Hotspot Mikrotik

HOTSPOT

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.

HOTSPOTHotspot um termo utilizado para se referir a uma rea pblica onde est disponvel um servio de acesso a Internet, normalmente atravs de uma rede sem fio Wi-Fi. Aplicaes tpicas incluem o acesso em Hotis, Aeroportos, Shoppings, Universidades, etc. O conceito Hotspot pode ser usado, no entanto, para dar acesso controlado a uma rede qualquer, com ou sem fio, atravs de autenticao baseada em nome de usurio e senha. Quando em uma rea coberta por um Hotspot, um usurio que possua um Laptop e tente navegar pela WEB arremetido para uma pgina do Hotspot que pede suas credenciais, normalmente usurio e senha. Ao fornec-las e sendo um cliente autorizado pelo Hotspot o usurio ganha acesso internet, podendo sua atividade ser controlada e bilhetada. Considerando a estrutura da imagem abaixo:

Michigan Brasil http://www.michigan.com.br

2


Primeiramente devemos habilitar as interfaces e configurar a interface que ser o hotspot. - Clique no menu Interfaces. - Clique na interface Wlan desejada e clique no boto Habilitar


3


- D um clique duplo na interface habilitada - Na guia Wireless, configure as opes: - Opo Radio Name: Coloque nessa opo o nome que voc deseja que o Rdio tenha na rede. - Opo Mode: AP Bridge - Opo Band: Escolha a Banda de Operao desejada - Opo Frequency: Canal de operao do equipamento - Clique no boto OK


4


- Clique na guia Tx Power para escolher a potncia do carto, considerando: 17dBm 18dBm 20dBm 22dBm 23dBm 24dBm 25dBm 26dBm = 50mW (default) = 63mW = 100mW = 150mW = 200mW = 250mW = 316mW = 400mW

Obs: Verifique a potncia mxima permitida para o carto utilizado antes de fazer a alterao.


5


Devemos configurar os IPs para as suas respectivas interfaces:


6


Devemos definir o Gateway de sada para a internet - Clique no menu IP - Clique na opo Routes


7


- Clique em Adicionar - No campo Gateway, digite o IP do servidor Gateway. - Clique no boto OK


8


Se voc possuir um Certificado de Segurana, faa a transferncia dele para o Mikrotik atravs de FTP, utilizando qualquer cliente de FTP:

O QUE SSL? SSL ( Secure Sockets Layer) uma tecnologia de segurana que comumente utilizada para codificar os dados trafegados entre o computador do usurio e o um website. O protocolo SSL, atravs de um processo de criptografia dos dados, previne que os dados trafegados possam ser capturados, ou mesmo alterados no seu curso entre o navegador (browser) do usurio e o site com o qual ele est se relacionando, garantindo desta forma informaes sigilosas como login e senha, neste nosso caso. Uma sugesto: Pode-se contratar um Certificado de Segurana atravs do site: http://www.laniway.com.br/br/corporativo/certificado.do;jsessionid=441CFD641B6F 5981DE6594BF96E3D5FD


9


O prximo passo ser fazer a importao do Certificado Clique no Clique no Na opo Na opo Clique no menu Certificate boto Import Only File, escolha o Certificado que voc transferiu anteriormente. Passphrase, digite a senha do seu Certificado boto Import


10


Seu Certificado estar importado


11


- Clique no menu IP - Clique na opo Hotspot


12


- Clique no boto Setup - Selecione a interface onde os clientes se conectaro ao Hotspot. - Clique no boto Next


13


- No campo Local Address of Network aparecer o IP da interface escolhida. - Clique no boto Next


14


- No campo Address Pool of Network aparecer o pool dos IPs que sero distribudos aos clientes. Em nosso exemplo, sugerido pelo Mikrotik o pool: 192.168.0.2-192.168.0.249 - Clique no boto Next


15


- Na opo Select Certificate escolha o certificado importado anteriormente. Caso voc no tenha nenhum certificado, escolha a opo none. - Clique no boto Next


16


- Na opo IP Address of SMTP Server, digite o IP de seu Servidor SMTP, se desejar. - Clique no boto Next


17


- Na opo DNS Servers digite o IP do seu servidor DNS. - Clique no boto Next


18


- Na opo DNS Name, D o nome do DNS (aparecer no Browser dos clientes ao invs do IP). - Clique no boto Next


19


- Na tela seguinte, por default, cadastrado o usurio Administrador (admin). - Aps o cadastro, clique no boto Next

Seu Hotspot est configurado. Embora tenha sido uma configurao fcil e rpida, o Mikrotik se encarregou de fazer o trabalho pesado, criando as regras apropriadas no Firewall, bem como uma fila especfica para o Hotspot.


20


DETALHES DA CONFIGURAO

- idle Timeout (time | none; default: none) Mximo perodo de inatividade para clientes autorizados. utilizado para detectar quais clientes no esto usando redes externas (internet) e que no h trfego do cliente atravs do roteador. Atingindo o timeout, o cliente derrubado da lista dos hosts, o endereo IP liberado e a sesso contabilizada a menos desse valor. - Keepalive Timeout (time | none; default: 00:02:00) Utilizado para detector se o computador do cliente est ativo e encontrvel. Caso nesse perodo de tempo o teste falhe, o usurio tirado da tabela de hosts e o endereo IP que ele estava usando liberado. O tempo contabilizado levando em considerao o momento da desconexo menos o valor configurado (2 minutos por default). - Address Per MAC (integer | unlimited; default 2) Nmero de IPs permitidos para um particular MAC.


21


HOTSPOT SERVER PROFILES

- Rate Limit (rx/tx): (text; default: ) A limitao de velocidade tem a sintaxe: rx-rate[/tx-rate][rx-burst-rate[/tx-burst-rate][rx-burst-threshold[/tx-burst-threshold][rxburst-time[/tx-burst-time]]]] onde: - rx e o upload do cliente e tx o download do cliente; - as velocidades podem ser nmeros com opcionais k (1.000s) e M para kiloo e Mega; - se tx-rate no especificado, tem o mesmo valor de rx-rate; - o mesmo para tx-burst-rate, tx-burst-threshold e tx-burst-time; - se ambos rx-burst-threshold e tx-burst-threshold no so especificados (mas burst-rate sim), rx-rate e tx-rate so usados como burst threshold; - se ambos rx-burst-time e tx-burst-time no so especificados, 1s usado como default.


22


Login By - MAC - Tenta usar o MAC dos clientes primeiro como nome de usurio. Se existir na tabela de usurios local ou em um Radius, o cliente liberado sem login/senha; - HTTP CHAP - Usa mtodo CHAP Mtodo criptografado; - HTTP PAP - Usa autenticao como texto plano pode ser sniffado facilmente; - Cookie - Usa http cookies para autenticar sem pedir as credenciais. Se o cliente ainda no tiver um cookie ou tiver expirado, usa outro mtodo; - HTTPS - Usa tnel SSL criptografado. Para isso funcionar, um certificado vlido deve ser importado para o roteador. - Trial - No requer autenticao por um certo perodo de tempo. HTTP Cookie Lifetime: tempo de vida dos Cookies Split User Domain: corta o domnio do usurio no caso de [email protected]


23


Utilizao de Servidor Radius para autenticao do Hotspot

- Location ID Pode ser atribudo aqui ou no servidor Radius Normalmente deixar em branco - Location Name Pode ser atribudo aqui ou no servidor Radius Normalmente deixar em branco - Accounting Se habilitado, faz a bilhetagem dos usurios, com histrico de logins, desconexes, etc. - Interim Update Freqncia de envio de informaes de accounting (segundos) 0 assim que ocorre o evento (Gera trfego Interessante que coloque 30 ou 60s) - NAS Port Type Wireless, Ethernet ou Cabo


24


HOTSPOT USER PROFILES O user profiles servem para dar tratamento diferenciado a grupos de usurios, como, por exemplo, usurios coorporativos, usurios residenciais, etc.

- Session Timeout: Tempo mximo permitido (depois disso o cliente derrubado) - Idle timeout: perodo de inatividade (acesso externo) - Keepalive Timeout: se o computador est vivo e tem conectividade - Status Autorefresh: tempo de refresh da pgina de Status do Hotspot - Shared Users: nmero mximo permitido de clientes com o mesmo username - Rate Limit (tx/rx): A limitao de velocidade tem a sintaxe: rx-rate[/tx-rate][rx-burst-rate[/tx-burst-rate][rx-burst-threshold[/tx-burst-threshold][rxburst-time[/tx-burst-time]]]] onde: - rx e o upload do cliente e tx o download do cliente; - as velocidades podem ser nmeros com opcionais k (1.000s) e M para kiloo e Mega; - se tx-rate no especificado, tem o mesmo valor de rx-rate; - o mesmo para tx-burst-rate, tx-burst-threshold e tx-burst-time; - se ambos rx-burst-threshold e tx-burst-threshold no so especificados (mas burstrate sim), rx-rate e tx-rate so usados como burst threshold; - se ambos rx-burst-time e tx-burst-time no so especificados, 1s usado como default. Michigan Brasil http://www.michigan.com.br 25


Com a opo Advertise possvel enviar, de tempos em tempos, pop-ups para os usurios do Hotspot

- Advertise URL Lista das pginas que sero anunciadas. A lista cclica, ou seja, quando a ltima mostrada, comea-se novamente pela primeira. - Advertise Interval Intervalos de exibio dos pop-ups. Depois da seqncia terminada, usa sempre o ltimo intervalo. No exemplo, so mostradas a cada 15 minutos, 2 vezes e depois a cada 30 minutos - Advertise Timeout Quanto tempo deve esperar para o anncio ser mostrado, antes de bloquear o acesso rede com o Walled-Garden - pode ser configurado um tempo (default = 1 minuto) - nunca bloquear - bloquear imediatamente


26


O Mikrotik possui uma linguagem interna de scripts que podem ser adicionados para serem executados em alguma situao especfica No hotspot possvel criar scripts que executem comandos a medida que um usurio desse perfil se conecta ou se desconecta do Hotspot

Os parmetros que controlam essas execues, so: - on-login - on-logout Os Scripts so adicionados em Menu System / Scripts


27


Devemos, agora, cadastrar os usurios que tero permisso para se conectar ao Hotspot. - Em Hotspot, clique na guia Users - Clique em Adicionar - Clique na guia General - Campo Server: all para todos os hotspots configurados ou para um especfico. - Campo Name: Nome do usurio (login). No caso de autenticao por MAC, o MAC pode ser adicionado como username (sem senha) - Campo Password: para digitar a senha - Campo Address: Caso queira vincular esse usurio a um endereo fixo - Campo MAC Address: caso queira vincular esse usurio a um MAC determinado - Campo Profile: Perfil de onde esse usurio herda as propriedades - Campo Routes: Rota que ser adicionada ao cliente quando esse se conectar. Sintaxe de destino gateway mtrica. Vrias rotas podem ser adicionadas separadas por vrgula.


28


- Clique na Guia limits - Campo Limit Uptime: Total de tempo que o usurio pode usar o Hotspot. til para fazer acesso pr-pago. Sintaxe: hh:mm:ss. Default: 0s Sem limite - Campo Limit Bytes In: Total de bytes que o usurio pode transmitir (bytes que o roteador recebe para o usurio). - Campo Limit Bytes Out: Total de bytes que o usurio pode receber (bytes que o roteador transmite para o usurio).

Se um usurio tem o endereo IP especificado, somente poder haver 01 (um) logado. Caso outro entre com o mesmo usurio/senha, o primeiro ser desconectado.


29


WALLED GARDEN (JARDIM MURADO) Configurando um Walled Garden possvel oferecer ao usurio o acesso a determinados servios sem necessidade de autenticao. Exemplo: Em um aeroporto pode-se disponibilizar informaes climticas, horrios de vos, etc, se a necessidade de o usurio adquirir crditos para acesso externo. Quando um usurio no logado no Hotspot requisita um servio do Walled Garden, o gateway no o intercepta e, no caso de http, redireciona a requisio para o destino ou para o Proxy. Para implementar o Walled Garden para requisies http, existe um Web Proxy embarcado no Mikrotik, de forma que todas as requisies de usurios no autorizados passem de fato por esse Proxy. Observar que o Proxy embarcado no tem as funes de fazer cache, pelo menos por ora. Notar, tambm, que esse Proxy embarcado faz parte do pacote system e no requer o pacote web-proxy. importante salientar que o Walled Garden no se destina somente a servios WEB, mas qualquer servio que queiramos configurar. Para tanto, existem 2 menus distintos que so apresentados abaixo, sendo que o primeiro destina-se somente para HTTP e HTTPS e o da segundo para os outros servios e protocolos. Walled Garden para http e HTTPS

Action: allow ou deny permite ou nega - Server: Hotspot ou Hotspots para o qual vale esse Walled Garden - Src Address: endereo IP do usurio requisitante - Dst Address: endereo IP do Web Server - Method: mtodo de http - Dst Host: nome de domnio do servidor de destino - Dst Port: porta de destino que o cliente manda a solicitao - Path: caminho da requisio Observao: - nos nomes de domnio, necessrio o nome completo, podendo ser usado coringas - aceita-se expresses regulares devendo ser iniciadas com dois pontos (:)


30


Walled Garden para outros protocolos

Action: aceita, descarta ou rejeita o pacote - Server: Hotspot ou Hotspots para o qual vale esse Walled Garden - Src Address: endereo IP de origem do usurio requisitante - Protocol: Protocolo a ser escolhido da lista - Dst Port: Porta TCP ou UDP que est sendo requisitado - Dst Host: Nome de domnio do WEB Server


31


PERSONALIZANDO O HOTSPOT As pginas do Hotspot so totalmente configurveis e podem ser editadas em qualquer editor HTML, sendo posteriormente atualizadas no Mikrotik. Alm disso, possvel criar conjuntos totalmente diferentes das pginas do Hotspot para vrios perfis de usurios especificando diferentes diretrios html raiz na opo html-directory em Hotspot Profile. Essa possibilidade, associada a criao de Aps virtuais possibilita que, em uma mesma rea pblica o detentor de infra-estrutura possa, de forma transparente, servir a vrios operadores, utilizando os mesmos equipamentos.

Principais pginas HTML que so mostradas aos usurios: - redirect.html redireciona o usurio para outra URL (exemplo: a pgina de login) - login.html - Pgina de login mostrada a um usurio solicitando nome e senha. Esta pgina pode ter os seguintes parmetros: - username nome do usurios - password senha - dst URL original requisitada antes de cair na tela de login. O usurio ser enviado a esta URL aps um login bem-sucedido - pop-up se deve ser aberta uma janela de pop-up aps o login REDIRECIONANDO TRFEGO DE SMTP PARA SEU DEVIDO SERVIDOR Michigan Brasil http://www.michigan.com.br 32


Voc pode redirecionar todo o trfego atravs de seu Router para o seu prprio Servidor de Email. - Clique no Menu IP - Clique na opo Firewall


33


-

Clique na guia NAT Clique em Adicionar Na guia General, na opo Chain, escolha a opo dstnat Na opo Protocol, escolha TCP Na opo Dst. Port., escolha a porta 25


34


-

Clique na Na opo Na opo Na opo Clique no

guia Action Action, escolha a opo dst-nat To Addresses, digite o IP do servidor de email To Ports, digite a porta SMTP, 25. boto OK


35


Referncias: - Mikrotik Wiki - http://wiki.mikrotik.com/wiki/ - Apostila Curso Router-OS Mikrotik Wlan Brasil - Certificado SSL - http://www.laniway.com.br Cpia autorizada: Marcelo Carvalho - MACNet (AWS)


36

Hotspot Mikrotik

Documents

Transcript of Hotspot Mikrotik