, pero hay que hacer ciertas modificaciones para evitar tener problemas en nuestra red si es que utilizamos AP's o Routers modo cliente. Tengan en cuenta que un hotspot est pensado para ser utilizado en lugares relativamente "pequeos", y que adems sus clientes NO se conectarn a travs de AP's o Routers modo cliente... osea imagnense un Starbucks donde todas las personas que se conecten ah, lo harn directamente con laptops, iPod, PDA, smartphones, etc.

Muchos usan MikroTik Hotspot en redes wireless extensas como nico sistema de seguridad, dejandola seal abierta (sin encriptacin), teniendo la creencia que este sistema es inviolable, lo es bastantefalso. Sin contar que estamos dejando la puerta abierta para que cualquier persona malintencionada haga un gran alboroto en nuestra red.

Para hacer esta gua, estoy tomando en cuenta que ya tenemos el servidor configurado y funcionando, as que sugiero leer las dems guas bsicas si se presentan problemas o dudas que noexplico en esta gua. Quiz parexca algo complicado, pero con slo seguir las imgenes sera suficiente, ya si se quiere profundizar o si se tiene duda de algo, tocara leer el contenido.

Parte 1: Configurando Hotspot con el asistente de configuracin.

Para empezar vamos a IP -> Hotspot -> pestaa Servers -> botn Hotspot Setup, para iniciar con el asistente de configuracin de Hotspot Server.

Al igual que la configuracin del servidor DHCP de MikroTik, nos ayudaremos del asistente de configuracin automtica para as configurar "correctamente" nuestro Hotspot, inclusive ambos son muy parecidos.

HotSpot Interface, debemos especificar la interfaz donde se configurar el Hotspot server, obviamente elegiremos la interfaz de red LAN o tarjeta de red de los clientes, que en este caso esether2.

Local Address of Network, aparecer automticamente la puerta de enlace de los clientes, que eneste caso es 192.168.10.1; claro, est tomando los datos del IP de ether2 que especificamos en el paso anterior.

Masquerade Network, lo desmarcamos ya que tenemos el servidor funcionando, por lo tanto, ya contamos con el enmascarado. Si activamos este check crear otro enmascarado, pero en este caso ser por rango de red.

Address Pool of Network, aparecer un rango de IP's que sern asignados a los clientes para que as obtengan un IP automticamente. En este caso apareci un rango ya definido, este rango lo tomde una configuracin previa ya que tena configurado un servidor DHCP. Si no tuvieramos un servidor DHCP funcionando, este paso activara uno obligatoriamente. Ya ms adelante podremos deshabilitarlo.

Select Certificate, a momento slo vamos a elegir none, ya que no contamos con un certificado SSL. Estos certificados son utilizados para validar una pgina web (como nuestro portal cautivo) cuando se utiliza el protocolo

https y as encriptar las conexiones entre el cliente y servidor, muy utilizado en las pginas de los bancos ya que as ofrecen seguridad respecto a las claves y los movimientos.

IP Address of SMTP Server, lo dejamos tal como est: 0.0.0.0 ya que no contamos un un servidor SMTP.

DNS Servers, si ya tuvieramos configurado el DNS Cache estos valores aparecern automticamente, sino, pues lo tendremos que agregar manualmente.

DNS Name, aqu colocaremos un DNS para nuestra red de hotspot; para tenermo ms claro, cuando hotspot ya est funcioando y queramos abrir una pgina, este nos redireccionar al portal cautivo para que nos autentiquemos con nuestro usuario y clave, ese portal tendr direccin http://login.hot.net/ ya que ese es el DNS que escribimos; en todo caso, si este valor se deja en blanco, hotspot usar directamente la puerta de enlace de los clientes, o sea, el http://192.168.10.1/

Name of Local Hotspot User, por defecto, el nombre de usuario administrador para el logueo en elhotspot es admin, aunque si lo quieren cambiar, no hay problema, pero recurdenlo! ya que con esenombre se autenticarn al hotspot por primera vez.

Password for the User, el password de logueo, en este caso el password ser test, lo pueden cambiar por el gusten, pero al igual que la opcin anterior, es necesario recordarlo.

Una vez hecho esto saldr un mensaje que nuestro hotspot fue configurado satisfactoriamente; luego, si nuestro WinBox estaba conectado al servidor MikroTik por IP, seguramente nos desconectaremos inmediatemente. Si estabamos conectados por MAC, seguiremos conectados. En todo caso, nuestro servidor hotspot YA est configurado, y si intentramos abrir una nueva pgina, este nos mostrar el portal cautivo de MikroTik.

Una vez que veamos el portal cautivo, tendremos que autenticarnos con el user y password que configuramos previamente, en mi gua el login es admin y el password es test. Una vez autenticados, hotspot nos dar un mensaje de bienvenida y tendremos internet normalmente (sin esta autenticacin no hay absolutamente ningn servicio disponible que dependa de internet, o sea, no juegos, no msn, no skype, etc.)

Parte 2: Modificar Hotspot para evitar algunos problemas.

Hasta aqu ya lo tenemos configurado, pero tenemos que modificarlo para evitar tener problemas. Sivamos una vez ms a IP -> Hotspot -> pestaa Servers, veremos que apareci un nuevo elemento: hotspot1, que es nuestro servidor hotspot recin configurado.

Nota: Tengan en cuenta que hasta el momento, ninguno de nuestros clientes tiene internet ya que estos NO tienen un usuario y password para que se autentiquen en el portal que les apareci. Si lo creen conviente, pueden deshabilitar momentneamente la regla hotspot1 para as no fastidiar a nuestros clientes... ya cuando lo tengamos todo configurado y listo para funcionar, podemos habilitarlo denuevo.

Empezaremos la modificacin abriendo la regla hotspot1 y as poder editar sus opciones.

Name, obviamene es el nombre del servidor hotspot que configuramos hace un momento. Si gustanle cambian de nombre si es que tuvieran otros hotspots para distintas interfaces de red.

Interface, es la interfaz de red a la que configuramos el servidor hotspot, se trata de la interfaz de los clientes, en este caso es ether2.

Address Pool, si los clientes de nuestro hotspot se conectan a travs de AP's modo cliente Routers modo cliente, entonces es absolutamente necesario modificar esta valor a none. Si lo dejamos tal como est por defecto (dhcp_pool1 si tenamos configurado un DHCP), entonces hotspotentrar en modo captura de IP's y nos podra traer problemas cuando intentemos conectarnos a un equipo (AP, Router, VoIP, etc) dentro de nuestra red, ya que MikroTik capturar esta conexin y nos pondr trabas ingresar.

Profile, es el profile de del servidor hotspot, por defecto es hsprof1 que se autoconfigur al momento de hacer el asistente de configuracin.

Vamos a IP -> Hotspot -> pestaa Server Profiles y abrimos la regla hsprof1 -> pestaa General para dar una revisada al server profile.

Name, nombre del perfl del servidor, en este caso es hsprof1.

Hotspot Address, es la puerta de enlace de nuestros clientes, en este caso, 192.168.10.1, si llegramos a cambiar este gateway desde IP -> Addresses, tendramos que modificar este cuadro manualmente para actualizar a la nueva configuracin.

DNS Name, es el nombre de nuestro portal cautivo, en este caso

es login.hot.net (http://login.hot.net), que es el que colocamos al momento de hacer el asistente de configuracin, lo podemos modificar a nuestro gusto.

HTML Directory, es la carpeta donde se almacenan los archivos del portal cautivo, esta carpeta la encontramos en Interface.

Parte 3: Elegiendo el tipo de autenticacin.

Hasta este momento, todos nuestros clientes no pueden navegar ya que les apareci un portal cautivo solicitando un usuario y contrasea, al menos nosotros s podremos autenticarnos ya que al momento de configurar el hotspot creamos una cuenta de administrador, que en el ejemplo es login: admin y password: test

Por lo general existen 3 maneras de autenticarse al hotspot, descontando sus pequeas variaciones: 1)Escribiendo usuario y clave, 2)Autenticandose por MAC, 3)Siendo un usuario trial (de prueba)

Vamos a IP -> Hotspot -> pestaa Server Profiles y abrimos la regla hsprof1 -> pestaa Login,donde veremos todas las opciones de autenticacin.

MAC, activar la autenticacin por MAC, o sea, el cliente no tendr que escribir usuario y clave, ya que con solo conectarse, hotspot validar su MAC automticamente.

HTTP (CHAP PAP), activa la autenticacin por usuario y contrasea, por defecto es HTTP CHAP.

HTTPS, activa la autenticacin por usuario y cotrasea utilizando el protocolo HTTP Secure.

Trial, activa la autenticacin de prueba, para que los "invitados" puedan probar el servicio, al comento de activar esta opcin, en el portal cautivo aparecer un link "trial", que servir para

autenticarnos con slo presionar ese link.

Cookie, si est activado, ser el acompaante de toda autenticacin, generar un cookie que se almacenar tanto en el server y el PC del cliente, y mientras este cookie siga 'vigente' no pedir autenticacin hasta que venza.

HTTP Cookie Lifetime, si la opcin Cookie est activada, entonces este apartado se desbloquear.Aqu se puede elegir el tiempo de vida del cookie, por defecto es 3 das. Se pueden ver las cookies entregadas en IP -> Hotspot -> pestaa Cookies

Trial Uptime Limit, si la opcin Trial est activada, este apartado se desbloquear. Aqu colocaremos el tiempo mximo que se le quiere dar a los 'invitados' para que prueben el servicio, por defecto es 30 minutos.

Trial Uptime Reset, si la opcin Trial est activada, este apartado se desbloquear. Aqu colocaremos cada cuanto tiempo se le renovar el lmite de tiempo para el invitado... esto quiere decir, si el invitado us ya los 30 minutos de pruena, cada cunto tiempo podr usar una vez ms otros 30 minutos... por defecto es cada 24 horas o cada da (1d 00:00:00).

Trial User Profile, es el perfl de usuario que se aplicar a los invitados, ms adelante, en esta misma gua, vereremos sobre los User Profiles...

Parte 4: Creando usuarios para autenticacin.

Crear cuenta para autenticacin por usuario y contrasea.

Vamos a IP -> Hotspot -> Users y abrimos una nueva regla (+)

Name, escribiremos el nombre de usuario (login) para autenticarnos en el portal cautivo, en este ejemplo es usuario.

Password, escribiremos la contrasea para autenticarnos en el portal cautivo, en este ejemplo

es prueba.

Address, algunas personas suelen colocar el IP del cliente bajo la creencia que as estn amarrando esta IP a la cuenta, cosa es incorrecto, lo que ocasionarn ser crear 2 IP's para el mismo cliente, uno el de su PC y otro el que hotspot le dar (el que escribamos aqu) No recomendado.

MAC Address, para mayor seguridad, podemos amarrar el MAC del cliente a la cuenta de usuario que estamos creando, esto quiere decir, que ese usuario y contrasea slo ser vlido si se hace la autenticacin desde esa MAC. Si se utiliza un AP modo cliente, entonces tendr se tendr que colocar la MAC de ese AP y no la del cliente. Si no se especifica un MAC, entonces este usuario y password sern vlidos desde cualquier MAC.

Profile, ser el perfil de usuario que asociemos a esta cuenta, ahora estamos usando el perfil que viene por defecto, estos User Profiles los veremos ms adelante en esta gua.

Una vez hecho esto, podremos autenticarnos en el portal cautivo utilizando el usuario y password que creamos. As que slo quedara crear ms cuentas y entregar los usuarios y contraseas a nuestros clientes.

Crear cuenta para autentitcacin por MAC.

Para autenticarnos por MAC, tiene que estar activada dicha opcin en IP -> Hotspot -> pestaa Server Profiles y abrimos la regla hsprof1 -> pestaa Login

Si ya est activada, vamos a IP -> Hotspot -> Users y abrimos una nueva regla (+)

Name, escribiremos la MAC de nuestro cliente, ni bien el cliente abra su navegador, Hotspot al ver

su MAC lo autenticar automticamente.

Profile, ser el perfil de usuario que asociemos a esta cuenta, ahora estamos usando el perfil que viene por defecto, estos User Profiles los veremos ms adelante en esta gua.

Pueden utilizar el botn Comment para asignar un comentario a la regla, para poder reconocerla ms adelante.

Parte 5: Entendiendo los User Profiles (Opcional).

Con los User Profile, podemos ciertas caractersticas a las cuentas de los clientes, como por ejemplo,limitar su velocidad (sin utilizar Simple Queue), enviar mensajes a los clientes, controlar el tiempo para que al cliente le vuelva a aparecer el portal cautivo, etc.

Name, nombre del perfl de usuario, lo pueden cambiar a lo que quieran.

Session Timeout, en este cuadro puede configurarse un tiempo mximo en que el cliente podr tener acceso a internet, luego de ese tiempo, el cliente no podr autenticarse ms, por defecto est deshabilitado, como en la imagen.

Idle Timeout, es el tiempo mximo de inactividad para que Hotspot deautentique al cliente. Si un cliente no genera trfico por el tiempo especificado, Hotspot lo desconectar. Por defecto est en none.

Keepalive Timeout, es el tiempo mximo en que un cliente puede estar desconectado, si se llega aese tiempo, entonces hotspot deautenticar al cliente, por defecto es 00:02:00 (2 minutos) pero si se prefiere, se puede cambiar este valor, inclusive por das.

Shared Users, es el nmero de usuarios que se pueden autenticar a la vez con una misma cuenta de usuario. Por seguridad, tendra que ser slo uno.

Rate Limit, es la velocidad a la que se le asignar a un usuario. rx/tx quiere decir upload/download,si se quiere limitar a 128k de subida y 512k de bajada, entonces se tendra que colocar,128k/512k,cuando se activa esta opcin, ya no es necesario limitar la velocidad por Simple Queue.

Transparent Proxy, debe quitar este check si se ha configurado MikroTik webproxy siguiendo mis manuales.

Se pueden crear y configurar tantos User Profiles como se necesiten, y asignarlos a la cuenta de usuario al que se le quiera aplicar, como en la imagen de abajo.

Tener en cuenta que si se modifica un User Profile o se carga uno nuevo a un User, este no tendr efecto hasta que el usuario se vuelva a autenticar, para eso hay que quitar al cliente desdeIP -> Hotspot -> pestaa Active, y si se tiene activadas las Cookies, borrar la cookie desde IP -> Hotspot -> pestaa Cookies.

Parte 5: Conociendo las otras pestaas (Opcional).

Pestaa Active.

IP -> Hotspot -> pestaa Active, veremos aqu la relacin de cliente que se autenticaron en hotspot, ya sea escribiendo usuario y clave, autenticndose por MAC, o por trial.

Si quieramos deautenticar a un cliente, slo tendramos que quitarlo de la lista con el botn remover( - ), ya si se utiliza cookies, primero tendramos que quitarlos de esa lista en IP -> Hotspot -> pestaa Cookies.

Pestaa Hosts.

IP -> Hotspot -> pestaa Hosts, veremos aqu la relacin de todos las dispositivos que estn conectadas a Hotspot, ya sea que estn autenticados o no, con o sin internet, e inclusive los bloqueados.

Veremos al lado izquierdo de cada cliente, una letra o una combinacin de letras, estas quieren decir.A = Cliente Autenticado.H = Cliente con IP obtenida por DHCP.D = Cliente con IP fija o no obtuvo su IP por DHCP (del servidor).P = Cliente Bypassed, que se le di "tarjeta verde" para no pasar por hotspot, esto lo veremos en IP -> Hotspot -> pestaa IP Bindings.B = Bloqueado por User Profile o por su propio User, ya sea porque su Session Time se ha acabado,porque fue bloqueado desde Advertise.

Tener en cuenta que nicamente slo tendrn internet los clientes que tengan la letra A o la letra P, ya sea que estn solas, o acompaados de otra letra.

Pestaa IP Bindings.

IP -> Hotspot -> pestaa IP Bindings, aqu podemos configurar que un cliente no necesite autenticacin alguna, supongamos que tenemos conectado un aparato VoIP y como estos no puedenescribir usuario y password, sera conveniente utilizar IP Bindings.

MAC Address, aqu colocaremos el MAC del aparato al que le daremos carta verde, ya sea un PC, un VoIP, un PS3, etc. Este paso puede ser opcional.

Address y To Address, colocaremos 2 veces el mismo IP del cliente al que le dar carta verde.

Type, elegiremos bypassed (hacer bypass al portal del hotspot)

Tener en cuenta que slo colocar el IP ses suficiente para dar carta verde a un cliente, pero si se especifica el MAC, entonces se estara 'amarrando' el IP al MAC para dar mayor seguridad.

Pestaa Walled Garden y Walled Garden IP List.

IP -> Hotspot -> pestaa Walled Garden, ya sabemos que al tener portal cautivo, todas las pginas que intentemos visitar sern redireccionadas al portal cautivo, pero con Walled Garden podemos dar excepciones y asignar pginas permitidas para poder navegar en ellas sin estar autenticados. Aqu slo nos limitamos a http y https.

IP -> Hotspot -> pestaa Walled Garden IP List, Es lo mismo que lo anterior, salvo que aqu ya no trabajamos con http https, sino con directamente con IP's.

Pestaa Cookies.

IP -> Hotspot -> pestaa Cookies, si la opcin cookie est activada en Server Profile, entonces veremos la lista de cookies generadas por todos los clientes autenticados. Si quisieramos deautenticar a un cliente, tendramos que empezar borrando su cookie y luego sacarlo de IP -> Hotspot -> pestaa Active.

Si se quiere profundizar an ms sonbre Hotspot, tendran que leer su manual en la wiki (ingls) http://wiki.mikrotik.com/wiki/Manual:IP/Hotspot

Saludos