HOTSPOT

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

HOTSPOT
Hotspot um termo utilizado para se referir a uma rea pblica onde est disponvel um
servio de acesso a Internet, normalmente atravs de uma rede sem fio Wi-Fi. Aplicaes
tpicas incluem o acesso em Hotis, Aeroportos, Shoppings, Universidades, etc.
O conceito Hotspot pode ser usado, no entanto, para dar acesso controlado a uma rede
qualquer, com ou sem fio, atravs de autenticao baseada em nome de usurio e senha.
Quando em uma rea coberta por um Hotspot, um usurio que possua um Laptop e tente
navegar pela WEB arremetido para uma pgina do Hotspot que pede suas credenciais,
normalmente usurio e senha. Ao fornec-las e sendo um cliente autorizado pelo Hotspot o
usurio ganha acesso internet, podendo sua atividade ser controlada e bilhetada.
Considerando a estrutura da imagem abaixo:

Michigan Brasil
http://www.michigan.com.br

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

Primeiramente devemos habilitar as interfaces e configurar a interface que ser o hotspot.

- Clique no menu Interfaces.
- Clique na interface Wlan desejada e clique no boto Habilitar

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

- D um clique duplo na interface habilitada

- Na guia Wireless, configure as opes:
- Opo Radio Name: Coloque nessa opo o nome que voc deseja que o Rdio tenha na
rede.
- Opo Mode: AP Bridge
- Opo Band: Escolha a Banda de Operao desejada
- Opo Frequency: Canal de operao do equipamento
- Clique no boto OK

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

- Clique na guia Tx Power para escolher a potncia do carto, considerando:

17dBm
18dBm
20dBm
22dBm
23dBm
24dBm
25dBm
26dBm

50mW
=
=
=
=
=
=
=

(default)
63mW
100mW
150mW
200mW
250mW
316mW
400mW

Obs: Verifique a potncia mxima permitida para o carto utilizado antes de fazer a alterao.

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

Devemos configurar os IPs para as suas respectivas interfaces:

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

Devemos definir o Gateway de sada para a internet

- Clique no menu IP
- Clique na opo Routes

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

- Clique em Adicionar
- No campo Gateway, digite o IP do servidor Gateway.
- Clique no boto OK

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

Se voc possuir um Certificado de Segurana, faa a transferncia dele para o Mikrotik atravs
de FTP, utilizando qualquer cliente de FTP:

O QUE SSL?
SSL ( Secure Sockets Layer) uma tecnologia de segurana que comumente
utilizada para codificar os dados trafegados entre o computador do usurio e o um
website. O protocolo SSL, atravs de um processo de criptografia dos dados,
previne que os dados trafegados possam ser capturados, ou mesmo alterados no
seu curso entre o navegador (browser) do usurio e o site com o qual ele est se
relacionando, garantindo desta forma informaes sigilosas como login e senha,
neste nosso caso.
Uma sugesto: Pode-se contratar um Certificado de Segurana atravs do site:
http://www.laniway.com.br/br/corporativo/certificado.do;jsessionid=441CFD641B6F
5981DE6594BF96E3D5FD

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

O prximo passo ser fazer a importao do Certificado

-

Clique no
Clique no
Na opo
Na opo
Clique no

menu Certificate
boto Import
Only File, escolha o Certificado que voc transferiu anteriormente.
Passphrase, digite a senha do seu Certificado
boto Import

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.

Se
Cer
es
impor

Mich
igan
Bras
il
http
://w
ww.
mich
igan
.co
m.br

11

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

- Clique no menu IP
- Clique na opo Hotspot

Michigan Brasil
http://www.michigan.com.br

12

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

- Clique no boto Setup

- Selecione a interface onde os clientes se conectaro ao Hotspot.
- Clique no boto Next

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

- No campo Local Address of Network aparecer o IP da interface escolhida.

- Clique no boto Next

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

- No campo Address Pool of Network aparecer o pool dos IPs que sero distribudos aos
clientes. Em nosso exemplo, sugerido pelo Mikrotik o pool: 192.168.0.2-192.168.0.249
- Clique no boto Next

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

- Na opo Select Certificate escolha o certificado importado anteriormente. Caso voc no

tenha nenhum certificado, escolha a opo none.
- Clique no boto Next

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

- Na opo IP Address of SMTP Server, digite o IP de seu Servidor SMTP, se desejar.

- Clique no boto Next

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

- Na opo DNS Servers digite o IP do seu servidor DNS.

- Clique no boto Next

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

- Na opo DNS Name, D o nome do DNS (aparecer no Browser dos clientes ao invs do IP).
- Clique no boto Next

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

- Na tela seguinte, por default, cadastrado o usurio Administrador (admin).

- Aps o cadastro, clique no boto Next

Seu Hotspot est configurado.

Embora tenha sido uma configurao fcil e rpida, o Mikrotik se encarregou de fazer o
trabalho pesado, criando as regras apropriadas no Firewall, bem como uma fila especfica para
o Hotspot.

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

DETALHES DA CONFIGURAO

- idle Timeout (time | none; default: none)

Mximo perodo de inatividade para clientes autorizados. utilizado para detectar quais
clientes no esto usando redes externas (internet) e que no h trfego do cliente atravs do
roteador. Atingindo o timeout, o cliente derrubado da lista dos hosts, o endereo IP liberado
e a sesso contabilizada a menos desse valor.
- Keepalive Timeout (time | none; default: 00:02:00)
Utilizado para detector se o computador do cliente est ativo e encontrvel. Caso nesse
perodo de tempo o teste falhe, o usurio tirado da tabela de hosts e o endereo IP que ele
estava usando liberado. O tempo contabilizado levando em considerao o momento da
desconexo menos o valor configurado (2 minutos por default).
- Address Per MAC (integer | unlimited; default 2)
Nmero de IPs permitidos para um particular MAC.

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

HOTSPOT SERVER PROFILES

- Rate Limit (rx/tx): (text; default: )

A limitao de velocidade tem a sintaxe:
rx-rate[/tx-rate][rx-burst-rate[/tx-burst-rate][rx-burst-threshold[/tx-burst-threshold][rxburst-time[/tx-burst-time]]]]
onde:
rx e o upload do cliente e tx o download do cliente;
as velocidades podem ser nmeros com opcionais k (1.000s) e M para kiloo e Mega;
se tx-rate no especificado, tem o mesmo valor de rx-rate;
o mesmo para tx-burst-rate, tx-burst-threshold e tx-burst-time;
se ambos rx-burst-threshold e tx-burst-threshold no so especificados (mas burst-rate sim),
rx-rate e tx-rate so usados como burst threshold;
se ambos rx-burst-time e tx-burst-time no so especificados, 1s usado como default.

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

Login By
MAC
- Tenta usar o MAC dos clientes primeiro como nome de usurio. Se existir na
tabela de usurios local ou em um Radius, o cliente liberado sem login/senha;
HTTP CHAP - Usa mtodo CHAP Mtodo criptografado;
HTTP PAP
- Usa autenticao como texto plano pode ser sniffado facilmente;
Cookie
- Usa http cookies para autenticar sem pedir as credenciais. Se o cliente ainda
no tiver um cookie ou tiver expirado, usa outro mtodo;
HTTPS
- Usa tnel SSL criptografado. Para isso funcionar, um certificado vlido deve
ser importado para o roteador.
Trial
- No requer autenticao por um certo perodo de tempo.
HTTP Cookie Lifetime: tempo de vida dos Cookies
Split User Domain: corta o domnio do usurio no caso de usurio@dominio.com.br

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

Utilizao de Servidor Radius para autenticao do Hotspot

- Location ID
Pode ser atribudo aqui ou no servidor Radius Normalmente deixar em branco
- Location Name
Pode ser atribudo aqui ou no servidor Radius Normalmente deixar em branco
- Accounting
Se habilitado, faz a bilhetagem dos usurios, com histrico de logins, desconexes, etc.
- Interim Update
Freqncia de envio de informaes de accounting (segundos)
0 assim que ocorre o evento
(Gera trfego Interessante que coloque 30 ou 60s)
- NAS Port Type
Wireless, Ethernet ou Cabo

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

HOTSPOT USER PROFILES

O user profiles servem para dar tratamento diferenciado a grupos de usurios, como, por
exemplo, usurios coorporativos, usurios residenciais, etc.

- Session Timeout: Tempo mximo permitido (depois disso o cliente derrubado)

- Idle timeout: perodo de inatividade (acesso externo)
- Keepalive Timeout: se o computador est vivo e tem conectividade
- Status Autorefresh: tempo de refresh da pgina de Status do Hotspot
- Shared Users: nmero mximo permitido de clientes com o mesmo username
- Rate Limit (tx/rx): A limitao de velocidade tem a sintaxe:
rx-rate[/tx-rate][rx-burst-rate[/tx-burst-rate][rx-burst-threshold[/tx-burst-threshold][rxburst-time[/tx-burst-time]]]]
onde:
rx e o upload do cliente e tx o download do cliente;
as velocidades podem ser nmeros com opcionais k (1.000s) e M para kiloo e Mega;
se tx-rate no especificado, tem o mesmo valor de rx-rate;
o mesmo para tx-burst-rate, tx-burst-threshold e tx-burst-time;
se ambos rx-burst-threshold e tx-burst-threshold no so especificados (mas burst- rate sim),
rx-rate e tx-rate so usados como burst threshold;
se ambos rx-burst-time e tx-burst-time no so especificados, 1s usado como default.

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

Com a opo Advertise possvel enviar, de tempos em tempos, pop-ups para os usurios do
Hotspot

- Advertise URL
Lista das pginas que sero anunciadas. A lista cclica, ou seja, quando a ltima mostrada,
comea-se novamente pela primeira.
- Advertise Interval
Intervalos de exibio dos pop-ups. Depois da seqncia terminada, usa sempre o ltimo
intervalo. No exemplo, so mostradas a cada 15 minutos, 2 vezes e depois a cada 30 minutos
- Advertise Timeout
Quanto tempo deve esperar para o anncio ser mostrado, antes de bloquear o acesso rede
com o Walled-Garden
- pode ser configurado um tempo (default = 1 minuto)
- nunca bloquear
- bloquear imediatamente

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

O Mikrotik possui uma linguagem interna de scripts que podem ser adicionados para serem
executados em alguma situao especfica
No hotspot possvel criar scripts que executem comandos a medida que um usurio desse
perfil se conecta ou se desconecta do Hotspot

Os parmetros que controlam essas execues, so:

- on-login
- on-logout
Os Scripts so adicionados em Menu System / Scripts

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

Devemos, agora, cadastrar os usurios que tero permisso para se conectar ao Hotspot.

- Em Hotspot, clique na guia Users

- Clique em Adicionar
- Clique na guia General
Campo Server: all para todos os hotspots configurados ou para um especfico.
Campo Name: Nome do usurio (login). No caso de autenticao por MAC, o MAC pode ser
adicionado como username (sem senha)
Campo Password: para digitar a senha
Campo Address: Caso queira vincular esse usurio a um endereo fixo
Campo MAC Address: caso queira vincular esse usurio a um MAC determinado
Campo Profile: Perfil de onde esse usurio herda as propriedades
Campo Routes: Rota que ser adicionada ao cliente quando esse se conectar. Sintaxe de
destino gateway mtrica. Vrias rotas podem ser adicionadas separadas por vrgula.

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

- Clique na Guia limits

- Campo Limit Uptime: Total de tempo que o usurio pode usar o Hotspot. til para fazer
acesso pr-pago.
Sintaxe: hh:mm:ss.
Default: 0s Sem limite
- Campo Limit Bytes In: Total de bytes que o usurio pode transmitir (bytes que o roteador
recebe para o usurio).
- Campo Limit Bytes Out: Total de bytes que o usurio pode receber (bytes que o roteador
transmite para o usurio).

Se um usurio tem o endereo IP especificado, somente poder haver 01 (um) logado. Caso
outro entre com o mesmo usurio/senha, o primeiro ser desconectado.

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

WALLED GARDEN (JARDIM MURADO)

Configurando um Walled Garden possvel oferecer ao usurio o acesso a determinados
servios sem necessidade de autenticao.
Exemplo: Em um aeroporto pode-se disponibilizar informaes climticas, horrios de vos,
etc, se a necessidade de o usurio adquirir crditos para acesso externo.
Quando um usurio no logado no Hotspot requisita um servio do Walled Garden, o gateway
no o intercepta e, no caso de http, redireciona a requisio para o destino ou para o Proxy.
Para implementar o Walled Garden para requisies http, existe um Web Proxy embarcado no
Mikrotik, de forma que todas as requisies de usurios no autorizados passem de fato por
esse Proxy.
Observar que o Proxy embarcado no tem as funes de fazer cache, pelo menos por ora.
Notar, tambm, que esse Proxy embarcado faz parte do pacote system e no requer o pacote
web-proxy.
importante salientar que o Walled Garden no se destina somente a servios WEB, mas
qualquer servio que queiramos configurar. Para tanto, existem 2 menus distintos que so
apresentados abaixo, sendo que o primeiro destina-se somente para HTTP e HTTPS e o da
segundo para os outros servios e protocolos.
Walled Garden para http e HTTPS

Action: allow ou deny permite ou nega

- Server: Hotspot ou Hotspots para o qual vale esse Walled Garden
- Src Address: endereo IP do usurio requisitante
- Dst Address: endereo IP do Web Server
- Method: mtodo de http
- Dst Host: nome de domnio do servidor de destino
- Dst Port: porta de destino que o cliente manda a solicitao

- Path: caminho da
requisio
Observao:
- nos nomes de domnio, necessrio o nome completo, podendo ser usado coringas
- aceita-se expresses regulares devendo ser iniciadas com dois pontos (:)

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

Walled Garden para outros protocolos

Action: aceita, descarta ou rejeita o pacote

- Server: Hotspot ou Hotspots para o qual vale esse Walled Garden
- Src Address: endereo IP de origem do usurio requisitante
- Protocol: Protocolo a ser escolhido da lista
- Dst Port: Porta TCP ou UDP que est sendo requisitado
- Dst Host: Nome de domnio do WEB Server

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

PERSONALIZANDO O HOTSPOT
As pginas do Hotspot so totalmente configurveis e podem ser editadas em qualquer editor
HTML, sendo posteriormente atualizadas no Mikrotik.
Alm disso, possvel criar conjuntos totalmente diferentes das pginas do Hotspot para
vrios perfis de usurios especificando diferentes diretrios html raiz na opo html-directory
em Hotspot Profile.
Essa possibilidade, associada a criao de Aps virtuais possibilita que, em uma mesma rea
pblica o detentor de infra-estrutura possa, de forma transparente, servir a vrios operadores,
utilizando os mesmos equipamentos.

Principais pginas HTML que so mostradas aos usurios:

- redirect.html redireciona o usurio para outra URL (exemplo: a pgina de login)
- login.html - Pgina de login mostrada a um usurio solicitando nome e senha. Esta pgina
pode ter os seguintes parmetros:
- username nome do usurios
- password senha

- dst URL original requisitada antes de cair na tela de login. O usurio ser enviado a esta URL
aps um login bem-sucedido
- pop-up se deve ser aberta uma janela de pop-up aps o login
REDIRECIONANDO TRFEGO DE SMTP PARA SEU DEVIDO SERVIDOR

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

Voc pode redirecionar todo o trfego atravs de seu Router para o seu prprio Servidor de Email.
- Clique no Menu IP
- Clique na opo Firewall

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

Clique na guia NAT

Clique em Adicionar
Na guia General, na opo Chain, escolha a opo dstnat
Na opo Protocol, escolha TCP
Na opo Dst. Port., escolha a porta 25

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

Clique na
Na opo
Na opo
Na opo
Clique no

guia Action
Action, escolha a opo dst-nat
To Addresses, digite o IP do servidor de email
To Ports, digite a porta SMTP, 25.
boto OK

PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, se

Referncias:
- Mikrotik Wiki - http://wiki.mikrotik.com/wiki/
- Apostila Curso Router-OS Mikrotik Wlan Brasil
- Certificado SSL - http://www.laniway.com.br Cpia
autorizada: Marcelo Carvalho - MACNet (AWS)