Com 9 anos de experiencia no mercado wireless, trabalhou com vários equipamentos wireless 2.4 GHz e 5.8 GHz, elaborou e realizou grandes projetos wireless para grandes empresas da baixada santista e interior do Estado de São Paulo (Miracatu, Itariri, Indaiatuba, Santos, Monte Mor, São Paulo, Cubatão, Praia Grande, Assis, etc).
Assuntos diversos relacionados ao dia-a-dia de profissionais relacionados a área de wireless.
Cache DNS é usado para minimizar solicitações de DNS para um servidor DNS externo, bem como para minimizar o tempo de resolução DNS. Este é um simples servidor DNS recursivo com itens local.
Especificações
Pacotes necessários: sistema
Licença necessária: Nível1
Nível de submenu: / ip dns
Padrões e tecnologias: DNS
Uso de hardware: Não significativo
O roteador MikroTik com recurso de cache DNS habilitado pode ser definido como um servidor de DNS primário para todos os clientes DNS-compliant. Além disso, o roteador MikroTik pode ser especificado como um servidor DNS primário no âmbito do seu dhcp-server configurações. Quando o cache de DNS é ativado, o roteador MikroTik responde ao DNS TCP e UDP solicitações na porta 53.
Cliente DNS é usado para fornecer resolução de nomes de domínio para o próprio roteador, bem como para os clientes P2P conectado ao roteador.
Descrição do imóvel
allow-remote-pedidos (yes | no) - especifica se a permitir que os pedidos de rede
cache-max-TTL(Time; padrão: 1W) - especifica máxima time-to-live para registros cahce. Em outras palavras, os registros de cache vai expirar depois decache-max-ttl tempo.
tamanho do cache (inteiro: 512 .. 10240; padrão: 2048KiB) - especifica o tamanho do cache de DNS no KiB
cache-utilizado(somente leitura: integer) - mostra o tamanho do cache usado atualmente em KiB
primário-dns(endereço IP; default: 0.0.0.0) - servidor DNS primário
secundário dns(endereço IP; default: 0.0.0.0) - servidor de DNS secundário
Notas
Se a propriedade use peer-sob-dns / ip dhcp-client é definido como yes, em seguida, principal-dns em / dns ip vai mudar para um endereço de DNS dada pelo servidor DHCP.
Exemplo
Para definir 159.148.60.2 como o servidor de DNS primário e permitir que o roteador seja usado como um servidor DNS, faça o seguinte:
[Admin @ MikroTik] ip dns> set primary-dns = 159.148.60.2 \
\ ... allow-remote-pedidos = yes
[Admin @ MikroTik] ip dns impressão>
primário-dns: 159.148.60.2
secundário dns: 0.0.0.0
allow-remote-pedidos: sim
de cache-size: 2048KiB
cache-max-ttl: 1W
cache-utilizados: 17KiB
[Admin @ MikroTik] ip dns>
Monitoramento de cache
Nível de submenu: / cache dns ip
Descrição do imóvel
endereço(somente leitura: endereço IP) - endereço IP do host
nome(somente leitura: name) - DNS nome do host
ttl(somente leitura: tempo) - tempo restante de viver para o registro
DNS estático Entries
Nível de submenu: / dns ip estático
Descrição
O RouterOS MikroTik tem um incorporado recurso de servidor de DNS em cache DNS. Ele permite fazer a ligação dos nomes de domínio particular com os endereços IP respectivos e anunciar estes links para os clientes DNS usando o roteador como seu servidor DNS.
Descrição do imóvel
(endereço IP) - Endereço IP para resolver nome de domínio com
nome(texto) - nome DNS a ser resolvido para um determinado endereço IP
TTL(Time) - time-to-live do registro DNS
Exemplo
Para adicionar uma entrada de DNS estáticos para www.example.com para ser resolvido para o endereço IP 10.0.0.1:
[Admin @ MikroTik] ip dns static> endereço www.example.com add name = 10.0.0.1
[Admin @ MikroTik] ip dns> print estática
# NOME ENDEREÇO TTL
0 aaa.aaa.a 123.123.123.123 1d
1 www.example.com 10.0.0.1 1d
[Admin @ MikroTik] ip dns static>
Flushing DNS de cache
Nome do comando: / ip cache de dns lavar
Descrição comando
flush - limpa cache DNS internos
Exemplo
[Admin @ MikroTik] ip dns> flush cache
[Admin @ MikroTik] ip dns impressão>
primário-dns: 159.148.60.2
secundário dns: 0.0.0.0
allow-remote-pedidos: sim
de cache-size: 2048 KiB
cache-max-ttl: 1W
cache-utilizados: 10 KiB
[Admin @ MikroTik] ip dns>
As pesquisas seguinte manual a gestão rotas IP, igual custo multi-caminho (ECMP) técnica de roteamento, e baseado em políticas de roteamento.
Especificações
Pacotes necessários: sistema Licença necessária: Nível1 Nível de submenu: / ip route Padrões e tecnologias: IP (RFC 791) Uso de hardware: Não significativo
MikroTik RouterOS tem os seguintes tipos de rotas:
rotas dinâmicas - criado automaticamente rotas para redes, que são acessados diretamente através de uma interface. Elas aparecem automaticamente, ao adicionar um novo endereço IP. Rotas dinâmicas também são adicionados por protocolos de roteamento.
rotas estáticas - user-defined rotas que especificam o roteador, que pode encaminhar o tráfego para a rede de destino especificado. Eles são úteis para especificar o gateway padrão
ECMP (Equal Cost Multi-Path) Routing
Este mecanismo de roteamento permite roteamento de pacotes por caminhos múltiplos com custo igual e garante o balanceamento de carga. Com ECMP roteamento, você pode usar mais de um gateway para uma rede de destino (Nota! Esta abordagem não fornece failover). Com ECMP, um roteador tem potencialmente disponíveis vários saltos seguinte para um determinado destino. Um novo portal é escolhido para cada par novo IP de origem / destino. Isso significa que, por exemplo, uma conexão FTP irá utilizar somente um link, mas nova conexão para um servidor diferente irá usar outro link. ECMP roteamento tem outra boa característica - pacotes única conexão não ser reordenada e, portanto, não mate o desempenho TCP.
As rotas ECMP pode ser criado por protocolos de roteamento (RIP ou OSPF), ou pela adição de uma rota estática com vários gateways, separados por uma vírgula (por exemplo, / ip route add gateway = 192.168.0.1,192.168.1.1). Os protocolos de roteamento pode criar rotas dinâmicas multipath com custo igual automaticamente, se o custo das interfaces é ajustado corretamente. Para mais informações sobre o uso de protocolos de roteamento, por favor leia o manual correspondente.
Policy-Based Routing
É uma abordagem de roteamento, onde o próximo salto (gateway) para um pacote é escolhido, com base em uma política, que é configurado pelo administrador da rede. Em RouterOS do procedimento, o follwing:
marcar os pacotes desejados, com um encaminhamento de marca
escolher uma porta de entrada para os pacotes marcados
Nota! No processo de roteamento, o roteador decide qual rota ele vai usar para enviar o pacote. Depois, quando o pacote é mascarado, seu endereço de origem é retirado do campo prefsrc.
Rotas
Nível de submenu: / ip route
Descrição
Neste submenu é possível configurar Static, Equal Cost Multi-Path e Policy-Based Routing e ver as rotas.
Descrição do imóvel
como caminho de(texto) - valor manual do BGP como caminho para a rota de saída atômico-agregado (yes | no) - atributo BGP.Uma indicação para o receptor que não pode "deaggregate" o prefixo verificar-gateway (arp | ping; padrão: ping) - que o protocolo a utilizar para a acessibilidade de gateway distância(integer: 0 .. 255) - distância administrativa da rota.Ao encaminhar um pacote, o roteador irá utilizar a rota com a menor distância administrativa e gateway acessível dst-address(endereço IP / máscara de rede; default: 0.0.0.0 / 0) - endereço de destino ea máscara de rede, onde netmask é o número de bits que indicam o número de rede.Usado em roteamento estático para especificar o destino que pode ser alcançado, usando um gateway
0.0.0.0 / 0 - qualquer rede
gateway(endereço IP) - host gateway, que pode ser acessado diretamente através de alguns dos interfaces.Você pode especificar vários gateways separados por uma vírgula "," para as rotas ECMP local-pref(integer) - valor de preferência local para uma rota med(integer) - um atributo BGP, que fornece um mecanismo para alto-falantes BGP para transmitir a um adjacentes como ponto de entrada ideal para o local, origem (incompleto | igp | EGP) - a origem do prefixo da rota prefsrc(endereço IP) - endereço IP de origem de pacotes, deixando router por esta via
0.0.0.0 - prefsrc é determinado automaticamente
prepend(inteiro: 0 .. 16) - número que indica quantas vezes para preceder AS_NAME para AS_PATH encaminhamento de marca(nome) - uma marca para os pacotes, definido em / ip firewall mangle.Somente aqueles pacotes que têm o acordo de roteamento de marcação, será encaminhado, usando esse gateway.Com este parâmetro oferecemos política de roteamento baseado em escopo(inteiro: 0 .. 255) - um valor que é usado para pesquisa recursivamente os endereços nexthop.Nexthop é procurado apenas através de rotas que têm escopo <= meta âmbito do nexthop alvo de escopo(integer: 0 .. 255) - um valor que é usado para pesquisa recursivamente os endereços do próximo salto.Cada endereço nexthop seleciona o menor valor de target escopo de todas as rotas que usam este endereço nexthop.Nexthop é procurado apenas através de rotas que têm escopo <= meta âmbito do nexthop
Notas
Você pode especificar mais de um ou dois gateways na rota. Além disso, você pode repetir algumas rotas na lista várias vezes para fazer uma espécie de ajuste de custo para gateways.
Exemplo
Para adicionar duas rotas estáticas para redes 10.1.12.0/24 e 0.0.0.0 / 0 (o endereço de destino padrão) em um roteador com duas interfaces e dois endereços IP:
[Admin @ MikroTik] ip route> add dst-address = portal 10.1.12.0/24 = 192.168.0.253
[Admin @ MikroTik] ip route> add = 10.5.8.1 de gateway
[Admin @ MikroTik] ip route print>
Flags: X - disabled, A - ativo, D - dinâmico,
C - conectar, S - estático, r - rip, b - bgp, o - ospf
# DST-ADDRESS G GATEWAY INTERFACE DISTÂNCIA
0 AS 10.1.12.0/24 r 192.168.0.253 local
Um ADC 10.5.8.0/24 Pública
2 ADC 192.168.0.0/24 local
3 AS 0.0.0.0 / 0 r 10.5.8.1 Pública
[Admin @ MikroTik] ip route>
Regras de Política
Nível de submenu: / ip regra rota
Descrição do imóvel
ação (drop | unreachable | pesquisa; padrão: unreachable) - ação a ser processada em pacotes combinados por esta regra:
drop - silenciosamente queda de pacotes unreachable - resposta que host de destino está inacessível de pesquisa - pesquisa de rota na tabela de roteamento dada
dst-address(máscara de endereço IP) - endereço IP de destino / máscara interface(nome; default: "") - interface através da qual o gateway pode ser alcançado encaminhamento de marca(nome; default: "") - marca do pacote a ser mached por esta regra.Para adicionar uma marca de roteamento, use '/ ip firewall mangle' comandos src-address(máscara de endereço IP) - endereço IP de origem / máscara (nome; default: "") da tabela - tabela de roteamento, criado pelo usuário
Notas
Você pode usar a política de roteamento mesmo se você usar masquerading em suas redes privadas. O endereço de origem será a mesma que está na rede local. Nas versões anteriores do RouterOS o endereço de origem alterado para 0.0.0.0
É impossível reconhecer peer-to-peer tráfego a partir do primeiro pacote. Somente as conexões já estabelecidas podem ser combinados. Isso também significa que em caso de fonte NAT está tratando Peer-to-Peer tráfego diferentemente do tráfego regular, Peer-to-Peer programas não funcionarão (aplicação geral é a política de roteamento redirecionando o tráfego regular através de uma interface e Peer-to-Peer tráfego - através de outro). A solução conhecida para este problema é resolvê-lo do outro lado: não fazer o tráfego Peer-to-Peer que passar por uma outra passagem, mas todos os outros tráfegos útil passar por outro gateway. Em outras palavras, para especificar quais os protocolos (HTTP, DNS, POP3, etc) vão através do gateway A, deixando todo o resto (assim o tráfego de peer-to-Peer também) para usar o B gateway (que não é importante, qual gateway é que, é apenas importante para manter Peer-to-Peer, juntamente com todo o tráfego, exceto os protocolos especificados)
Exemplo
Para adicionar a regra especificando que todos os pacotes do host 10.0.0.144 deve procurar a mt tabela de roteamento:
[Admin @ MikroTik] ip firewall mangle add action = mark-routing new-routing-mark = mt \
\ ... = cadeia PREROUTING
[Admin @ MikroTik] ip route> add = 10.0.0.254 de gateway routing-mark = mt
[Admin @ MikroTik] ip route regra> add src-address = 10.0.0.144/32 \
\ ... table = ação mt = lookup
[Admin @ MikroTik] ip route print regra>
Flags: X - disabled, I - inválido
0 src-address = 192.168.0.144/32 action = tabela de pesquisa = mt
[Admin @ MikroTik] ip route regra>
Exemplos de Aplicação
Custo de roteamento estático Multi-Path Igualdade
Considere a seguinte situação em que temos de rotear pacotes da rede 192.168.0.0/24 a 2 gateways - 10.1.0.1 e 10.1.1.1:
Note que o ISP1 nos dá 2Mbps e ISP2 - 4Mbps por isso queremos uma relação de tráfego 01:02 (1 / 3 dos pares origem / destino de IP 192.168.0.0/24passa por ISP1 e 03/02 através ISP2).
Adicionar as rotas padrão - um para ISP1 e 2 para ISP2 para que possamos obter a relação de 1:3:
[Admin @ ECMP roteador] ip route> add = portal 10.1.0.1,10.1.1.1,10.1.1.1
[Admin @ ECMP roteador] ip route> print
Flags: X - disabled, A - ativo, D - dinâmico,
C - conectar, S - estático, r - rip, b - bgp, o - ospf
# DST-ADDRESS G GATEWAY INTERFACE DISTÂNCIA
0 ADC Public1 10.1.0.0/28
Um ADC 10.1.1.0/28 Public2
2 ADC 192.168.0.0/24 local
3 AS 0.0.0.0 / 0 r Public1 10.1.0.1
r 10.1.1.1 Public2
r 10.1.1.1 Public2
[Admin @ ECMP roteador] ip route>
Padrão Policy-Based Routing com Failover
Este exemplo mostrará como rotear pacotes, utilizando uma política definidas pelo administrador. A política para esta configuração é a seguinte: rotear pacotes da rede 192.168.0.0/24, usando gateway 10.0.0.1, e pacotes de rede 192.168.1.0/24, usando porta 10.0.0.2. Se GW_1 não responde a pings, use GW_Backup para a rede 192.168.0.0/24, se GW_2 não responde a pings, use GW_Backup também para 192.168.1.0/24 rede em vez de GW_2.
Rotear pacotes da rede 192.168.0.0/24 gateway GW_1 (10.0.0.2), os pacotes da rede 192.168.1.0/24 gateway GW_2 (10.0.0.3), usando as marcas de pacotes de acordo. Se GW_1 GW_2 ou não (não responder a pings), rota que os pacotes respectivos GW_Main (10.0.0.1):
[Admin @ PB-Router] ip route> add = 10.0.0.2 de gateway routing-mark = net1 \
\ ... verificação de ping-gateway =
[Admin @ PB-Router] ip route> add = 10.0.0.3 de gateway routing-mark = net2 \
\ ... verificação de ping-gateway =
[Admin @ PB-Router] ip route> add = 10.0.0.1 de gateway
[Admin @ PB-Router] ip route> print
Flags: X - disabled, A - ativo, D - dinâmico,
C - conectar, S - estático, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREFSRC G GATEWAY INTERFACE DISTÂNCIA
0 ADC 10.0.0.0/24 Pública 10.0.0.7
Um ADC 192.168.0.0/24 192.168.0.1 Local1
2 ADC 192.168.1.0/24 192.168.1.1 Local2
3 AS 0.0.0.0 / 0 r 10.0.0.2 Pública
4 AS 0.0.0.0 / 0 r 10.0.0.3 Pública
5 AS 0.0.0.0 / 0 r 10.0.0.1 Pública
[Admin @ PB-Router] ip route>
A MikroTik Hotspot Gateway permite fornecimento de acesso à rede pública para os clientes que usam conexões de rede sem fio ou com fio.
Portal HotSpot características:
servidor de autenticação de clientes usando banco de dados cliente local, ou RADIUS
contabilidade servidor utilizando banco de dados local, ou RADIUS
Murada jardim-sistema (acessando algumas páginas web sem autorização)
Guia de instalação rápida
A diferença mais perceptível na experiência do usuário a criação de sistema de HotSpot na versão 2.9 das versões anteriores RouterOS é que ele tornou-se em ordem de grandeza mais fácil de configurar um sistema de HotSpot funcionando corretamente.
Dado um roteador com duas interfaces: Local (onde os clientes estão conectados a HotSpot) e Pública, que está ligado à Internet. Para configurar o HotSpot na interface local:
primeiro, uma configuração IP válida é necessária em ambas as interfaces. Isto pode ser feito com o comando / configuração. Neste exemplo, vamos supor a configuração com servidor de DHCP na interface local
configuração de DNS válido deve ser criado no submenu dns / ip
Para colocar HotSpot na interface local, utilizando a piscina mesmo endereço IP do servidor DHCP usa para essa interface: /ip hotspot add interface=local address-pool=dhcp-pool-1
e, finalmente, adicione pelo menos um usuário HotSpot: /ip hotspot user add name=admin
Estes passos simples devem ser suficientes para permitir que sistema de HotSpot
Por favor, encontrar HotSpot muitas instruções, que irá responder a maioria das suas perguntas sobre como configurar um gateway HotSpot, no final deste manual. Ainda é recomendado que você leia e compreenda toda a seção A descrição abaixo antes de implantar um sistema de HotSpot.
Se isso não funcionar:
verifique se dns / ip contém servidores DNS válidos, tente www.mikrotik.com / ping para ver, que o DNS resolver funciona
certifique-se que o controle de conexão é ativada: /ip firewall connection tracking set enabled=yes
Especificações
Pacotes necessários: hotspot, dhcp (opcional) Licença necessária: Level1 (Limitado a um usuário ativo), Level3 (Limitado a um usuário ativo), Level4 (Limitado a 200 usuários ativos), Level5 (Limitado a 500 usuários ativos), Level6 Nível de submenu: / ip hotspot Padrões e tecnologias: ICMP , DHCP Uso de hardware: Não significativo
Descrição
MikroTik Hotspot Gateway deve ter pelo menos duas interfaces de rede:
HotSpot interface, que é usado para conectar clientes HotSpot
LAN / WAN interface, que é usado para acessar recursos de rede. Por exemplo, DNS e servidor RADIUS (s) deve ser acessível
O diagrama abaixo mostra uma configuração HotSpot amostra.
A interface do HotSpot deve ter um endereço IP atribuído a ele. Conexão de rede física tem de ser estabelecida entre o computador do usuário HotSpot eo gateway. Pode ser sem fio (a placa sem fio deve estar registrado para AP), com ou sem fios (a placa de rede deve ser conectado a um hub ou switch).
Note que a diferença mais visível na experiência do usuário a criação de sistema de HotSpot na versão 2.9 das versões anteriores RouterOS é que ele tornou-se em ordem de grandeza mais fácil de configurar um sistema de HotSpot funcionando corretamente.
Introdução ao HotSpot
HotSpot é uma forma de autorizar os usuários para acessar alguns recursos da rede. Ele não fornece criptografia de tráfego. Para iniciar a sessão, os usuários podem usar quase todos os navegadores web (HTTP ou HTTPS protocol), então eles não são obrigados a instalar software adicional. O gateway é a contabilidade do tempo de atividade e quantidade de tráfego de cada um de seus clientes têm utilizado, e também pode enviar essas informações para um servidor RADIUS. O sistema pode limitar a taxa de bits HotSpot cada usuário em particular, a quantidade total de tempo de atividade de trânsito, e alguns outros parâmetros mencionados em detalhes neste documento.
O sistema de HotSpot é direcionado para fornecer autenticação dentro de uma rede local (para acessar a Internet), mas pode também ser usado para autorizar o acesso a partir de redes externas de acesso aos recursos locais. Configurando o recurso de Walled Garden, é possível para permitir aos utilizadores aceder a algumas páginas da web sem a necessidade de autenticação prévia.
Endereço ficando
Primeiro de tudo, um cliente deve obter um endereço IP. Pode ser definido no cliente estaticamente, ou alugadas a partir de um servidor DHCP. O servidor DHCP pode fornecer formas de vinculação emprestou endereços IP para endereços MAC clientes, se necessário. O sistema de HotSpot não se importa como é que um cliente obter um endereço antes de ele / ela recebe para a página de login HotSpot.
Além disso, o servidor HotSpot pode automática e transparente, mudar qualquer endereço IP (sim, o que significa realmente qualquer endereço IP) de um cliente para um endereço válido não utilizados a partir do pool IP selecionado. Esta característica dá a possibilidade de fornecer um acesso à rede (por exemplo, acesso à Internet) para clientes móveis que não estão dispostos (ou não são permitidos, não qualificado o suficiente ou não consegue) para alterar suas configurações de rede. Os usuários não vai notar a tradução (ou seja, não haverá qualquer mudança na configuração dos usuários), mas o próprio roteador vai ver completamente diferente (do que é realmente definir em cada cliente) endereços IP de origem em pacotes enviados a partir dos clientes (mesmo tabela mangle firewall vai "ver" os endereços traduzido). Esta técnica é chamada de um-para-um NAT, mas também é conhecido como "Cliente Universal", como é assim que foi chamado na versão RouterOS 2.8.
Um-para-um NAT aceita qualquer endereço de entrada de um interface de rede conectada e realiza uma tradução de endereços de rede para que os dados podem ser encaminhadas através de redes IP padrão. Os clientes podem usar quaisquer endereços pré-configurados. Se o um-para-um recurso NAT está definido para traduzir o endereço de um cliente para um endereço IP público, então o cliente pode até mesmo executar um servidor ou qualquer outro serviço que requer um endereço IP público. Este NAT está mudando o endereço de origem de cada pacote, logo após ele é recebido pelo roteador (que é como fonte de NAT que é realizado mais cedo, de modo que mesmo tabela mangle firewall, que normalmente "vê" pacotes recebidos inalterada, só pode "ver" o Endereço traduzido).
Note também que o modo de arp deve ser habilitado na interface que você usa um-para-um NAT por diante.
Antes de a autenticação
Ao habilitar HotSpot em uma interface, o sistema automaticamente configura tudo o necessário para mostrar página de login para todos os clientes que ainda não fez o Isto é feito adicionando regras destino dinâmico NAT, que você pode observar em um sistema de HotSpot trabalho. Estas regras são necessárias para redirecionar todas as solicitações HTTP e HTTPS de usuários não autorizados para o servlet HotSpot (ie, o procedimento de autenticação, por exemplo, a página de login). Outras regras que também estão inseridos, descreveremos mais tarde, em uma seção especial deste manual.
Na maioria dos comuns de configuração, abrindo qualquer página HTTP trará a página de login HotSpot servlet (que pode ser extensivamente customizado, como será descrito mais tarde). Como um comportamento normal do usuário é abrir páginas da web por seus nomes de DNS, uma configuração de DNS válido deve ser criado no gateway HotSpot em si (é possível reconfigurar o gateway para que ele não vai exigir configuração DNS local, mas essa configuração é impraticável e, portanto, não recomendado).
Walled Garden
Você pode desejar não exigir autorização para alguns serviços (por exemplo, para deixar que os clientes acessem o servidor web da sua empresa sem registro), ou mesmo exigir autorização apenas para um número de serviços (por exemplo, para os usuários a ser autorizados a aceder a um servidor de arquivo interno ou de outra área restrita). Isto pode ser feito através da criação de sistema de jardim murado.
Quando não registrados em um usuário solicita um serviço permitido na configuração Walled Garden, o gateway HotSpot não interceptá-lo, ou em caso de HTTP, simplesmente redireciona a solicitação para o destino original (ou a um proxy pai especificada). Quando um usuário está conectado, não há nenhum efeito desta tabela sobre ele / ela.
Para implementar o recurso de Walled Garden para requisições HTTP, um servidor de proxy da Web incorporado foi concebido, então todas as solicitações de usuários não autorizados estão realmente passando por este proxy. Note que o servidor proxy embutido não tem cache função ainda. Observe também que esse servidor proxy embutido está no pacote do software do sistema e não requer web-proxy pacote. É configurável sob proxy / ip
Autenticação
Existem actualmente cinco diferentes métodos de autenticação. Você pode usar um ou mais deles simultaneamente:
HTTP PAP - método mais simples, que mostra a página de login HotSpot e espera obter a informação de autenticação (ou seja, nome de usuário e senha) em texto simples Observe que as senhas não estão sendo criptografados quando são transferidos através da rede.. Uma outra utilização deste método é a possibilidade de hard-coded informações de autenticação na página do servlet de login simplesmente criando o link apropriado.
HTTP CHAP - método padrão, que inclui CHAP desafio na página de login. O CHAP desafio de hash MD5 é para ser usado juntamente com a senha do usuário para calcular a string que será enviada para o gateway HotSpot. O resultado hash (como uma senha) em conjunto com nome de usuário é enviado através da rede para HotSpot serviço (assim, a senha nunca é enviada em texto simples através da rede IP). No lado do cliente, o algoritmo MD5 é implementado no applet JavaScript, por isso, se um navegador não suporta JavaScript (como, por exemplo, Internet Explorer 2.0 ou alguns navegadores PDA), ela não será capaz de autenticar os usuários. É possível permitir que senhas não criptografadas para ser aceito por ligar HTTP método de autenticação PAP, mas não é recomendado (por causa de considerações de segurança) para usar esse recurso.
HTTPS - o mesmo que HTTP PAP, mas usando o protocolo SSL para criptografar transmissões. Usuário HotSpot basta enviar seu / sua senha sem hashing adicionais (note que não há necessidade de se preocupar com a exposição de texto simples senha na rede, como a transmissão em si é criptografada). Em ambos os casos, o método HTTP POST (se não for possível, então - método HTTP GET) é utilizado para enviar dados para o gateway HotSpot.
Cookie HTTP - após cada login bem-sucedido, um cookie é enviado para o navegador web eo mesmo cookie é adicionado à lista ativa cookie HTTP.Próxima vez que o mesmo usuário vai tentar fazer o login, o navegador web irá enviar cookies http. Este cookie será comparado com o armazenado no gateway HotSpot e apenas se o endereço MAC de origem e ID gerado aleatoriamente correspondem aos armazenados no gateway, o usuário será automaticamente conectado usando as informações de login (nome de usuário e senha par) foi utilizado quando o cookie foi gerado pela primeira vez.Caso contrário, o usuário será solicitado a efetuar login e na autenticação caso for bem sucedido, cookie antigo será retirado da lista de cookies locais HotSpot ativa eo novo com o ID aleatório diferente e tempo de expiração serão adicionados à lista e enviado para o navegador web. Também é possível apagar cookie no manual do usuário logoff (não nas páginas padrão do servidor). Este método só pode ser utilizado em conjunto com PAP HTTP, HTTPS ou HTTP CHAP métodos como não haveria nada para gerar cookies em primeiro lugar, de outra forma.
Endereço MAC - para tentar autenticar os clientes assim que eles aparecem na lista de hosts (ou seja, assim que enviou qualquer pacote para o servidor HotSpot), usando o endereço MAC do cliente como nome de usuário
HotSpot pode autenticar usuários consulta ao banco de dados de usuário local ou um servidor RADIUS (banco de dados local é consultado primeiro, e depois - um servidor RADIUS). Em caso de autenticação de cookie HTTP através do servidor RADIUS, o roteador irá enviar as mesmas informações para o servidor como foi utilizado quando o cookie foi gerado pela primeira vez. Se a autenticação é feito localmente, o perfil correspondente a esse usuário é usado, caso contrário (no caso de resposta RADIUS não contêm o grupo para esse usuário) O perfil padrão é usado para definir valores padrão para parâmetros que não estão definidas no RADIUS Access-Accept mensagem. Para mais informações sobre como a interação com um servidor RADIUS funciona, consulte a seção do manual respectiva.
O método HTTP PAP também torna possível para autenticar, solicitando a página /login?username=username&password=password . Caso você queira fazer o login usando a conexão telnet, o pedido HTTP exata ficaria assim: GET / login username (note que o pedido é case-sensitive) = username e password = password HTTP/1.0?
Autorização
Após a autenticação, o usuário tem acesso à Internet, e recebe algumas limitações (que são de perfil de usuário específico). HotSpot também pode realizar um NAT um-para-um para o cliente, de modo que um determinado usuário sempre receberá o mesmo endereço IP, independentemente do que PC é que ele / ela trabalhando.
O sistema irá automaticamente detectar e redireccionar os pedidos para um servidor proxy de um cliente está usando (se for o caso, que pode ser definido em his / her configurações para usar um desconhecido para nós servidor proxy) para o servidor proxy embutido no roteador.
Autorização pode ser delegada a um servidor RADIUS, que oferece opções de configuração similar ao do banco de dados local. Para qualquer utilizador que necessite de autorização, um servidor RADIUS é consultado primeiro, e se não houver resposta recebida, o banco de dados local é examinada. Servidor RADIUS pode enviar um pedido de Mudança de autorização de acordo com padrões de alterar os parâmetros previamente aceites.
Anúncio
O mesmo proxy usado para clientes não autorizados a fornecer-Walled Garden facilidade, também pode ser usado para os usuários autorizados para mostrar-lhes popups anúncio. Proxy transparente para os usuários autorizados permite monitorar os pedidos http dos clientes e tomar alguma ação se necessário. Ele permite a possibilidade de abrir a página de status, mesmo se o cliente está conectado por mac endereço, bem como para mostrar anúncios vez após vez
Quando chegou a hora de mostrar um anúncio, o servidor redireciona o navegador cliente web para a página de status. Apenas os pedidos, que fornecem conteúdo html, são redirecionadas (imagens e outros conteúdos não serão afetados). A página de status exibe o anúncio e junto anunciar intervalo é usado para agendar anúncio seguinte. Se a página de status não é capaz de exibir uma propaganda para tempo limite configurado a partir de momento, quando está programado para ser mostrado, o acesso do cliente é bloqueada dentro de paredes-jardim (como clientes não autorizados são). Cliente é desbloqueado quando a página agendada é finalmente mostrado. Note que se janelas popup são bloqueados no navegador, o link na página de status pode ser usado para abrir o anúncio manualmente.
Enquanto cliente é bloqueado, FTP e outros serviços não serão permitidos. Exigindo cliente para abrir uma propaganda para qualquer atividade, especialmente a Internet não permitido pelo jardim murado.
Contabilidade
A contabilidade implementar HotSpot sistema internamente, você não é obrigado a fazer nada de especial para que ele funcione. As informações contábeis para cada usuário podem ser enviadas para um servidor RADIUS.
Menus de configuração
/ Ip hotspot - servidores HotSpot em interfaces de particular (um servidor por interface). Servidor HotSpot deve ser adicionada neste menu em ordem para o sistema de HotSpot para trabalhar em uma interface
/ Ip hotspot perfil - perfis do servidor HotSpot. Configurações, que afetam procedimento de login para clientes HotSpot são configurados aqui. Mais de um servidor HotSpot pode usar o mesmo perfil
/ Host ip hotspot - lista dinâmica de hosts de rede ativa em todas as interfaces HotSpot. Aqui você também pode encontrar ligações endereço IP do NAT um-para-um
/ Ip hotspot ip-binding - regras para a ligação endereços IP para hosts em interfaces hotspot
/ Ip hotspot de serviços-port - endereço de ajudantes de tradução para o NAT um-para-um
/ Ip hotspot jardim murado - Regras Walled Garden nível HTTP (nomes DNS, substrings solicitação HTTP)
/ Ip hotspot ip jardim murado - Regras Walled Garden nível IP (endereços IP, protocolos IP)
/ User hotspot ip - usuários do sistema local HotSpot
/ Ip hotspot perfil do usuário - os usuários locais HotSpot sistema de perfis (grupos de usuários)
/ Ip hotspot ativo - lista dinâmica de todos os usuários autenticados HotSpot
/ Cookie hotspot ip - lista dinâmica de todos os cookies HTTP válida
Configuração de perguntas e respostas com base
Nome do comando: / ip hotspot configuração
Perguntas
pool de endereços de rede(nome) - pool de endereços IP para a rede de HotSpot dns nome(texto) - nome de domínio DNS do gateway HotSpot (será estaticamente configurado no proxy DNS local servidores DNS(endereço IP, [endereço IP]) - servidores DNS para os clientes HotSpot hotspot interface(nome) - interface para executar HotSpot em endereço IP do servidor smtp(endereço IP; default: 0.0.0.0) - endereço IP do servidor SMTP para redirecionar as solicitações SMTP (porta TCP 25) para
0.0.0.0 - não redirecionar
endereço local da rede(endereço IP; padrão: 10.5.50.1/24) - endereço de gateway para a interface do HotSpot masquerade rede (sim | não; padrão: sim) - se a rede mascarada HotSpot nome de usuário hotspot local(texto; padrão: admin) - nome de usuário de um usuário automaticamente criado senha(texto) - a senha do certificado que você está importando senha para o usuário(texto) - senha para o usuário automaticamente criado selecionar certificado(nome | none importação outro certificado) - escolha certificado SSL da lista de certificados de importação
none - não usar SSL
import-outros-certificado - configuração dos certificados e não importadas ainda, e fazer esta pergunta novamente
Notas
Dependendo das configurações atuais e as respostas às perguntas anteriores, os valores padrão de perguntas a seguir podem ser diferentes. Algumas perguntas podem desaparecer se elas se tornam redundantes
Exemplo
Para configurar o HotSpot na ether1 interface (que já está configurado com o endereço de 192.0.2.1/25), ea adição de administração de usuários com o lixo senha:
[Admin @ MikroTik]> Configuração hotspot ip
hotspot interface: ether1
endereço local da rede: 192.0.2.1/24
masquerade rede: sim
pool de endereços de rede: 192.0.2.2-192.0.2.126
selecionar certificado: none
endereço IP do servidor SMTP: 0.0.0.0
Servidores DNS: 192.0.2.254
dns name: hs.example.net
nome de usuário hotspot local: admin
senha para o usuário: lixo
[Admin @ MikroTik]>
HotSpot Configuração da Interface
Nível de submenu: / ip hotspot
Descrição
Sistema de HotSpot é colocada em interfaces individuais. Você pode executar configurações HotSpot completamente diferentes em diferentes interfaces
Descrição do imóvel
endereços-per-mac(integer | ilimitado; padrão: 2) - número de endereços IP autorizados a ser ligar com qualquer endereço MAC particular (que é uma pequena chance de reduzir o ataque de negação de serviço baseado em assumir todos os endereços IP livre)
ilimitado - número de endereços IP por um endereço MAC não é limitado
Endereço piscina (nome | none; padrão: none) - nome do pool de endereços IP para a realização de um-para-um NAT.Você pode optar por não usar o NAT um-para-um
none - não realizar um-para-um NAT para os clientes desta interface HotSpot
HTTPS(read-only: flag) - se o serviço HTTPS está atualmente em execução na interface (ou seja, é criado no perfil de servidor e um certificado válido é importado no roteador) idle-timeout(tempo | none; padrão: 00:05:00) - tempo limite ocioso (período máximo de inatividade) para clientes não autorizados.Ele é usado para detectar, esse cliente não está usando redes externas (Internet, por exemplo), ou seja, não há tráfego provenientes desse cliente e passar pelo roteador.Atingir o tempo limite, o usuário será removido da lista de host, o endereço utilizado e compra o usuário será liberado
none - não tempo limite de usuários inativos
interface(nome) - interface para executar HotSpot em ip-da-dns-name(read-only: endereço IP) - endereço IP do nome do gateway HotSpot DNS definido no perfil de interface HotSpot keepalive-timeout(tempo | none; padrão: none) - timeout keepalive para clientes não autorizados.Usado para detectar, que o computador do cliente está viva e acessível.Se verificar falhará durante este período, o usuário será removido da lista de host, o endereço utilizado e compra o usuário será liberado
none - não tempo limite de usuários inalcançável
perfil(nome; default: default) - Perfil do HotSpot padrão para a interface
Descrição comando
redefinir-html(nome) - substituir o servlet HotSpot existentes com os arquivos originais HTML.Ele é usado se você tiver alterado o servlet e não é útil seguinte
Notas
endereços-per-mac propriedade só funciona se pool de endereços é definida. Observe também que no caso de autenticação de usuários conectados através de um roteador, que todos os endereços IP parecem ter vindo de um endereço MAC.
Exemplo
Para adicionar sistema de HotSpot para a interface local, permitindo que o sistema para fazer um-para-um NAT para cada cliente (endereços do pool de endereços HS-real será usado para o NAT):
[Admin @ MikroTik] ip hotspot> interface add = local address-pool = HS-real
[Admin @ MikroTik] ip hotspot impressão>
Flags: X - disabled, I - inválida, S - HTTPS
# NOME INTERFACE PERFIL ENDEREÇO POOL-idle-timeout
0 hs-padrão local HS-real locais 00:05:00
[Admin @ MikroTik] ip hotspot>
Servidor Perfis HotSpot
Nível de submenu: perfil hotspot / ip
Descrição do imóvel
dns-nome(texto) - o nome DNS do servidor HotSpot.Este é o nome DNS usado como o nome do servidor HotSpot (ie, ele aparece como o local da página de login).Este nome será adicionado automaticamente como uma entrada DNS estático no cache DNS hotspot endereço(endereço IP; default: 0.0.0.0) - endereço IP para serviço HotSpot html-directory(texto; default: "") - nome do diretório (acessível com FTP), que armazena as páginas HTML servlet (quando mudou, as páginas default são automaticamente copiados para o diretório especificado, se não existe já) http-cookie-vida(tempo; padrão: 3d) - tempo de validade dos cookies HTTP http-proxy(endereço IP; default: 0.0.0.0) - o endereço do servidor proxy do serviço HotSpot vai usar como um servidor proxy para todos os pedidos interceptados pelo sistema Universal Proxy e não definidos no / ip proxy lista direta.Se não especificado, no endereço definido em proxy-pai parâmetro de proxy / ip.Se que está ausente também, o pedido será resolvido pelo proxy local login-por(de múltipla escolha: cookie | http-chap | http pap-| https | mac | julgamento; padrão: cookie, http-cap) - quais os métodos de autenticação para usar
cookie - utilizar cookies HTTP para autenticar sem pedir as credenciais do usuário. Outro método será usado no caso de o cliente não tem cookie, ou o nome de usuário armazenados e um par de senha não são válidos mais uma vez que a autenticação passado. Só pode ser utilizado em conjunto com outros métodos de autenticação HTTP (HTTP-PAP, CHAP ou HTTP-HTTPS), como no outro caso, não haveria maneira de os cookies a serem gerados, em primeiro lugar http-cap - use CHAP desafio-resposta método com algoritmo de hash MD5 para senhas de hash. Desta forma é possível evitar o envio de senhas em texto sobre uma rede insegura. Este é o método de autenticação padrão http-pap - use texto simples autenticação através da rede. Por favor, note que no caso deste método será usado, senhas do usuário será exposto nas redes locais, por isso vai ser possível interceptá-los https - use túnel SSL criptografados para transferência de comunicação do usuário com o servidor HotSpot. Note que para que isso funcione, um certificado válido deve ser importado para o roteador (veja um manual separado sobre o gerenciamento de certificados) mac - tente usar o endereço MAC do cliente como seu primeiro nome. Se o endereço MAC correspondente existe no banco de dados de usuário local ou no servidor RADIUS, o cliente será autenticado sem pedir para preencher o formulário de login julgamento - não requer autenticação por um determinado período de tempo
raio de contabilidade (sim | não; padrão: sim) - se deseja enviar as informações contábeis RADIUS servidor em cada usuário de vez em quando (o "enquanto" é definida na propriedade-atualização provisória de raio) raio-default-domain(texto; default: "") - domínio padrão a ser usado para solicitações RADIUS.Permite selecionar os servidores RADIUS diferentes dependendo HotSpot perfil de servidor, mas pode ser um punhado de servidor RADIUS único bem. raio-interino-update(tempo | recebido; padrão: recebido) - a freqüência de envio de relatórios de contabilidade cumulativa.
0s - o mesmo que recebeu recebida - use qualquer valor recebido do servidor RADIUS
taxa-limite(texto; default: "") - Taxa de limitação em forma de rx-rate [/ tx-rate] [rx-burst-rate [/ tx-burst-rate] [rx-burst-threshold [/ tx- explosão limiar] [rx-burst-time [/ tx-burst-time]]]] a partir do ponto de vista do router (para "rx" é cliente de upload, e "tx" é cliente de download).Todas as tarifas devem ser números com opcionais "k" (1,000 s) ou 'M' (1.000.000 s).Se tx-rate não é especificado, rx-rate é a tx-rate também.Mesmo vale para tx-burst-rate e tx-burst-threshold e tx-burst-time.Se ambos rx-burst-threshold e tx-burst-threshold não são especificados (mas estourou taxa é especificada), rx-rate e tx-rate é utilizado como limiares estourar.Se ambos rx-burst-time e tx-burst-time não são especificados, 1s é usado como padrão smtp-server(endereço IP; default: 0.0.0.0) - servidor SMTP padrão a ser usado para redirecionar incondicionalmente todas as solicitações SMTP usuário split-usuário de domínio (sim | não; padrão: não) - se para dividir Nome de nome de domínio quando o nome é dado em "user @ domínio" ou no formato "domínio \ usuário" ssl-certificado(nome | none; padrão: none) - nome do certificado SSL para usar na autenticação HTTPS.Não utilizado para outros métodos de autenticação julgamento uptime (tempo / hora; padrão: 30m/1d) - é usado apenas quando o método de autenticação é julgamento.Especifica a quantidade de tempo que o usuário identificado pelo endereço MAC pode usar serviços hotspot sem autenticação eo tempo, que tem que passar que o usuário tem permissão para utilizar os serviços hotspot novamente julgamento user-profile-(nome; default: default) - é usado apenas quando o método de autenticação é julgamento.Especifica perfil de usuário, que os usuários usarão julgamento use-radius (sim | não; padrão: não) - se para usar o RADIUS para autenticar os usuários HotSpot
Notas
Se o nome DNS-propriedade não for especificada, hotspot endereço é usado no lugar. Se hotspot endereço também está ausente, então ambos devem ser detectados automaticamente.
, A fim de usar a autenticação RADIUS, o menu / raio deve ser configurado de acordo.
Método de autenticação julgamento deve allways ser usado juntamente com um dos outros métodos de autenticação.
Os cookies podem ser usados para autenticação no serviço Hotspot
Descrição do imóvel
domínio(somente leitura: texto) - nome de domínio (se separou username) expira-in(somente leitura: tempo) - o tempo que o cookie é válido mac-address(read-only: Endereço MAC) - o endereço MAC do usuário do usuário(somente leitura: nome) - nome de usuário
Notas
Pode haver vários cookies com o mesmo endereço MAC. Por exemplo, haverá um cookie separado para cada navegador no mesmo computador.
Os cookies podem expirar - que é a maneira como é suposto ser. Tempo padrão de validade dos cookies é de 3 dias (72 horas), mas pode ser alterado para cada perfil individual HotSpot servidor, por exemplo:
/ Ip hotspot perfil conjunto padrão http-cookie-vida 1d =
Exemplo
Para obter a lista de cookies válidos:
[Admin @ MikroTik] ip hotspot bolinho de impressão>
# USER DOMAIN MAC ADDRESS expirar-IN
0 ex 01:23:45:67:89: AB 23h54m16s
[Admin @ MikroTik] ip hotspot bolinho>
HTTP nível Walled Garden
Nível de submenu: hotspot / ip walled-garden
Descrição
Jardim murado é um sistema que permite o uso não autorizado de alguns recursos, mas requer autorização para acessar outros recursos. Isto é útil, por exemplo, para dar acesso a algumas informações gerais sobre HotSpot prestador de serviços ou opções de faturamento.
Este menu só consegue Walled Garden para protocolos HTTP e HTTPS. Outros protocolos também podem ser incluídos no jardim murado, mas que está configurado em outro lugar (em ip / hotspot jardim murado-ip, veja a próxima seção deste manual para mais detalhes)
Descrição do imóvel
ação (allow | deny; padrão: allow) - ação para empreender, se um pacote corresponde a regra:
permitir - permitir o acesso à página sem autorização prévia negar - a autorização é necessária para aceder a esta página
dst-address(endereço IP) - endereço IP do servidor web de destino dst-host(wildcard; default: "") - nome de domínio do servidor web destino (este é um curinga) dst-port(integer; default: "") - a porta TCP de um cliente enviou o pedido para método(texto) - método HTTP da solicitação caminho(texto; default: "") - o caminho do pedido (este é um curinga) servidor(nome) - nome do servidor HotSpot esta regra aplicada a src-address(endereço IP) - endereço IP do usuário que está enviando o pedido
Notas
Propriedades curinga (dst-host e dst-path) correspondem a uma seqüência completa (ou seja, eles não vão corresponder "example.com" se eles são definidos como "exemplo"). Disponíveis são curingas '*' (qualquer número de caracteres) e '?' (Match qualquer caractere). Expressões regulares também são aceitos aqui, mas se a propriedade deve ser tratado como uma expressão regular, ele deve começar com dois pontos (':').
Atinge pequeno em usar expressões regulares:
\ Seqüência símbolo \ é usado para inserir um caractere \ na consola
\ Padrão. Significa. Only (em expressões regulares único ponto no padrão de qualquer símbolo)
para mostrar que não são permitidos símbolos antes do determinado padrão, usamos símbolo ^ no início do padrão
para especificar que não são permitidos símbolos após a determinado padrão, usamos símbolo $ no final do padrão
Você não pode usar a propriedade path para solicitações HTTPS como router não pode (e não deve -! É isso que o protocolo HTTPS foi feito para) decifrar a solicitação.
Exemplo
Para permitir que os pedidos não autorizado a página / paynow.html domínio www.example.com é:
[Admin @ MikroTik] ip hotspot walled-garden> caminho add = "paynow.html /" \
\ ... dst-host = "www.example.com"
[Admin @ MikroTik] ip hotspot walled-garden impressão>
Flags: X - disabled, D - dinâmica
0 dst-host = "www.example.com" path = "/ paynow.html" action = permitir
[Admin @ MikroTik] ip hotspot jardim murado>
IP de nível Walled Garden
Nível de submenu: / ip hotspot jardim murado-ip
Descrição
Este menu é gerencia Walled Garden para pedidos de IP genérico. Consulte a seção anterior para o gerenciamento de HTTP e HTTPS propriedades protocolo específico (como o nome DNS real, o método HTTP e caminho usado em pedidos).
Descrição do imóvel
ação (aceitar | queda | rejeitar; padrão: aceitar) - ação para empreender, se um pacote corresponde a regra:
aceitar - permitir o acesso à página sem autorização prévia queda - a autorização é necessária para aceder a esta página rejeitar - a autorização é necessária para acessar esta página, caso a página será accsessed autorização withot ICMP rejeitam a mensagem host-unreachable serão gerados
dst-address(endereço IP) - endereço IP do servidor web de destino dst-host(texto; default: "") - nome de domínio do servidor web de destino (isto não é uma expressão regular ou um curinga de qualquer tipo).O nome DNS especificado está resolvido para uma lista de endereços IP quando a regra é adicionada, e todos os endereços IP são usados dst-port(integer; default: "") - a porta TCP ou UDP (protocolo deve ser especificado explicitamente na propriedade de protocolo) um cliente enviar a solicitação para protocolo(integer | ddp egp encap GGP gre HMP icmp IDPR-cmtp igmp ipencap ipip ipsec-ah ipsec-esp iso-TP4 ospf filhote rdp RSPF st tcp udp VMTP XNS-idp XTP) - nome do protocolo IP servidor(nome) - nome do servidor HotSpot esta regra aplicada a src-address(endereço IP) - endereço IP do usuário que está enviando o pedido
Exemplo
Um-para-um NAT estático endereço ligações
Nível de submenu: / ip hotspot ip-binding
Descrição
Você pode configurar traduções NAT estaticamente baseado em um endereço IP original (ou de rede IP), ou o endereço MAC original. Você também pode permitir que alguns endereços para ignorar a autenticação HotSpot (ou seja, eles vão poder trabalhar sem precisar fazer logon na rede em primeiro lugar) e completamente bloquear alguns endereços.
Descrição do imóvel
(endereço IP / [netmask]; default: "") - o endereço IP de origem ou de rede do cliente mac-address(endereço MAC; default: "") - o endereço MAC de origem do cliente servidor(nome | todos; padrão: todas) - o nome do servidor o cliente está se conectando para endereço(endereço IP; default: "") - o endereço IP para traduzir o endereço do cliente original.Se a propriedade é dado como endereço de rede, este é o endereço de partida para a tradução (ou seja, o primeiro endereço é traduzido para o para-endereço, endereço + 1 a to-endereço + 1, e assim por diante) tipo (regular | contornado | bloqueados) - tipo de ligação a entrada estática
regular - executar uma one-to-one tradução NAT de acordo com os valores definidos nesta entrada contornado - realizar a tradução, mas excluir o cliente de ter que fazer login no sistema de HotSpot bloqueados - a tradução não será pré-formados, e todos os pacotes do host serão descartados
Notas
Esta é uma lista ordenada, assim você pode colocar mais entradas específicas no topo da lista para eles para substituir o mais comuns que aparecem mais baixos.
Lista de hosts ativos
Nível de submenu: host hotspot / ip
Descrição
Este menu mostra todos os hosts de rede ativa que estão conectados ao gateway HotSpot. Esta lista inclui todas as traduções de um-para-um NAT
Descrição do imóvel
endereço(somente leitura: endereço IP) - o endereço IP original do cliente autorizado(read-only: flag) - se o cliente é autenticado com êxito pelo sistema de HotSpot bloqueado(somente leitura: flag) - true, se o acesso é bloqueado dentro de ambiente fechado por causa do tempo limite expirou anúncio ponte-port(read-only: nome) - a interface física real, que o host está conectado.Isto é usado quando o serviço HotSpot é colocada em uma interface de bridge para determinar porta real do host dentro da ponte. desvio-hotspot(read-only: flag) - se o cliente não precisa ser autorizado pelo sistema de HotSpot bytes-in(read-only: integer) - quantos bytes que o roteador receber do cliente bytes de saída(read-only: integer) - quantos bytes que o roteador enviar para o cliente host-dead-time(somente leitura: tempo) - quanto tempo tem o roteador não recebeu qualquer pacote (incluindo respostas ARP, responde keepalive e tráfego de usuários) a partir deste host idle-time(somente leitura: tempo) - a quantidade de tempo tem sido o usuário inativo idle-timeout(somente leitura: tempo) - o valor exato de idle-timeout que se aplica a este usuário.Esta propriedade mostra quanto tempo o usuário deve ficar ocioso para que possa ser a ligar automaticamente keepalive-timeout(somente leitura: tempo) - o valor exato de keepalive-timeout que se aplica a este usuário.Esta propriedade mostra quanto tempo deve computador do usuário ficar fora do alcance para que ela seja a ligar automaticamente mac-address(read-only: Endereço MAC) - o endereço MAC real do usuário pacotes-in(somente leitura: integer) - quantos pacotes que o roteador receber do cliente pacotes-out(somente leitura: integer) - quantos pacotes que o roteador enviar para o cliente servidor(somente leitura: nome) - nome do servidor, que o host está conectado estática(read-only: flag) - se esta tradução foi tomada a partir da lista de IP estático vinculativo para atender (read-only:endereço IP) - o endereço é o endereço IP original do host traduzida para uptime(somente leitura: tempo) - o tempo da sessão atual do usuário (ou seja, quanto tempo o usuário esteve na lista de hosts ativos)
Descrição comando
faz-de-ligação - uma cópia entrada dinâmica a partir dessa lista para a lista de ligações IP estático
Parâmetros de entrada sem nome (nome) - número do item comentário(texto) - comentário personalizado para a entrada estática a ser criado tipo (regular | contornado | bloqueados) - o tipo de entrada estática
Service Port
Nível de submenu: / ip hotspot de serviços de porta
Descrição
Assim como para o clássico NAT, o incorporado HotSpot one-to-one 'breaks' NAT alguns protocolos que são incompatíveis com tradução de endereços. Para deixar esses protocolos consistente, módulos auxiliar deve ser utilizada. Para o NAT um-para-o único módulo de uma tal de protocolo FTP.
Descrição do imóvel
nome(somente leitura: nome) - nome do protocolo portas(somente leitura: integer) - lista dos portos em que o protocolo está a trabalhar
Exemplo
Para definir o protocolo FTP usa tanto 20 e 21 TCP port:
[Admin @ MikroTik] ip hotspot de serviços portuários-print>
Flags: X - disabled
# NAME PORTOS
0 ftp 21
[Admin @ MikroTik] ip hotspot de serviços-port> set ftp portas = 20,21
[Admin @ MikroTik] ip hotspot de serviços portuários-print>
Flags: X - disabled
# NAME PORTOS
0 ftp 20
21
[Admin @ MikroTik] ip hotspot de serviços portuários->
HotSpot personalização: Seção Firewall
Descrição
Para além do óbvio entradas dinâmicas no submenu hotspot / ip em si (como hosts e usuários ativos), algumas regras adicionais são adicionados nas tabelas de firewall ao ativar um serviço de HotSpot. Ao contrário RouterOS versão 2.8, existem regras de firewall relativamente poucos adicionadas no firewall como o trabalho principal é feito pelo algoritmo NAT um-para-um.
NAT regras
A partir de / ip firewall nat comando de impressão dinâmico, você pode obter algo como isso (comentários seguem após cada uma das regras):
D = 0 cadeia dstnat hotspot = ação de cliente = jump jump-alvo = hotspot
Colocar todas as tarefas relacionadas com HotSpot para pacotes de todos os clientes HotSpot em uma cadeia separada
Redirecionar todas as solicitações de DNS para o serviço de HotSpot. A porta 64872 fornece o serviço de DNS para todos os usuários HotSpot. Se você quiser servidor HotSpot para ouvir também a outra porta, adicione regras aqui da mesma maneira, mudando de propriedade dst-port
Primeiro na cadeia hs-unauth é colocar tudo que afeta o protocolo TCP no hotspot / ip jardim murado submenu ip (ou seja, tudo que qualquer um dos protocolos não está definido, ou definido como TCP). Aqui estamos excluindo www.mikrotik.com de ser redirecionado para a página de login.
Todas as outras solicitações HTTP são redirecionados para o servidor de proxy Walled Garden que escuta a porta 64874. Se houver um permitir a entrada no hotspot / ip menu de jardim murado para uma solicitação HTTP, ele está sendo encaminhado para o destino. Caso contrário, o pedido será automaticamente redirecionado para o servlet de login HotSpot (porta 64873).
HotSpot por padrão assume que apenas essas portas podem ser utilizados para pedidos de proxy HTTP. Estas duas entradas são usadas para "pegar" os pedidos do cliente para proxies desconhecido. Ou seja, para tornar possível para os clientes com configurações de proxy desconhecidos para trabalhar com o sistema de HotSpot. Este recurso é chamado de "Proxy Universal". Se for detectado que um cliente está usando algum servidor proxy, o sistema irá marcar automaticamente que os pacotes com o hotspot http marca para contornar o problema de proxy desconhecido, como veremos mais tarde. Note que a porta usada (64.874) é o mesmo que as solicitações HTTP na regra # 8 (para ambos os pedidos HTTP e proxy HTTP são processados pelo mesmo código).
Redirecionar para o protocolo SMTP também pode ser definida na configuração do HotSpot. Caso seja, uma regra de redirecionamento vai ser colocado na cadeia hs-smtp. Isto é feito para que os usuários com a configuração SMTP desconhecido seria capaz de enviar suas mensagens através do serviço de provedor (o) servidor SMTP em vez de ir para [possivelmente indisponíveis fora de sua rede de origem] os usuários do servidor SMTP tenha configurado em seus computadores.
Fornecimento de serviço de proxy HTTP para usuários autorizados. Solicitações de usuários autenticados podem ter de ser sujeita à proxy transparente (o "Universal Proxy" técnica e para o recurso de propaganda). Esta marca é colocado automaticamente http sobre os pedidos de proxy HTTP para os servidores detectado pelo proxy HTTP HotSpot (aquele que está escutando na porta 64874) para ser pedidos proxy HTTP para servidores proxy desconhecido. Isto é feito para que os usuários que têm algumas configurações de proxy seria usar o gateway HotSpot em vez do [possivelmente indisponíveis fora de sua rede de origem] usuários servidor proxy tiver configurado em seus computadores. A marca é bem colocado em todos os pedidos HTTP feitos formam o perfil de utilizadores whoose está configurado para proxy transparente seus pedidos.
Fornecimento de proxy SMTP para usuários autorizados (o mesmo que em regra # 12)
Regras de filtragem de pacotes
A partir de / ip firewall comando de impressão filtro dinâmico, você pode obter algo como isso (comentários seguem após cada uma das regras):
0 cadeia D = = hotspot frente do cliente,! Ação auth = jump jump-target = hs-unauth
Qualquer pacote que atravessam o roteador do cliente não autorizado será enviado para a cadeia hs-unauth. O hs-unauth implementa o IP baseado em filtro de jardim murado.
Uma cadeia de frente D = = hotspot para o cliente,! Ação auth = saltar jump-target = hs-unauth para
Tudo o que vem para os clientes através do roteador, será redirecionado para outra cadeia, chamado hs-unauth-to. Esta cadeia deve rejeitar solicitações não autorizadas para os clientes
2 D = cadeia de entrada hotspot = ação de cliente = jump jump-target = hs-entrada
Tudo o que vem de clientes para o próprio roteador, fica para outra cadeia, chamada de entrada hs.
3 D = cadeia hs-input protocol = udp dst-port = 64872 = ação aceitar
D = 4 hs da cadeia de entrada protocol = tcp dst-port = 64.872-64.875 = ação aceitar
Permitir o acesso do cliente para a autenticação local e serviços de proxy (como descrito anteriormente)
Ao contrário da tabela NAT, onde apenas TCP-protocolo relacionado com entradas Walled Garden foram adicionados, na cadeia de filtro de pacotes hs-unauth é adicionado tudo o que você definiu no hotspot / ip jardim murado menu de ip. É por isso que apesar de você ter visto apenas uma entrada na tabela NAT, há duas regras aqui.
Rejeitar todos os pacotes para os clientes com ICMP rejeitam a mensagem
Personalizando HotSpot: Servlet Pages HTTP
Descrição
Você pode criar um conjunto completamente diferente de páginas servlet para cada servidor HotSpot que você tem, especificando o diretório que será armazenado no diretório html-propriedade de um perfil de servidor HotSpot (/ profile hotspot ip). As páginas servlet padrão são copiados no diretório do seu direito de escolha depois de criar o seu perfil. Este diretório pode ser acessado por conectar ao roteador com um cliente de FTP. Você pode modificar as páginas que quiser, utilizando as informações desta seção do manual.
Disponível Páginas Servlet
Principais páginas HTML servlet, que são mostrados ao usuário:
redirect.html - redireciona usuário para outra url (por exemplo, a página de login)
login.html - página de login mostrado a um usuário para pedir username e password. Esta página pode levar os seguintes parâmetros:
username - nome de usuário
password - uma senha de texto simples (no caso de autenticação PAP) ou hash MD5 de desafio chap-id variável de senha, e CHAP (no caso de autenticação CHAP)
dst - URL original solicitada antes do redirecionamento. Este será aberto no login bem-sucedido
popup - se a pop-up uma janela de estado no login bem-sucedido
raio - enviar o atributo identificado com em forma de seqüência de texto para o servidor RADIUS (no caso de autenticação RADIUS é usado; perdeu outra forma)
u raio - enviar o atributo identificado com em forma sem sinal para o servidor RADIUS (no caso de autenticação RADIUS é usado; perdeu outra forma)
raio - - enviar o atributo identificado com e identificação do fornecedor na forma de texto string para o servidor RADIUS (no caso de autenticação RADIUS é usado; perdeu outra forma)
raio - u - enviar o atributo identificado com e identificação do fornecedor na forma unsigned para o servidor RADIUS (no caso de autenticação RADIUS é usado; perdeu outra forma)
md5.js - JavaScript para MD5 hash de senha. Utilizado em conjunto com http-chap método de login
alogin.html - Página mostrada após o cliente tem registrado pol pop-up página de status do browser e redireciona a página solicitada originalmente (antes de ele / ela foi redirecionada para a página de login HotSpot)
status.html - página de status, mostra as estatísticas para o cliente
logout.html - página de logout, mostrada após o usuário é desconectado. Mostra as estatísticas finais sobre a sessão terminou. Esta página pode levar os parâmetros folllowing adicionais:
apagar cookies - se para apagar os cookies do servidor HotSpot em logout (torna impossível fazer o login com o tempo de cookies próxima do mesmo navegador, pode ser útil em ambientes multi-usuário)
error.html - página de erro, mostrado em apenas erros fatais
Algumas páginas estão disponíveis, bem como, se mais controle é necessário:
rlogin.html - página, que redireciona cliente de alguma outra URL para a página de login, se a autorização do cliente é necessário para acessar a URL
rstatus.html - à semelhança do rlogin.html, apenas no caso, se o cliente já está logado e do URL original não é conhecido
flogin.html - mostrado em vez de login.html, se algum erro aconteceu (nome de usuário inválido ou senha, por exemplo)
fstatus.html - mostrado ao invés de redirecionar, se a página de status é solicitada, mas o cliente não está conectado
flogout.html - mostrado ao invés de redirecionar, se sair página é solicitada, mas o cliente não está conectado
Servindo Páginas Servlet
O servlet HotSpot reconhece cinco tipos de solicitação diferentes:
pedido de um host remoto
se o usuário estiver logado, a página solicitada é servido
se o usuário não está conectado, mas o host de destino é permitido pelo jardim murado, em seguida, o pedido também é servido
se o usuário não está conectado, eo host de destino não é permitido pelo jardim murado, rlogin.html é exibido, se rlogin.html não for encontrado, redirect.html é usado para redirecionar para a página de login
pedido de "/" no host HotSpot
se o usuário estiver logado, rstatus.html é exibido, se rstatus.html não for encontrado, redirect.html é usado para redirecionar para a página de status
se o usuário não estiver logado, rlogin.html é exibido, se rlogin.html não for encontrado, redirect.html é usado para redirecionar para a página de login
pedido de "/ login" page
se o usuário logado com sucesso (ou já está logado), alogin.html é exibido, se alogin.html não for encontrado, redirect.html é usado para redirecionar para a página originalmente solicitada ou a página de status (no caso, destino original página não foi dada)
se o usuário não está conectado (username não foi fornecido, nenhuma mensagem de erro apareceu), login.html é mostrado
se procedimento de login falhou (mensagem de erro é fornecido), flogin.html é exibido, se flogin.html não for encontrado, login.html é usado
em caso de erros fatais, error.html é mostrado
pedido de "/ status" page
se o usuário estiver logado, status.html é exibido
se o usuário não estiver logado, fstatus.html é exibido, se fstatus.html não for encontrado, redirect.html é usado para redirecionar para a página de login
pedido de "/ logout" página
se o usuário estiver logado, logout.html é exibido
se o usuário não estiver logado, flogout.html é exibido, se flogout.html não for encontrado, redirect.html é usado para redirecionar para a página de login
Note que, se não é possível para atender uma solicitação usando as páginas armazenadas no servidor FTP do roteador, erro 404 é exibido
Há muitas possibilidades de personalizar o que as páginas de autenticação HotSpot parecer:
As páginas são facilmente modificáveis. Eles são armazenados no servidor FTP do roteador no diretório que você escolher para o respectivo perfil HotSpot servidor.
Alterando as variáveis, qual cliente envia para o servlet HotSpot, é possível reduzir a contagem de palavras-chave para um (nome de usuário ou senha, por exemplo, o endereço MAC do cliente pode ser usado como o outro valor) ou mesmo a zero Contrato de Licença (; alguns valores predefinidos geral para todos os usuários ou o endereço MAC do cliente pode ser usado como nome de usuário e senha)
Registro pode ocorrer em um servidor diferente (por exemplo, em um servidor que é capaz de cobrar Cartões de Crédito). Endereço MAC do cliente pode ser passado para ele, para que esta informação não precisa ser escrito manualmente. Após o registro, o servidor pode mudar de banco de dados RADIUS permitindo cliente fazer o login para uma certa quantidade de tempo.
Para inserir variável em algum lugar, o $ (var_name) sintaxe é usada, onde o "var_name" é o nome da variável (sem aspas). No arquivo HTML Essa construção pode ser usado em qualquer arquivo HTML HotSpot acessado como '/', '/ login', '/ status "ou" / logout ", bem como qualquer texto ou arquivo HTML armazenado no servidor HotSpot. Por exemplo, para mostrar um link para a página de login, seguindo de construção podem ser usados:
Todas as páginas HTML Servlet utilizar variáveis para mostrar os valores de usuário específico. Os nomes das variáveis aparecem apenas no código HTML das páginas servlet - eles são substituídos automaticamente com os respectivos valores pelo Servlet HotSpot. Para cada variável há um exemplo de seu possível valor incluído entre parênteses. Todas as variáveis descritas são válidas em todas as páginas servlet, mas alguns deles só pode estar vazio no momento em que são acessos (por exemplo, não há tempo de atividade antes que o usuário tem logado).
Comum variáveis de servidor:
hostname - nome DNS ou endereço IP (se o nome DNS não é dado) do Servlet HotSpot ("hotspot.example.net")
identidade - RouterOS nome de identidade ("MikroTik")
login-by - método de autenticação usado pelo usuário
plain-passwd - um "sim / não" representação de HTTP-se PAP método de login é permitido ("não")
endereço do servidor - o endereço do servidor HotSpot ("10.5.50.1:80")
server-name - nome do servidor hotspot
ssl-login - um "sim / não" representação de HTTPS se o método foi usado para acessar essa página servlet ("não")
servidor de nome - nome do servidor HotSpot (definido no menu hotspot / ip, como a propriedade nome)
interface de nome - nome da interface física HotSpot (no caso de interfaces ponte, irá retornar o nome da porta actual ponte)
Links:
link de login - link para página de login, incluindo URL original solicitado ("http://10.5.50.1/login?dst=http://www.example.com/")
link-login-simples - link para página de login, não incluindo URL original solicitado ("http://10.5.50.1/login")
link-logout - link para página de logout ("http://10.5.50.1/logout")
link status - link para a página de status ("http://10.5.50.1/status")
ligação orig - URL original solicitado ("http://www.example.com/")
Informações do cliente em geral
domínio - nome de domínio do usuário ("mt.lv")
interface de nome - nome da interface física, na qual cliente está conectado (no caso da ponte, ele irá conter o nome da ponte de porta)
endereço IP do cliente ("10.5.50.2") - ip
logado - "sim" se o usuário está logado, caso contrário, - "não" ("sim")
mac - endereço MAC do usuário ("01:23:45:67:89: AB")
julgamento - um "sim / não" representação se o usuário tem acesso ao tempo de julgamento. Se os usuários de tempo de avaliação expirou, o valor é "não"
username - o nome do usuário ("John")
Informações sobre o status do usuário:
idle-timeout - idle timeout ("20m" ou "" se não houver)
idle-timeout segundos - tempo limite ocioso, em segundos ("88" ou "0" se não há tempo limite tal)
limite de bytes-in - limite de bytes para enviar ("1000000" ou "---" se não há limite)
limite de bytes-out - limite de bytes para receber ("1000000" ou "---" se não há limite)
atualizar-timeout - página de status de atualização de tempo limite ("1m30s" ou "" se não houver)
refresh-timeout segundos - tempo limite status da página de atualização em segundos ("90" ou "0" se não houver)
sessão-timeout - tempo da sessão partiu para o usuário ("5h" ou "" se não houver)
sessão-timeout-segs - tempo da sessão partiu para o usuário, em segundos ("3475" ou "0" se não há tempo limite tal)
tempo de sessão-esquerda - o tempo da sessão partiu para o usuário ("5h" ou "" se não houver)
sessão-tempo-esquerdo segundos - o tempo da sessão partiu para o usuário, em segundos ("3475" ou "0" se não há tempo limite tal)
uptime - uptime sessão atual ("10h2m33s")
uptime-segs - uptime sessão atual em segundos ("125")
Contadores de tráfego, que estão disponíveis apenas na página de status:
bytes-in - número de bytes recebidos do usuário ("15423")
bytes-em-bom - user-friendly forma de número de bytes recebidos do usuário ("15423")
bytes fora - número de bytes enviados para o usuário ("11352")
bytes-out-nice - user-friendly forma de número de bytes enviados para o usuário ("11352")
pacotes-in - número de pacotes recebidos do usuário ("251")
pacotes fora - número de pacotes enviados para o usuário ("211")
permanecem-bytes-in - bytes restantes até limite de bytes-in será alcançado ("337465" ou "---" se não há limite)
permanecem-bytes-out - bytes restantes até limite de bytes-out será alcançado ("124455" ou "---" se não há limite)
Variáveis diversas
session-id - valor do parâmetro "session-id" no último pedido
var - valor de 'var' parâmetro no último pedido
erro - mensagem de erro, se alguma coisa falhou ("username ou senha inválida")
error-orig - mensagem de erro original (sem traduções recuperados ERRORS.TXT), se alguma coisa falhou ("username ou senha inválida")
chap-id - valor de chap ID ("\ 371")
chap desafio - valor de chap desafio ("\ 357 \ 015 \ 330 \ 013 \ 021 \ 234 \ 145 \ 245 \ 303 \ 253 \ 142 \ 246 \ 133 \ 175 \ 375 \ 316")
popup - se a caixa pop-up ("true" ou "false")
Anúncio pendente - se um anúncio está pendente a ser exibido ("sim" ou "não")
RADIUS variáveis relacionadas
raio - mostra o atributo identificado com em forma de seqüência de texto (no caso de autenticação RADIUS foi usado "," de outra forma)
u raio - mostra o atributo identificado com em forma unsigned (na autenticação RADIUS caso foi usado; "0" caso contrário)
raio - - mostra o atributo identificado com e identificação do fornecedor na forma de seqüência de texto (no caso de autenticação RADIUS foi usado "," de outra forma)
raio - u - mostra o atributo identificado com e identificação do fornecedor na forma unsigned (na autenticação RADIUS caso foi usado; "0" caso contrário)
Trabalhando com variáveis
$(if ) declarações podem ser usados em páginas teses. Seguinte conteúdo será incluído, se o valor de não será uma cadeia vazia.É um equivalente a $(if != "") É possível comparar a equivalência também: $(if == ) Estas declarações têm efeito até $(elif ) , $(else) ou $(endif) . No caso geral, parecido com este:
alguns conteúdos, que sempre será exibido
$ (Se nome de usuário == john)
Ei, seu nome de usuário é john
$ (Elif nome == tonto)
Olá, Dizzy! Como você está? O administrador.
$ (Elif ip 10.1.2.3 ==)
Você está sentado em que o computador de baixa qualidade, que é maldito lento ...
$ (Elif mac 00:01:02:03:04:05 ==)
Esta é uma placa Ethernet, o que foi roubado há alguns meses atrás ...
$ (Mais)
Eu não sei quem você é, então vamos viver em paz.
$ (Endif)
outro conteúdo, que sempre será exibido
Apenas uma dessas expressões serão mostrados. Que um - depende de valores dessas variáveis para cada cliente.
Personalizando mensagens de erro
Todas as mensagens de erro são armazenadas no arquivo dentro do diretório ERRORS.TXT respectivos HotSpot servlet. Você pode alterar e traduzir todas estas mensagens para sua língua nativa. Para isso, edite o arquivo ERRORS.TXT. Você também pode usar variáveis nas mensagens. Todas as instruções são dadas no arquivo.
Várias versões do Pages HotSpot
Vários conjuntos de página de hotspot para o servidor hotspot mesma são suportados. Eles podem ser escolhidas pelo usuário (para selecionar o idioma) ou automaticamente pelo JavaScript (para selecionar a versão PDA / regular de páginas HTML).
Para utilizar este recurso, criar subdiretórios no diretório HotSpot HTML, e colocar os arquivos HTML, que são diferentes, em que subdiretório. Por exemplo, para traduzir tudo em língua letã, subdiretório "lv" podem ser criados com login.html, logout.html, status.html, alogin.html, radvert.html e arquivos ERRORS.TXT, que são traduzidos em letão. Se a página HTML solicitada não pode ser encontrado no subdiretório solicitado, o arquivo HTML correspondente a partir do diretório principal será usada. Então arquivo login.html principal iria conter link para "/ lv / login dst = $ (link-orig-esc)?", Que exibe a versão da Letónia página de login: Latviski . E versão Letão conteria link para versão em Inglês: English
Outra forma de diretórios de referência é para especificar variável 'target':
Se você quiser usar HTTP-CHAP método de autenticação supõe-se que você incluir o doLogin () função (que as referências ao md5.js que já deve estar carregado) antes do Submit ação do formulário de login. Caso contrário, CHAP login irá falhar.
A senha resultante para ser enviado para o gateway HotSpot em caso de HTTP-CHAP método, é formado um hash MD5 da concatenação dos seguintes: chap-ID, a senha do usuário e chap-desafio (na ordem dada)
Há um parâmetro boolean "apagar cookies" para a página de logout, que pode ser tanto "on" ou "verdadeiro" para apagar cookies do usuário em logout (para que o usuário não seria automaticamente conectado quando ele / ela abre um navegador da próxima vez.
Exemplo
Com o conhecimento básico da língua HTML e os exemplos abaixo, deve ser fácil de implementar as idéias descritas acima.
Para fornecer um valor pré-definido como nome de usuário, na mudança login.html:
(Onde hsuser é o nome de usuário que você está fornecendo)
Para fornecer um valor pré-definido como senha, na mudança login.html:
para esta linha:
(Onde hspass é a senha que você está fornecendo)
Para enviar o endereço MAC do cliente a um servidor de registro em forma de:
(Você deve corrigir o link para apontar para seu servidor)
Para mostrar um banner após o login do usuário, em alogin.html após
$ (Pop-up se == 'true')
adicione a seguinte linha:
open ('http://your.web.server/your-banner-page.html', 'meu-nome-bandeira','');
(Você deve corrigir o link para apontar para a página que você quer mostrar)
Para escolher outra página mostrada após o login, na mudança login.html:
para esta linha:
(Você deve corrigir o link para apontar para seu servidor)
Para apagar o cookie no logoff, na página que contém link para o logout (por exemplo, em status.html) mudança:
open ('$ (link-logout)', 'hotspot_logout', ...
para isso:
open ('$ (link-logout)? apagar cookies = on', 'hotspot_logout', ...
ou, alternativamente, adicione esta linha:
antes esta:
Um outro exemplo está fazendo HotSpot para autenticar em um servidor remoto (que pode, por exemplo, executar cartão de crédito cobrar):
Permitir o acesso direto ao servidor externo no jardim murado (seja com base em HTTP, ou IP-based)
Modificar página de login do servlet HotSpot para redirecionar para o servidor de autenticação externo. O servidor externo deve modificar banco de dados RADIUS, conforme necessário
Aqui está um exemplo de uma página de login para colocar no roteador HotSpot (é redirecionar para https://auth.example.com/login.php, substitua com o endereço real de um servidor de autenticação externo):
título ...</></span>
<span> <body></span>
<span> <form name="redirect" action="https://auth.example.com/login.php" method="post"></span>
<span> <input type="hidden" name="mac" value="$(mac)"></span>
<span> <input type="hidden" name="ip" value="$(ip)"></span>
<span> <input type="hidden" name="user" value="$(username)"></span>
<span> <input type="hidden" name="link-login" value="$(link-login)"></span>
<span> <input type="hidden" name="link-orig" value="$(link-orig)"></span>
<span> <input type="hidden" name="error" value="$(error)"></span>
<span> </ Form></span>
<span> <script language="JavaScript"></span>
<span> <! -</span>
<span> document.redirect.submit ();</span>
<span> //--></span>
<span> </ Script></span>
<span> </ Body></span>
<span> </ Html></span>
</pre></li><li><p><span>O servidor externo pode entrar em um cliente HotSpot, redirecionando-o de volta ao original página de login HotSpot servlet, especificando o nome de usuário e senha corretos</span></p><p><span>Aqui está um exemplo de uma página (é redirecionar para https://hotspot.example.com/login, substitua com o endereço real de um router HotSpot, também, ele está exibindo www.mikrotik.com após o login bem sucedido, substituir com o que necessário):</span></p><pre style="border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: solid; border-bottom-style: solid; border-left-style: solid; border-top-color: rgb(209, 209, 209); border-right-color: rgb(209, 209, 209); border-bottom-color: rgb(209, 209, 209); border-left-color: rgb(209, 209, 209); background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: rgb(255, 255, 249); width: 896px; font-size: 12px; font-family: monospace; padding-top: 10px; padding-right: 10px; padding-bottom: 10px; padding-left: 10px; margin-left: 10px; margin-top: 0px; "><span> <html></span>
<span> <title> página de login Hotspot </ title></span>
<span> <body></span>
<span> <form name="login" action="https://hotspot.example.com/login" method="post"></span>
<span> <input type="text" name="username" value="demo"></span>
<span> <input type="password" name="password" value="none"></span>
<span> <input type="hidden" name="domain" value=""></span>
<span> <input type="hidden" name="dst" value="http://www.mikrotik.com/"></span>
<span> <input type="submit" name="login" value="log in"></span>
<span> </ Form></span>
<span> </ Body></span>
<span> </ Html></span>
</pre></li><li><span>Hotspot pedirá servidor RADIUS se permite o login ou não.</span> <span>Se não for permitido, página alogin.html será exibida (pode ser modificado para fazer qualquer coisa!).</span> <span>Se não permitidos, flogin.html página (ou login.html) será exibido, que irá redirecionar cliente de volta ao servidor de autenticação externo.</span></li><li><span>Nota: como mostrado nestes exemplos, o protocolo HTTPS e método POST podem ser usados para proteger as comunicações.</span></li></ul></div><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><a name="7.41.16" style="font-size: 12px; "></a></span><h2 style="font-style: oblique; font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Possíveis mensagens de erro</span></h2><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><a name="7.41.16.1" style="font-size: 12px; "></a></span><h3 style="font-style: oblique; font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Descrição</span></h3><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Existem dois tipos de erros: não-fatal fatal.</span> <span>Erros fatais são mostrados em uma página separada HTML chamado error.html.</span> <span>Erros não fatais são, basicamente, indicando as ações do usuário incorreto e são mostradas no formulário de login.</span></p><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Geral erros não fatais:</span></p><div xmlns:doc="http://nwalsh.com/xsl/documentation/1.0" class="itemizedlist" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><ul><li><span><b>Você não está logado</b> - tentando acessar a página de status ou de log off enquanto não fez o acesso <b>Solução:</b> log em</span></li><li><span><b>já autoriza, tente novamente mais tarde</b> - de autorização em andamento.</span> <span>Cliente já tenha emitido um pedido de autorização que ainda não é<b>solução</b> completa:. Aguardar o pedido de corrente para ser concluída, e então tente novamente</span></li><li><span><b>chap-missing = navegador não enviou resposta de desafio (tente novamente, ative o JavaScript)</b> - tentando entrar com HTTP-CHAP método usando hash MD5, mas servidor HotSpot não sabe o desafio usado para o hash.</span> <span>Isso pode acontecer se você usar os botões VOLTAR no navegador, se JavaScript não está habilitado no navegador web; se a página <b>login.html</b> não é válido, ou se o valor desafio expirou no servidor (mais de 1h de inatividade) <b>Solução:</b> browser para instruir. reload (refresh) a página de login normalmente ajuda se o JavaScript está habilitado e página <b>login.html</b> é válido</span></li><li><span><b>username ($ (username)) inválido: este endereço MAC não é seu</b> - tentando fazer login usando um nome de utilizador endereço MAC diferente do endereço do usuário real do MAC <b>Solução:</b> não - usuários com nomes que se parecem com um endereço MAC (por exemplo,. 12:34:56:78:9 a: bc) só pode efetuar login a partir do endereço MAC especificado como seu nome de usuário</span></li><li><span><b>limite de sessões alcançado ($ (erro orig))</b> - dependendo do número de licença de clientes hotspot ativo é limitado a um número.</span> <span>O erro é exibida quando esse limite é atingido. <b>Solução:</b> tente acessar mais tarde, quando haverá sessões de usuários menos simultâneas, ou comprar uma licença de outro que permite que mais sessões simultâneas</span></li><li><span><b>hotspot de serviços está sendo desligado</b> - RouterOS está sendo reiniciado ou desligado <b>Solução:</b> esperar até que o serviço estará disponível novamente.</span></li></ul></div><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Geral erros fatais:</span></p><div xmlns:doc="http://nwalsh.com/xsl/documentation/1.0" class="itemizedlist" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><ul><li><span><b>erro interno ($ (erro orig))</b> - isso nunca deveria acontecer.</span> <span>Se ele vai, página de erro será mostrada exibindo esta mensagem de erro (erro orig-se descrever o que aconteceu). <b>Solução:</b> corrigir o erro relatado</span></li><li><span><b>erro de configuração ($ (error-orig))</b> - o servidor HotSpot não está configurado corretamente (erro orig-se descrever o que aconteceu) <b>Solução:</b>corrigir o erro relatado.</span></li><li><span><b>não pode atribuir endereços ip - não mais endereços livre de piscina</b> - não foi possível obter um endereço IP de um pool de IP como não há endereços IP mais livre em que <b>Solution</b> piscina: certifique-se que há uma quantidade suficiente de livre endereços IP na piscina IP.</span></li></ul></div><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Locais HotSpot usuário do banco erros não fatais:</span></p><div xmlns:doc="http://nwalsh.com/xsl/documentation/1.0" class="itemizedlist" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><ul><li><span><b>inválido nome de usuário ou senha</b> - auto-explicativo</span></li><li><span><b>usuário $ (username) não é permitido fazer o login a partir deste endereço MAC</b> - tentando se logar de um endereço MAC diferente do especificado no banco de dados <b>da solução</b> user:. login a partir do endereço MAC correto ou retirar a limitação</span></li><li><span><b>usuário $ (username) atingiu limite o tempo de atividade</b> - auto-explicativo</span></li><li><span><b>usuário $ (username) atingiu limite de tráfego</b> - ou <b>limitam-bytes-in</b> ou <b>limitar-bytes-out</b> limite é atingido</span></li><li><span><b>não mais sessões são permitidas para o usuário $ (username)</b> - a <b>solução compartilhada dos utilizadores</b> limite para o perfil do usuário é atingido:. esperar até que alguém com esse nome de usuário fizer fora, use o nome de login diferente ou estender o limite de <b>shared-usuários</b></span></li></ul></div><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>RADIUS client erros não fatais:</span></p><div xmlns:doc="http://nwalsh.com/xsl/documentation/1.0" class="itemizedlist" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><ul><li><span><b>inválido nome de usuário ou senha</b> - servidor RADIUS rejeitou o nome de usuário e senha que lhe foi enviado, sem especificar uma razão <b>Causa:</b> o nome de usuário errado e / ou senha ou outro erro <b>Solução:</b> deve ser esclarecido em arquivos de log do servidor RADIUS..</span></li><li><span><b><error_message_sent_by_radius_server></b> - este pode ser qualquer mensagem (qualquer seqüência de texto) enviados de volta pelo servidor RADIUS.</span> <span>Consultar a documentação do seu servidor RADIUS para obter mais informações</span></li></ul></div><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>RADIUS client erros fatais:</span></p><div xmlns:doc="http://nwalsh.com/xsl/documentation/1.0" class="itemizedlist" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><ul><li><span><b>Servidor RADIUS não está a responder</b> - o usuário está sendo autenticado pelo servidor RADIUS, mas nenhuma resposta é recebida a partir dele<b>Solução:</b> verificar se o servidor RADIUS está sendo executado e é acessível a partir do router HotSpot.</span></li></ul></div><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><a name="7.41.17" style="font-size: 12px; "></a></span><h2 style="font-style: oblique; font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>HotSpot Procedimentos do</span></h2><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><a name="7.41.17.1" style="font-size: 12px; "></a></span><h3 style="font-style: oblique; font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Descrição</span></h3><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Esta seção irá se concentrar em alguns exemplos simples de como usar o seu sistema de HotSpot, bem como dar algumas idéias úteis.</span></p><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><a name="7.41.17.1.1" style="font-size: 12px; "></a></span><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span><u><b class="title" style="font-style: oblique; ">Criação autorização https</b></u></span></span><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>No primeiro certificado deverá estar presente com descriptografado chave privada:</span></p><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><pre style="border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: solid; border-bottom-style: solid; border-left-style: solid; border-top-color: rgb(209, 209, 209); border-right-color: rgb(209, 209, 209); border-bottom-color: rgb(209, 209, 209); border-left-color: rgb(209, 209, 209); background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: rgb(255, 255, 249); width: 931px; font-size: 12px; font-family: monospace; padding-top: 10px; padding-right: 10px; padding-bottom: 10px; padding-left: 10px; margin-left: 10px; margin-top: 0px; "><span> [Admin @ MikroTik] print> certificado /</span>
<span> Flags: K - descriptografado-de chave privada, Q - de chave privada, R - rsa, D - dsa</span>
<span> 0 nome de KR = "hotspot.example.net"</span>
<span> subject = C = LV, L = Riga, O = MT, OU = dev, CN = hotspot.example.net,</span>
<span> emailAddress = admin@hotsot.example.net</span>
<span> emissor = C = LV, L = Riga, O = MT, OU = dev, CN = hotsot.example.net,</span>
<span> emailAddress = admin@hotsot.example.net</span>
<span> número de série = "0" email = admin@hotsot.example.net</span>
<span> inválido antes = oct/27/2004 11:43:22 invalid-after = oct/27/2005 11:43:22</span>
<span> ca = yes</span>
</pre></span><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Então, podemos usar esse certificado para hotspot:</span></p><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><pre style="border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: solid; border-bottom-style: solid; border-left-style: solid; border-top-color: rgb(209, 209, 209); border-right-color: rgb(209, 209, 209); border-bottom-color: rgb(209, 209, 209); border-left-color: rgb(209, 209, 209); background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: rgb(255, 255, 249); width: 931px; font-size: 12px; font-family: monospace; padding-top: 10px; padding-right: 10px; padding-bottom: 10px; padding-left: 10px; margin-left: 10px; margin-top: 0px; "><span> / Ip hotspot perfil conjunto padrão login por cookie = http-chap, https \</span>
<span> ssl-certificate = artis.hotspot.mt.lv</span>
</pre></span><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Depois disso podemos ver, que está sendo executado em HTTPS interface de hotspot:</span></p><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><pre style="border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: solid; border-bottom-style: solid; border-left-style: solid; border-top-color: rgb(209, 209, 209); border-right-color: rgb(209, 209, 209); border-bottom-color: rgb(209, 209, 209); border-left-color: rgb(209, 209, 209); background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: rgb(255, 255, 249); width: 931px; font-size: 12px; font-family: monospace; padding-top: 10px; padding-right: 10px; padding-bottom: 10px; padding-left: 10px; margin-left: 10px; margin-top: 0px; "><span> [Admin @ MikroTik] print hotspot> ip /</span>
<span> Flags: X - disabled, I - inválida, S - HTTPS</span>
<span> # NOME INTERFACE PERFIL ENDEREÇO POOL-idle-timeout</span>
<span> 0 padrão S-local hs locais 00:05:00</span>
</pre></span><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><a name="7.41.17.1.2" style="font-size: 12px; "></a></span><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span><u><b class="title" style="font-style: oblique; ">Bypass hotspot para alguns dispositivos em rede hotspot</b></u></span></span><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Todas as entradas IP de ligação com a propriedade <b>type</b> definido como <b>ultrapassado,</b> não será solicitado a autorizar - isso significa que eles terão de login de acesso livre:</span></p><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><pre style="border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: solid; border-bottom-style: solid; border-left-style: solid; border-top-color: rgb(209, 209, 209); border-right-color: rgb(209, 209, 209); border-bottom-color: rgb(209, 209, 209); border-left-color: rgb(209, 209, 209); background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: rgb(255, 255, 249); width: 931px; font-size: 12px; font-family: monospace; padding-top: 10px; padding-right: 10px; padding-bottom: 10px; padding-left: 10px; margin-left: 10px; margin-top: 0px; "><span> [Admin @ MikroTik] ip hotspot ip-binding de impressão></span>
<span> Flags: X - disabled, P - contornado, B - bloqueados</span>
<span> # O endereço MAC ADDRESS-TO ADDRESS-SERVER</span>
<span> 0 P 10.11.12.3</span>
</pre></span><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Se todos os campos foram preenchidos na tabela de ip-binding e <b>tipo</b> foi definido para <b>contornado,</b> então o endereço IP desta entrada será acessível a partir de interfaces públicas de imediato:</span></p><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><pre style="border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: solid; border-bottom-style: solid; border-left-style: solid; border-top-color: rgb(209, 209, 209); border-right-color: rgb(209, 209, 209); border-bottom-color: rgb(209, 209, 209); border-left-color: rgb(209, 209, 209); background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: rgb(255, 255, 249); width: 931px; font-size: 12px; font-family: monospace; padding-top: 10px; padding-right: 10px; padding-bottom: 10px; padding-left: 10px; margin-left: 10px; margin-top: 0px; "> [Admin @ MikroTik] ip hotspot ip-binding de impressão>
Flags: X - disabled, P - contornado, B - bloqueados
# O endereço MAC ADDRESS-TO ADDRESS-SERVER
0 P 10.11.12.3
1 P 00:01:02:03:04:05 10.11.12.3 10.11.12.3 hs-local
[Admin @ MikroTik] ip hotspot ip-binding> .. de impressão do host
Flags: S - estático, H - DHCP, D - dinâmico, A - autorizado, P - ignorado
# O endereço MAC ADDRESS-SERVER PARA FAZER FACE-idle-timeout
0 SB 00:01:02:03:04:05 10.11.12.3 10.11.12.3 hs-local</pre></span><p></p>
