Mikrotik

Owned by David López Frutos (Unlicensed)
Last updated: Oct 18, 2021 by Pedro Doroshenko
8 min read

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Mikrotik para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Radius Servers

Lo primero será configurar los servidores Radius, para ello abrir una sesión Terminal e introducir el siguiente script. Sustituir las etiquetas por los datos facilitados por el proveedor.

/radius add address=<IP_Radius_1> comment="RADIUS 1" secret=<Secret> service=hotspot timeout=5s add address=<IP_Radius_2> comment="RADIUS 2" secret=<Secret> service=hotspot timeout=5s

2.2 Cargar páginas de login

Acceder a la configuración del equipo mediante Winbow y dentro del menú Files cargar las páginas proporcionados por el proveedor. 

  1. El equipo no tiene la carpeta "flash" preinstalada. Puede subir las páginas de login directamente sobre la raíz de Files.

  2. El equipo tiene la carpeta "flash" preinstalada (esto ocurre a los equipos más nuevos). Debemos de meterlas paginas de login dentro de una carpeta llamada "Hotspot" y esta subirla dentro de la carpeta flash del mikrotik "flash/hotspot"

2.3 Configuración Hotspot

Será necesario tener claro el interfaz donde crear el Hotspot, ya que será donde irá asociado el captive portal. Puede ser una vlan, interfaz ethernet, interfaz wireless, bridge,, ...

Se presupone que ya se ha configurado en el mikrotik el direccionamiento de red asociado al interfaz y servidores DNS genéricos.

La forma má sencilla de crear el Hotspot es a través de un simple Wizard desde el entorno Winbox. Para ello acceder al submenú IP > Hotspot y dentro de la pestaña Servers pulsar la opción Hotspot Setup

Los diferentes pasos del Wizard serán:

1- Hospot Interface: Seleccionar el interfaz al que se asociará el hotspot. 

2- Local Address of Network: Seleccionar la red local, donde se aplicará el hotspot. Automaticamente cargará la configuración asociado al interfaz seleccionado.

Marcar la opción "Masquerade Network"

3- Address Pool of Network: Pool de direcciones IP que se entregarían al cliente. Se rellenará automáticamente con el rango de direcciones disponibles en la red configurada. Cambiar si se quiere reducir el pool.

4- Select certificate: none

5- IP Address of SMTP Setup: Dejar por defecto

6- DNS Servers: Configurar servidores DNS de la red. Se aconseja configurar la propia puerta de enlace de la red.  

7- DNS Name: Configurar el nombre asociado a la dirección del hotspot. 

8- Local Hotspot User: Dejar por defecto, ya que luego se borrará

Una vez finalizado el Wizard será necesario realizar algunos cambios sobre el Hotspot.

1- Cambios en Hotspot Server. Dentro de Winbox IP > Hotspot > Pestaña Servers, doble click en el hotspot creado en el anterior apartado.

  • Name: modificar el nombre con el formato MAC:SSID, siendo la MAC la dirección del Ethernet 1 (Interfaces > pestaña Interface > ether1 > MAC Address) del equipo y SSID el nombre de la red WiFi que radiarán los APs. Por ejemplo: aa-bb-cc-dd-ee-ff:WifiGuest

No tiene porque ser el SSID de la red, pero al menos una etiqueta que identifique la red y que coincida con el campo Server Name tag configurado en la plataforma. 

  • Addresses Per MAC, poner un número alto ya que la limitación la delimitarán los servidores Radius

 

 

  1. Cambios Server Profile. Durante el wizard Hotspot Setup, se habrá creado un nuevo profile que editaremos para hacer los cambios.

 

 

  • Pestaña General > HTML Directory: Seleccionar el directorio raiz de las páginas de login cargadas en el apartado 2.

  • Pestaña Login > Login By: Seleccionar HTTP PAP.

  • Pestaña RADIUS:

    • Marcar Use Radius

    • Marcar Accounting. 

    • Interium Update configurar: 00:10:00

  1. Cambios Users

  • Pestaña Users, borrar el usuario creado durante el proceso Hotspot Setup, por defecto "admin"

  1. Cambios User Profile.

  • Pestaña User Profiles, doble click en el profile por defecto y revisar parámetros:

    • idle Timeout: Tiempo de inactividad antes de que el usuario se desconecte. Se aconseja unos 15 minutos: 00:15:00

    • Keepalive Timeout: Tiempo de desconexión antes de que el usuario se desconecte. Se aconseja unos 5 minutos: 00:05:00

    • Shared Users: Poner un valor muy alto ya que será controlado por el servidor radius.

    • Rate Limit (rx/tx): Dejarlo en blanco ya que será controlado por la plataforma / radius.

2.4 Walled Garden

Sería necesario configurar una serie de dominios con libre acceso desde la red de Hotspot para que funciones correctamente el portal cautivo.

Para ello será necesario añadir algunos dominios en el apartado IP > Hostpot > Walled Garden

/ip hotspot walled-garden add dst-host=<domain-name>

y otros en IP > Hostpot > Walled Garden IP List (los marcados en el listado con IPList)

/ip hotspot walled-garden ip add action=accept dst-host=<domain-name>

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

2.5 Opción configuración proceso login: HTTPS

Para que todo el proceso se validación se realice de forma segura, es necesario cargar un certificado en el equipo y asociarlo al login del hotspot.  Para ello:

1- Acceder a la configuración del equipo mediante Winbow y dentro del menú Files cargar los certificados que se asociarán al login seguro. 

a- El equipo no tiene la carpeta "flash" preinstalada. Puede subir los certificados directamente sobre la raíz de Files.

b- El equipo tiene la carpeta "flash" preinstalada. Debemos de subir los certificados dentro de la carpeta flash.

2- Una vez que los 3 archivos han sido cargados en el equipo abrir el apartado New Terminal y ejecutar los siguientes comandos uno a uno (en passphrase pulsar intro).

Se aconseja cambiar el nombre para que sea más identificativo, se puede buscar por el nombre del subdominio asociado al certificado.

3- Tras ejecutar estos comandos acceder al apartado System > Certificates y comprobar que se han importado correctamente los certificados. El archivo debe de tener el nombre cert_securelogin.

4- En IP > Hotspot > Pestaña Server Profile,  editar el creado durante el Hotspot Wizard.  En la pestaña General > parámetro DNS Name configurar el nombre asociado al subdominio del certificado (<certificate-domain-name>)

5- Dentro del mismo Server Profile > Pestaña Login

  • Habilitar en el parámetro Login By la opción HTTPS.

  • Seleccionar en SSL Certficate el certificado importado anteriormente.

2.6 Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso, se debe añadir la MAC configurada en IP > Hotspot > Server que debería coincidir con la dirección MAC del Ethernet 1 del equipo:

De igual manera, la etiqueta WLAN, deberá coincidir con la etiqueta Service Name Tag de la plataforma

Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi

3.1  Configuración Captive portal + MAC Authentication

Para activar la autenticación por MAC es necesario editar el Server Profile creado anteriormente y habilitar esta opción. Para ello dentro de la configuración del Hotspot acceder a la pestaña Server Profile y seleccionar el profile creado anteriormente. Una vez dentro de la configuración acceder a la pestaña Login y habilitar la opción MAC dentro de la pestaña Login By. 

Dejar por defecto las opciones MAC Auth. Mode y MAC Auth. Password

3.2 Configuración MAC Authentication

Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse al submenú IP > Hotspot y dentro de la pestaña Servers Crear un nuevo Hotspot como se indica en el punto 2.3 pero con los datos de red destinados a la validación por MAC Authentication.

  • Name: modificar el nombre con el formato MAC:SSID, siendo la MAC la dirección del Ethernet 1 (Interfaces > pestaña Interface > ether1 > MAC Address) del equipo y SSID el nombre de la red WiFi que radiarán los APs. Por ejemplo: aa-bb-cc-dd-ee-ff:Mac_Auth_Guest

  • Addresses Per MAC, poner un número alto ya que la limitación la delimitarán los servidores Radius

Cambios Server Profile. Durante el wizard Hotspot Setup, se habrá creado un nuevo profile que editaremos para hacer los cambios.

  • Pestaña Login > Login By: MAC Auth. Mode, MAC Cookie y MAC Auth. Password

Pestaña RADIUS:

  • Marcar Use Radius

  • Marcar Accounting. 

  • Interium Update configurar: 00:10:00

3.3 Configuración Access Profiles

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Mikrotik. Aunque están disponibles los dictionarys radius más comunes y propietarios de Mikrotik, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

Idle-Timeout

Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. Tiene que ser configurado en segundos.

Segundos

Acct-Interim-Interval

Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario. Tiene que ser configurado en segundos.

Segundos

WISPr-Bandwidth-Max-Down

Define límites de velocidad de bajada. Tiene que ser configurado en bytes.

Bytes

WISPr-Bandwidth-Max-Up

Define límites de velocidad de subida. Tiene que ser configurado en bytes.

Bytes

Mikrotik-Recv-Limit

Define la cuota de trafico límite de bajada. Tiene que ser configurado en bytes.

Bytes

Mikrotik-Xmit-Limit

Define la cuota de trafico límite de subida. Tiene que ser configurado en bytes.

Bytes

Mikrotik-Group

Asignación de un Rol Name/ Profile, previamente creado

 

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, …

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados: