利用routeos自带的hotspot，可以实现上网时需先进行WEB功能,内网用户要想上网必须web认证，未认证时直接跳转到hotspot登陆页

网络环境：

wan:192.168.0.22/24

lan:192.168.2.1/24

配置方法：

1、先配置用户规则且添加用户

ip–>hotspot–>users–>profiles–>+

（注意：特别注意的是如果你定义的profile里address pool里填了pool了，那么在后面提到的限制某个ip只可以使用这个认证用户名时会有问题，导致那个用户都认证不了，所以还是建议address pool为none）

建立一个新规则：

hotspot user profiles–>add
name：uprof_1
address pool：none
shared users：1 \\默认是不启用这项的，如果这里定义了1，那么就同时只有一个用户可以使用这个认证用户名，第二个计算机用这个用户认证是提示no more sessions are allowed for user test
rate limit： \\这里就可以定义上下行速度了
advertise：启用 \\这里还有做广告的功能，不过不知如何使用，呵呵

添加用户：

ip–>hotspot–>users–>add
server：all
name：admin
passwrod：admin
address： \\这里指定了ip，那么登陆成功后就提示你这个ip登陆成功，个人觉得没有用
mac adderss：00:01:23:45:67:89 \\如果这里指定了mac地址，那么就只有这个mac地址的用户可以使用这个认证用户名了，错误的mac登陆提示user aaa is not allowed to log in from this MAC address
profile：uprof_1

2、配置服务规则：

ip–>hotspot–>servers–>profiles–>+

这里我们新建一个规则：
hotspot server profiles–>add
name：sprof_1
html directory：hotspot \\这里可以自定义到别的地址，你可以把routerOS的hotspot目录下的文件修改部分来做自己个性的认证网页
login选项下login by：勾选http chap和cookie
http cookie lifetime：默认是3天的保存cookie，照情况可以选择合适的时间，当然如果不想保存cookie，那么在login by那里不要选就好了
radius选项下，如果要想使用radius，那么就勾选上use radius，这里建议使用radius(关于radius服务器的使用在架设pppoe、pptp服务器的时候已经讲到，请学习)，因为使用radius在认证成功时就可以看到你现在还可以使用多长时间等等。

3、新增一个hotspot服务

ip–>hotspot–>servers–>add
name：lan_auto_hotspot
interface：lan
address pool：none
profile：sprof_1

到现在，网已经断了，我们需要认证才可以连接上，认证完成了，现在再winbox连就好了。

4、客户机测试
首先保证客户机可以上网，意思就是先能解析域名了，在没有认证之前
ping 192.168.88.222 \\全部显示Reply from 192.168.88.222:Destination net unreachable
访问任意一域名或ip，必须保证访问的这个域名或ip在ping它时也显示Reply from 192.168.88.222:Destination net unreachable，就自动跳转到登陆页面，admin/admin 登陆成功
我们ping 192.168.251.118来看看，直接出现目标不可到达应该时网关没有设置，我们来设置网关，设置好了再ping看看，现在显示Reply from 192.168.88.222:Destination net unreachable了，认证通过！
我们访问http://192.168.251.118来看，正常跳转
再ping 192.168.88.222 \\全部正常ping通

常见问题：
web认证时常出现的几个错误之原因
1、invalid username or password \\routerOS–>ip–>hotspot用户数据库中或者radius用户数据库中 无此用户名 或者 用户名/密码错误
2、RADIUS server is not responding \\数据库中无此用户名且radius服务器未开启
3、user admin is not allowed to log in from this MAC address \\用户admin不可以通过这个mac地址登陆，因为设置用户时把此用户和mac绑定了–mac adderss
4、no more sessions are allowed for user admin \\用户admin不支持更多的“会话”，因为设置用户规则时设置一个用户只支持一个“会话”–shared users
5、web browser did not send challenge response (try again, enable JavaScript) \\修改ie属性，改安全级别到低点就好了

6、想让内网的机子一部分可以直接上网 一部分需要通过hotspot认证后方可上网 应该怎么设置？
只要在HOSTSPOT设好后，把不用认证上网的机子网卡的MAC地址在hostspot IP Bindings添加网卡MAC地址 并在Type 选bypassed，这样有MAC地址的机上网不用认证。

7、更新WEB认证页面：

以FTP软件登录ROS，进入hotspot目录，把里面所有的文件下载修改完成后再上传，或自己重新做一个