Pesquisar este blog

Carregando...

quinta-feira, 28 de julho de 2011

COMO CONFIGURAR HOTSPOT NO MIKROTIK

A MikroTik Hotspot Gateway permite fornecimento de acesso à rede pública para os clientes que usam conexões de rede sem fio ou com fio.
Portal HotSpot características:
  • servidor de autenticação de clientes usando banco de dados cliente local, ou RADIUS
  • contabilidade servidor utilizando banco de dados local, ou RADIUS
  • Murada jardim-sistema (acessando algumas páginas web sem autorização)

Guia de instalação rápida

A diferença mais perceptível na experiência do usuário a criação de sistema de HotSpot na versão 2.9 das versões anteriores RouterOS é que ele tornou-se em ordem de grandeza mais fácil de configurar um sistema de HotSpot funcionando corretamente.
Dado um roteador com duas interfaces: Local (onde os clientes estão conectados a HotSpot) e Pública, que está ligado à Internet. Para configurar o HotSpot na interface local:
  1. primeiro, uma configuração IP válida é necessária em ambas as interfaces. Isto pode ser feito com o comando / configuração. Neste exemplo, vamos supor a configuração com servidor de DHCP na interface local
  2. configuração de DNS válido deve ser criado no submenu dns / ip
  3. Para colocar HotSpot na interface local, utilizando a piscina mesmo endereço IP do servidor DHCP usa para essa interface: /ip hotspot add interface=local address-pool=dhcp-pool-1
  4. e, finalmente, adicione pelo menos um usuário HotSpot: /ip hotspot user add name=admin
Estes passos simples devem ser suficientes para permitir que sistema de HotSpot
Por favor, encontrar HotSpot muitas instruções, que irá responder a maioria das suas perguntas sobre como configurar um gateway HotSpot, no final deste manual. Ainda é recomendado que você leia e compreenda toda a seção A descrição abaixo antes de implantar um sistema de HotSpot.
Se isso não funcionar:
  • verifique se dns / ip contém servidores DNS válidos, tente www.mikrotik.com / ping para ver, que o DNS resolver funciona
  • certifique-se que o controle de conexão é ativada: /ip firewall connection tracking set enabled=yes

Especificações

Pacotes necessários: hotspot, dhcp (opcional) 
Licença necessária: Level1 (Limitado a um usuário ativo), Level3 (Limitado a um usuário ativo), Level4 (Limitado a 200 usuários ativos), Level5 (Limitado a 500 usuários ativos), Level6 
Nível de submenu: / ip hotspot 
Padrões e tecnologias: ICMP , DHCP 
Uso de hardware: Não significativo 

Descrição

MikroTik Hotspot Gateway deve ter pelo menos duas interfaces de rede:
  1. HotSpot interface, que é usado para conectar clientes HotSpot
  2. LAN / WAN interface, que é usado para acessar recursos de rede. Por exemplo, DNS e servidor RADIUS (s) deve ser acessível
O diagrama abaixo mostra uma configuração HotSpot amostra.
A interface do HotSpot deve ter um endereço IP atribuído a ele. Conexão de rede física tem de ser estabelecida entre o computador do usuário HotSpot eo gateway. Pode ser sem fio (a placa sem fio deve estar registrado para AP), com ou sem fios (a placa de rede deve ser conectado a um hub ou switch).
Note que a diferença mais visível na experiência do usuário a criação de sistema de HotSpot na versão 2.9 das versões anteriores RouterOS é que ele tornou-se em ordem de grandeza mais fácil de configurar um sistema de HotSpot funcionando corretamente.
Introdução ao HotSpot
HotSpot é uma forma de autorizar os usuários para acessar alguns recursos da rede. Ele não fornece criptografia de tráfego. Para iniciar a sessão, os usuários podem usar quase todos os navegadores web (HTTP ou HTTPS protocol), então eles não são obrigados a instalar software adicional. O gateway é a contabilidade do tempo de atividade e quantidade de tráfego de cada um de seus clientes têm utilizado, e também pode enviar essas informações para um servidor RADIUS. O sistema pode limitar a taxa de bits HotSpot cada usuário em particular, a quantidade total de tempo de atividade de trânsito, e alguns outros parâmetros mencionados em detalhes neste documento.
O sistema de HotSpot é direcionado para fornecer autenticação dentro de uma rede local (para acessar a Internet), mas pode também ser usado para autorizar o acesso a partir de redes externas de acesso aos recursos locais. Configurando o recurso de Walled Garden, é possível para permitir aos utilizadores aceder a algumas páginas da web sem a necessidade de autenticação prévia.
Endereço ficando
Primeiro de tudo, um cliente deve obter um endereço IP. Pode ser definido no cliente estaticamente, ou alugadas a partir de um servidor DHCP. O servidor DHCP pode fornecer formas de vinculação emprestou endereços IP para endereços MAC clientes, se necessário. O sistema de HotSpot não se importa como é que um cliente obter um endereço antes de ele / ela recebe para a página de login HotSpot.
Além disso, o servidor HotSpot pode automática e transparente, mudar qualquer endereço IP (sim, o que significa realmente qualquer endereço IP) de um cliente para um endereço válido não utilizados a partir do pool IP selecionado. Esta característica dá a possibilidade de fornecer um acesso à rede (por exemplo, acesso à Internet) para clientes móveis que não estão dispostos (ou não são permitidos, não qualificado o suficiente ou não consegue) para alterar suas configurações de rede. Os usuários não vai notar a tradução (ou seja, não haverá qualquer mudança na configuração dos usuários), mas o próprio roteador vai ver completamente diferente (do que é realmente definir em cada cliente) endereços IP de origem em pacotes enviados a partir dos clientes (mesmo tabela mangle firewall vai "ver" os endereços traduzido). Esta técnica é chamada de um-para-um NAT, mas também é conhecido como "Cliente Universal", como é assim que foi chamado na versão RouterOS 2.8.
Um-para-um NAT aceita qualquer endereço de entrada de um interface de rede conectada e realiza uma tradução de endereços de rede para que os dados podem ser encaminhadas através de redes IP padrão. Os clientes podem usar quaisquer endereços pré-configurados. Se o um-para-um recurso NAT está definido para traduzir o endereço de um cliente para um endereço IP público, então o cliente pode até mesmo executar um servidor ou qualquer outro serviço que requer um endereço IP público. Este NAT está mudando o endereço de origem de cada pacote, logo após ele é recebido pelo roteador (que é como fonte de NAT que é realizado mais cedo, de modo que mesmo tabela mangle firewall, que normalmente "vê" pacotes recebidos inalterada, só pode "ver" o Endereço traduzido).
Note também que o modo de arp deve ser habilitado na interface que você usa um-para-um NAT por diante.
Antes de a autenticação
Ao habilitar HotSpot em uma interface, o sistema automaticamente configura tudo o necessário para mostrar página de login para todos os clientes que ainda não fez o Isto é feito adicionando regras destino dinâmico NAT, que você pode observar em um sistema de HotSpot trabalho. Estas regras são necessárias para redirecionar todas as solicitações HTTP e HTTPS de usuários não autorizados para o servlet HotSpot (ie, o procedimento de autenticação, por exemplo, a página de login). Outras regras que também estão inseridos, descreveremos mais tarde, em uma seção especial deste manual.
Na maioria dos comuns de configuração, abrindo qualquer página HTTP trará a página de login HotSpot servlet (que pode ser extensivamente customizado, como será descrito mais tarde). Como um comportamento normal do usuário é abrir páginas da web por seus nomes de DNS, uma configuração de DNS válido deve ser criado no gateway HotSpot em si (é possível reconfigurar o gateway para que ele não vai exigir configuração DNS local, mas essa configuração é impraticável e, portanto, não recomendado).
Walled Garden
Você pode desejar não exigir autorização para alguns serviços (por exemplo, para deixar que os clientes acessem o servidor web da sua empresa sem registro), ou mesmo exigir autorização apenas para um número de serviços (por exemplo, para os usuários a ser autorizados a aceder a um servidor de arquivo interno ou de outra área restrita). Isto pode ser feito através da criação de sistema de jardim murado.
Quando não registrados em um usuário solicita um serviço permitido na configuração Walled Garden, o gateway HotSpot não interceptá-lo, ou em caso de HTTP, simplesmente redireciona a solicitação para o destino original (ou a um proxy pai especificada). Quando um usuário está conectado, não há nenhum efeito desta tabela sobre ele / ela.
Para implementar o recurso de Walled Garden para requisições HTTP, um servidor de proxy da Web incorporado foi concebido, então todas as solicitações de usuários não autorizados estão realmente passando por este proxy. Note que o servidor proxy embutido não tem cache função ainda. Observe também que esse servidor proxy embutido está no pacote do software do sistema e não requer web-proxy pacote. É configurável sob proxy / ip
Autenticação
Existem actualmente cinco diferentes métodos de autenticação. Você pode usar um ou mais deles simultaneamente:
  • HTTP PAP - método mais simples, que mostra a página de login HotSpot e espera obter a informação de autenticação (ou seja, nome de usuário e senha) em texto simples Observe que as senhas não estão sendo criptografados quando são transferidos através da rede.. Uma outra utilização deste método é a possibilidade de hard-coded informações de autenticação na página do servlet de login simplesmente criando o link apropriado.
  • HTTP CHAP - método padrão, que inclui CHAP desafio na página de login. O CHAP desafio de hash MD5 é para ser usado juntamente com a senha do usuário para calcular a string que será enviada para o gateway HotSpot. O resultado hash (como uma senha) em conjunto com nome de usuário é enviado através da rede para HotSpot serviço (assim, a senha nunca é enviada em texto simples através da rede IP). No lado do cliente, o algoritmo MD5 é implementado no applet JavaScript, por isso, se um navegador não suporta JavaScript (como, por exemplo, Internet Explorer 2.0 ou alguns navegadores PDA), ela não será capaz de autenticar os usuários. É possível permitir que senhas não criptografadas para ser aceito por ligar HTTP método de autenticação PAP, mas não é recomendado (por causa de considerações de segurança) para usar esse recurso.
  • HTTPS - o mesmo que HTTP PAP, mas usando o protocolo SSL para criptografar transmissões. Usuário HotSpot basta enviar seu / sua senha sem hashing adicionais (note que não há necessidade de se preocupar com a exposição de texto simples senha na rede, como a transmissão em si é criptografada). Em ambos os casos, o método HTTP POST (se não for possível, então - método HTTP GET) é utilizado para enviar dados para o gateway HotSpot.
  • Cookie HTTP - após cada login bem-sucedido, um cookie é enviado para o navegador web eo mesmo cookie é adicionado à lista ativa cookie HTTP.Próxima vez que o mesmo usuário vai tentar fazer o login, o navegador web irá enviar cookies http. Este cookie será comparado com o armazenado no gateway HotSpot e apenas se o endereço MAC de origem e ID gerado aleatoriamente correspondem aos armazenados no gateway, o usuário será automaticamente conectado usando as informações de login (nome de usuário e senha par) foi utilizado quando o cookie foi gerado pela primeira vez.Caso contrário, o usuário será solicitado a efetuar login e na autenticação caso for bem sucedido, cookie antigo será retirado da lista de cookies locais HotSpot ativa eo novo com o ID aleatório diferente e tempo de expiração serão adicionados à lista e enviado para o navegador web. Também é possível apagar cookie no manual do usuário logoff (não nas páginas padrão do servidor). Este método só pode ser utilizado em conjunto com PAP HTTP, HTTPS ou HTTP CHAP métodos como não haveria nada para gerar cookies em primeiro lugar, de outra forma.
  • Endereço MAC - para tentar autenticar os clientes assim que eles aparecem na lista de hosts (ou seja, assim que enviou qualquer pacote para o servidor HotSpot), usando o endereço MAC do cliente como nome de usuário
HotSpot pode autenticar usuários consulta ao banco de dados de usuário local ou um servidor RADIUS (banco de dados local é consultado primeiro, e depois - um servidor RADIUS). Em caso de autenticação de cookie HTTP através do servidor RADIUS, o roteador irá enviar as mesmas informações para o servidor como foi utilizado quando o cookie foi gerado pela primeira vez. Se a autenticação é feito localmente, o perfil correspondente a esse usuário é usado, caso contrário (no caso de resposta RADIUS não contêm o grupo para esse usuário) O perfil padrão é usado para definir valores padrão para parâmetros que não estão definidas no RADIUS Access-Accept mensagem. Para mais informações sobre como a interação com um servidor RADIUS funciona, consulte a seção do manual respectiva.
O método HTTP PAP também torna possível para autenticar, solicitando a página /login?username=username&password=password . Caso você queira fazer o login usando a conexão telnet, o pedido HTTP exata ficaria assim: GET / login username (note que o pedido é case-sensitive) = username e password = password HTTP/1.0?
Autorização
Após a autenticação, o usuário tem acesso à Internet, e recebe algumas limitações (que são de perfil de usuário específico). HotSpot também pode realizar um NAT um-para-um para o cliente, de modo que um determinado usuário sempre receberá o mesmo endereço IP, independentemente do que PC é que ele / ela trabalhando.
O sistema irá automaticamente detectar e redireccionar os pedidos para um servidor proxy de um cliente está usando (se for o caso, que pode ser definido em his / her configurações para usar um desconhecido para nós servidor proxy) para o servidor proxy embutido no roteador.
Autorização pode ser delegada a um servidor RADIUS, que oferece opções de configuração similar ao do banco de dados local. Para qualquer utilizador que necessite de autorização, um servidor RADIUS é consultado primeiro, e se não houver resposta recebida, o banco de dados local é examinada. Servidor RADIUS pode enviar um pedido de Mudança de autorização de acordo com padrões de alterar os parâmetros previamente aceites.
Anúncio
O mesmo proxy usado para clientes não autorizados a fornecer-Walled Garden facilidade, também pode ser usado para os usuários autorizados para mostrar-lhes popups anúncio. Proxy transparente para os usuários autorizados permite monitorar os pedidos http dos clientes e tomar alguma ação se necessário. Ele permite a possibilidade de abrir a página de status, mesmo se o cliente está conectado por mac endereço, bem como para mostrar anúncios vez após vez
Quando chegou a hora de mostrar um anúncio, o servidor redireciona o navegador cliente web para a página de status. Apenas os pedidos, que fornecem conteúdo html, são redirecionadas (imagens e outros conteúdos não serão afetados). A página de status exibe o anúncio e junto anunciar intervalo é usado para agendar anúncio seguinte. Se a página de status não é capaz de exibir uma propaganda para tempo limite configurado a partir de momento, quando está programado para ser mostrado, o acesso do cliente é bloqueada dentro de paredes-jardim (como clientes não autorizados são). Cliente é desbloqueado quando a página agendada é finalmente mostrado. Note que se janelas popup são bloqueados no navegador, o link na página de status pode ser usado para abrir o anúncio manualmente.
Enquanto cliente é bloqueado, FTP e outros serviços não serão permitidos. Exigindo cliente para abrir uma propaganda para qualquer atividade, especialmente a Internet não permitido pelo jardim murado.
Contabilidade
A contabilidade implementar HotSpot sistema internamente, você não é obrigado a fazer nada de especial para que ele funcione. As informações contábeis para cada usuário podem ser enviadas para um servidor RADIUS.
Menus de configuração
  • / Ip hotspot - servidores HotSpot em interfaces de particular (um servidor por interface). Servidor HotSpot deve ser adicionada neste menu em ordem para o sistema de HotSpot para trabalhar em uma interface
  • / Ip hotspot perfil - perfis do servidor HotSpot. Configurações, que afetam procedimento de login para clientes HotSpot são configurados aqui. Mais de um servidor HotSpot pode usar o mesmo perfil
  • / Host ip hotspot - lista dinâmica de hosts de rede ativa em todas as interfaces HotSpot. Aqui você também pode encontrar ligações endereço IP do NAT um-para-um
  • / Ip hotspot ip-binding - regras para a ligação endereços IP para hosts em interfaces hotspot
  • / Ip hotspot de serviços-port - endereço de ajudantes de tradução para o NAT um-para-um
  • / Ip hotspot jardim murado - Regras Walled Garden nível HTTP (nomes DNS, substrings solicitação HTTP)
  • / Ip hotspot ip jardim murado - Regras Walled Garden nível IP (endereços IP, protocolos IP)
  • / User hotspot ip - usuários do sistema local HotSpot
  • / Ip hotspot perfil do usuário - os usuários locais HotSpot sistema de perfis (grupos de usuários)
  • / Ip hotspot ativo - lista dinâmica de todos os usuários autenticados HotSpot
  • / Cookie hotspot ip - lista dinâmica de todos os cookies HTTP válida

Configuração de perguntas e respostas com base

Nome do comando: / ip hotspot configuração 

Perguntas

pool de endereços de rede (nome) - pool de endereços IP para a rede de HotSpot
dns nome (texto) - nome de domínio DNS do gateway HotSpot (será estaticamente configurado no proxy DNS local
servidores DNS (endereço IP, [endereço IP]) - servidores DNS para os clientes HotSpot
hotspot interface (nome) - interface para executar HotSpot em
endereço IP do servidor smtp (endereço IP; default: 0.0.0.0) - endereço IP do servidor SMTP para redirecionar as solicitações SMTP (porta TCP 25) para


  • 0.0.0.0 - não redirecionar

  • endereço local da rede (endereço IP; padrão: 10.5.50.1/24) - endereço de gateway para a interface do HotSpot
    masquerade rede (sim | não; padrão: sim) - se a rede mascarada HotSpot
    nome de usuário hotspot local (texto; padrão: admin) - nome de usuário de um usuário automaticamente criado
    senha (texto) - a senha do certificado que você está importando
    senha para o usuário (texto) - senha para o usuário automaticamente criado
    selecionar certificado (nome | none importação outro certificado) - escolha certificado SSL da lista de certificados de importação


  • none - não usar SSL



  • import-outros-certificado - configuração dos certificados e não importadas ainda, e fazer esta pergunta novamente


  • Notas


    Dependendo das configurações atuais e as respostas às perguntas anteriores, os valores padrão de perguntas a seguir podem ser diferentes. Algumas perguntas podem desaparecer se elas se tornam redundantes

    Exemplo

    Para configurar o HotSpot na ether1 interface (que já está configurado com o endereço de 192.0.2.1/25), ea adição de administração de usuários com o lixo senha:

     [Admin @ MikroTik]> Configuração hotspot ip
     hotspot interface: ether1
     endereço local da rede: 192.0.2.1/24
     masquerade rede: sim
     pool de endereços de rede: 192.0.2.2-192.0.2.126
     selecionar certificado: none
     endereço IP do servidor SMTP: 0.0.0.0
     Servidores DNS: 192.0.2.254
     dns name: hs.example.net
     nome de usuário hotspot local: admin
     senha para o usuário: lixo
     [Admin @ MikroTik]>
          

    HotSpot Configuração da Interface

    Nível de submenu: / ip hotspot 

    Descrição

    Sistema de HotSpot é colocada em interfaces individuais. Você pode executar configurações HotSpot completamente diferentes em diferentes interfaces

    Descrição do imóvel

    endereços-per-mac (integer | ilimitado; padrão: 2) - número de endereços IP autorizados a ser ligar com qualquer endereço MAC particular (que é uma pequena chance de reduzir o ataque de negação de serviço baseado em assumir todos os endereços IP livre)
    ilimitado - número de endereços IP por um endereço MAC não é limitado 
    Endereço piscina (nome | none; padrão: none) - nome do pool de endereços IP para a realização de um-para-um NAT. Você pode optar por não usar o NAT um-para-um
    none - não realizar um-para-um NAT para os clientes desta interface HotSpot 
    HTTPS (read-only: flag) - se o serviço HTTPS está atualmente em execução na interface (ou seja, é criado no perfil de servidor e um certificado válido é importado no roteador)
    idle-timeout (tempo | none; padrão: 00:05:00) - tempo limite ocioso (período máximo de inatividade) para clientes não autorizados. Ele é usado para detectar, esse cliente não está usando redes externas (Internet, por exemplo), ou seja, não há tráfego provenientes desse cliente e passar pelo roteador.Atingir o tempo limite, o usuário será removido da lista de host, o endereço utilizado e compra o usuário será liberado
    none - não tempo limite de usuários inativos 
    interface (nome) - interface para executar HotSpot em
    ip-da-dns-name (read-only: endereço IP) - endereço IP do nome do gateway HotSpot DNS definido no perfil de interface HotSpot
    keepalive-timeout (tempo | none; padrão: none) - timeout keepalive para clientes não autorizados. Usado para detectar, que o computador do cliente está viva e acessível. Se verificar falhará durante este período, o usuário será removido da lista de host, o endereço utilizado e compra o usuário será liberado
    none - não tempo limite de usuários inalcançável 
    perfil (nome; default: default) - Perfil do HotSpot padrão para a interface

    Descrição comando

    redefinir-html (nome) - substituir o servlet HotSpot existentes com os arquivos originais HTML. Ele é usado se você tiver alterado o servlet e não é útil seguinte

    Notas


    endereços-per-mac propriedade só funciona se pool de endereços é definida. Observe também que no caso de autenticação de usuários conectados através de um roteador, que todos os endereços IP parecem ter vindo de um endereço MAC.

    Exemplo

    Para adicionar sistema de HotSpot para a interface local, permitindo que o sistema para fazer um-para-um NAT para cada cliente (endereços do pool de endereços HS-real será usado para o NAT):

     [Admin @ MikroTik] ip hotspot> interface add = local address-pool = HS-real
     [Admin @ MikroTik] ip hotspot impressão>
     Flags: X - disabled, I - inválida, S - HTTPS
      # NOME INTERFACE PERFIL ENDEREÇO ​​POOL-idle-timeout
      0 hs-padrão local HS-real locais 00:05:00
     [Admin @ MikroTik] ip hotspot>
          

    Servidor Perfis HotSpot

    Nível de submenu: perfil hotspot / ip 

    Descrição do imóvel

    dns-nome (texto) - o nome DNS do servidor HotSpot. Este é o nome DNS usado como o nome do servidor HotSpot (ie, ele aparece como o local da página de login). Este nome será adicionado automaticamente como uma entrada DNS estático no cache DNS
    hotspot endereço (endereço IP; default: 0.0.0.0) - endereço IP para serviço HotSpot
    html-directory (texto; default: "") - nome do diretório (acessível com FTP), que armazena as páginas HTML servlet (quando mudou, as páginas default são automaticamente copiados para o diretório especificado, se não existe já)
    http-cookie-vida (tempo; padrão: 3d) - tempo de validade dos cookies HTTP
    http-proxy (endereço IP; default: 0.0.0.0) - o endereço do servidor proxy do serviço HotSpot vai usar como um servidor proxy para todos os pedidos interceptados pelo sistema Universal Proxy e não definidos no / ip proxy lista direta. Se não especificado, no endereço definido em proxy-pai parâmetro de proxy / ip. Se que está ausente também, o pedido será resolvido pelo proxy local
    login-por (de múltipla escolha: cookie | http-chap | http pap-| https | mac | julgamento; padrão: cookie, http-cap) - quais os métodos de autenticação para usar
    cookie - utilizar cookies HTTP para autenticar sem pedir as credenciais do usuário. Outro método será usado no caso de o cliente não tem cookie, ou o nome de usuário armazenados e um par de senha não são válidos mais uma vez que a autenticação passado. Só pode ser utilizado em conjunto com outros métodos de autenticação HTTP (HTTP-PAP, CHAP ou HTTP-HTTPS), como no outro caso, não haveria maneira de os cookies a serem gerados, em primeiro lugar
    http-cap - use CHAP desafio-resposta método com algoritmo de hash MD5 para senhas de hash. Desta forma é possível evitar o envio de senhas em texto sobre uma rede insegura. Este é o método de autenticação padrão
    http-pap - use texto simples autenticação através da rede. Por favor, note que no caso deste método será usado, senhas do usuário será exposto nas redes locais, por isso vai ser possível interceptá-los
    https - use túnel SSL criptografados para transferência de comunicação do usuário com o servidor HotSpot. Note que para que isso funcione, um certificado válido deve ser importado para o roteador (veja um manual separado sobre o gerenciamento de certificados)
    mac - tente usar o endereço MAC do cliente como seu primeiro nome. Se o endereço MAC correspondente existe no banco de dados de usuário local ou no servidor RADIUS, o cliente será autenticado sem pedir para preencher o formulário de login
    julgamento - não requer autenticação por um determinado período de tempo 
    raio de contabilidade (sim | não; padrão: sim) - se deseja enviar as informações contábeis RADIUS servidor em cada usuário de vez em quando (o "enquanto" é definida na propriedade-atualização provisória de raio)
    raio-default-domain (texto; default: "") - domínio padrão a ser usado para solicitações RADIUS. Permite selecionar os servidores RADIUS diferentes dependendo HotSpot perfil de servidor, mas pode ser um punhado de servidor RADIUS único bem.
    raio-interino-update (tempo | recebido; padrão: recebido) - a freqüência de envio de relatórios de contabilidade cumulativa.
    0s - o mesmo que recebeu
    recebida - use qualquer valor recebido do servidor RADIUS 
    taxa-limite (texto; default: "") - Taxa de limitação em forma de rx-rate [/ tx-rate] [rx-burst-rate [/ tx-burst-rate] [rx-burst-threshold [/ tx- explosão limiar] [rx-burst-time [/ tx-burst-time]]]] a partir do ponto de vista do router (para "rx" é cliente de upload, e "tx" é cliente de download).Todas as tarifas devem ser números com opcionais "k" (1,000 s) ou 'M' (1.000.000 s). Se tx-rate não é especificado, rx-rate é a tx-rate também. Mesmo vale para tx-burst-rate e tx-burst-threshold e tx-burst-time. Se ambos rx-burst-threshold e tx-burst-threshold não são especificados (mas estourou taxa é especificada), rx-rate e tx-rate é utilizado como limiares estourar. Se ambos rx-burst-time e tx-burst-time não são especificados, 1s é usado como padrão
    smtp-server (endereço IP; default: 0.0.0.0) - servidor SMTP padrão a ser usado para redirecionar incondicionalmente todas as solicitações SMTP usuário
    split-usuário de domínio (sim | não; padrão: não) - se para dividir Nome de nome de domínio quando o nome é dado em "user @ domínio" ou no formato "domínio \ usuário"
    ssl-certificado (nome | none; padrão: none) - nome do certificado SSL para usar na autenticação HTTPS. Não utilizado para outros métodos de autenticação
    julgamento uptime (tempo / hora; padrão: 30m/1d) - é usado apenas quando o método de autenticação é julgamento. Especifica a quantidade de tempo que o usuário identificado pelo endereço MAC pode usar serviços hotspot sem autenticação eo tempo, que tem que passar que o usuário tem permissão para utilizar os serviços hotspot novamente
    julgamento user-profile-(nome; default: default) - é usado apenas quando o método de autenticação é julgamento. Especifica perfil de usuário, que os usuários usarão julgamento
    use-radius (sim | não; padrão: não) - se para usar o RADIUS para autenticar os usuários HotSpot

    Notas


    Se o nome DNS-propriedade não for especificada, hotspot endereço é usado no lugar. Se hotspot endereço também está ausente, então ambos devem ser detectados automaticamente.

    , A fim de usar a autenticação RADIUS, o menu / raio deve ser configurado de acordo.

    Método de autenticação julgamento deve allways ser usado juntamente com um dos outros métodos de autenticação.

    Exemplo


    Perfis de Usuário HotSpot

    Nível de submenu: / ip hotspot perfil do usuário 

    Descrição

    Artigo mudou-se para: HotSpot seção AAA

    Usuários HotSpot

    Nível de submenu: / user hotspot ip 

    Descrição

    Artigo mudou-se para: HotSpot seção AAA

    HotSpot de usuários ativos

    Nível de submenu: / ip hotspot ativo 

    Descrição

    Artigo mudou-se para: HotSpot seção AAA

    Os cookies HotSpot

    Nível de submenu: cookie hotspot / ip 

    Descrição

    Os cookies podem ser usados ​​para autenticação no serviço Hotspot

    Descrição do imóvel

    domínio (somente leitura: texto) - nome de domínio (se separou username)
    expira-in (somente leitura: tempo) - o tempo que o cookie é válido
    mac-address (read-only: Endereço MAC) - o endereço MAC do usuário
    do usuário (somente leitura: nome) - nome de usuário

    Notas


    Pode haver vários cookies com o mesmo endereço MAC. Por exemplo, haverá um cookie separado para cada navegador no mesmo computador.
    Os cookies podem expirar - que é a maneira como é suposto ser. Tempo padrão de validade dos cookies é de 3 dias (72 horas), mas pode ser alterado para cada perfil individual HotSpot servidor, por exemplo:

     / Ip hotspot perfil conjunto padrão http-cookie-vida 1d = 

    Exemplo

    Para obter a lista de cookies válidos:

     [Admin @ MikroTik] ip hotspot bolinho de impressão>
       # USER DOMAIN MAC ADDRESS expirar-IN
       0 ex 01:23:45:67:89: AB 23h54m16s
     [Admin @ MikroTik] ip hotspot bolinho>
          

    HTTP nível Walled Garden

    Nível de submenu: hotspot / ip walled-garden 

    Descrição

    Jardim murado é um sistema que permite o uso não autorizado de alguns recursos, mas requer autorização para acessar outros recursos. Isto é útil, por exemplo, para dar acesso a algumas informações gerais sobre HotSpot prestador de serviços ou opções de faturamento.
    Este menu só consegue Walled Garden para protocolos HTTP e HTTPS. Outros protocolos também podem ser incluídos no jardim murado, mas que está configurado em outro lugar (em ip / hotspot jardim murado-ip, veja a próxima seção deste manual para mais detalhes)

    Descrição do imóvel

    ação (allow | deny; padrão: allow) - ação para empreender, se um pacote corresponde a regra:
    permitir - permitir o acesso à página sem autorização prévia
    negar - a autorização é necessária para aceder a esta página 
    dst-address (endereço IP) - endereço IP do servidor web de destino
    dst-host (wildcard; default: "") - nome de domínio do servidor web destino (este é um curinga)
    dst-port (integer; default: "") - a porta TCP de um cliente enviou o pedido para
    método (texto) - método HTTP da solicitação
    caminho (texto; default: "") - o caminho do pedido (este é um curinga)
    servidor (nome) - nome do servidor HotSpot esta regra aplicada a
    src-address (endereço IP) - endereço IP do usuário que está enviando o pedido

    Notas


    Propriedades curinga (dst-host e dst-path) correspondem a uma seqüência completa (ou seja, eles não vão corresponder "example.com" se eles são definidos como "exemplo"). Disponíveis são curingas '*' (qualquer número de caracteres) e '?' (Match qualquer caractere). Expressões regulares também são aceitos aqui, mas se a propriedade deve ser tratado como uma expressão regular, ele deve começar com dois pontos (':').
    Atinge pequeno em usar expressões regulares:
    • \ Seqüência símbolo \ é usado para inserir um caractere \ na consola
    • \ Padrão. Significa. Only (em expressões regulares único ponto no padrão de qualquer símbolo)
    • para mostrar que não são permitidos símbolos antes do determinado padrão, usamos símbolo ^ no início do padrão
    • para especificar que não são permitidos símbolos após a determinado padrão, usamos símbolo $ no final do padrão

    Você não pode usar a propriedade path para solicitações HTTPS como router não pode (e não deve -! É isso que o protocolo HTTPS foi feito para) decifrar a solicitação.

    Exemplo

    Para permitir que os pedidos não autorizado a página / paynow.html domínio www.example.com é:

     [Admin @ MikroTik] ip hotspot walled-garden> caminho add = "paynow.html /" \
     \ ...  dst-host = "www.example.com"
     [Admin @ MikroTik] ip hotspot walled-garden impressão>
     Flags: X - disabled, D - dinâmica
      0 dst-host = "www.example.com" path = "/ paynow.html" action = permitir
     [Admin @ MikroTik] ip hotspot jardim murado>
         

    IP de nível Walled Garden

    Nível de submenu: / ip hotspot jardim murado-ip 

    Descrição

    Este menu é gerencia Walled Garden para pedidos de IP genérico. Consulte a seção anterior para o gerenciamento de HTTP e HTTPS propriedades protocolo específico (como o nome DNS real, o método HTTP e caminho usado em pedidos).

    Descrição do imóvel

    ação (aceitar | queda | rejeitar; padrão: aceitar) - ação para empreender, se um pacote corresponde a regra:
    aceitar - permitir o acesso à página sem autorização prévia
    queda - a autorização é necessária para aceder a esta página
    rejeitar - a autorização é necessária para acessar esta página, caso a página será accsessed autorização withot ICMP rejeitam a mensagem host-unreachable serão gerados 
    dst-address (endereço IP) - endereço IP do servidor web de destino
    dst-host (texto; default: "") - nome de domínio do servidor web de destino (isto não é uma expressão regular ou um curinga de qualquer tipo). O nome DNS especificado está resolvido para uma lista de endereços IP quando a regra é adicionada, e todos os endereços IP são usados
    dst-port (integer; default: "") - a porta TCP ou UDP (protocolo deve ser especificado explicitamente na propriedade de protocolo) um cliente enviar a solicitação para
    protocolo (integer | ddp egp encap GGP gre HMP icmp IDPR-cmtp igmp ipencap ipip ipsec-ah ipsec-esp iso-TP4 ospf filhote rdp RSPF st tcp udp VMTP XNS-idp XTP) - nome do protocolo IP
    servidor (nome) - nome do servidor HotSpot esta regra aplicada a
    src-address (endereço IP) - endereço IP do usuário que está enviando o pedido

    Exemplo


    Um-para-um NAT estático endereço ligações

    Nível de submenu: / ip hotspot ip-binding 

    Descrição

    Você pode configurar traduções NAT estaticamente baseado em um endereço IP original (ou de rede IP), ou o endereço MAC original. Você também pode permitir que alguns endereços para ignorar a autenticação HotSpot (ou seja, eles vão poder trabalhar sem precisar fazer logon na rede em primeiro lugar) e completamente bloquear alguns endereços.

    Descrição do imóvel

    (endereço IP / [netmask]; default: "") - o endereço IP de origem ou de rede do cliente
    mac-address (endereço MAC; default: "") - o endereço MAC de origem do cliente
    servidor (nome | todos; padrão: todas) - o nome do servidor o cliente está se conectando
    para endereço (endereço IP; default: "") - o endereço IP para traduzir o endereço do cliente original. Se a propriedade é dado como endereço de rede, este é o endereço de partida para a tradução (ou seja, o primeiro endereço é traduzido para o para-endereço, endereço + 1 a to-endereço + 1, e assim por diante)
    tipo (regular | contornado | bloqueados) - tipo de ligação a entrada estática
    regular - executar uma one-to-one tradução NAT de acordo com os valores definidos nesta entrada
    contornado - realizar a tradução, mas excluir o cliente de ter que fazer login no sistema de HotSpot
    bloqueados - a tradução não será pré-formados, e todos os pacotes do host serão descartados 

    Notas


    Esta é uma lista ordenada, assim você pode colocar mais entradas específicas no topo da lista para eles para substituir o mais comuns que aparecem mais baixos.

    Lista de hosts ativos

    Nível de submenu: host hotspot / ip 

    Descrição

    Este menu mostra todos os hosts de rede ativa que estão conectados ao gateway HotSpot. Esta lista inclui todas as traduções de um-para-um NAT

    Descrição do imóvel

    endereço (somente leitura: endereço IP) - o endereço IP original do cliente
    autorizado (read-only: flag) - se o cliente é autenticado com êxito pelo sistema de HotSpot
    bloqueado (somente leitura: flag) - true, se o acesso é bloqueado dentro de ambiente fechado por causa do tempo limite expirou anúncio
    ponte-port (read-only: nome) - a interface física real, que o host está conectado. Isto é usado quando o serviço HotSpot é colocada em uma interface de bridge para determinar porta real do host dentro da ponte.
    desvio-hotspot (read-only: flag) - se o cliente não precisa ser autorizado pelo sistema de HotSpot
    bytes-in (read-only: integer) - quantos bytes que o roteador receber do cliente
    bytes de saída (read-only: integer) - quantos bytes que o roteador enviar para o cliente
    host-dead-time (somente leitura: tempo) - quanto tempo tem o roteador não recebeu qualquer pacote (incluindo respostas ARP, responde keepalive e tráfego de usuários) a partir deste host
    idle-time (somente leitura: tempo) - a quantidade de tempo tem sido o usuário inativo
    idle-timeout (somente leitura: tempo) - o valor exato de idle-timeout que se aplica a este usuário. Esta propriedade mostra quanto tempo o usuário deve ficar ocioso para que possa ser a ligar automaticamente
    keepalive-timeout (somente leitura: tempo) - o valor exato de keepalive-timeout que se aplica a este usuário. Esta propriedade mostra quanto tempo deve computador do usuário ficar fora do alcance para que ela seja a ligar automaticamente
    mac-address (read-only: Endereço MAC) - o endereço MAC real do usuário
    pacotes-in (somente leitura: integer) - quantos pacotes que o roteador receber do cliente
    pacotes-out (somente leitura: integer) - quantos pacotes que o roteador enviar para o cliente
    servidor (somente leitura: nome) - nome do servidor, que o host está conectado
    estática (read-only: flag) - se esta tradução foi tomada a partir da lista de IP estático vinculativo
    para atender (read-only: endereço IP) - o endereço é o endereço IP original do host traduzida para
    uptime (somente leitura: tempo) - o tempo da sessão atual do usuário (ou seja, quanto tempo o usuário esteve na lista de hosts ativos)

    Descrição comando

    faz-de-ligação - uma cópia entrada dinâmica a partir dessa lista para a lista de ligações IP estático
    Parâmetros de entrada
    sem nome (nome) - número do item
    comentário (texto) - comentário personalizado para a entrada estática a ser criado
    tipo (regular | contornado | bloqueados) - o tipo de entrada estática

    Service Port

    Nível de submenu: / ip hotspot de serviços de porta 

    Descrição

    Assim como para o clássico NAT, o incorporado HotSpot one-to-one 'breaks' NAT alguns protocolos que são incompatíveis com tradução de endereços. Para deixar esses protocolos consistente, módulos auxiliar deve ser utilizada. Para o NAT um-para-o único módulo de uma tal de protocolo FTP.

    Descrição do imóvel

    nome (somente leitura: nome) - nome do protocolo
    portas (somente leitura: integer) - lista dos portos em que o protocolo está a trabalhar

    Exemplo

    Para definir o protocolo FTP usa tanto 20 e 21 TCP port:

     [Admin @ MikroTik] ip hotspot de serviços portuários-print>
     Flags: X - disabled
       # NAME PORTOS
       0 ftp 21
     [Admin @ MikroTik] ip hotspot de serviços-port> set ftp portas = 20,21
     [Admin @ MikroTik] ip hotspot de serviços portuários-print>
     Flags: X - disabled
       # NAME PORTOS
       0 ftp 20
                                                                               21
     [Admin @ MikroTik] ip hotspot de serviços portuários->
           

    HotSpot personalização: Seção Firewall


    Descrição

    Para além do óbvio entradas dinâmicas no submenu hotspot / ip em si (como hosts e usuários ativos), algumas regras adicionais são adicionados nas tabelas de firewall ao ativar um serviço de HotSpot. Ao contrário RouterOS versão 2.8, existem regras de firewall relativamente poucos adicionadas no firewall como o trabalho principal é feito pelo algoritmo NAT um-para-um.
    NAT regras
    A partir de / ip firewall nat comando de impressão dinâmico, você pode obter algo como isso (comentários seguem após cada uma das regras):

     D = 0 cadeia dstnat hotspot = ação de cliente = jump jump-alvo = hotspot
            

    Colocar todas as tarefas relacionadas com HotSpot para pacotes de todos os clientes HotSpot em uma cadeia separada

     1 D = cadeia hotspot protocol = udp dst-port = 53 = ação redirecionar to-ports = 64872
      2 D = cadeia hotspot protocol = tcp dst-port = 53 = ação redirecionar to-ports = 64872
            

    Redirecionar todas as solicitações de DNS para o serviço de HotSpot. A porta 64872 fornece o serviço de DNS para todos os usuários HotSpot. Se você quiser servidor HotSpot para ouvir também a outra porta, adicione regras aqui da mesma maneira, mudando de propriedade dst-port

     3 D = cadeia hotspot protocol = tcp dst-port = 80 = hotspot ação local-dst = redirect
          to-ports = 64873
            

    Redirecionar todas as solicitações de login HTTP para o servlet de login HTTP. O 64873 é HotSpot porta HTTP servlet.

     4 D = cadeia hotspot protocol = tcp dst-port = 443 = hotspot ação local-dst = redirect
          to-ports = 64875
            

    Redirecionar todas as solicitações de login HTTPS para o servlet de login HTTPS. O 64875 é HotSpot HTTPS porta servlet.

     5 D = cadeia hotspot protocol = tcp action = jump = hotspot! Auth jump-target = hs-unauth
            

    Todos os outros pacotes, exceto DNS e pedidos de login de clientes não autorizados devem passar pela cadeia hs-unauth

     6 D = cadeia hotspot protocol = tcp action = jump jump hotspot = auth-alvo-auth = hs
            

    E os pacotes dos clientes autorizados - através da cadeia hs-auth

     7 D;;; www.mikrotik.com
     cadeia = hs-unauth dst-address = 159.148.147.196 protocol = tcp dst-port = 80
     ação de retorno =
            

    Primeiro na cadeia hs-unauth é colocar tudo que afeta o protocolo TCP no hotspot / ip jardim murado submenu ip (ou seja, tudo que qualquer um dos protocolos não está definido, ou definido como TCP). Aqui estamos excluindo www.mikrotik.com de ser redirecionado para a página de login.

     8 D = cadeia hs-unauth protocol = tcp dst-port = 80 = ação redirecionar to-ports = 64874
            

    Todas as outras solicitações HTTP são redirecionados para o servidor de proxy Walled Garden que escuta a porta 64874. Se houver um permitir a entrada no hotspot / ip menu de jardim murado para uma solicitação HTTP, ele está sendo encaminhado para o destino. Caso contrário, o pedido será automaticamente redirecionado para o servlet de login HotSpot (porta 64873).

     9 D = cadeia hs-unauth protocol = tcp dst-port = 3128 = ação redirecionar to-ports = 64874
     10 D = cadeia hs-unauth protocol = tcp dst-port = 8080 = ação redirecionar to-ports = 64874
            

    HotSpot por padrão assume que apenas essas portas podem ser utilizados para pedidos de proxy HTTP. Estas duas entradas são usadas para "pegar" os pedidos do cliente para proxies desconhecido. Ou seja, para tornar possível para os clientes com configurações de proxy desconhecidos para trabalhar com o sistema de HotSpot. Este recurso é chamado de "Proxy Universal". Se for detectado que um cliente está usando algum servidor proxy, o sistema irá marcar automaticamente que os pacotes com o hotspot http marca para contornar o problema de proxy desconhecido, como veremos mais tarde. Note que a porta usada (64.874) é o mesmo que as solicitações HTTP na regra # 8 (para ambos os pedidos HTTP e proxy HTTP são processados ​​pelo mesmo código).

     11 D = cadeia hs-unauth protocol = tcp dst-port = 443 = ação redirecionar to-ports = 64875
            

    HTTPS proxy está escutando na porta 64875

     12 D = cadeia hs-unauth protocol = tcp dst-port = 25 = ação jump jump-target = hs-smtp
            

    Redirecionar para o protocolo SMTP também pode ser definida na configuração do HotSpot. Caso seja, uma regra de redirecionamento vai ser colocado na cadeia hs-smtp. Isto é feito para que os usuários com a configuração SMTP desconhecido seria capaz de enviar suas mensagens através do serviço de provedor (o) servidor SMTP em vez de ir para [possivelmente indisponíveis fora de sua rede de origem] os usuários do servidor SMTP tenha configurado em seus computadores.

     13 D = cadeia hs-auth protocol = tcp hotspot = http action = redirect to-ports = 64874
            

    Fornecimento de serviço de proxy HTTP para usuários autorizados. Solicitações de usuários autenticados podem ter de ser sujeita à proxy transparente (o "Universal Proxy" técnica e para o recurso de propaganda). Esta marca é colocado automaticamente http sobre os pedidos de proxy HTTP para os servidores detectado pelo proxy HTTP HotSpot (aquele que está escutando na porta 64874) para ser pedidos proxy HTTP para servidores proxy desconhecido. Isto é feito para que os usuários que têm algumas configurações de proxy seria usar o gateway HotSpot em vez do [possivelmente indisponíveis fora de sua rede de origem] usuários servidor proxy tiver configurado em seus computadores. A marca é bem colocado em todos os pedidos HTTP feitos formam o perfil de utilizadores whoose está configurado para proxy transparente seus pedidos.

     14 D = cadeia hs-auth protocol = tcp dst-port = 25 = ação jump jump-target = hs-smtp
            

    Fornecimento de proxy SMTP para usuários autorizados (o mesmo que em regra # 12)
    Regras de filtragem de pacotes
    A partir de / ip firewall comando de impressão filtro dinâmico, você pode obter algo como isso (comentários seguem após cada uma das regras):

     0 cadeia D = = hotspot frente do cliente,! Ação auth = jump jump-target = hs-unauth
            

    Qualquer pacote que atravessam o roteador do cliente não autorizado será enviado para a cadeia hs-unauth. O hs-unauth implementa o IP baseado em filtro de jardim murado.

     Uma cadeia de frente D = = hotspot para o cliente,! Ação auth = saltar jump-target = hs-unauth para
            

    Tudo o que vem para os clientes através do roteador, será redirecionado para outra cadeia, chamado hs-unauth-to. Esta cadeia deve rejeitar solicitações não autorizadas para os clientes

     2 D = cadeia de entrada hotspot = ação de cliente = jump jump-target = hs-entrada
            

    Tudo o que vem de clientes para o próprio roteador, fica para outra cadeia, chamada de entrada hs.

     3 D = cadeia hs-input protocol = udp dst-port = 64872 = ação aceitar
      D = 4 hs da cadeia de entrada protocol = tcp dst-port = 64.872-64.875 = ação aceitar
            

    Permitir o acesso do cliente para a autenticação local e serviços de proxy (como descrito anteriormente)

     5 D = cadeia hs-entrada hotspot =! Ação auth = jump jump-target = hs-unauth
            

    Todo o tráfego de outros clientes não autorizados para o próprio roteador será tratado da mesma forma que o tráfego que atravessam os roteadores

     6 D = cadeia hs-protocol = icmp unauth ação de retorno =
      7 D;;; www.mikrotik.com
          cadeia = hs-unauth dst-address = 159.148.147.196 protocol = tcp dst-port = 80
          ação de retorno =
            

    Ao contrário da tabela NAT, onde apenas TCP-protocolo relacionado com entradas Walled Garden foram adicionados, na cadeia de filtro de pacotes hs-unauth é adicionado tudo o que você definiu no hotspot / ip jardim murado menu de ip. É por isso que apesar de você ter visto apenas uma entrada na tabela NAT, há duas regras aqui.

     8 cadeia D = hs-protocol = tcp unauth action = rejeitar reject-with tcp-reset =
      9 D = cadeia hs-unauth action = rejeitar reject-with = icmp-net-proibida
            

    Tudo o mais que não tenha sido ao mesmo tempo, listados pelo Walled Garden será rejeitada. Uso de nota de TCP Reset para rejeitar conexões TCP.

     D = 10 cadeia hs-unauth-to action = rejeitar reject-with = icmp-host-proibida
            

    Rejeitar todos os pacotes para os clientes com ICMP rejeitam a mensagem

    Personalizando HotSpot: Servlet Pages HTTP


    Descrição

    Você pode criar um conjunto completamente diferente de páginas servlet para cada servidor HotSpot que você tem, especificando o diretório que será armazenado no diretório html-propriedade de um perfil de servidor HotSpot (/ profile hotspot ip). As páginas servlet padrão são copiados no diretório do seu direito de escolha depois de criar o seu perfil. Este diretório pode ser acessado por conectar ao roteador com um cliente de FTP. Você pode modificar as páginas que quiser, utilizando as informações desta seção do manual.
    Disponível Páginas Servlet
    Principais páginas HTML servlet, que são mostrados ao usuário:
    • redirect.html - redireciona usuário para outra url (por exemplo, a página de login)
    • login.html - página de login mostrado a um usuário para pedir username e password. Esta página pode levar os seguintes parâmetros:
      • username - nome de usuário
      • password - uma senha de texto simples (no caso de autenticação PAP) ou hash MD5 de desafio chap-id variável de senha, e CHAP (no caso de autenticação CHAP)
      • dst - URL original solicitada antes do redirecionamento. Este será aberto no login bem-sucedido
      • popup - se a pop-up uma janela de estado no login bem-sucedido
      • raio - enviar o atributo identificado com em forma de seqüência de texto para o servidor RADIUS (no caso de autenticação RADIUS é usado; perdeu outra forma)
      • u raio  - enviar o atributo identificado com em forma sem sinal para o servidor RADIUS (no caso de autenticação RADIUS é usado; perdeu outra forma)
      • raio -  - enviar o atributo identificado com e identificação do fornecedor na forma de texto string para o servidor RADIUS (no caso de autenticação RADIUS é usado; perdeu outra forma)
      • raio - u  - enviar o atributo identificado com e identificação do fornecedor na forma unsigned para o servidor RADIUS (no caso de autenticação RADIUS é usado; perdeu outra forma)
    • md5.js - JavaScript para MD5 hash de senha. Utilizado em conjunto com http-chap método de login
    • alogin.html - Página mostrada após o cliente tem registrado pol pop-up página de status do browser e redireciona a página solicitada originalmente (antes de ele / ela foi redirecionada para a página de login HotSpot)
    • status.html - página de status, mostra as estatísticas para o cliente
    • logout.html - página de logout, mostrada após o usuário é desconectado. Mostra as estatísticas finais sobre a sessão terminou. Esta página pode levar os parâmetros folllowing adicionais:
      • apagar cookies - se para apagar os cookies do servidor HotSpot em logout (torna impossível fazer o login com o tempo de cookies próxima do mesmo navegador, pode ser útil em ambientes multi-usuário)
    • error.html - página de erro, mostrado em apenas erros fatais
    Algumas páginas estão disponíveis, bem como, se mais controle é necessário:
    • rlogin.html - página, que redireciona cliente de alguma outra URL para a página de login, se a autorização do cliente é necessário para acessar a URL
    • rstatus.html - à semelhança do rlogin.html, apenas no caso, se o cliente já está logado e do URL original não é conhecido
    • flogin.html - mostrado em vez de login.html, se algum erro aconteceu (nome de usuário inválido ou senha, por exemplo)
    • fstatus.html - mostrado ao invés de redirecionar, se a página de status é solicitada, mas o cliente não está conectado
    • flogout.html - mostrado ao invés de redirecionar, se sair página é solicitada, mas o cliente não está conectado
    Servindo Páginas Servlet
    O servlet HotSpot reconhece cinco tipos de solicitação diferentes:
    1. pedido de um host remoto
      • se o usuário estiver logado, a página solicitada é servido
      • se o usuário não está conectado, mas o host de destino é permitido pelo jardim murado, em seguida, o pedido também é servido
      • se o usuário não está conectado, eo host de destino não é permitido pelo jardim murado, rlogin.html é exibido, se rlogin.html não for encontrado, redirect.html é usado para redirecionar para a página de login
    2. pedido de "/" no host HotSpot
      • se o usuário estiver logado, rstatus.html é exibido, se rstatus.html não for encontrado, redirect.html é usado para redirecionar para a página de status
      • se o usuário não estiver logado, rlogin.html é exibido, se rlogin.html não for encontrado, redirect.html é usado para redirecionar para a página de login
    3. pedido de "/ login" page
      • se o usuário logado com sucesso (ou já está logado), alogin.html é exibido, se alogin.html não for encontrado, redirect.html é usado para redirecionar para a página originalmente solicitada ou a página de status (no caso, destino original página não foi dada)
      • se o usuário não está conectado (username não foi fornecido, nenhuma mensagem de erro apareceu), login.html é mostrado
      • se procedimento de login falhou (mensagem de erro é fornecido), flogin.html é exibido, se flogin.html não for encontrado, login.html é usado
      • em caso de erros fatais, error.html é mostrado
    4. pedido de "/ status" page
      • se o usuário estiver logado, status.html é exibido
      • se o usuário não estiver logado, fstatus.html é exibido, se fstatus.html não for encontrado, redirect.html é usado para redirecionar para a página de login
    5. pedido de "/ logout" página
      • se o usuário estiver logado, logout.html é exibido
      • se o usuário não estiver logado, flogout.html é exibido, se flogout.html não for encontrado, redirect.html é usado para redirecionar para a página de login
    Note que, se não é possível para atender uma solicitação usando as páginas armazenadas no servidor FTP do roteador, erro 404 é exibido
    Há muitas possibilidades de personalizar o que as páginas de autenticação HotSpot parecer:
    • As páginas são facilmente modificáveis. Eles são armazenados no servidor FTP do roteador no diretório que você escolher para o respectivo perfil HotSpot servidor.
    • Alterando as variáveis, qual cliente envia para o servlet HotSpot, é possível reduzir a contagem de palavras-chave para um (nome de usuário ou senha, por exemplo, o endereço MAC do cliente pode ser usado como o outro valor) ou mesmo a zero Contrato de Licença (; alguns valores predefinidos geral para todos os usuários ou o endereço MAC do cliente pode ser usado como nome de usuário e senha)
    • Registro pode ocorrer em um servidor diferente (por exemplo, em um servidor que é capaz de cobrar Cartões de Crédito). Endereço MAC do cliente pode ser passado para ele, para que esta informação não precisa ser escrito manualmente. Após o registro, o servidor pode mudar de banco de dados RADIUS permitindo cliente fazer o login para uma certa quantidade de tempo.
    Para inserir variável em algum lugar, o $ (var_name) sintaxe é usada, onde o "var_name" é o nome da variável (sem aspas). No arquivo HTML Essa construção pode ser usado em qualquer arquivo HTML HotSpot acessado como '/', '/ login', '/ status "ou" / logout ", bem como qualquer texto ou arquivo HTML armazenado no servidor HotSpot. Por exemplo, para mostrar um link para a página de login, seguindo de construção podem ser usados:

      de login  
    Variáveis
    Todas as páginas HTML Servlet utilizar variáveis ​​para mostrar os valores de usuário específico. Os nomes das variáveis ​​aparecem apenas no código HTML das páginas servlet - eles são substituídos automaticamente com os respectivos valores pelo Servlet HotSpot. Para cada variável há um exemplo de seu possível valor incluído entre parênteses. Todas as variáveis ​​descritas são válidas em todas as páginas servlet, mas alguns deles só pode estar vazio no momento em que são acessos (por exemplo, não há tempo de atividade antes que o usuário tem logado).
    • Comum variáveis ​​de servidor:
      • hostname - nome DNS ou endereço IP (se o nome DNS não é dado) do Servlet HotSpot ("hotspot.example.net")
      • identidade - RouterOS nome de identidade ("MikroTik")
      • login-by - método de autenticação usado pelo usuário
      • plain-passwd - um "sim / não" representação de HTTP-se PAP método de login é permitido ("não")
      • endereço do servidor - o endereço do servidor HotSpot ("10.5.50.1:80")
      • server-name - nome do servidor hotspot
      • ssl-login - um "sim / não" representação de HTTPS se o método foi usado para acessar essa página servlet ("não")
      • servidor de nome - nome do servidor HotSpot (definido no menu hotspot / ip, como a propriedade nome)
      • interface de nome - nome da interface física HotSpot (no caso de interfaces ponte, irá retornar o nome da porta actual ponte)
    • Links:
      • link de login - link para página de login, incluindo URL original solicitado ("http://10.5.50.1/login?dst=http://www.example.com/")
      • link-login-simples - link para página de login, não incluindo URL original solicitado ("http://10.5.50.1/login")
      • link-logout - link para página de logout ("http://10.5.50.1/logout")
      • link status - link para a página de status ("http://10.5.50.1/status")
      • ligação orig - URL original solicitado ("http://www.example.com/")
    • Informações do cliente em geral
      • domínio - nome de domínio do usuário ("mt.lv")
      • interface de nome - nome da interface física, na qual cliente está conectado (no caso da ponte, ele irá conter o nome da ponte de porta)
      • endereço IP do cliente ("10.5.50.2") - ip
      • logado - "sim" se o usuário está logado, caso contrário, - "não" ("sim")
      • mac - endereço MAC do usuário ("01:23:45:67:89: AB")
      • julgamento - um "sim / não" representação se o usuário tem acesso ao tempo de julgamento. Se os usuários de tempo de avaliação expirou, o valor é "não"
      • username - o nome do usuário ("John")
    • Informações sobre o status do usuário:
      • idle-timeout - idle timeout ("20m" ou "" se não houver)
      • idle-timeout segundos - tempo limite ocioso, em segundos ("88" ou "0" se não há tempo limite tal)
      • limite de bytes-in - limite de bytes para enviar ("1000000" ou "---" se não há limite)
      • limite de bytes-out - limite de bytes para receber ("1000000" ou "---" se não há limite)
      • atualizar-timeout - página de status de atualização de tempo limite ("1m30s" ou "" se não houver)
      • refresh-timeout segundos - tempo limite status da página de atualização em segundos ("90" ou "0" se não houver)
      • sessão-timeout - tempo da sessão partiu para o usuário ("5h" ou "" se não houver)
      • sessão-timeout-segs - tempo da sessão partiu para o usuário, em segundos ("3475" ou "0" se não há tempo limite tal)
      • tempo de sessão-esquerda - o tempo da sessão partiu para o usuário ("5h" ou "" se não houver)
      • sessão-tempo-esquerdo segundos - o tempo da sessão partiu para o usuário, em segundos ("3475" ou "0" se não há tempo limite tal)
      • uptime - uptime sessão atual ("10h2m33s")
      • uptime-segs - uptime sessão atual em segundos ("125")
    • Contadores de tráfego, que estão disponíveis apenas na página de status:
      • bytes-in - número de bytes recebidos do usuário ("15423")
      • bytes-em-bom - user-friendly forma de número de bytes recebidos do usuário ("15423")
      • bytes fora - número de bytes enviados para o usuário ("11352")
      • bytes-out-nice - user-friendly forma de número de bytes enviados para o usuário ("11352")
      • pacotes-in - número de pacotes recebidos do usuário ("251")
      • pacotes fora - número de pacotes enviados para o usuário ("211")
      • permanecem-bytes-in - bytes restantes até limite de bytes-in será alcançado ("337465" ou "---" se não há limite)
      • permanecem-bytes-out - bytes restantes até limite de bytes-out será alcançado ("124455" ou "---" se não há limite)
    • Variáveis ​​diversas
      • session-id - valor do parâmetro "session-id" no último pedido
      • var - valor de 'var' parâmetro no último pedido
      • erro - mensagem de erro, se alguma coisa falhou ("username ou senha inválida")
      • error-orig - mensagem de erro original (sem traduções recuperados ERRORS.TXT), se alguma coisa falhou ("username ou senha inválida")
      • chap-id - valor de chap ID ("\ 371")
      • chap desafio - valor de chap desafio ("\ 357 \ 015 \ 330 \ 013 \ 021 \ 234 \ 145 \ 245 \ 303 \ 253 \ 142 \ 246 \ 133 \ 175 \ 375 \ 316")
      • popup - se a caixa pop-up ("true" ou "false")
      • Anúncio pendente - se um anúncio está pendente a ser exibido ("sim" ou "não")
    • RADIUS variáveis ​​relacionadas
      • raio - mostra o atributo identificado com em forma de seqüência de texto (no caso de autenticação RADIUS foi usado "," de outra forma)
      • u raio - mostra o atributo identificado com em forma unsigned (na autenticação RADIUS caso foi usado; "0" caso contrário)
      • raio -  - mostra o atributo identificado com e identificação do fornecedor na forma de seqüência de texto (no caso de autenticação RADIUS foi usado "," de outra forma)
      • raio - u - mostra o atributo identificado com e identificação do fornecedor na forma unsigned (na autenticação RADIUS caso foi usado; "0" caso contrário)
    Trabalhando com variáveis
    $(if ) declarações podem ser usados ​​em páginas teses. Seguinte conteúdo será incluído, se o valor de não será uma cadeia vazia.É um equivalente a $(if != "") É possível comparar a equivalência também: $(if == ) Estas declarações têm efeito até $(elif ) , $(else) ou $(endif) . No caso geral, parecido com este:

     alguns conteúdos, que sempre será exibido
     $ (Se nome de usuário == john)
     Ei, seu nome de usuário é john
     $ (Elif nome == tonto)
     Olá, Dizzy!  Como você está?  O administrador.
     $ (Elif ip 10.1.2.3 ==)
     Você está sentado em que o computador de baixa qualidade, que é maldito lento ...
     $ (Elif mac 00:01:02:03:04:05 ==)
     Esta é uma placa Ethernet, o que foi roubado há alguns meses atrás ...
     $ (Mais)
     Eu não sei quem você é, então vamos viver em paz.
     $ (Endif)
     outro conteúdo, que sempre será exibido
            

    Apenas uma dessas expressões serão mostrados. Que um - depende de valores dessas variáveis ​​para cada cliente.
    Personalizando mensagens de erro
    Todas as mensagens de erro são armazenadas no arquivo dentro do diretório ERRORS.TXT respectivos HotSpot servlet. Você pode alterar e traduzir todas estas mensagens para sua língua nativa. Para isso, edite o arquivo ERRORS.TXT. Você também pode usar variáveis ​​nas mensagens. Todas as instruções são dadas no arquivo.
    Várias versões do Pages HotSpot
    Vários conjuntos de página de hotspot para o servidor hotspot mesma são suportados. Eles podem ser escolhidas pelo usuário (para selecionar o idioma) ou automaticamente pelo JavaScript (para selecionar a versão PDA / regular de páginas HTML).
    Para utilizar este recurso, criar subdiretórios no diretório HotSpot HTML, e colocar os arquivos HTML, que são diferentes, em que subdiretório. Por exemplo, para traduzir tudo em língua letã, subdiretório "lv" podem ser criados com login.html, logout.html, status.html, alogin.html, radvert.html e arquivos ERRORS.TXT, que são traduzidos em letão. Se a página HTML solicitada não pode ser encontrado no subdiretório solicitado, o arquivo HTML correspondente a partir do diretório principal será usada. Então arquivo login.html principal iria conter link para "/ lv / login dst = $ (link-orig-esc)?", Que exibe a versão da Letónia página de login: Latviski . E versão Letão conteria link para versão em Inglês: English
    Outra forma de diretórios de referência é para especificar variável 'target':

      Latviski 
              Inglês 
            


    Notas


    Se você quiser usar HTTP-CHAP método de autenticação supõe-se que você incluir o doLogin () função (que as referências ao md5.js que já deve estar carregado) antes do Submit ação do formulário de login. Caso contrário, CHAP login irá falhar.

    A senha resultante para ser enviado para o gateway HotSpot em caso de HTTP-CHAP método, é formado um hash MD5 da concatenação dos seguintes: chap-ID, a senha do usuário e chap-desafio (na ordem dada)


    Há um parâmetro boolean "apagar cookies" para a página de logout, que pode ser tanto "on" ou "verdadeiro" para apagar cookies do usuário em logout (para que o usuário não seria automaticamente conectado quando ele / ela abre um navegador da próxima vez.

    Exemplo

    Com o conhecimento básico da língua HTML e os exemplos abaixo, deve ser fácil de implementar as idéias descritas acima.
    • Para fornecer um valor pré-definido como nome de usuário, na mudança login.html:
         
      (Onde hsuser é o nome de usuário que você está fornecendo)
    • Para fornecer um valor pré-definido como senha, na mudança login.html:
       
      para esta linha:
       
      (Onde hspass é a senha que você está fornecendo)
    • Para enviar o endereço MAC do cliente a um servidor de registro em forma de:
      https://www.server.serv/register.html?mac=XX:XX:XX:XX:XX:XX 
      alterar o link no botão Login login.html para:
      https://www.server.serv/register.html?mac = $ (mac) 
      (Você deve corrigir o link para apontar para seu servidor)
    • Para mostrar um banner após o login do usuário, em alogin.html após
      $ (Pop-up se == 'true') 
      adicione a seguinte linha:
      open ('http://your.web.server/your-banner-page.html', 'meu-nome-bandeira',''); 
      (Você deve corrigir o link para apontar para a página que você quer mostrar)
    • Para escolher outra página mostrada após o login, na mudança login.html:
       
      para esta linha:
       
      (Você deve corrigir o link para apontar para seu servidor)
    • Para apagar o cookie no logoff, na página que contém link para o logout (por exemplo, em status.html) mudança:
      open ('$ (link-logout)', 'hotspot_logout', ... 
      para isso:
      open ('$ (link-logout)? apagar cookies = on', 'hotspot_logout', ... 
      ou, alternativamente, adicione esta linha:
       
      antes esta:
       
    Um outro exemplo está fazendo HotSpot para autenticar em um servidor remoto (que pode, por exemplo, executar cartão de crédito cobrar):
    • Permitir o acesso direto ao servidor externo no jardim murado (seja com base em HTTP, ou IP-based)
    • Modificar página de login do servlet HotSpot para redirecionar para o servidor de autenticação externo. O servidor externo deve modificar banco de dados RADIUS, conforme necessário
      Aqui está um exemplo de uma página de login para colocar no roteador HotSpot (é redirecionar para https://auth.example.com/login.php, substitua com o endereço real de um servidor de autenticação externo):
       título ...</></span>
      <span> <body></span>
      <span> <form name="redirect" action="https://auth.example.com/login.php" method="post"></span>
      <span> <input type="hidden" name="mac" value="$(mac)"></span>
      <span> <input type="hidden" name="ip" value="$(ip)"></span>
      <span> <input type="hidden" name="user" value="$(username)"></span>
      <span> <input type="hidden" name="link-login" value="$(link-login)"></span>
      <span> <input type="hidden" name="link-orig" value="$(link-orig)"></span>
      <span> <input type="hidden" name="error" value="$(error)"></span>
      <span> </ Form></span>
      <span> <script language="JavaScript"></span>
      <span> <! -</span>
      	<span> document.redirect.submit ();</span>
      <span> //--></span>
      <span> </ Script></span>
      <span> </ Body></span>
      <span> </ Html></span>
                </pre></li><li><p><span>O servidor externo pode entrar em um cliente HotSpot, redirecionando-o de volta ao original página de login HotSpot servlet, especificando o nome de usuário e senha corretos</span></p><p><span>Aqui está um exemplo de uma página (é redirecionar para https://hotspot.example.com/login, substitua com o endereço real de um router HotSpot, também, ele está exibindo www.mikrotik.com após o login bem sucedido, substituir com o que necessário):</span></p><pre style="border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: solid; border-bottom-style: solid; border-left-style: solid; border-top-color: rgb(209, 209, 209); border-right-color: rgb(209, 209, 209); border-bottom-color: rgb(209, 209, 209); border-left-color: rgb(209, 209, 209); background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: rgb(255, 255, 249); width: 896px; font-size: 12px; font-family: monospace; padding-top: 10px; padding-right: 10px; padding-bottom: 10px; padding-left: 10px; margin-left: 10px; margin-top: 0px; "><span> <html></span>
      <span> <title> página de login Hotspot </ title></span>
      <span> <body></span>
      <span> <form name="login" action="https://hotspot.example.com/login" method="post"></span>
      <span> <input type="text" name="username" value="demo"></span>
      <span> <input type="password" name="password" value="none"></span>
      <span> <input type="hidden" name="domain" value=""></span>
      <span> <input type="hidden" name="dst" value="http://www.mikrotik.com/"></span>
      <span> <input type="submit" name="login" value="log in"></span>
      <span> </ Form></span>
      <span> </ Body></span>
      <span> </ Html></span>
                </pre></li><li><span>Hotspot pedirá servidor RADIUS se permite o login ou não.</span> <span>Se não for permitido, página alogin.html será exibida (pode ser modificado para fazer qualquer coisa!).</span> <span>Se não permitidos, flogin.html página (ou login.html) será exibido, que irá redirecionar cliente de volta ao servidor de autenticação externo.</span></li><li><span>Nota: como mostrado nestes exemplos, o protocolo HTTPS e método POST podem ser usados ​​para proteger as comunicações.</span></li></ul></div><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><a name="7.41.16" style="font-size: 12px; "></a></span><h2 style="font-style: oblique; font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Possíveis mensagens de erro</span></h2><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><a name="7.41.16.1" style="font-size: 12px; "></a></span><h3 style="font-style: oblique; font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Descrição</span></h3><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Existem dois tipos de erros: não-fatal fatal.</span> <span>Erros fatais são mostrados em uma página separada HTML chamado error.html.</span> <span>Erros não fatais são, basicamente, indicando as ações do usuário incorreto e são mostradas no formulário de login.</span></p><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Geral erros não fatais:</span></p><div xmlns:doc="http://nwalsh.com/xsl/documentation/1.0" class="itemizedlist" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><ul><li><span><b>Você não está logado</b> - tentando acessar a página de status ou de log off enquanto não fez o acesso <b>Solução:</b> log em</span></li><li><span><b>já autoriza, tente novamente mais tarde</b> - de autorização em andamento.</span> <span>Cliente já tenha emitido um pedido de autorização que ainda não é<b>solução</b> completa:. Aguardar o pedido de corrente para ser concluída, e então tente novamente</span></li><li><span><b>chap-missing = navegador não enviou resposta de desafio (tente novamente, ative o JavaScript)</b> - tentando entrar com HTTP-CHAP método usando hash MD5, mas servidor HotSpot não sabe o desafio usado para o hash.</span> <span>Isso pode acontecer se você usar os botões VOLTAR no navegador, se JavaScript não está habilitado no navegador web; se a página <b>login.html</b> não é válido, ou se o valor desafio expirou no servidor (mais de 1h de inatividade) <b>Solução:</b> browser para instruir. reload (refresh) a página de login normalmente ajuda se o JavaScript está habilitado e página <b>login.html</b> é válido</span></li><li><span><b>username ($ (username)) inválido: este endereço MAC não é seu</b> - tentando fazer login usando um nome de utilizador endereço MAC diferente do endereço do usuário real do MAC <b>Solução:</b> não - usuários com nomes que se parecem com um endereço MAC (por exemplo,. 12:34:56:78:9 a: bc) só pode efetuar login a partir do endereço MAC especificado como seu nome de usuário</span></li><li><span><b>limite de sessões alcançado ($ (erro orig))</b> - dependendo do número de licença de clientes hotspot ativo é limitado a um número.</span> <span>O erro é exibida quando esse limite é atingido. <b>Solução:</b> tente acessar mais tarde, quando haverá sessões de usuários menos simultâneas, ou comprar uma licença de outro que permite que mais sessões simultâneas</span></li><li><span><b>hotspot de serviços está sendo desligado</b> - RouterOS está sendo reiniciado ou desligado <b>Solução:</b> esperar até que o serviço estará disponível novamente.</span></li></ul></div><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Geral erros fatais:</span></p><div xmlns:doc="http://nwalsh.com/xsl/documentation/1.0" class="itemizedlist" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><ul><li><span><b>erro interno ($ (erro orig))</b> - isso nunca deveria acontecer.</span> <span>Se ele vai, página de erro será mostrada exibindo esta mensagem de erro (erro orig-se descrever o que aconteceu). <b>Solução:</b> corrigir o erro relatado</span></li><li><span><b>erro de configuração ($ (error-orig))</b> - o servidor HotSpot não está configurado corretamente (erro orig-se descrever o que aconteceu) <b>Solução:</b>corrigir o erro relatado.</span></li><li><span><b>não pode atribuir endereços ip - não mais endereços livre de piscina</b> - não foi possível obter um endereço IP de um pool de IP como não há endereços IP mais livre em que <b>Solution</b> piscina: certifique-se que há uma quantidade suficiente de livre endereços IP na piscina IP.</span></li></ul></div><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Locais HotSpot usuário do banco erros não fatais:</span></p><div xmlns:doc="http://nwalsh.com/xsl/documentation/1.0" class="itemizedlist" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><ul><li><span><b>inválido nome de usuário ou senha</b> - auto-explicativo</span></li><li><span><b>usuário $ (username) não é permitido fazer o login a partir deste endereço MAC</b> - tentando se logar de um endereço MAC diferente do especificado no banco de dados <b>da solução</b> user:. login a partir do endereço MAC correto ou retirar a limitação</span></li><li><span><b>usuário $ (username) atingiu limite o tempo de atividade</b> - auto-explicativo</span></li><li><span><b>usuário $ (username) atingiu limite de tráfego</b> - ou <b>limitam-bytes-in</b> ou <b>limitar-bytes-out</b> limite é atingido</span></li><li><span><b>não mais sessões são permitidas para o usuário $ (username)</b> - a <b>solução compartilhada dos utilizadores</b> limite para o perfil do usuário é atingido:. esperar até que alguém com esse nome de usuário fizer fora, use o nome de login diferente ou estender o limite de <b>shared-usuários</b></span></li></ul></div><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>RADIUS client erros não fatais:</span></p><div xmlns:doc="http://nwalsh.com/xsl/documentation/1.0" class="itemizedlist" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><ul><li><span><b>inválido nome de usuário ou senha</b> - servidor RADIUS rejeitou o nome de usuário e senha que lhe foi enviado, sem especificar uma razão <b>Causa:</b> o nome de usuário errado e / ou senha ou outro erro <b>Solução:</b> deve ser esclarecido em arquivos de log do servidor RADIUS..</span></li><li><span><b><error_message_sent_by_radius_server></b> - este pode ser qualquer mensagem (qualquer seqüência de texto) enviados de volta pelo servidor RADIUS.</span> <span>Consultar a documentação do seu servidor RADIUS para obter mais informações</span></li></ul></div><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>RADIUS client erros fatais:</span></p><div xmlns:doc="http://nwalsh.com/xsl/documentation/1.0" class="itemizedlist" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><ul><li><span><b>Servidor RADIUS não está a responder</b> - o usuário está sendo autenticado pelo servidor RADIUS, mas nenhuma resposta é recebida a partir dele<b>Solução:</b> verificar se o servidor RADIUS está sendo executado e é acessível a partir do router HotSpot.</span></li></ul></div><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><a name="7.41.17" style="font-size: 12px; "></a></span><h2 style="font-style: oblique; font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>HotSpot Procedimentos do</span></h2><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><a name="7.41.17.1" style="font-size: 12px; "></a></span><h3 style="font-style: oblique; font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Descrição</span></h3><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Esta seção irá se concentrar em alguns exemplos simples de como usar o seu sistema de HotSpot, bem como dar algumas idéias úteis.</span></p><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><a name="7.41.17.1.1" style="font-size: 12px; "></a></span><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span><u><b class="title" style="font-style: oblique; ">Criação autorização https</b></u></span></span><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>No primeiro certificado deverá estar presente com descriptografado chave privada:</span></p><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><pre style="border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: solid; border-bottom-style: solid; border-left-style: solid; border-top-color: rgb(209, 209, 209); border-right-color: rgb(209, 209, 209); border-bottom-color: rgb(209, 209, 209); border-left-color: rgb(209, 209, 209); background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: rgb(255, 255, 249); width: 931px; font-size: 12px; font-family: monospace; padding-top: 10px; padding-right: 10px; padding-bottom: 10px; padding-left: 10px; margin-left: 10px; margin-top: 0px; "><span> [Admin @ MikroTik] print> certificado /</span>
      <span> Flags: K - descriptografado-de chave privada, Q - de chave privada, R - rsa, D - dsa</span>
       <span> 0 nome de KR = "hotspot.example.net"</span>
            <span> subject = C = LV, L = Riga, O = MT, OU = dev, CN = hotspot.example.net,</span>
                    <span> emailAddress = admin@hotsot.example.net</span>
            <span> emissor = C = LV, L = Riga, O = MT, OU = dev, CN = hotsot.example.net,</span>
                   <span> emailAddress = admin@hotsot.example.net</span>
            <span> número de série = "0" email = admin@hotsot.example.net</span>
            <span> inválido antes = oct/27/2004 11:43:22 invalid-after = oct/27/2005 11:43:22</span>
            <span> ca = yes</span>
            </pre></span><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Então, podemos usar esse certificado para hotspot:</span></p><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><pre style="border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: solid; border-bottom-style: solid; border-left-style: solid; border-top-color: rgb(209, 209, 209); border-right-color: rgb(209, 209, 209); border-bottom-color: rgb(209, 209, 209); border-left-color: rgb(209, 209, 209); background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: rgb(255, 255, 249); width: 931px; font-size: 12px; font-family: monospace; padding-top: 10px; padding-right: 10px; padding-bottom: 10px; padding-left: 10px; margin-left: 10px; margin-top: 0px; "><span> / Ip hotspot perfil conjunto padrão login por cookie = http-chap, https \</span>
      <span> ssl-certificate = artis.hotspot.mt.lv</span>
            </pre></span><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Depois disso podemos ver, que está sendo executado em HTTPS interface de hotspot:</span></p><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><pre style="border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: solid; border-bottom-style: solid; border-left-style: solid; border-top-color: rgb(209, 209, 209); border-right-color: rgb(209, 209, 209); border-bottom-color: rgb(209, 209, 209); border-left-color: rgb(209, 209, 209); background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: rgb(255, 255, 249); width: 931px; font-size: 12px; font-family: monospace; padding-top: 10px; padding-right: 10px; padding-bottom: 10px; padding-left: 10px; margin-left: 10px; margin-top: 0px; "><span> [Admin @ MikroTik] print hotspot> ip /</span>
      <span> Flags: X - disabled, I - inválida, S - HTTPS</span>
       <span> # NOME INTERFACE PERFIL ENDEREÇO ​​POOL-idle-timeout</span>
       <span> 0 padrão S-local hs locais 00:05:00</span>
            </pre></span><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><a name="7.41.17.1.2" style="font-size: 12px; "></a></span><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span><u><b class="title" style="font-style: oblique; ">Bypass hotspot para alguns dispositivos em rede hotspot</b></u></span></span><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Todas as entradas IP de ligação com a propriedade <b>type</b> definido como <b>ultrapassado,</b> não será solicitado a autorizar - isso significa que eles terão de login de acesso livre:</span></p><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><pre style="border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: solid; border-bottom-style: solid; border-left-style: solid; border-top-color: rgb(209, 209, 209); border-right-color: rgb(209, 209, 209); border-bottom-color: rgb(209, 209, 209); border-left-color: rgb(209, 209, 209); background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: rgb(255, 255, 249); width: 931px; font-size: 12px; font-family: monospace; padding-top: 10px; padding-right: 10px; padding-bottom: 10px; padding-left: 10px; margin-left: 10px; margin-top: 0px; "><span> [Admin @ MikroTik] ip hotspot ip-binding de impressão></span>
      <span> Flags: X - disabled, P - contornado, B - bloqueados</span>
       <span> # O endereço MAC ADDRESS-TO ADDRESS-SERVER</span>
       <span> 0 P 10.11.12.3</span>
            </pre></span><p style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><span>Se todos os campos foram preenchidos na tabela de ip-binding e <b>tipo</b> foi definido para <b>contornado,</b> então o endereço IP desta entrada será acessível a partir de interfaces públicas de imediato:</span></p><span class="Apple-style-span" style="font-family: verdana, helvetica, 'sanf serif'; font-size: 13px; "><pre style="border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: solid; border-bottom-style: solid; border-left-style: solid; border-top-color: rgb(209, 209, 209); border-right-color: rgb(209, 209, 209); border-bottom-color: rgb(209, 209, 209); border-left-color: rgb(209, 209, 209); background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: rgb(255, 255, 249); width: 931px; font-size: 12px; font-family: monospace; padding-top: 10px; padding-right: 10px; padding-bottom: 10px; padding-left: 10px; margin-left: 10px; margin-top: 0px; "> [Admin @ MikroTik] ip hotspot ip-binding de impressão>
       Flags: X - disabled, P - contornado, B - bloqueados
        # O endereço MAC ADDRESS-TO ADDRESS-SERVER
        0 P 10.11.12.3
        1 P 00:01:02:03:04:05 10.11.12.3 10.11.12.3 hs-local
       [Admin @ MikroTik] ip hotspot ip-binding> ..  de impressão do host
       Flags: S - estático, H - DHCP, D - dinâmico, A - autorizado, P - ignorado
        # O endereço MAC ADDRESS-SERVER PARA FAZER FACE-idle-timeout
        0 SB 00:01:02:03:04:05 10.11.12.3 10.11.12.3 hs-local</pre></span><p></p>

    Nenhum comentário: