· Un Portal Cautivo o Portal Captivo es un sistema que permite capturar el tráfico http (web) de nuestros

clientes y redireccionarlo a un Portal para fines de autenticación. Una vez el clientes es autenticado, este puede acceder a todos

los servicios de internet con "normalidad".

La configuración estandar de MikroTik Hotspot es muy fácil de configurar, pero hay que hacer ciertas modificaciones para evitar

tener problemas en nuestra red si es que utilizamos AP's o Routers modo cliente. Tengan en cuenta que un hotspot está pensado

para ser utilizado en lugares relativamente "pequeños", y que además sus clientes NO se conectarán a través de AP's o Routers

modo cliente... osea imagínense un Starbucks donde todas las personas que se conecten ahí, lo harán directamente con laptops,

iPod, PDA, smartphones, etc.

Muchos usan MikroTik Hotspot en redes wireless extensas como único sistema de seguridad, dejando la señal abierta (sin

encriptación), teniendo la creencia que este sistema es inviolable, lo es bastante falso. Sin contar que estamos dejando la puerta

abierta para que cualquier persona malintencionada haga un gran alboroto en nuestra red.

Para hacer esta guía, estoy tomando en cuenta que ya tenemos el servidor configurado y funcionando, así que sugiero leer las

demás guías básicas si se presentan problemas o dudas que no explico en esta guía. Quizá parexca algo complicado, pero con

sólo seguir las imágenes sería suficiente, ya si se quiere profundizar o si se tiene duda de algo, tocaría leer el contenido.

Parte 1: Configurando Hotspot con el asistente de configuración.

Para empezar vamos a IP -> Hotspot -> pestaña Servers -> botón Hotspot Setup, para iniciar con el asistente de configuración de

Hotspot Server.

Al igual que la configuración del servidor DHCP de MikroTik, nos ayudaremos del asistente de configuración automática para así

configurar "correctamente" nuestro Hotspot, inclusive ambos son muy parecidos.

HotSpot Interface, debemos especificar la interfaz donde se configurará el Hotspot server, obviamente elegiremos la interfaz de

red LAN o tarjeta de red de los clientes, que en este caso es ether2.

Local Address of Network, aparecerá automáticamente la puerta de enlace de los clientes, que en este caso es 192.168.10.1; claro,

está tomando los datos del IP de ether2 que especificamos en el paso anterior.

Masquerade Network, lo desmarcamos ya que tenemos el servidor funcionando, por lo tanto, ya contamos con el enmascarado.

Si activamos este check creará otro enmascarado, pero en este caso será por rango de red.

Address Pool of Network, aparecerá un rango de IP's que serán asignados a los clientes para que así obtengan un IP

automáticamente. En este caso apareció un rango ya definido, este rango lo tomó de una configuración previa ya que tenía

configurado un servidor DHCP. Si no tuvieramos un servidor DHCP funcionando, este paso activaría uno obligatoriamente. Ya

más adelante podremos deshabilitarlo.

Select Certificate, a momento sólo vamos a elegir none, ya que no contamos con un certificado SSL. Estos certificados son

utilizados para validar una página web (como nuestro portal cautivo) cuando se utiliza el protocolo

https y así encriptar las conexiones entre el cliente y servidor, muy utilizado en las páginas de los bancos ya que así ofrecen

seguridad respecto a las claves y los movimientos.

IP Address of SMTP Server, lo dejamos tal como está: 0.0.0.0 ya que no contamos un un servidor SMTP.

DNS Servers, si ya tuvieramos configurado el DNS Cache estos valores aparecerán automáticamente, sino, pues lo tendremos que

agregar manualmente.

DNS Name, aquí colocaremos un DNS para nuestra red de hotspot; para tenermo más claro, cuando hotspot ya esté funcioando y

queramos abrir una página, este nos redireccionará al portal cautivo para que nos autentiquemos con nuestro usuario y clave,

ese portal tendrá dirección http://login.hot.net/ ya que ese es el DNS que escribimos; en todo caso, si este valor se deja en blanco,

hotspot usará directamente la puerta de enlace de los clientes, o sea, el

http://192.168.10.1/

Name of Local Hotspot User, por defecto, el nombre de usuario administrador para el logueo en el hotspot es admin, aunque si

lo quieren cambiar, no hay problema, pero recuérdenlo! ya que con ese nombre se autenticarán al hotspot por primera vez.

Password for the User, el password de logueo, en este caso el password será test, lo pueden cambiar por el gusten, pero al igual

que la opción anterior, es necesario recordarlo.

Una vez hecho esto saldrá un mensaje que nuestro hotspot fue configurado satisfactoriamente; luego, si nuestro WinBox estaba

conectado al servidor MikroTik por IP, seguramente nos desconectaremos inmediatemente. Si estabamos conectados por MAC,

seguiremos conectados. En todo caso, nuestro servidor hotspot YA está configurado, y si intentáramos abrir una nueva página,

este nos mostrará el portal cautivo de MikroTik.

Una vez que veamos el portal cautivo, tendremos que autenticarnos con el user y password que configuramos previamente, en

mi guía el login es admin y el password es test. Una vez autenticados, hotspot nos dará un mensaje de bienvenida y tendremos

internet normalmente (sin esta autenticación no hay absolutamente ningún servicio disponible que dependa de internet, o sea,

no juegos, no msn, no skype, etc.)

· Parte 2: Modificar Hotspot para evitar algunos problemas.

Hasta aquí ya lo tenemos configurado, pero tenemos que modificarlo para evitar tener problemas. Si vamos una vez más a IP ->

Hotspot -> pestaña Servers, veremos que apareció un nuevo elemento: hotspot1, que es nuestro servidor hotspot recién

configurado.

Nota: Tengan en cuenta que hasta el momento, ninguno de nuestros clientes tiene internet ya que estos NO tienen un usuario y

password para que se autentiquen en el portal que les apareció. Si lo creen conviente, pueden deshabilitar momentáneamente la

regla hotspot1 para así no fastidiar a nuestros clientes... ya cuando lo tengamos todo configurado y listo para funcionar,

podemos habilitarlo denuevo.

Empezaremos la modificación abriendo la regla hotspot1 y así poder editar sus opciones.

Name, obviamene es el nombre del servidor hotspot que configuramos hace un momento. Si gustan le cambian de nombre si es

que tuvieran otros hotspots para distintas interfaces de red.

Interface, es la interfaz de red a la que configuramos el servidor hotspot, se trata de la interfaz de los clientes, en este caso es

ether2.

Address Pool, si los clientes de nuestro hotspot se conectan a través de AP's modo cliente ó Routers modo cliente, entonces es

absolutamente necesario modificar esta valor a none. Si lo dejamos tal como está por defecto (dhcp_pool1 si teníamos

configurado un DHCP), entonces hotspot entrará en modo captura de IP's y nos podría traer problemas cuando intentemos

conectarnos a un equipo (AP, Router, VoIP, etc) dentro de nuestra red, ya que MikroTik capturará esta conexión y nos pondrá

trabas ingresar.

Profile, es el profile de del servidor hotspot, por defecto es hsprof1 que se autoconfiguró al momento de hacer el asistente de

configuración.

Vamos a IP -> Hotspot -> pestaña Server Profiles y abrimos la regla hsprof1 -> pestaña General para dar una revisada al server

profile.

Name, nombre del perfíl del servidor, en este caso es hsprof1.

Hotspot Address, es la puerta de enlace de nuestros clientes, en este caso, 192.168.10.1, si llegáramos a cambiar este gateway

desde IP -> Addresses, tendríamos que modificar este cuadro manualmente para actualizar a la nueva configuración.

DNS Name, es el nombre de nuestro portal cautivo, en este caso es login.hot.net (http://login.hot.net), que es el que colocamos al

momento de hacer el asistente de configuración, lo podemos modificar a nuestro gusto.

HTML Directory, es la carpeta donde se almacenan los archivos del portal cautivo, esta carpeta la encontramos en Interface.

Hasta este momento, todos nuestros clientes no pueden navegar ya que les apareció un portal cautivo solicitando un usuario y

contraseña, al menos nosotros sí podremos autenticarnos ya que al momento de configurar el hotspot creamos una cuenta de

administrador, que en el ejemplo es login: admin y password: test

Por lo general existen 3 maneras de autenticarse al hotspot, descontando sus pequeñas variaciones: 1)Escribiendo usuario y clave,

2)Autenticandose por MAC, 3)Siendo un usuario trial (de prueba)

Vamos a IP -> Hotspot -> pestaña Server Profiles y abrimos la regla hsprof1 -> pestaña Login, donde veremos todas las opciones de

autenticación.

MAC, activará la autenticación por MAC, o sea, el cliente no tendrá que escribir usuario y clave, ya que con solo conectarse, hotspot

validará su MAC automáticamente.

HTTP (CHAP ó PAP), activa la autenticación por usuario y contraseña, por defecto es HTTP CHAP.

HTTPS, activa la autenticación por usuario y cotraseña utilizando el protocolo HTTP Secure.

Trial, activa la autenticación de prueba, para que los "invitados" puedan probar el servicio, al comento de activar esta opción, en el

portal cautivo aparecerá un link "trial", que servirá para autenticarnos con sólo presionar ese link.

Cookie, si está activado, será el acompañante de toda autenticación, generará un cookie que se almacenará tanto en el server y el PC del

cliente, y mientras este cookie siga 'vigente' no pedirá autenticación hasta que venza.

HTTP Cookie Lifetime, si la opción Cookie está activada, entonces este apartado se desbloqueará. Aquí se puede elegir el tiempo de vida

del cookie, por defecto es 3 días. Se pueden ver las cookies entregadas en IP -> Hotspot -> pestaña Cookies

Trial Uptime Limit, si la opción Trial está activada, este apartado se desbloqueará. Aquí colocaremos el tiempo máximo que se le quiere

dar a los 'invitados' para que prueben el servicio, por defecto es 30 minutos.

Trial Uptime Reset, si la opción Trial está activada, este apartado se desbloqueará. Aquí colocaremos cada cuanto tiempo se le renovará

el límite de tiempo para el invitado... esto quiere decir, si el invitado usó ya los 30 minutos de pruena, cada cuánto tiempo podrá usar

una vez más otros 30 minutos... por defecto es cada 24 horas o cada día (1d 00:00:00).

Trial User Profile, es el perfíl de usuario que se aplicará a los invitados, más adelante, en esta misma guía, vereremos sobre los User

Profiles...

Parte 4: Creando usuarios para autenticación.

Crear cuenta para autenticación por usuario y contraseña.

Vamos a IP -> Hotspot -> Users y abrimos una nueva regla (+)

Name, escribiremos el nombre de usuario (login) para autenticarnos en el portal cautivo, en este ejemplo es usuario.

Password, escribiremos la contraseña para autenticarnos en el portal cautivo, en este ejemplo es prueba.

Address, algunas personas suelen colocar el IP del cliente bajo la creencia que así están amarrando esta IP a la cuenta, cosa es

incorrecto, lo que ocasionarán será crear 2 IP's para el mismo cliente, uno el de su PC y otro el que hotspot le dará (el que escribamos

aquí) No recomendado.

MAC Address, para mayor seguridad, podemos amarrar el MAC del cliente a la cuenta de usuario que estamos creando, esto quiere

decir, que ese usuario y contraseña sólo será válido si se hace la autenticación desde esa MAC. Si se utiliza un AP modo cliente, entonces

tendrá se tendrá que colocar la MAC de ese AP y no la del cliente. Si no se especifica un MAC, entonces este usuario y password serán

válidos desde cualquier MAC.

Profile, será el perfil de usuario que asociemos a esta cuenta, ahora estamos usando el perfil que viene por defecto, estos User Profiles

los veremos más adelante en esta guía.

Una vez hecho esto, podremos autenticarnos en el portal cautivo utilizando el usuario y password que creamos. Así que sólo quedaría

crear más cuentas y entregar los usuarios y contraseñas a nuestros clientes.

Crear cuenta para autentitcación por MAC.

Para autenticarnos por MAC, tiene que estar activada dicha opción en IP -> Hotspot -> pestaña Server Profiles y abrimos la regla hsprof1

-> pestaña Login

Si ya está activada, vamos a IP -> Hotspot -> Users y abrimos una nueva regla (+)

Name, escribiremos la MAC de nuestro cliente, ni bien el cliente abra su navegador, Hotspot al ver su MAC lo autenticará

automáticamente.

Profile, será el perfil de usuario que asociemos a esta cuenta, ahora estamos usando el perfil que viene por defecto, estos User

· Parte 5: Entendiendo los User Profiles (Opcional).

Con los User Profile, podemos ciertas características a las cuentas de los clientes, como por ejemplo, limitar su velocidad (sin

utilizar Simple Queue), enviar mensajes a los clientes, controlar el tiempo para que al cliente le vuelva a aparecer el portal cautivo,

etc.

Name, nombre del perfíl de usuario, lo pueden cambiar a lo que quieran.

Session Timeout, en este cuadro puede configurarse un tiempo máximo en que el cliente podrá tener acceso a internet, luego de

ese tiempo, el cliente no podrá autenticarse más, por defecto está deshabilitado, como en la imagen.

Idle Timeout, es el tiempo máximo de inactividad para que Hotspot deautentique al cliente. Si un cliente no genera tráfico por el

tiempo especificado, Hotspot lo desconectará. Por defecto está en none.

Keepalive Timeout, es el tiempo máximo en que un cliente puede estar desconectado, si se llega a ese tiempo, entonces hotspot

deautenticará al cliente, por defecto es 00:02:00 (2 minutos) pero si se prefiere, se puede cambiar este valor, inclusive por días.

Shared Users, es el número de usuarios que se pueden autenticar a la vez con una misma cuenta de usuario. Por seguridad,

tendría que ser sólo uno.

Rate Limit, es la velocidad a la que se le asignará a un usuario. rx/tx quiere decir upload/download, si se quiere limitar a 128k de

subida y 512k de bajada, entonces se tendría que colocar, 128k/512k, cuando se activa esta opción, ya no es necesario limitar la

velocidad por Simple Queue.

Transparent Proxy, debe quitar este check si se ha configurado MikroTik webproxy siguiendo mis manuales.

Se pueden crear y configurar tantos User Profiles como se necesiten, y asignarlos a la cuenta de usuario al que se le quiera

aplicar, como en la imagen de abajo.

Tener en cuenta que si se modifica un User Profile o se carga uno nuevo a un User, este no tendrá efecto hasta que el usuario se

vuelva a autenticar, para eso hay que quitar al cliente desde IP -> Hotspot -> pestaña Active, y si se tiene activadas las Cookies,

borrar la cookie desde IP -> Hotspot -> pestaña Cookies.

Parte 5: Conociendo las otras pestañas (Opcional).

Pestaña Active.

IP -> Hotspot -> pestaña Active, veremos aquí la relación de cliente que se autenticaron en hotspot, ya sea escribiendo usuario y

clave, autenticándose por MAC, o por trial.

Si quieramos deautenticar a un cliente, sólo tendríamos que quitarlo de la lista con el botón remover ( - ), ya si se utiliza cookies,

primero tendríamos que quitarlos de esa lista en IP -> Hotspot -> pestaña Cookies.

Pestaña Hosts.

IP -> Hotspot -> pestaña Hosts, veremos aquí la relación de todos las dispositivos que están conectadas a Hotspot, ya sea que

estén autenticados o no, con o sin internet, e inclusive los bloqueados.

Veremos al lado izquierdo de cada cliente, una letra o una combinación de letras, estas quieren decir.

· A = Cliente Autenticado.

H = Cliente con IP obtenida por DHCP.D = Cliente con IP fija o no obtuvo su IP por DHCP (del servidor).P = Cliente Bypassed, que se le dió "tarjeta verde" para no pasar por hotspot, esto lo veremos en IP -> Hotspot -> pestaña IPBindings.B = Bloqueado por User Profile o por su propio User, ya sea porque su Session Time se ha acabado, porque fue bloqueadodesde Advertise.

Tener en cuenta que únicamente sólo tendrán internet los clientes que tengan la letra A o la letra P, ya sea que

estén solas, o acompañados de otra letra.

Pestaña IP Bindings.

IP -> Hotspot -> pestaña IP Bindings, aquí podemos configurar que un cliente no necesite autenticación alguna,

supongamos que tenemos conectado un aparato VoIP y como estos no pueden escribir usuario y password, sería

conveniente utilizar IP Bindings.

MAC Address, aquí colocaremos el MAC del aparato al que le daremos carta verde, ya sea un PC, un VoIP, un PS3,

etc. Este paso puede ser opcional.

Address y To Address, colocaremos 2 veces el mismo IP del cliente al que le dará carta verde.

Type, elegiremos bypassed (hacer bypass al portal del hotspot)

Tener en cuenta que sólo colocar el IP ses suficiente para dar carta verde a un cliente, pero si se especifica el MAC,

entonces se estaría 'amarrando' el IP al MAC para dar mayor seguridad.

Pestaña Walled Garden y Walled Garden IP List.

IP -> Hotspot -> pestaña Walled Garden, ya sabemos que al tener portal cautivo, todas las páginas que intentemos

visitar serán redireccionadas al portal cautivo, pero con Walled Garden podemos dar excepciones y asignar páginas

permitidas para poder navegar en ellas sin estar autenticados. Aquí sólo nos limitamos a http y https.

IP -> Hotspot -> pestaña Walled Garden IP List, Es lo mismo que lo anterior, salvo que aquí ya no trabajamos con

http ó https, sino con directamente con IP's.

Pestaña Cookies.

IP -> Hotspot -> pestaña Cookies, si la opción cookie está activada en Server Profile, entonces veremos la lista de

cookies generadas por todos los clientes autenticados. Si quisieramos deautenticar a un cliente, tendríamos que

empezar borrando su cookie y luego sacarlo de IP -> Hotspot -> pestaña Active.

Si se quiere profundizar aún más sonbre Hotspot, tendrían que leer su manual en la wiki (inglés)

http://wiki.mikrotik.com/wiki/Manual:IP/Hotspot