Está en la página 1de 41

MAE-ADM-UMR

Introducción a MikroTik
User Manager
v6.42.6.01
Libro de Estudio

ABC Xperts ®
Network Xperts ®
Academy Xperts ®

Derechos de autor y marcas registradas


Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo

Derechos de autor © por Academy Xperts


Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier
medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos
en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte
de este libro es ilegal y sujeta a sanciones legales.
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager

Tabla de contenido
Introducción ................................................................................................................................................................ ii
Resumen ................................................................................................................................................................. iii
Audiencia ................................................................................................................................................................. iii
Convenciones usadas en este libro........................................................................................................................... iii
Comentarios y preguntas.......................................................................................................................................... iv
Partners de Academy Xperts en Latinoamérica.................................................................................................... v
Empresas Asociadas ................................................................................................................................................. v
Universidades e Institutos Superiores ....................................................................................................................... vi
Deseas convertirte en Academia o ser Partner de Academy Xperts? ......................................................................... vi
Un poco de Historia (Costa Rica) ............................................................................................................................. vii
Cubriendo un País con MikroTik. ...................................................................................................................... vii
Capítulo 1: User Manager.......................................................................................................................................... 1
Protocolo AAA.......................................................................................................................................................... 1
Autenticación .................................................................................................................................................... 1
Autorización...................................................................................................................................................... 1
Contabilización (Accounting) ............................................................................................................................. 2
Lista de protocolos AAA ........................................................................................................................................... 2
DIAMETER....................................................................................................................................................... 2
TACACS........................................................................................................................................................... 3
TACACS+......................................................................................................................................................... 3
Que es RADIUS? ..................................................................................................................................................... 3
¿Qué es user manager? ........................................................................................................................................... 4
Instalación de User Manager .................................................................................................................................... 4
Primer Acceso .................................................................................................................................................. 6
Customers ............................................................................................................................................................... 6
Capítulo 2: User Manager + HotSpot....................................................................................................................... 7
Routers .................................................................................................................................................................... 7
Cliente Radius.......................................................................................................................................................... 8
Profiles .................................................................................................................................................................... 8
Validez..................................................................................................................................................................... 9
Limitaciones ............................................................................................................................................................. 9
Users ......................................................................................................................................................................11
Sessions .................................................................................................................................................................12
Logs .......................................................................................................................................................................12
Active Sessions.......................................................................................................................................................13
Active Users............................................................................................................................................................13
Vouchers ................................................................................................................................................................14
Template voucher....................................................................................................................................................15
Respaldos...............................................................................................................................................................15
Integración de pago por PayPal ...............................................................................................................................16
Capítulo 3: User Manager + PPPoE/ PPTP/L2TP................................................................................................. 19
User Manager + PPPoE ..........................................................................................................................................19
User Manager + PPTP/L2TP ...................................................................................................................................23
Capítulo 4: User Manager + Users RouterOS/DHCP Lease/Wireless Profiles ............................................... 26
User Manager + Wireless Profiles ............................................................................................................................26
User Manager + Wireless Lab ..........................................................................................................................26
User Manager + RouterOS Users ............................................................................................................................29
User Manager + RouterOS Users Lab ..............................................................................................................29
User Manager + DHCP Lease .................................................................................................................................30
User Manager + DHCP Lease Lab ...................................................................................................................31

Ac a d e m y Xp e r ts i
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager

Introducción

MikroTik es una empresa que nace en Latvia (Letonia) en 1996 con el claro objetivo de proveer un sistema operativo de red
altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al
mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico
y multi-núcleo, este hardware es el RouterBOARD.
A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes
por nuestros racks, siendo Cisco el referente, sin embargo siempre había representado un costo más o menos importante a
la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP.
No es sino hasta hace una década aproximadamente en que MikroTik se empieza a hacer conocer en Latinoamérica y varios
emprendedores, y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y
RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index México (Ezequiel García) y REICO Costa Rica
(Miguel Solís) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y
gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas.
Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del
networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha - Junio 2015) obtienen su
internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños y
medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD.
Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino
que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamérica, rompiendo paradigmas de
fabricantes y costos de implementación.
Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar
en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente
importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.

Mauro Escalante
CEO Academy Xperts
CEO Network Xperts

Ac a d e m y Xp e r ts ii
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager

Resumen
Hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de
certificación, pero que resultan claves para el correcto entendimiento de la materia.
La información aquí presentada se complementa con nuestros recursos en www.abcxperts.com y
www.youtube.com/abcxperts
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es
invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el
material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas
que optan por leer un libro y estudiar a su propio ritmo.
Tenemos una tarea inmensa por delante pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía
de autoestudio MikroTik.

Audiencia
Las personas que leen este libro deben estar familiarizados con:
• Operaciones de red en Capa 2
• Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP
Este libro está dirigido a:
• Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a:
§ Redes Corporativas
§ Clientes WISP e ISP
• Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes
corporativa y PYMES
• Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario
(Help Desk)

Convenciones usadas en este libro


En este libro se utilizarán las siguientes convenciones tipográficas:
Itálicas
Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso
de términos técnicos
Courier new
Indica direcciones IP y ejemplos de línea de comando
Courier new en itálica
Indica texto que puede ser reemplazado
Courier new en negrita
Indica datos de entrada del usuario

Ac a d e m y Xp e r ts iii
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager

Comentarios y preguntas
Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección:
Network Xperts S.A.
Av. Juan T. Marengo y J. Orrantia
Edificio Professional Center, Piso 5, Ofic. 507
Guayaquil, ECUADOR
+593-4-600-8590
+593-9-9535-2132

A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información
adicional:
http://cursos.abcxperts.com

Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a:
libro@abcxperts.com

Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite nuestros
Websites y canal de YouTube
http://www.abcxperts.com
http://www.academyxperts.com
http://www.youtube.com/abcxperts

Ac a d e m y Xp e r ts iv
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager

Partners de Academy Xperts en Latinoamérica

Nuestro recorrido por América Latina nos ha comprometido de una manera muy importante con nuestros alumnos, amigos
y socios. Y este compromiso conlleva la enorme responsabilidad de estar siempre a la vanguardia, de presentar a nuestros
estudiantes el mejor y más completo material de estudio & laboratorio, y lo que es muy importante… que el contenido siempre
esté actualizado.
Nos encantaría estar presente en cada uno de los 16 países y las más de 70 ciudades que recorremos todos los años, pero
el tiempo y la disponibilidad física nos es un obstáculo.
Por este motivo hemos desarrollado un esquema de Partnership con empresas, universidades e institutos superiores en
diferentes países que trabajan junto con nosotros en sus respetivos ambientes, y que entregan a sus estudiantes el contenido
y el acceso a la suscripción anual de este libro (y todos sus recursos) por un cómodo valor.

Empresas Asociadas

Blazar Communications
Writel Bolivia S.R.L. S.A. de C.V. Andrickson
Bolivia, Santa Cruz de la Sierra México, Mérida - Yucatán República Dominicana, Sto.Dgo.
www.writelbolivia.com www.blazar.com.mx www.andrickson-wireless.com

MikroTik Trainer Partner Wireless ISP Distribuidores Autorizados


Ubiquiti Trainer Partner MikroTik Consultant Ubiquiti
Cursos de Certificación MikroTik y Ubiquiti Consultant MikroTik
Ubiquiti. Cursos de Certificación MikroTik y Epcom
Master Distributor MikroTik, Ubiquiti. RF Armor
Ubiquiti, iboss, Denwa, Cambium, Reseller MikroTik, Ubiquiti, L-com, Grandstream
itelite, L-com Grandstream, Hikvision

Winex Sisbit IndyNet


Paraguay, Asunción Ecuador, Gualaceo Ecuador, San Lucas - Loja
www.winex.com.py www.sisbit.net www.indynet.net.ec
maraujo@winex.com.py info@sisbit.net tlgo.manuellozano@gmail.com

MikroTik Trainer Partner MikroTik Trainer Partner Academy Xperts Partner


Cursos de Certificación MikroTik, Cursos de Certificación MikroTik, Cursos de Certificación Academy
Ubiquiti y Academy Xperts Ubiquiti y Academy Xperts Xperts, MikroTik y Ubiquiti

Ac a d e m y Xp e r ts v
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager

Macrotics SAS CQNet


Colombia, Cali & Bogotá Costa Rica, San Carlos, Alajuela
www.macrotics.co www.cqnetcr.com
info@cqnetcr.com

MikroTik Official Distributor Tienda OnLine


Ubiquiti Distributor & Master Redes, Componentes PC,
Reseller Computadoras, Audio & Video…

Universidades e Institutos Superiores

Instituto SISE
Perú, Lima
www.sise.edu.pe

Academia MikroTik
MTCNA (Network Associate)

Deseas convertirte en Academia o ser Partner de Academy Xperts?


• Si eres Universidad o Instituto Superior que cuenta con el respectivo acuerdo ministerial de tu país, puedes
optar por convertirte en una Academia MikroTik. Escríbenos a libro@abcxperts.com para darte más información.
• Si eres Trainer Partner y quieres explotar junto a tus alumnos nuestro material y portal de capacitación, te
invitamos escribirnos a mescalante@academyxperts.com para proporcionarte los detalles.
• Si deseas que organicemos cursos en tu ciudad/país de residencia, escríbenos a cursos@academyxperts.com

Ac a d e m y Xp e r ts vi
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager

Un poco de Historia (Costa Rica)


Cubriendo un País con MikroTik.
En el año 1998, estando en una empresa de servicios públicos en Costa Rica, el Ing. Miguel Solís en conjunto con el Ing.
Paulino Solano, comenzaron a utilizar MikroTik con gran éxito en las telecomunicaciones de esta empresa. Se lograron 2
Mbps en una distancia de 8 Km, una velocidad record para aquellos tiempos en que la velocidad rondaba los 256 Kbps.
En esta empresa de Servicios Públicos, se logró la interconexión de 52 sucursales mediante tecnología inalámbrica, todas
bajo la misma marca MikroTik y su sistema operativo RouterOS.
Dado el éxito alcanzado en este proyecto, ambos ingenieros en conjunto con uno más llamado Olman González, decidieron
formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no fuera factible o
se necesitara más velocidad. Esta empresa fue nombrada Redes Inalámbricas de Costa Rica S.A (REICO).
Es así como a la fecha (Julio 2015), REICO, con solo Miguel Solís como propietario, tiene el liderato en telecomunicaciones
inalámbricas en el país Centroamericano Costa Rica. REICO posee más de 3,800 Km de red troncal inalámbrica y más de
80,000 Km de red de acceso. Posee más de 100 radio bases instaladas estratégicamente para alcanzar una cobertura de
más del 80% del territorio y a más del 90% de la población.
La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales,
turísticos, comerciales, etc.
Su plataforma tiene una particularidad única en el mundo, con sus más de 1,000 clientes corporativos y empresariales y sus
más de 1,500 equipos de acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA MIKROTIK.
REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con
grandes de las telecomunicaciones y aun así mantiene una posición privilegiada, siendo el cuarto operador en Costa Rica
en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA pero por encima de Claro,
Telefónica, Cables & Wireless, etc. Esto según el último informe de Estadísticas del Sector de Telecomunicaciones de Costa
Rica 2014.

Texto desarrollado por el Ing. Miguel Solís, a quien agradezco por su aporte histórico
sobre los inicios de MikroTik en Latinoamérica.

Ac a d e m y Xp e r ts vii
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 1: User Manager

Capítulo 1: User Manager

Protocolo AAA
En seguridad informática, el acrónimo AAA corresponden a un tipo de protocolos que realizan tres funciones: autenticación,
autorización y contabilización

Autenticación
La autenticación es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un
cliente (usuario, ordenador, etc) y la segunda un servidor (ordenador). La autenticación se consigue mediante la presentación
de una propuesta de identidad y la demostración de estar en posesión de las credenciales que permiten comprobarla.

Ejemplos posibles de estas credenciales son las contraseñas, los testigos de un sólo uso (one-time tokens), los Certificados
Digitales, o los números de teléfono en la identificación de llamadas. Viene al caso mencionar que los protocolos de
autenticación digital modernos permiten demostrar la posesión de las credenciales requeridas sin necesidad de transmitirlas
por la red (véanse por ejemplo los protocolos de desafío-respuesta).

Autorización
Autorización se refiere a la concesión de privilegios específicos a una entidad o usuario basándose en su identidad
(autenticada), los privilegios que solicita, y el estado actual del sistema.
La mayor parte de las veces el privilegio concedido consiste en el uso de un determinado tipo de servicio. Ejemplos de tipos
de servicio son, pero sin estar limitado a: filtrado de direcciones IP, asignación de direcciones, asignación de rutas, asignación
de parámetros de Calidad de Servicio, asignación de Ancho de banda, y Cifrado.
Las autorizaciones pueden también estar basadas en restricciones, tales como restricciones horarias, sobre la localización
de la entidad solicitante, la prohibición de realizar logins múltiples simultáneos del mismo usuario.

Ac a d e m y Xp e r ts 1
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 1: User Manager

Contabilización (Accounting)
La contabilización se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta información puede
usarse posteriormente para la administración, planificación, facturación, u otros propósitos. La contabilización en tiempo real
es aquella en la que los datos generados se entregan al mismo tiempo que s produce el consumo de los recursos.
En contraposición la contabilización por lotes (en inglés batch accounting) consiste en la grabación de los datos de consumo
para su entrega en algún momento posterior. La información típica que un proceso de contabilización registra es la identidad
del usuario, el tipo de servicio que se le proporciona, cuando comenzó a usarlo, y cuando terminó.
Lista de protocolos AAA
- RADIUS
- DIAMETER
- TACACS
- TACACS+

DIAMETER
DIAMETER es un protocolo de red, diseñado para suministrar un marco de trabajo que ofrezca servicios AAA (
Authentication, Authorization, Accounting ) para aplicaciones que involucran acceso a redes o aplicaciones IP Móvil. Diameter
es un protocolo cuyo desarrollo se ha basado en el protocolo RADIUS
Al terminar el protocolo RADIUS en el primer semestre de 2000, surgió un nuevo grupo de trabajo del IETF denominado AAA
y decidió dar inicio al desarrollo de un nuevo protocolo que fuese el sucesor de RADIUS. Se evaluaron varios protocolos y
finalmente se optó por evolucionar el protocolo DIAMETER, así que dedicaron su esfuerzo en mejorarlo y estandarizarlo ante
el IETF. Inicialmente diseñado como una mejora del protocolo RADIUS la meta era maximizar la compatibilidad y facilitar la
migración desde RADIUS. El origen de su nombre, no es un acrónimo, sino un juego de palabras y de lógica ingeniosa que
representa al diámetro como el doble del radio, aunque sin embargo este protocolo es mucho más que eso y numerosos
autores citan DIAMETER como el futuro de los protocolos AAA.
Mejora respecto de RADIUS
Las principales diferencias de DIAMETER si lo comparamos con su antecesor RADIUS son:
• Usa protocolos de transportes fiables (TCP o SCTP, no UDP).
• Usa seguridad a nivel de transporte (IPSEC o TLS).
• Tiene compatibilidad transicional con RADIUS.
• Tiene un espacio de direcciones mayor para AVPs (Attribute Value Pairs, pares atributo- valor) e identificadores (32
bits en lugar de 8).
• Es un protocolo peer-to-peer en lugar de cliente-servidor: admite mensajes iniciados por el servidor.
• Pueden usarse modelos con y sin estado.
• Tiene descubrimiento dinámico de peers (usando DNS, SRV y NAPTR).
• Tiene negociación de capacidades.
• Admite ACKs en el nivel de aplicación, definiendo métodos de fallo y máquinas de estado (RFC 3539).
• Tiene notificación de errores.
• Tiene mejor compatibilidad con roaming.
o Es más fácil de extender, pudiendo definirse nuevos comandos y atributos
o Incluye una implementación básica de sesiones y control de usuarios.
Seguridad en DIAMETER
DIAMETER se apoya en IPsec o TLS para ofrecer seguridad. Estos protocolos son aceptables en ambientes donde todos
los nodos son confiables.

Ac a d e m y Xp e r ts 2
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 1: User Manager

Todas las implementaciones de DIAMETER deben soportar IPsec ESP en modo Transporte e IKE para autenticación,
negociación de asociaciones de seguridad, gestión de claves.
Es obligatorio para todos los servidores y agentes DIAMETER que soporten IPsec y TLS, sin embargo, los clientes solo
están obligados a soportar IPsec, mientras que TLS es opcional.
TACACS
Es un protocolo de autenticación remota, propietario de cisco, que se usa para comunicarse con un servidor de autenticación
comúnmente usado en redes Unix.
TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticación para determinar si el usuario
tiene acceso a la red TACACS.
TACACS+ está basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuevo e incompatible con
las versiones anteriores de TACACS.
TACACS+
TACACS+ utiliza TCP (mientras que RADIUS opera a través de UDP)
Desde TCP es un protocolo orientado a la conexión, TACACS + no tiene que implementar el control de la transmisión.
RADIUS, sin embargo, tiene que detectar y corregir errores de transmisión, como la pérdida de paquetes, etc. tiempo de
espera ya que cabalga sobre UDP, que es sin conexión. RADIUS encripta la contraseña sólo los usuarios a medida que viaja
desde el cliente RADIUS al servidor RADIUS.
Toda otra información, como el nombre de usuario, autorización, contabilidad se transmiten en texto claro. Por lo tanto, es
vulnerable a los diferentes tipos de ataques. TACACS + encripta toda la información mencionada anteriormente y por lo tanto
no tiene las vulnerabilidades presentes en el protocolo RADIUS.

Que es RADIUS?
Viene el acrónimo Remote Authentication Dial-In User Service.
Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812
(UDP) para establecer sus conexiones.

Funcionamiento
Cuando se realiza la conexión con un ISP mediante modem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información
que generalmente es un nombre de usuario y una contraseña.

Esta información se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la
petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta
utilizando esquemas de autenticación como PAP, CHAP o EAP.

Ac a d e m y Xp e r ts 3
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 1: User Manager

Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuándo
comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los
datos se pueden utilizar con propósitos estadísticos.
Si es aceptado, el servidor autorizara el acceso al sistema del ISP y le asigna los recursos de red como una dirección IP, y
otros parámetros como L2TP, etc.
Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando
comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los
datos se pueden utilizar con propósitos estadísticos.
Requerimientos
Como mencionamos antes para poder usar la función de Radius se debe descargar el paquete de user manager en la página
de www.mikrotik.com/download
Para esto debemos tener en cuenta ciertos requerimientos en cuenta:
- Se debe descargar el paquete *.npk con la versión más estable al igual que la versión del RouterOS
- El Router debería tener al menos 32MB RAM y 2MB espacio en Disco
- El paquete user manager trabaja solo en equipos con la arquitectura x86, MIPS, PPC, TILE y CHR

No pertenece al conjunto de paquetes que están comprimidos en el archivo. npk, por lo tanto, debe ser descargado a través
de la opción “All Package” e instalarlo d manera se de manera separada.
Los permisos son conforme a las licencias:
- Level 3: 10 sesiones activas
- Level 4: 20 sesiones activas
- Level 5: 50 sesiones activas
- Level 6: sesiones activas ilimitadas

¿Qué es user manager?


User Manager es un Servidor RADIUS
Es un sistema de administración que puede ser usado para:
- HotSpot Users;
- PPP (PPTP/PPPoE) Users;
- DHCP Users;
- Wireless Users;
- RouterOS Users;

Se debe descargar el paquete (*.npk) para poder usar la función de User-Manager

Instalación de User Manager


Si no tienes instalado (revisar en /system package) Descargar el paquete User Manager desde: www.mikrotik.com/download
Copiar el paquete user manager en su router
Reiniciar el router
Ingresar a través de http://IP_Router/userman
1) Descargamos el extra packages correspondiente a la arquitectura que tenga nuestro equipo MikroTik.

Ac a d e m y Xp e r ts 4
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 1: User Manager

2) Abrimos el archivo y buscamos el archivo de user manager y lo copiamos dentro del router y luego lo reiniciamos.

3) Verificamos que el paquete este instalado en system – packages

4) Entramos vía web al user manager

Ac a d e m y Xp e r ts 5
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 1: User Manager

Primer Acceso
- Credenciales por defecto
o Usuario “admin”
o No password
- Customer es el usuario administrador del User Manager
- El usuario admin del user Manager no tiene relación alguna con el usuario admin del router.

Customers
Utilizando para administrar usuarios, router, etc…
Es posible crear niveles de jerarquía
Cada Customer tiene un nivel de permiso igual o inferior al de su padre
Un Customer con permiso de owner es llamado subscriber
Los clientes están ordenados jerárquicamente en una estructura de árbol – cada uno puede tener cero o más sub-clientes y
exactamente uno de los padres en el cliente.
Contiene lo siguiente:
- Login y password: es utiliza para la interfaz web.
- Parent: empadronador sobre los clientes. Se utiliza para mantener la jerarquía de los clientes.
- Permissions: especifica el nivel de permiso
- Public ID: es un ID para identificar al cliente. Cuando un usuario quiere iniciar una sesión en la pagina de usuario
o para subscribirse tiene que especificar que los clientes a utilizar (ya que los nombres de usuarios de inicio de
sesión se les permite ser iguales entre varios abonados). Para mantener los nombres de inicio de sesión del cliente
en secret (por razones de seguridad), este campo se utiliza para identificar a los clientes (abonados).
- Public host: solo para suscriptores. Dirección IP o el nombre DNS especificando la dirección pública de este router
administrador.
- Empresa, ciudad, país, informativo
- Email: se utiliza para enviar mensajes de correo electrónico (por ejemplo, inicio de sesión de los usuarios).

Ac a d e m y Xp e r ts 6
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 2: User Manager + HotSpot

Capítulo 2: User Manager + HotSpot


Se deben realizar los siguientes pasos:
- Habilitar la opción “Use RADIUS” en el HotSpot.
- El HotSpot consulta primero la base de usuarios creada en /ip hotspot Users y luego consulta la del servidor Radius.
- En este caso, el servidor Radius será el User Manager.

Routers
Contiene la lista de Routers que pueden comunicarse con User Manager.
Utilice la dirección de loopback (127.0.0.1) para comunicarse con el User Manager instalado en el mismo router.
Coloque una contraseña en Shared Secret.
- Nombre: Nombre del router. informativo, debe ser único por equipo
- Dirección ip: dirección IP del router
- Shared secret: contraseña usada para la autenticación
- Log events: especifica que eventos deber ser mostrados al iniciar la sesión

Ac a d e m y Xp e r ts 7
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 2: User Manager + HotSpot

Cliente Radius
Configure aquí todos los clientes Radius que desee.
Es posible tener más de una configuración, esto es comúnmente usado para especificar servicios diferentes en base de
datos distintas.
En service especifique el servicio que desea usar.
Coloque la IP 127.0.0.1 y coloque el Shared secret creado en la lámina anterior.
En caso de configurar 2 o más servidores para el mismo servicio, el router respetara el orden numérico.
Tenemos los siguientes parámetros:
- Accounting-backup (yes|no; Default:no): es para que el servidor RADIUS haga copia de seguridad.
- Accounting-port (integer [1..65535]; Default: 1813): Puerto del servidor RADIUS utilizado para el Accounting.
- Address (IPv4/IPv6 address; default:0.0.0.0): direccion IPv4 o IPv6 del servidor RADIUS.
- Authentication-port (integer [1..65535]; default:1812): Puerto del servidor RADIUS para la autenticacion.
- Called-id (string; Default:): el valor depende del protocolo punto a punto: PPPoE – nombre del servicio, PPTP –
direccion IP del servidor, L2TP – la direccion ip de servidor.
- comment (string; Default:): poner comentario.
- domain (string; Default:): nombre del dominio del client (Microsoft Windows)
- realm (string; Default:): indique expresamente (dominio de usuario), por lo que los usuarios no tienen que
proporcionar el nombre de dominio del ISP apropiado en nombre del usuario.
- secret (string; Default:): contraseña compartida utilizado para acceder al servidor RADIUS.
- service (ppp|loing|hotspot|wireless|dhcp; default: ): servicios del enrutador que va a pasar al servidor RADIUS.
o Hotspot – servicio de autenticacion para el hotspot.
o Login – usuarios locales del router
o Ppp – autenticacion para clientes PPP
o Wireless – autenticacion de clientes wireless (Mac address de los clientes es enviado como User-name)
o Dhcp – autenticacion del cliente DHCP (Mac address de los clientes es enviado como User-name)
- src-address (IPv4/IPv6 address; default:0.0.0.0): origen de la direccion IPv4|IPv6 de los paquetes que se envían
al servidor RADIUS.
- timeout (time; Default: 100ms): tiempo de espera en el cual la petición debe ser reenviada.

Profiles
Los perfiles se pueden asignar a los usuarios de forma manual o asignados por el usuario cuando hacen un pago con éxito.
Si la propiedad de perfil “Starts” esta puedo como “At firts Login”, el perfil asignado a un usuario está inactivo hasta que el
usuario inicia sesión en el sistema (por ejemplo, a través de un hotspot).
Cuando el usuario inicia una nueva sesión, ese usuario queda con la hora de inicio ya fija, el tiempo final no se podrá cambiar,
no importa si la sesión permanece activa hasta que el tiempo se cierre.
Si el usuario tiene varios perfiles, se inicia entonces el siguiente perfil cuando el primer perfil se le termine su tiempo. Si no
hay perfiles más inactivos para empezar, el usuario se ve obligado a cerrar sesión.
Solo un perfil puede estar activo por usuario.
Los perfiles son asociados a los usuarios creados.
Pero no son obligatorios para la creación de usuarios.
Podemos usar los límites para establecer restricciones de IP Pool

Ac a d e m y Xp e r ts 8
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 2: User Manager + HotSpot

Los perfiles se utilizan para controlar el tiempo de sesión de usuario. Cada perfil tiene:
- Name: ID único para el perfil – también se utiliza en la página de registros para el menú desplegable de pagos.
- Name for Users: nombre descriptivo para el perfil que se muestra al usuario final cuando ellos entran a su página
de usuario.
- Owner: el propietario del perfil (por lo general “admin”)
- Validity: define el periodo de tiempo que el perfil es válido. (nota: no es el mismo que el tiempo en línea que se
establece en limitaciones)
- Starts: seleccionamos cuando queremos que se inicie el perfil.
- Price: cuanto va a costar para el usuario o si se deja en blanco, no hay pago requerido.
- Share Users: límites de sesión simultaneas para cada usuario.

Validez
Si en el campo de Starts se establece como At firts Login, una vez que se da el primer inicio de sesión comienza a contar
el marcador del tiempo. Por ejemplo, si la validez se establece a 1d, entonces un día después del primer inicio de sesión, sin
tener en cuenta si el usuario ha utilizado todo su tiempo en línea o no, el perfil no será válido y no será capaz de conectarse
de nuevo a menos que un nuevo perfil esté disponible en su lista de perfiles válidos.
Limitaciones
La limitación puede ser unidas a cualquier perfil.
Pueden ser limitados en varias dimensiones:
- Tiempo
- Cantidad de tráfico (upload and Download)
- Rate limits

Tiempo
El tiempo puede ser gestionado de dos maneras: Uptime limit y credit’s time.
Uptime limit
Es la cantidad de tiempo máximo del que dispone un usuario para activo (para tener sesiones activas). Si en el campo Uptime
limit se deja en blanco, el usuario no tendrá límite de tiempo de actividad. Ver el siguiente ejemplo:
El tiempo usado por el usuario será la suma de las duraciones de todas las sesiones de este usuario. Tiempo de actividad
no puede exceder al tiempo límite dado.
La solicitud del usuario para iniciar una nueva sesión se procesa de la siguiente manera:
- Uptime limit se comprueba. Si no se especifica, iniciar una nueva sesión, caso contrario proceder al siguiente paso.
- El tiempo de actividad restante (Uptime-left) se calcula: restante = limite - usado. Si el tiempo de actividad restante
no es positivo, genera un error, de lo contrario proceder al siguiente paso.
- Session-Timeout es configurado y una nueva sesión es iniciada.

Credit time
El usuario puede comprar los Vouchers, los Vouchers son válidos en un tiempo específico. Esto significa que, cuando inicia
un Vouchers, debe ser utilizado dentro de un tiempo específico. El usuario puede tener sesiones activas solo mientras el
Vouchers sea válido. Ver ejemplo a continuación.
Si a un usuario se le debe permitir el uso de 2 horas de acceso a internet y que debe utilizar estas dos horas dentro de una
semana, entonces, en el campo Uptime-limit se debe especificar 2h y el usuario debería tener un Vouchers con el tiempo
1w.
Cantidad de tráfico (traffic amount)
El usuario tiene campos de Download-limit y upload-limit. Para especificar cantidad ilimitada, deje en blanco el campo
adecuado. Los limites se especifican en byte. Por ejemplo, para permitir la descarga de 1GB, Download-limit debe tener el
valor de 1073741824 (1073741824 = 1024 x 1024 x 1024 bytes = 1 gigabyte).
Rate limit
El usuario tiene un campo de rate-limit. Este campo está disponible directamente en la consola, pero se divide en varios
campos en la interfaz web, para facilitar el proceso de entrada.
1) Debemos crear y nombrar a nuestro nuevo perfil
• Dicho nombre que será usado luego para cuando se lo queramos asignar a un usuario

Ac a d e m y Xp e r ts 9
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 2: User Manager + HotSpot

2) Una vez generado el archivo podremos encontrar ciertas opciones de configuraciones

3) Crearemos una limitación para dicho perfil creado

4) Luego agregamos la limitación al perfil creado

Ac a d e m y Xp e r ts 10
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 2: User Manager + HotSpot

Users
El menú Users almacena los usuarios de:
- /ip hotspot user
- /ppp secrets
- /ip dhcp-server lease
- /user

Administra los usuarios que utilizaran los servicios especificados.


Es posible acceder a través de consola /tool usermanager user
Equivale, por ejemplo, a un usuario configurado en /ip hotspot user
Es posible especificar usuario, contraseña, dirección IP e información personal.
Para la creación de usuarios podemos realizar uno o varios a la vez. Con la opción de add tendremos dos opciones:
- One: crear solamente un usuario.
- Batch: crear varios usuarios a la vez con un mismo perfil.

Con la opción One


- Username and password usado para identificar al usuario. Diferentes suscriptores pueden tener el mismo
username y password.
- First name, last name, pone, location. Informational
- Email usado para enviar notificaciones al usuario (por ejemplo: cuando inicie sesión)
- Ip address si el campo se deja en blanco, el usuario obtendrá una ip cuando la autorización se complete.

Ac a d e m y Xp e r ts 11
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 2: User Manager + HotSpot

Con la opción Batch


- Number of Users especificamos el número de usuarios que queremos que se generen
- Username prefix especificamos un prefijo para la creación de los usuarios
- Username length especificamos el número de caracteres que queremos que se genere para los usuarios.
- Pwd same as Login especificamos si queremos que el usuario y contraseñan sean los mismos.
- Password length: especificamos el número de caracteres que queremos que se genere para los usuarios.
- First name, last name, pone, location. Informational
- Email usado para enviar notificaciones al usuario (por ejemplo: cuando inicie sesión)

Luego de esto podremos ver los usuarios generados en la ventana de Users:

Sessions
El termino Sessions se refiere al periodo de tiempo que un usuario este usando algún servicio (Hotspot). Son parámetros de
lecturas.
- Username usuario activo
- Status estado se sesión del usuario
- User IP direccion ip del usuario
- Host IP direccion ip del router
- From time tiempo en el que inicio sesión el usuario
- Till time tiempo en el que termina la sesión
- Uptime endtime – startTime
- Download cantidad de trafico descargado
- Upload cantidad de trafico de subida

Logs
Los Logs se escriben cuando las peticiones como autenticacion o Accounting son recibidas.

Ac a d e m y Xp e r ts 12
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 2: User Manager + HotSpot

Los datos de Logs almacenados son:


- Username pueden diferir en la tabla de registros
- User IP
- Host IP. Router’s IP
- Status
- Time
- Description
- Nas port
- Nas port Type
- Nas post ID
- ACCT session ID
- Calling station ID

Active Sessions
Cunado una sesión comienza el estatus de activado se configura. Se puede poner inactivo por una de las siguientes maneras:
- User manager recibe un mensaje de Accounting-stop
- Clientes cierran sesión manualmente desde la interfaz web. La opción “Close” está disponible desde la ventana de
sesiones activas en la ventana de estatus.
- Una sesión es cerrada cuando el mismo router quiere iniciar sesión con el mismo Accounting-session-id.

Active Users
Un usuario es considerado como activo si tiene al menos una sesión activa. Un usuario puede tener más de una sesión
activa al mismo tiempo.

Ac a d e m y Xp e r ts 13
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 2: User Manager + HotSpot

Vouchers
Los template de los voucher pueden ser editados desde Settings – template
Cada cliente puede tener su propio voucher template, varias constantes pueden ser incluidas en los template de los
Vouchers. Cada constante puede ser agregados entre signos de porcentaje. Por ejemplo: %u_username%, %u_password%.
las constantes pueden ser encontradas en el siguiente link:
http://wiki.mikrotik.com/wiki/User_Manager/Character_constants#Voucher_template_constants
Para generar los Vouchers lo podemos realizar desde la ventana de Users. En genérate y antes de eso debemos seleccionar
a los usuarios que queremos que se generen como voucher.

Luego cuando debemos dar clic en genérate tendremos la opción de voucher y pondremos generar para que nos aparezcan
los Vouchers ya creados y luego los podamos imprimir.

Ac a d e m y Xp e r ts 14
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 2: User Manager + HotSpot

Template voucher
Los voucher que vimos anteriormente son los que vienen por defecto por parte del user-manager y como se mencionó
anteriormente lo podemos editar, agregando nuevos parámetros para ser mostrados en el voucher que queramos generar.
En la sección de Setting – templates seleccionaremos Vouchers y encontraremos las variables que se muestran por default.
y podrán encontrar el texto .html a modificar.

Y con los cambios adecuados deberíamos tener una mejor presentación del voucher con menos palabras como el que salía
por default.

Respaldos
Podemos generar respaldos de configuraciones importante generadas por el user-manager.
Podemos generarlos desde la consola terminar del winbox con los comandos export
Ac a d e m y Xp e r ts 15
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 2: User Manager + HotSpot

O podemos guardar desde la misma interfaz web del user-manager toda la información generada, desde maintenance –
database y podremos guardar base de datos actual desde el botón save.

Integración de pago por PayPal


User Manager de MikroTik es capaz de usar los métodos de pagos de PayPal y Authorize.Net para ser integrados como un
método de acceso a la red, por ejemplo: Hotspot

Configuraciones previas para integrar PayPal (Las flechas indican configuraciones previas para integrar PayPal)

Ac a d e m y Xp e r ts 16
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 2: User Manager + HotSpot

Al activar los métodos de pagos y en nuestro usuario de administración activado el signup allowed ya podremos ingresar a
la interface de pago por PayPal
http://IP_Router/user/signup

Esta página debe ser redireccionada desde la pantalla principal de Hotspot cuando el usuario quiera conectarse a la red y
tenga que escoger la forma de conexión.
La suscripción de usuario puede dividirse en los siguientes pasos:

El suscriptor configura los parámetros requeridos:


El usuario crea una cuenta:
El usuario abre la URL de la página de registro en el navegador;
El usuario llena el formulario de registro;
El usuario elige el crédito;
El usuario elige el método de pago;
Se crea una cuenta inactiva para el usuario;
El usuario activa la cuenta (ejecuta el pago):
El usuario es redirigido a Payment Gateway;
El pago está siendo procesado;
El Gateway de pago envía respuesta (fue el pago exitoso o no) al router del Administrador de usuarios;
La cuenta se activa (si el pago se realizó con éxito);

Ac a d e m y Xp e r ts 17
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 2: User Manager + HotSpot

El usuario puede comenzar a utilizar los servicios. La comprobación de estado y el cambio de configuración se pueden
realizar en la página web del usuario.
Puede parecer un poco confuso, pero todos estos pasos son simples y se pueden hacer en varios minutos.
Parámetros de configuración:

Email: Dirección de correo electrónico de la cuenta de usuario. Debe ser único por abonado. Los datos de la cuenta se
enviarán a esta dirección si se especifica;
Login: Nombre de usuario deseado. Si se define el prefijo del usuario, se muestra a la izquierda y no se puede cambiar.
Así que el prefijo ya está predefinido (puede estar vacío), la parte restante del nombre de usuario se puede elegir. Debe
tener al menos 3 caracteres. Ejemplo: si el prefijo es "cu" (mostrado a la izquierda) y "test" es ingresado como parte
restante, el nombre de usuario será "cutest";
Password: Se explica por si mismo;
Confirm password: Contraseña una vez más para reducir la posibilidad de escribir mal;
Time: El crédito inicial para la cuenta de usuario;
Pay with: Selector de método de pago.

Ac a d e m y Xp e r ts 18
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 3: User Manager + PPPoE/ PPTP/L2TP

Capítulo 3: User Manager + PPPoE/ PPTP/L2TP


User Manager + PPPoE
Escenario PPPoE con base de datos local

1. Configuración server PPPoE


Configuramos la direccion IP en la interfaz LAN (ether3) 10.20.0.1/24, y la direccion 10.30.0.1/30 en la interfaz que
va hacia el servidor (ether2)

2. Activamos el servidor PPPoE en la interfaz ether3

Ac a d e m y Xp e r ts 19
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 3: User Manager + PPPoE/ PPTP/L2TP

3. Hacer las configuraciones necesarias en el profile a usar para el servidor

4. Configuramos para que las peticiones de usuarios sean desde el UserManager

5. Configurar direccionamiento ip en el router del user manager y también la ruta por default

6. Configuramos el cliente Radius en el router mikrotik “server pppoe”

Ac a d e m y Xp e r ts 20
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 3: User Manager + PPPoE/ PPTP/L2TP

7. Configuramos el servidor Radius especificando al cliente Radius

8. Crear limitaciones para los clientes de este laboratorio

9. Crear perfiles para las limitaciones creadas

Ac a d e m y Xp e r ts 21
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 3: User Manager + PPPoE/ PPTP/L2TP

10. Crear usuarios para los perfiles creados anteriormente

11. Crear PPPoE Cliente en uno de los dispositivos clientes

Ac a d e m y Xp e r ts 22
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 3: User Manager + PPPoE/ PPTP/L2TP

User Manager + PPTP/L2TP


Configuración
1. Primero configuramos el cliente Radius para especificar como servidor Radius al User Manager con el servicio PPP

2. Activamos los servicios de VPN PPTP y L2TP en el MikroTik

3. Configuramos el perfil de seguridad a usar, solo para indicar cual es la direccion local y los DNS que se van a
entregar

4. En la base de datos local “Secrets” debemos activar que se utilizara un servidor Radius para la autenticacion,
autorización, Accounting. Daremos clic en el botón “PPP Authentication&Accounting” y activaremos la opción “Use
Radius”

Ac a d e m y Xp e r ts 23
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 3: User Manager + PPPoE/ PPTP/L2TP

5. Configuramos la opción User Manager “Routers” para indicarles que dispositivos serán administrados

6. Si no se desea crear ningún tipo de limitación para los usuarios que se van a conectar vía VPN, crearemos solo un
perfil

7. Crearemos algunos usuarios usando este perfil

8. Conectar dispositivo cliente a la VPN


9. Comprobar conexión

Ac a d e m y Xp e r ts 24
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 3: User Manager + PPPoE/ PPTP/L2TP

• Una manera adicional de comprobar que se realizó la conexión es identificar qué significado tiene la Etiqueta “R”
en el usuario conectado

Ac a d e m y Xp e r ts 25
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 4: User Manager + Users RouterOS/DHCP Lease/Wireless Profiles

Capítulo 4: User Manager + Users RouterOS/DHCP Lease/Wireless Profiles


User Manager + Wireless Profiles
El Radius puede ser usado también en implementaciones Wireless para poder proveer mayor capacidad de seguridad para
sus clientes. Algunos métodos de autenticación son usados para conectar los clientes:
• PSK
• EAP
• Radius

Al momento de configurar los perfiles de seguridad nosotros podemos especificar que toda la autenticación será basada por
un servidor Radius.
O también hay que tener en cuenta que el método EAP menaje diferentes métodos para la autenticación. Existen más de 40
diferentes métodos EAP, RouterOS soporta el método EAP-TLS. RouterOS también es capaz de pasar (passthrough) todos
los métodos al Radius Server.

User Manager no soporta autenticación basado en EAP por lo que este concepto para poderlo ejecutar se debería hacer por
medio de algún otro servidor Radius (Free Radius, Windows Server).
El user Manager en nuestras implementaciones se pueden usar para la autenticación por medio de la MAC Address de cada
uno de los diferentes clientes que se tienen conectados.

User Manager + Wireless Lab


1. Configuramos el perfil de seguridad con Radius

Ac a d e m y Xp e r ts 26
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 4: User Manager + Users RouterOS/DHCP Lease/Wireless Profiles

2. Configuramos la tarjeta wireless con los parámetros de conexión que deseamos con el perfil de seguridad de MAC
Authentication

3. Configurar la tarjeta wireless cliente con los datos de conexión y con un perfil de seguridad de default

4. Creamos una limitación de un mega de tx y rx para este cliente en el User Manager

Ac a d e m y Xp e r ts 27
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 4: User Manager + Users RouterOS/DHCP Lease/Wireless Profiles

5. Le asignamos un perfil a esta limitación creada anteriormente

6. Creamos un usuario, para esto se necesita tener la direccion MAC de la tarjeta wlan1 del cliente

7. Comprobar conexión

Ac a d e m y Xp e r ts 28
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 4: User Manager + Users RouterOS/DHCP Lease/Wireless Profiles

User Manager + RouterOS Users


Los usuarios de los dispositivos RouterOS también pueden ser administrados por medio del User Manager. Aumentando
mas la seguridad por no usar la base de datos local del dispositivo.
Entonces por medio de este método, ahora los usuarios se autentican por medio de un servidor externo (User Manager) y él
les dará la autorización para acceder al dispositivo.
User Manager + RouterOS Users Lab
1. Indicamos que las peticiones de autenticacion serán enviadas desde un servidor Radius

2. Configuramos el cliente Radius indicando que los Login ahora serán administrador por medio de User Manager

3. Crear un usuario en nuestro valido en el User Manager

Ac a d e m y Xp e r ts 29
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 4: User Manager + Users RouterOS/DHCP Lease/Wireless Profiles

4. Ingresar por medio de la herramienta winbox con estos datos de usuario

User Manager + DHCP Lease


DHCP es un servidor que usa protocolo de red de tipo cliente/servidor en el que generalmente un servidor posee una lista
de direcciones IP dinámicas y las va asignando a los clientes conforme estas van quedando libres, sabiendo en todo
momento quien ha estado en posesión de esa IP, cuanto tiempo la ha tenido y a quien se la ha asignado después. Así los
clientes de una red IP puedan conseguir sus parámetros de configuración automática.
El protocolo de configuración Dinámica de Host (Dynamic Host Configuration Protocol) se usa para poder distribuir fácilmente
las direcciones IP en una red. La implementación de MikroTik RouterOS incluye las partes Server y Cliente, y es compatible
con el RFC2131.
El router soporta un servidor individual para cada interface tipo Ethernet. El servidor DHCP de MikroTik RouterOS soporta
las funciones básicas de proveer a cada cliente que solicita los siguientes valores:
• Reserva (lease) de direcciones IP/mascara (mask)
• Default gateway
• Nombre de dominio
• Servidor(es) DNS
• Servidor(es) WINS, para clientes Windows

Para que el servidor DHCP trabaje, se debe configurar también un pool de direcciones IP y las redes DHCP (DHCP networks).
Se debe tener cuidado de no incluir la direccion IP del propio servidor DHCP.
- DHCP es inseguro y debería ser usado únicamente en redes confiables

También se puede repartir las direcciones IP a los clientes DHCP usando el servidor RADIUS. Los parámetros soportados
por un servidor RADIUS son los siguientes:
- Access-Request:
o NAS-Identifier – identidad del Router
o NAS-IP-Address – Direcciones IP del mismo router
o NAS-Port – ID de sesión única
o NAS-Port-Type – Ethernet
o Calling-Station-Id – identicador del cliente (active-client-id)
o Framed-IP-Address – Direccion IP del cliente (active-address)
o Called-Station-id – nombre del servidor DHCP
o User-Name – Direccion MAC del cliente (active-mac-address)
o Password – “”
- Access-Accept:
o Framed-IP-Address – Direccion IP que será asignada al cliente
o Framed-Pool – Pool de direcciones IP desde la cual se asignará la direccion IP al cliente
o Rate-Limit: Limitación de la tasa de datos (datarate) para clientes DHCP. El formato es:
§ Rx-rate [/tx-rate] [rx-burst-rate[tx-burst] [rx-burst-threshold [/tx-burst-theshold] [rx-burst-time [/tx-
burst-time] [priority] [rx-rate-min[/tx-rate-min]]].
§ Todas las tasas deben ser números con ´k´(1,000s) o ´M´(1,000,000s)
§ Si no se especifica el tx-rate, entonces rx-rate es como tx-rate
§ Lo mismo para tx-burst-rate y tx-burst-threshold y tx-burst-time. Si ambos rx-burst-threshold y
tx-burst-threshold no se especifican (pero se especifica burst-rate), entonces rx-rate y tx-rate se
usan como Burst threshold.
§ Si ambos rx-burst-time y tx-burst-time no se especifican, se usa 1s como default
§ La prioridad toma valores entre 1..8, donde 1 es la mas alta prioridad y la 8 la mas baja.

Ac a d e m y Xp e r ts 30
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 4: User Manager + Users RouterOS/DHCP Lease/Wireless Profiles

§Si rx-rate-min y tx-rate-min no se especifican, entonces se usan los valores de rx-rate y tx-rate.
§Los valores de rx-rate-min y tx-rate-min no se especifican, entonces se usan los valores de rx-
rate y tx-rate.
o Ascend-Data-Rate – limitación de la tasa de datos tx / rx si se proveen múltiples atributos
§ Primero limita la tasa de datos tx
§ Segundo la tasa de datos rx
§ Si se usa junto con Ascend-Xmit-Rate, se especifica una tasa rx.
§ 0 es ilimitado

Ascend-Xmit-rate – limitación de la tasa de datos tx. Puede ser usada para especificar únicamente el limite tx en lugar de
enviar dos atributos secuenciales Ascend-Data-Rate (en ese caso Ascend-Data-Rate especificara la tasa de recepción). 0 si
es ilimitado.
Session-Timeout – tiempo de reserva (lease) máximo (lease-time)

User Manager + DHCP Lease Lab


1. Activar en el DHCP Server que se receptara información desde un servidor Radius

2. Configurar el cliente Radius indicando que el servicio DHCP será administrado por DHCP

Ac a d e m y Xp e r ts 31
MAE-ADM-UMR v6.42.6.01 – Introducción a MikroTik User Manager - Capítulo 4: User Manager + Users RouterOS/DHCP Lease/Wireless Profiles

3. Crear alguna política en los Profiles para esta reserva, por ejemplo: limitación, agregarlo a algún address-list en
especifico o que queramos que se cree automáticamente. Y luego le asignamos un perfil para este usuario

4. Creamos un usuario nuevo, para ello necesitan la direccion MAC del cliente a registrar

Como este caso estamos usando un pool de direcciones, no configuramos el campo IP address

Ac a d e m y Xp e r ts 32

También podría gustarte