Documentación

SAMM documentación

El manual completo del operador — desde la primera instalación hasta las operaciones diarias.

25 temas 8 secciones Instalación con un comando
Instalación rápida

En línea en minutos, con un comando.

Ejecute una sola línea en un servidor Ubuntu o Debian nuevo: el programa previo busca la última versión e instala toda la pila SAMM por usted.

Leer la guía de instalación completa
install.sh — bash
curl -fsSL https://samm.securytik.com/install.sh | sudo bash

Primeros pasos

Descripción general & arquitectura

SAMM — S ecuryTik A ctivo M ikrotik M anager: es una plataforma completa de gestión de ISP para MikroTik PPPoE & Redes de puntos de acceso. Un instalador convierte un servidor Linux básico en un AAA completo, facturación y sistema de gestión de suscriptores.

Para quién es SAMM

SAMM está diseñado para ISP inalámbricos, operadores de fibra y proveedores de puntos de acceso que ejecutan MikroTik RouterOS . Si autentica suscriptores a través de PPPoE o Hotspot y necesita aplicar niveles de velocidad, límites de datos, fechas de vencimiento y facturación: SAMM lo hace todo desde una pantalla.

Cómo funciona

SAMM mantiene la ruta activa cerca de la base de datos. FreeRADIUS maneja cada paquete de autenticación y contabilidad; en cada actualización provisional contable que llama PostgreSQL funciona directamente para acumular uso y evaluar límites; no hay Viaje de ida y vuelta de Python mientras los suscriptores están en línea.

Cuatro superficies de ejecución cooperan a través de la base de datos única:

  • FreeRADIUS (unlang + rlm_sql) — authenticates every packet; on each Interim-Update it accumulates bytes/uptime and evaluates limits inside Postgres.
  • samm-radius — runs time-driven sweeps (expiry, daily reset, speed windows) and is the only process that sends Change-of-Authorization packets.
  • samm-worker — pings routers and syncs MikroTik device metadata over the API.
  • samm-api — the admin & customer portals; admin actions are queued to the database and applied by samm-radius, never sent as CoAs directly.

Los cinco servicios

ServicioRol
samm-apiPortal admin + portal de autoservicio al cliente + REST API
samm-radiusVacía la bandeja de salida CoA; ejecuta barridos de expiración/reinicio diario/ventana de velocidad
samm-workerHace ping a los routers; sincroniza metadatos de dispositivos MikroTik via API
samm-notificationEntrega notificaciones por correo & Telegram a través de una cola controlada
samm-telegramEjecuta el bot interactivo de autoservicio de Telegram

Qué hace SAMM

Núcleo AAA

Autenticación PPPoE & Hotspot, aplicación de velocidad por usuario, CoA híbrido.

Planes & límites

Niveles de velocidad más cuatro límites independientes y ventanas de velocidad programadas.

Suscriptores

Usuarios PPPoE/Hotspot más tarjetas de bono hotspot prepago con PDFs imprimibles.

Facturación

Precios por plan, facturas automáticas, libro de contabilidad de doble entrada para recibos/pagos/gastos.

Autoservicio

Un portal web para clientes y un bot de Telegram para uso, facturas y tickets.

Operaciones

Inventario MikroTik en vivo, administradores por roles, copia de seguridad & restauración, herramientas masivas.

Sistema

VPN WireGuard integrado, Túnel Cloudflare, seis idiomas, interfaz con temas.

Notificaciones

Alertas de renovación, expiración, cuota y recibo por correo y Telegram.

El resto de este manual es una guía para cada una de estas áreas. Utilice el menú en a la izquierda o comience con Instalación .

Primeros pasos

Instalación

SAMM instala todo lo que necesita: FreeRADIUS , PostgreSQL, nginx, WireGuard , cloudflared y los cinco servicios SAMM , en un solo paso. El instalador es idempotente : volver a ejecutarlo actualiza una instalación existente en su lugar y nunca sobrescribe su configuración ni regenera la contraseña de su base de datos.

SAMM se ejecuta en cualquier lugar: elija la ruta de instalación que se ajuste a su red:

  • Opción A/B : servidor Linux básico (recomendado para producción): instalación manual o con un solo comando en Ubuntu /Debian.
  • Opción C — Docker Redactar: ​​igual SAMM que los contenedores; multi-arch (amd64 + arm64) para que se ejecute en Ubuntu , Windows Docker Desktop, Apple -silicon Macs, en cualquier lugar.
  • Opción D — MikroTik RouterOS 7 contenedor: pega el archivo YAML de redacción directamente en tu enrutador. No se necesita caja Linux externa.

Requisitos previos

  • Un servidor nuevo : Ubuntu 22.04 LTS, Ubuntu 24.04 LTS o Debian 12. Solo Linux de nivel de servidor: no se admiten variantes de escritorio.
  • Acceso root/sudo y conexión a Internet.
  • systemd y un host donde se puede instalar PostgreSQL localmente (hay uno configurado para usted).

Opción A — instalar con un comando

En el servidor, ejecute:

curl -fsSL https://samm.securytik.com/install.sh | sudo bash

Este script de arranque descarga el último paquete de versión SAMM de GitHub y extrae y ejecuta el instalador completo automáticamente. Hecho en unos minutos.

Opción B: instalar manualmente desde un paquete de versión

Descargue la última samm-<version>.tar.gz desde Página de lanzamientos de GitHub , luego en el servidor:

tar -xzf samm-<version>.tar.gz
cd samm-<version>
sudo bash install.sh

También puede implementar desde un zip producido en otra máquina: el instalador rsync es la fuente en el propio /opt/samm :

mkdir -p /opt/samm && unzip samm.zip -d /tmp/samm-bundle
sudo bash /tmp/samm-bundle/samm/install.sh

O clonar el repositorio en /opt/samm y ejecutar sudo bash /opt/samm/install.sh .

En cualquier caso, cuando finalice la instalación, abre el portal de administración e inicia sesión con estas credenciales:

URL de accesohttp://<your-server>/admin · Nombre de usuarioadmin · Contraseñaadmin

Cambia la contraseña de administrador inmediatamente después de tu primer inicio de sesión.

Opción C: instalar con Docker Compose

Si prefiere ejecutar SAMM como contenedores (mismo producto, empaquetado de manera diferente) utilice la distribución Docker Compose en github.com/mhdhaidarah/samm-docker . En cualquier host con Docker disponible:

curl -fsSL https://github.com/mhdhaidarah/samm-docker/releases/latest/download/install.sh | sudo bash

Eso instala Docker si falta, elimina un docker-compose.yml + .env en /opt/samm-docker/ e inicia la pila. la imagen mhdhaidarah/samm se compila a partir del mismo paquete compilado que la instalación del sistema operativo básico: código cerrado por construcción.

Multiarco desde v2.2.6 : la misma etiqueta se envía para linux/amd64 y linux/arm64 . docker pull elige la variante correcta de forma transparente, por lo que la ruta de instalación es idéntica en un servidor Intel/AMD de 64 bits, una Mac de Apple silicio que ejecuta una computadora de escritorio Docker o un dispositivo ARM MikroTik (RB5009, hAP ​​ax², CCR2004/2116/2216) que utiliza la función de contenedor de RouterOS 7.

En hosts donde no se permite la tubería curl a bash (cuadros bloqueados, estrictas políticas de salida), puede recuperar el archivo de redacción listo para ejecutar directamente:

git clone https://github.com/mhdhaidarah/samm-docker.git
cd samm-docker
cp .env.example .env
$EDITOR .env       # set POSTGRES_PASSWORD and SAMM_PUBLIC_HOST
docker compose up -d

Algunas funciones aún no están en la variante Docker (bloqueo de licencia por etapas, recarga dinámica FreeRADIUS ). Las páginas de administración integradas WireGuard y Cloudflare Tunnel están ocultas intencionalmente en la variante Docker : administran servicios systemd a nivel de host a los que no se puede acceder desde el interior del contenedor. Elija la opción A o B anterior si las necesita integradas, o ejecute cloudflared / wg-quick en el host Docker directamente junto con SAMM . Ver el Docker LÉAME de la variante para conocer las advertencias completas de la versión 1 y la ruta de instalación manual.

En Windows ( Docker escritorio): solo evaluación

No recomendado para producción. Suspensión/hibernación/cierre de tapa de Windows detiene los contenedores; boot-restart solo se activa cuando se inicia WSL (no en el inicio de Windows); el El cron de actualización automática diaria solo se ejecuta mientras WSL está activo. Úselo para evaluación/demostración, luego implementar la producción en una Linux VM (Hyper-V, Proxmox, ESXi) o en una pequeña caja física (por ejemplo, una NUC ejecutando el servidor Ubuntu ).

Instalar Docker Escritorio para Windows (le permite configurar el backend WSL2 en el primer inicio). Luego, desde PowerShell (no se necesita terminal WSL), tome el paquete de redacción e inicie la pila:

mkdir C:\samm-docker
cd C:\samm-docker
curl.exe -fLO https://github.com/mhdhaidarah/samm-docker/releases/latest/download/docker-compose.yml
curl.exe -fLO https://github.com/mhdhaidarah/samm-docker/releases/latest/download/env.example
copy env.example .env
notepad .env       # set POSTGRES_PASSWORD and SAMM_PUBLIC_HOST (your Windows LAN IPv4)
docker compose pull
docker compose up -d

Observa el arranque de la pila en Docker Desktop → Contenedores: el grupo samm se expande en 7 servicios. Cuando estén todos en verde, abre el portal de administración e inicia sesión con estas credenciales:

URL de accesohttp://localhost:8000/admin · Nombre de usuarioadmin · Contraseñaadmin

Cambia la contraseña de administrador inmediatamente después de tu primer inicio de sesión.

Si un NAS MikroTik real llega a este host de Windows para RADIUS, permita UDP 1812 + 1813 a través del Firewall de Windows:

New-NetFirewallRule -DisplayName "SAMM RADIUS" -Direction Inbound -Protocol UDP -LocalPort 1812,1813 -Action Allow

Derribar: ventana acoplable componer -v desde el directorio de instalación (el -v borra el volumen de Postgres y la clave Fernet; primero haga una copia de seguridad si ha agregado datos).

Opción D: instalar en un enrutador MikroTik ( RouterOS 7)

Mismo SAMM , no se necesita el cuadro Linux . Si su dispositivo MikroTik admite el paquete contenedor y tiene una unidad USB o microSD conectada, puede ejecutar toda la pila directamente en el enrutador. La imagen incluye varios arcos ( linux/amd64 + linux/arm64 ), por lo que dispositivos como RB5009, hAP ​​ax², CCR2004/2116/2216 extraen la variante correcta de forma transparente.

Compatible: arm64 MikroTik — RB5009, hAP ​​ax², CCR2004-1G-12S+2XS, CCR2116, CCR2216. SKU amd64: CCR2004-1G-2XS-PCIe (amd64), x86 RouterOS , CHR en hipervisores amd64.
No compatible: dispositivos armv7/mipsbe/smips/tile/ppc (hEX, RB750, modelos RB anteriores): no hay soporte para contenedores o hay muy poca RAM/CPU para la pila de SAMM .

1. Prepare el enrutador

Instale el paquete contenedor (desde extra_packages.zip en mikrotik.com/download; cargue el contenedor-*.npk correspondiente a través de Archivos y luego reinicie). Luego habilite el modo contenedor (una sola vez, requiere reiniciar):

/system device-mode update container=yes
# router reboots

2. Formatee y monte el disco (ext4)

Inserte una unidad USB o microSD (se recomiendan ≥ 8 GB: se suman Postgres + capas de imagen). En el enrutador:

/disk print
# note the disk slot, e.g. "usb1-part1" or "disk1"
/disk format-drive usb1-part1 file-system=ext4 label=samm

Después de formatear, verifique que el disco se monte y se pueda escribir:

/disk print detail
# look for "type=ext4" and a mount point like "/usb1-part1"

3. Pegue el archivo YAML de redacción en la aplicación contenedora.

En WebFig o WinBox, abra Contenedor Aplicaciones + Nuevo YAML . Pegue el archivo de redacción a continuación en el campo YAML, configure el disco que formateó en el paso 2 como ubicación de almacenamiento y envíelo. RouterOS extraerá cada imagen y conectará los servicios por usted.

docker-compose.yaml: copiar y pegar
name: samm

services:
  postgres:
    image: postgres:16-alpine
    restart: unless-stopped
    environment:
      POSTGRES_DB: samm
      POSTGRES_USER: samm
      POSTGRES_PASSWORD: change-me-strong-random-string
      TZ: UTC
    volumes:
      - pgdata:/var/lib/postgresql/data

  samm-api:
    image: mhdhaidarah/samm:latest
    restart: unless-stopped
    command: ["api"]
    environment:
      # SAMM_ROLE picks the daemon. Docker reads `command:` above; MikroTik's
      # container feature drops that field on YAML import, so we also pass
      # the role as an env var — every parser preserves environment blocks.
      SAMM_ROLE: api
      POSTGRES_HOST: postgres
      POSTGRES_PORT: 5432
      POSTGRES_DB: samm
      POSTGRES_USER: samm
      POSTGRES_PASSWORD: change-me-strong-random-string
      TZ: UTC
      SAMM_API_HOST: 0.0.0.0
      SAMM_API_PORT: 8000
      SAMM_API_WORKERS: 2
    ports:
      - "8000:8000"
    volumes:
      - etcsamm:/etc/samm
      - sammvar:/opt/samm/var
      - sammlogs:/var/log/samm
      - sammlocales:/opt/samm/app/locales

  samm-radius:
    image: mhdhaidarah/samm:latest
    restart: unless-stopped
    command: ["radius"]
    environment:
      SAMM_ROLE: radius
      POSTGRES_HOST: postgres
      POSTGRES_PORT: 5432
      POSTGRES_DB: samm
      POSTGRES_USER: samm
      POSTGRES_PASSWORD: change-me-strong-random-string
      TZ: UTC
    volumes:
      - etcsamm:/etc/samm
      - sammvar:/opt/samm/var
      - sammlogs:/var/log/samm

  samm-worker:
    image: mhdhaidarah/samm:latest
    restart: unless-stopped
    command: ["worker"]
    environment:
      SAMM_ROLE: worker
      POSTGRES_HOST: postgres
      POSTGRES_PORT: 5432
      POSTGRES_DB: samm
      POSTGRES_USER: samm
      POSTGRES_PASSWORD: change-me-strong-random-string
      TZ: UTC
    volumes:
      - etcsamm:/etc/samm
      - sammvar:/opt/samm/var
      - sammlogs:/var/log/samm

  samm-notification:
    image: mhdhaidarah/samm:latest
    restart: unless-stopped
    command: ["notification"]
    environment:
      SAMM_ROLE: notification
      POSTGRES_HOST: postgres
      POSTGRES_PORT: 5432
      POSTGRES_DB: samm
      POSTGRES_USER: samm
      POSTGRES_PASSWORD: change-me-strong-random-string
      TZ: UTC
    volumes:
      - etcsamm:/etc/samm
      - sammvar:/opt/samm/var
      - sammlogs:/var/log/samm

  samm-telegram:
    image: mhdhaidarah/samm:latest
    restart: unless-stopped
    command: ["telegram"]
    environment:
      SAMM_ROLE: telegram
      POSTGRES_HOST: postgres
      POSTGRES_PORT: 5432
      POSTGRES_DB: samm
      POSTGRES_USER: samm
      POSTGRES_PASSWORD: change-me-strong-random-string
      TZ: UTC
    volumes:
      - etcsamm:/etc/samm
      - sammvar:/opt/samm/var
      - sammlogs:/var/log/samm

  freeradius:
    image: mhdhaidarah/samm:freeradius-latest
    restart: unless-stopped
    environment:
      POSTGRES_HOST: postgres
      POSTGRES_PASSWORD: change-me-strong-random-string
      TZ: UTC
    ports:
      - "1812:1812/udp"
      - "1813:1813/udp"

volumes:
  pgdata: {}
  etcsamm: {}
  sammvar: {}
  sammlogs: {}
  sammlocales: {}

Antes de pegar , reemplace cada change-me-strong-random-string con la MISMA contraseña aleatoria segura (≥ 24 caracteres aleatorios): va a Postgres la primera vez que se inicia y cada servicio SAMM la usa para conectarse. Genere uno con un administrador de contraseñas o ejecute pwgen 32 1 en cualquier casilla Linux .

4. Verifique y conecte MikroTik a SAMM

Cuando los 7 contenedores estén en ejecución, abre el portal de administración en un navegador e inicia sesión con estas credenciales:

URL de accesohttp://<router-ip>:8000/admin · Nombre de usuarioadmin · Contraseñaadmin

Cambia la contraseña de administrador inmediatamente. La autenticación RADIUS + accounting se exponen en UDP 1812 + 1813 en el propio router, por lo que el cliente RADIUS de MikroTik puede apuntar a 127.0.0.1 con el secreto compartido que configures en Sistema → RADIUS.

Experimental en v1. La función de contenedor de RouterOS es más sencilla que Docker Compose: DNS de nombre de servicio, orden de dependencia ( depende_on ) y reinicios en vivo se comportan de manera diferente. Si la pila se comporta mal en su hardware, vuelva a ejecutar Docker en una pequeña caja Linux (NUC, Pi 4, Linux VM) al lado de MikroTik . El mismo archivo de redacción funciona allí con la semántica de redacción completa.

Opciones no interactivas

Todas las indicaciones se pueden responder previamente con variables de entorno, para que el instalador pueda ejecutarse desatendido:

VariableEfecto
DB_PASSUtilice esta contraseña de base de datos en lugar de una generada automáticamente (solo la primera instalación)
CF_TOKENInstale el conector de túnel Cloudflare con este token de confianza cero
SAMM_HTTP_PORTForzar el puerto de escucha de nginx (omite el mensaje de detección del puerto 80)
SAMM_VERBOSE 1 transmite la salida del comando sin formato en lugar de la barra de progreso
NO_COLOR 1 desactiva la salida en color
DB_PASS='strong_pw'   sudo bash /opt/samm/install.sh
CF_TOKEN='eyJ...'     sudo bash /opt/samm/install.sh
SAMM_HTTP_PORT=8080   sudo bash /opt/samm/install.sh

Lo que configura el instalador

El instalador se ejecuta como una pantalla de progreso en vivo y en color: una barra de porcentaje y una lista de verificación por fase. La salida bruta de cada fase se captura para /var/log/samm-install.log ; en caso de error, se imprimen las últimas 30 líneas.

ComponenteDetalles
FreeRADIUS 3Configurado con un backend PostgreSQL y clientes NAS dinámicos; validado con freeradius -CX
PostgreSQLBase de datos, esquema y todas las migraciones de SQL aplicadas: cada archivo de migración es idempotente
Python venvTodas las dependencias creadas a partir de requisitos.txt ; catálogos de traducción compilados
nginxSe agregó proxy inverso de forma aditiva : los sitios existentes nunca se eliminan. Utiliza el puerto 80 cuando está libre; de lo contrario, solicita un puerto alternativo
5 services samm-api , samm-radius , samm-worker , samm-notification , samm-telegram : todos habilitados como unidades systemd
WireGuardPaquetes instalados; configurado más tarde desde Sistema → VPN
cloudflaredBinario siempre instalado; el token del túnel es opcional durante la instalación o se agrega más adelante desde Sistema → Cloudflare Túnel

Todas las credenciales (la contraseña de la base de datos y las claves de firma de sesión) son se genera automáticamente en la primera instalación.

Indicaciones interactivas

Cualquier mensaje aparece desde el principio , antes de que comience la instalación:

  • Cloudflare token : pegue un token de conector Zero Trust para publicar SAMM en línea sin puertos abiertos, o presione Entrar para omitirlo y configurarlo más tarde.
  • Puerto HTTP : si el puerto 80 ya está en uso, el instalador sale esos sitios no se modifican y solicita un puerto alternativo (predeterminado 8080 ).

Resumen de instalación

Cuando el instalador finaliza, imprime un resumen con la URL del administrador, la predeterminada inicio de sesión, el puerto HTTP elegido, las credenciales de la base de datos y las rutas del archivo de configuración:

============================================================
  SAMM is installed and running.
  Admin portal  : http://localhost/admin/login
  Default login : admin / admin   <- CHANGE AFTER FIRST LOGIN
  Config files  : /etc/samm/samm.yaml  /etc/samm/api.env
============================================================

Actualizando

Para actualizar, busque la nueva fuente y vuelva a ejecutar el instalador:

git -C /opt/samm pull        # or unpack a newer release bundle
sudo bash /opt/samm/install.sh

La nueva ejecución vuelve a sincronizar la fuente, actualiza el venv, vuelve a aplicar todas las migraciones, recarga las configuraciones FreeRADIUS y nginx, y reinicia todos los servicios. Tu configuración Los archivos y el puerto HTTP elegido en la primera instalación se conservan .

Consejo SAMM también puede actualizarse solo; consulte Licencias y actualizaciones. actualizaciones . Habilite las actualizaciones automáticas o aplíquelas según demanda desde Sistema → Licencia .
Con espacio de aire y base de datos remota SAMM solo se envía SAMM - FreeRADIUS , PostgreSQL, nginx y el resto se obtienen en tiempo de instalación desde repositorios apt ascendentes, por lo que las instalaciones con espacio de aire deben realizar una preparación previa de esas paquetes. Para un PostgreSQL remoto, configure el DSN en /etc/samm/samm.yaml después de la instalación.

Primeros pasos

Primeros pasos

Cinco tareas cortas llevan una nueva instalación al punto donde los suscriptores pueden conectarse y ser facturados.

1 · Primer inicio de sesión

  1. Abra http://<your-server>/admin/ (use el puerto HTTP del resumen de instalación si no es 80) o la URL de su túnel Cloudflare .
  2. Inicie sesión con admin / admin .
  3. Cambie inmediatamente la contraseña de Sistema → Administradores , o desde el menú de perfil en la barra superior.

2 · Añadir tu primer router

  1. Vaya a MikroTik → NAS y haga clic en Agregar enrutador .
  2. Ingrese la IP del enrutador, un nombre corto y un secreto compartido RADIUS. Para MikroTik dispositivos, opcionalmente agregue credenciales API para la sincronización de dispositivos en vivo.
  3. En MikroTik , agregue un servidor RADIUS que apunte al host SAMM (puertos 1812/1813) con el mismo secreto compartido y habilite RADIUS para PPP/Hotspot.

No es necesario reiniciar FreeRADIUS : SAMM resuelve los clientes NAS dinámicamente desde el base de datos. Consulte Enrutadores (NAS) para conocer el procedimiento completo. o deje que el asistente de configuración configure el MikroTik para ti.

3 · Crear un plan

Un plan define la velocidad, los límites y el precio de venta. Ir a Usuarios → Planes → Nuevo plan . Referencia de campo completo: Planes y planes límites .

4 · Añadir un suscriptor

Vaya a Usuarios → Nuevo cliente , complete el inicio de sesión credenciales y elegir un plan. El suscriptor puede conectarse inmediatamente. Para prepago acceso al punto de acceso, genere tarjetas de vale en su lugar.

5 · Activar tu licencia

Una instalación nueva ejecuta sin registrar en un nivel mínimo. Abierto Sistema → Licencia y actívelo para eliminar los límites; consulte Licencias y niveles .

Ritmo diario Agregar enrutadores → crear planes → agregar suscriptores o tarjetas → ver el Panel de control → registrar pagos en Contabilidad .

Suscriptores & planes

Planes & límites

Un plan es la definición de servicio asignada a los suscriptores: establece la velocidad, los límites y el precio. Cree planes antes de agregar usuarios.

Crear un plan

  1. Vaya a Usuarios → Planes .
  2. Haz clic en Nuevo plan.
  3. Rellena el formulario y haz clic en Guardar plan.

Cada límite es un interruptor: habilite solo los que necesite. El mismo modal edita un plan existente (abra el menú ⋮ → Editar de la fila).

Campos del plan

CampoSignificado
NombreNombre de plan único, p.e. Hogar-50M
PrecioCobrado por período de facturación cuando se usa la facturación
Velocidad de descarga / subidap.ej. 50M , 512K , 1G : aplicado como límite de velocidad MikroTik
Límite: ExpiraciónLa suscripción finaliza un período fijo después de la activación (días/meses/horas/minutos)
Límite: CuotaUn límite total de datos (combinado, solo descarga o solo carga) para toda la suscripción
Límite: Tiempo activoUn límite en el tiempo de conexión acumulado: la suma de todas las duraciones de las sesiones
Límite: Uso diarioUn límite de datos que se reinicia todos los días a la hora de reinicio diario configurada
Ventana ilimitadaAgregación rápida de una ventana de velocidad: el editor completo se encuentra en la página de Ventanas de velocidad del plan
Pool de IPNombre de grupo enmarcado RADIUS opcional para asignación de dirección
Renovación automáticaIniciar un nuevo período al vencer en lugar de cambiar el plan o desconectar

Los cuatro límites

Cada límite es independiente y opcional. Cuando se configuran varios, SAMM los verifica en un pedido fijo - vencimiento → cuota → tiempo de actividad → diario - y el primero exhausto decide la acción.

LímiteRastreaAl agotarse
ExpiraciónTiempo de calendario desde la activaciónCambiar a otro plan o desconectar
CuotaTotal de bytes usadosCambiar a otro plan o desconectar
Tiempo activoSegundos de sesión acumuladosCambiar a otro plan o desconectar
DiarioBytes desde el último reinicio diarioLimitar (cambiar a un plan más lento) hasta el próximo reinicio diario

Para cada límite, usted elige lo que sucede en el escape: elija un siguiente plan para cambiar el suscriptor o déjelo como - desconectar - . para el dia a dia limitar el siguiente plan actúa como un acelerador: el suscriptor vuelve al plan original en el próximo reinicio diario automáticamente.

Ventanas de velocidad

Una ventana de velocidad anula la velocidad base del plan durante horas determinadas, por Por ejemplo, una ventana de velocidad ilimitada después de la medianoche. Haga clic en una fila del plan para abrir su Editor Speed Windows , que agrega control del día de la semana y admite ventanas que cruzan la medianoche. Cuando varias ventanas coinciden, la el de mayor velocidad gana.

Nota Los suscriptores limitados o agotados están excluidos de la velocidad ventanas: SAMM nunca aumenta la velocidad mientras hay un límite vigente.

Dos nociones de uso

SAMM mantiene el uso en dos lugares y nunca los combina:

  • Contadores reiniciables : el estado por límite. Puesto a cero por un administrador reinicio y por el reinicio diario.
  • Contadores de facturación : totales de por vida que no se pueden restablecer. Nunca puesto a cero, para que los informes y las facturas sean precisos.

Gestión de planes

La lista de Planes muestra la velocidad de cada plan, el número de suscriptores, los límites activos y la velocidad. ventanas. Desde el menú ⋮ de una fila puedes editar, abrir sus ventanas de velocidad, habilitarla/deshabilitarla, saltar a sus suscriptores, o borrarlo (sólo cuando no tenga suscriptores). Edición ofertas de renovación automática para propagar el cambio a todos los suscriptores actuales.

Suscriptores & planes

Suscriptores

Un suscriptor (cliente/usuario) es una cuenta PPPoE o Hotspot que se autentica contra SAMM . A cada suscriptor se le asigna exactamente un plan.

Crear un suscriptor

  1. Vaya a Usuarios y haga clic en Nuevo cliente .
  2. Completa el formulario y guarda — el suscriptor puede conectarse inmediatamente.
CampoSignificado
Nombre de usuario *El nombre de inicio de sesión PPPoE / Hotspot — debe ser único
Contraseña *La contraseña de inicio de sesión (almacenada para autenticación RADIUS PAP/CHAP)
Nombre / ApellidoEl nombre del suscriptor
Móvil / Correo / DirecciónDatos de contacto — usados para notificaciones y facturas
Plan *El plan de servicio a asignar
Anulación de expiraciónFecha de vencimiento manual opcional en lugar de la calculada del plan.
Renovación automáticaRenovar el período del plan automáticamente al vencer

La lista de suscriptores

La página Usuarios enumera a cada suscriptor con un punto de estado de un vistazo, el asignado plan y cuánto queda de cada límite: uso diario con una barra de progreso, cuota restante, tiempo de actividad restante y días restantes. Filtrar por estado (Todos / Activo / Suspendido / Caducado / En línea) o buscar por nombre de usuario, nombre o móvil.

La insignia de cambio de plan Una insignia única es el plan del suscriptor. Dos insignias unidas por una flecha significa que el suscriptor alcanzó su límite diario y está temporalmente estacionado en un acelerador plan: vuelven al original en el próximo reinicio diario.

Gestionando un suscriptor

Haga clic derecho en una fila, o use el menú ⋮, para cada acción por suscriptor:

AcciónQué hace
Ver / EditarAbrir la página de detalles, o editar datos de contacto, contraseña y expiración
Activar / DesactivarSuspender la cuenta — los suscriptores en línea son desconectados
Renovar ExpiraciónAgregue la duración del plan además del tiempo restante; genera una factura si el plan tiene un precio
Restablecer Tiempo activo / Cuota / DiarioPoner a cero el contador de límite elegido
UsoAbrir gráficos de uso e historial de sesiones
EliminarEliminar el suscriptor y todo su historial — las sesiones activas se desconectan primero
Cómo surten efecto las acciones Los reinicios, cambios de planes y renovaciones se ponen en cola en un registro de auditoría y son aplicados por el samm-radius tick: normalmente en unos pocos segundos. Si el suscriptor es en línea, SAMM también envía una actualización en vivo. Ver CoA y cambios en vivo .

La vista de uso

La acción Uso abre una página de tráfico detallada para un suscriptor, con selector de período 7d / 14d / 30d / 90d. Informa tres cifras principales: el tráfico de hoy (con la división de carga/descarga y los minutos en línea), el tráfico de este mes y el tiempo acumulado en línea para el mes. Debajo de ellos hay un gráfico de tráfico diario de carga en comparación descarga y una tabla completa del historial de sesiones : la hora de inicio y finalización, duración, bytes subidos y bajados, el NAS y la causa de finalización de cada sesión.

Operaciones masivas

Para cambiar el propietario, el vencimiento, el estado o la renovación automática para muchos suscriptores a la vez, o para eliminar muchos: utilice Cambios masivos y Cambios masivos Eliminar herramientas . Para crear suscriptores de forma masiva desde una hoja de cálculo, utilice Exportar/Importar.

Suscriptores & planes

Tarjetas Hotspot

Para acceso prepago a Hotspot, genere un lote de tarjetas de vale en lugar de suscriptores individuales. Cada tarjeta es un par de nombre de usuario/contraseña con su propia velocidad y límites, generados por miles e impresos para su distribución.

Crear un grupo de tarjetas

  1. Vaya a Usuarios → Tarjetas de hotspot y haga clic en Nuevo grupo .
  2. Complete el siguiente formulario y haga clic en Crear grupo — SAMM genera las credenciales de cada tarjeta automáticamente.
SecciónCampos
IdentidadNombre de grupo único, descripción, prefijo de nombre de usuario opcional, cuántas tarjetas generar (hasta 10,000)
CredencialesFormato de nombre de usuario y contraseña (números/letras/alfanuméricos) y longitud
Límite de velocidadVelocidad de descarga y carga: 256k , 6M , 1G ; 0 = ilimitado
Límite de transferenciaLímite ilimitado, combinado o límites de descarga/carga separados (MB/GB/TB)
Límites de tiempoLímite de tiempo de actividad, vencimiento después del primer inicio de sesión y fecha de vencimiento del grupo "válido hasta"

El vencimiento cuenta desde el primer inicio de sesión de cada tarjeta, mientras que es válido hasta que sea una fecha límite de caducidad; las tarjetas no se pueden usar después de esa fecha. si alguna vez fueron activados o no.

Estados de tarjetas

EstadoSignificado
No usadoGenerado pero nunca conectado
ActivoEn uso, dentro de sus límites
AgotadoSe ha alcanzado un límite (cuota, tiempo activo o expiración)
DesactivadoDesactivado manualmente

Impresión y amp; seguimiento

Abra un grupo para ver sus tarjetas, imprímalas en un PDF para distribuirlas (el diseño de impresión utiliza el logotipo de su ISP en Configuración) y revise el uso por tarjeta. Tarjeta El tráfico también aparece en Informes bajo el Pestaña Tarjetas, y cada grupo tiene su propia vista contable.

Red & routers

Routers (NAS)

Un NAS (servidor de acceso a la red) es un enrutador que autentica suscriptores contra SAMM a través de RADIUS. Cada enrutador que transporta tráfico de suscriptores. necesita un registro NAS.

Añadir un router

  1. Vaya a MikroTik → NAS y haga clic en Agregar enrutador .
  2. Rellena los campos de abajo y guarda.
CampoSignificado
IP NAS / nombre de hostLa dirección del enrutador, tal como la ve el host SAMM
Nombre cortoUna etiqueta amigable mostrada en toda la interfaz
Tipo mikrotik desbloquea la sincronización en vivo del dispositivo y la configuración push; otros tipos son solo RADIUS
SecretoEl secreto compartido de RADIUS: debe coincidir exactamente con el enrutador o la autenticación falla
Puerto CoAEl puerto UDP SAMM envía paquetes de cambio de autorización a ( MikroTik valor predeterminado 3799)
Puerto API / usuario / contraseñaMikroTik Credenciales de API SAMM se utilizan para leer la información del dispositivo y enviar la configuración
No se necesita reinicio SAMM resuelve clientes NAS dinámicamente desde la base de datos: agregando o eliminando un El enrutador nunca requiere un reinicio FreeRADIUS .

La lista NAS

Cada enrutador se muestra en una tabla: ID, IP del NAS/nombre de host, nombre corto, tipo, enmascarado. secreto (haga clic en la celda para revelarlo), los puertos CoA y API, y un resultado de ping en vivo con tiempo de ida y vuelta. El cuadro de búsqueda filtra por IP, nombre corto o descripción.

El menú ⋮ de cada fila incluye las acciones por enrutador: Ver dispositivo y Actualizar información (solo MikroTik ), Editar , Enviar Configuración de RADIUS (solo MikroTik ) y Eliminar . abriendo un mikrotik fila tipo salta directamente a su página del dispositivo .

Descubrir vecinos

Haga clic en Descubrir vecinos para buscar MikroTik dispositivos en el red y agréguelos como registros NAS sin tener que escribir cada dirección a mano.

Enviar configuración RADIUS al router

Para MikroTik registros NAS, el menú ⋮ de la fila ofrece configuración Push RADIUS — SAMM configura el enrutador por usted a través de la API en lugar de que usted lo escriba a mano. tu confirme la IP del servidor SAMM (debe ser accesible desde el enrutador) y la autenticación, puertos contables y CoA; SAMM luego crea o reemplaza una entrada RADIUS en el enrutador:

ConfiguraciónValor
Comentario SAMM : la etiqueta que SAMM utiliza para buscar y actualizar esta entrada más adelante
Serviciohotspot, ppp
Dirección / secretoEl host SAMM , con el secreto compartido de este registro NAS
Tiempo de espera3000 ms
CoA entranteAceptado, en el puerto CoA que confirmaste

El diálogo muestra un registro de resultados cuando finaliza el envío.

Configurar el lado MikroTik

Si configuras el router manualmente:

  • Agregue un servidor RADIUS que apunte al host SAMM , con el mismo compartido secreto, habilitado para PPP/Hotspot.
  • Utilice el puerto de autenticación 1812 , el puerto de contabilidad 1813 .
  • Acepte el CoA entrante en el puerto 3799 .
  • Establezca el intervalo de actualización provisional de contabilidad en aproximadamente 60 segundos : esta es la frecuencia con la que SAMM acumula uso y evalúa los límites.

Dispositivos solo de monitoreo

Un enrutador agregado como monitor aparece en el inventario MikroTik y se hace ping y se sincroniza, pero no tiene función RADIUS: no puede autenticar suscriptores. uso para vigilar los enrutadores que no son NAS de suscriptor.

Red & routers

Gestor MikroTik

Cuando un enrutador tiene credenciales API, SAMM lo administra directamente a través del MikroTik API : sin WinBox, sin SSH. El MikroTik La sección es un inventario en vivo de cada enrutador, y cada dispositivo abre una página de detalles con quince pestañas que configuran casi todas las partes de RouterOS desde tu navegador.

Monitor MikroTik

MikroTik → El monitor muestra una tarjeta por enrutador, dispuesta como una grilla. Informes de cada tarjeta: actualizados por samm-worker y encuestados en vivo cada 30 segundos: el punto de accesibilidad, la versión RouterOS , la carga de CPU y el recuento de núcleos, uso de memoria, recuento de sesiones activas, tiempo de actividad y hora de la última muestra.

Una tarjeta está etiquetada como NAS (un enrutador que también autentica suscriptores a través de RADIUS) o monitor (un dispositivo agregado para monitorear únicamente). Agregar MikroTik registra un nuevo dispositivo; Actualizar ahora obliga a una votación inmediata. Las tarjetas exclusivas para monitor tienen un menú contextual: Abrir, Editar, Actualizar información, eliminar.

La página del dispositivo — dieciséis pestañas

Abra cualquier dispositivo para ver su página de administración completa. Las pestañas se dividen en cuatro grupos.

Monitoreo

PestañaQué muestra
ResumenInformación del dispositivo, información del sistema y gráficos del historial de rendimiento (CPU, memoria, sesiones a lo largo del tiempo)
InterfacesCada interfaz con su estado activo, además del historial de tráfico por interfaz
Sitios webSitios web y aplicaciones vistas en el enrutador y una vista del historial de rendimiento de ese tráfico

Gestor

La pestaña Administrador → General es la página de limpieza del dispositivo: Identidad (el nombre del enrutador), Hora (reloj, zona horaria y NTP) y Herramientas (reiniciar, hacer ping y otras acciones del enrutador con un solo clic).

Configuración de red

PestañaQué configuras
PuenteCree puentes LAN y elija qué interfaces físicas (puertos) pertenecen a cada uno
VLANAgregar y administrar interfaces VLAN
IPTres subpestañas: Estática (direcciones estáticas y dinámicas), Cliente DHCP (extrae una dirección del flujo ascendente), Servidor DHCP (entrega direcciones con una tabla de arrendamiento en vivo)
DNSServidores DNS y caché, además de sitios web y servicios. Filtro de aplicaciones : bloqueo de contenido basado en DNS
WiFi / CAPsMANInterfaces Wi-Fi con sus configuraciones y perfiles de seguridad; y el controlador CAPsMAN: configuraciones, reglas de aprovisionamiento y CAP remotos
QoSPrioridad de descarga según la aplicación — arrastra las aplicaciones y los sitios detectados por el Websites & App filter a ocho franjas de prioridad, limita la velocidad de cualquier aplicación y envíala al router como un queue tree

Servicios & mantenimiento

PestañaQué configuras
PPPoEServidores PPPoE, perfiles PPP, grupos de IP e intervalo de actualización intermedia de cuentas RADIUS
HotspotServidores de hotspot, perfiles de hotspot y perfiles de usuario, grupos de DHCP/IP y la página de inicio de sesión del portal cautivo
InternetEnlaces ascendentes de WAN: rutas predeterminadas y WAN administradas por SAMM , y las WAN existentes que no sean de SAMM se muestran como de solo lectura
CortafuegosReglas de filtrado, análisis de seguridad del enrutador, conectividad y control. objetivos, módulos de seguridad y copias de seguridad de firewall
ActualizarRouterOS actualizaciones: elija un canal de actualización, verifique y aplique, y revise los paquetes instalados
AsistenteLa configuración guiada por primera vez, a continuación

El intervalo de actualización provisional de PPPoE

En la pestaña PPPoE , Actualización provisional establece la frecuencia con la que El enrutador envía paquetes de actualización provisional de contabilidad RADIUS a SAMM . SAMM usa esos paquetes para acumular contadores de bytes y tiempo de actividad y evaluar la cuota, los límites diarios y de tiempo de actividad: sin ellos, la aplicación de límites y los contadores de sesiones en vivo se detiene . El valor recomendado es 5 m .

La página de inicio de sesión Hotspot

Desde la pestaña Hotspot usted administra la página de inicio de sesión del portal cautivo: mantenga las MikroTik páginas predeterminadas, aplique una de las plantillas integradas , o aplique uno de sus diseños guardados . SAMM incluye un diseño visual editor y una galería de plantillas: personalice una página de inicio de sesión y envíela directamente a la punto de acceso del enrutador.

QoS según la aplicación

La pestaña QoS convierte las aplicaciones y los sitios que SAMM ya detecta en el router en un plan de prioridad de descarga. Arrastra cada aplicación desde el conjunto a una de las ocho franjas de prioridad — la franja 1 se atiende primero en caso de congestión, la franja 8 la última; las aplicaciones que se dejan en el conjunto no se moldean. Opcionalmente limita la velocidad de descarga de cualquier aplicación (por ejemplo 10M) y establece un límite total de descarga por el que la prioridad pueda competir. Distribuir automáticamente por categoría lo organiza todo con un solo clic — mensajería y conferencias primero, descargas masivas y pruebas de velocidad al final.

Cuando envías, SAMM compila las franjas en un queue tree de MikroTik (etiquetado SAMM:qos, parent=global) con reglas de firewall de marcado de paquetes que coinciden, la prioridad más alta primero. Se construye sobre el mismo catálogo del Websites & App filter que impulsa la monitorización, así que solo aparecen las aplicaciones realmente detectadas en el router — y al eliminar el QoS de SAMM se retiran del router todos los objetos SAMM:qos, dejando tus contadores intactos.

El asistente de configuración

La pestaña Asistente recopila todo en nueve pasos breves y lo empuja la configuración completa al enrutador en un lote al final. No se envía nada hasta que usted confirmar en el paso de revisión final.

  1. Bienvenido y detectar : SAMM sondea el enrutador y muestra lo que está ya configurado, por lo que puede omitir esos elementos en el momento del envío.
  2. Interfaz de puente : asigne un nombre al puente LAN.
  3. Puertos de puente : elija qué interfaces físicas se unen al puente.
  4. DNS : configura resolutores ascendentes (ajustes preestablecidos con un solo clic para Google , Cloudflare , Quad9 y más), tamaño de caché y, opcionalmente, un filtro de contenido DNS.
  5. Internet : agregue uno o más enlaces ascendentes WAN (estático/DHCP/PPPoE).
  6. RADIUS a SAMM : apunte el enrutador a su host SAMM para autenticación, contabilidad y CoA.
  7. Servicios : elija si el asistente crea un servidor PPPoE, un Servidor de punto de acceso, o ambos.
  8. Detalles y detalles de PPPoE/punto de acceso Firewall : grupos, perfiles, arrendamiento veces, además del firewall & reglas NAT.
  9. Revisar y actualizar push : consulta la lista exacta de comandos que se ejecutarán enviados, luego envíelos todos al enrutador.
La velocidad por usuario proviene de RADIUS El asistente crea un único perfil PPPoE/punto de acceso: no realiza envíos por nivel perfiles. La velocidad de cada suscriptor se entrega mediante SAMM en la respuesta RADIUS al iniciar sesión, por lo que los cambios de plan nunca necesitan una edición del enrutador.

Red & routers

CoA & cambios en vivo

CoA (cambio de autorización) es cómo SAMM cambia la sesión mientras están en línea (para aumentar o disminuir su velocidad, o desconectarlos) sin esperar a que se vuelvan a conectar.

Cómo llega un cambio a un suscriptor activo

SAMM nunca realiza un cambio de enrutador directamente con un clic en un botón. Cada acción del administrador sigue un camino seguro:

Acción admin Registro de auditoría Tick samm-radius Bandeja de salida CoA Router
  1. La acción se registra en un registro de auditoría como un comando en cola.
  2. Se aplica el servicio samm-radius que agota la cola en el siguiente tic el cambio y, si el suscriptor está en línea, pone en cola un CoA.
  3. Se drena la bandeja de salida CoA y el paquete se envía al enrutador.

Los eventos controlados por el tiempo (vencimiento, límites de ventana de velocidad, reinicios diarios) alimentan la misma bandeja de salida. El límite superior de latencia es un tic de radio samm (30 s de forma predeterminada; inferior en Configuración para una aplicación más estricta).

CoA híbrido

SAMM envía primero una actualización de CoA para cambiar la sesión vigente. si el enrutador lo rechaza después de los reintentos configurados, SAMM vuelve automáticamente a un Solicitud de desconexión : el suscriptor se vuelve a conectar y recoge el nuevo ajustes. Esta estrategia híbrida funciona en MikroTik versiones de firmware.

La página de la bandeja de salida CoA

Usuarios → Bandeja de salida de CoA es la vista en vivo de esa cola. samm-radius es el único remitente: el panel de administración nunca envía un CoA directamente, y drena la cola en cada tic. La página se actualiza automáticamente cada 30 segundos.

Seis contadores encabezan la página: Pendiente, Enviado, NACK (reintentando), Listo, Error y Total . Filtrar la tabla por estado, por acción ( actualizar o desconectar ), o buscar por nombre de usuario, IP de NAS o razón.

EstadoSignificado
pendienteEn cola, esperando el siguiente tick de radio samm
enviadoEnviado al enrutador, esperando su respuesta.
nackEl enrutador rechazó la actualización CoA: SAMM está reintentando y luego vuelve a desconectarse
hechoAplicado exitosamente
fallidoSe rindió después del límite de reintentos: coloque el cursor sobre la insignia para ver el último error

Cada fila muestra el usuario, el enrutador, la acción, el recuento de intentos, el motivo y los datos creados y tiempos enviados. Las acciones por fila le permiten reintentar un paquete fallido o no disponible, Cancele uno que aún esté en curso o abra Atributos para Inspeccione los atributos RADIUS exactos que lleva el paquete. La insignia de la barra lateral cuenta filas pendientes; El Panel realiza un seguimiento de los fallos de 24 horas. Un sistema saludable mantiene esta cola casi vacío.

Operaciones diarias

Panel & sesiones en vivo

Las dos pantallas bajo Descripción general son donde comienza cada turno: el panel para la salud de todo el sistema, sesiones en vivo para exactamente quién está conectado en este momento.

Panel

Descripción general → Panel ​​es la pantalla de inicio del operador. un selector de período en la parte superior ( Hoy, 7 días, 14 días, 30 días, 90 días ) establece el ventana para el gráfico de tendencias y las cifras con fecha limitada.

Las seis fichas KPI

Cada mosaico es un contador en vivo y un acceso directo; haga clic en él para ir directamente a la lista filtrada detrás del número.

FichaMuestraAbre
En línea ahoraSuscriptores con una sesión RADIUS activa ahoraUsuarios filtrados a En línea
Suscriptores activosCuentas activas, con el recuento total de suscriptores debajoUsuarios filtrados como Activos
ExpiradoSuscriptores cuya suscripción venció sin un próximo plan establecidoUsuarios filtrados como Caducado
Cola CoAPaquetes CoA pendientes, más los que fallaron en las últimas 24 horasLa bandeja de salida de CoA
RoutersTotal de registros NAS, más los actualmente inaccesiblesEl monitor MikroTik
Facturas impagadasFacturas que aún necesitan seguimiento de pagoFacturas filtradas como No pagadas

Gráfico de usuarios & sesiones en vivo

Un gráfico de líneas de instantáneas diarias traza tres series a lo largo del período seleccionado: usuarios activos , sesiones en línea y usuarios caducados : para que el crecimiento y la rotación sean visibles de un vistazo.

Salud del pipeline

Este panel es el corazón del motor de aplicación de la ley. En un sistema sano el las colas se sitúan en cero o cerca de él: un número que se mantiene alto indica un servicio atascado o un El enrutador rechaza los cambios.

MétricaQué significa
samm-radius colaCoA pendientes en espera del siguiente tic: deberían borrarse en cuestión de segundos
CoA fallidos (24h)Cero en un sistema sano; un recuento distinto de cero significa que un enrutador está rechazando CoA
Registro de auditoría pendienteAcciones de administrador en cola aún no aplicadas por samm-radius
Sesiones limitadasLos suscriptores actualmente tienen una velocidad reducida por un límite: esperado, no un error
Instantánea de sesionesEl recuento de sesiones en vivo: debe realizar un seguimiento de en línea ahora
Planes activosEl tamaño de tu catálogo de planes.
La ruta de aplicación Las acciones del administrador están en cola en samm.audit_log ; el radio samm tick los drena y emite CoA en samm.coa_outbox . El camino completo es en CoA & cambios en vivo .

Tablas de actividad reciente

Cuatro tablas debajo del gráfico ofrecen una visión dinámica de lo que acaba de suceder, cada una con una Ver todos los enlaces a su página completa:

  • Bandeja de salida de CoA reciente : acción, usuario, estado (hecho/pendiente/no disponible/fallido), recuento de intentos, motivo y hora.
  • Acciones de administrador recientes : acción, objetivo, actor que la activó, si ya se ha aplicado y hora.
  • Suscriptores recientes : las cuentas más nuevas con su estado y hora de última autenticación.
  • Enrutadores : todos los NAS con un punto de estado accesible/inalcanzable/sin datos.

Sesiones en vivo

Descripción general → Sesiones en vivo enumera a todos los suscriptores Los enrutadores actualmente informan como en línea a través de la contabilidad RADIUS. la pagina se actualiza automáticamente cada 30 segundos ; un manual Actualizar El botón se encuentra en el encabezado.

Filtrando la lista

  • Buscar : coincide con el nombre de usuario, la IP enmarcada o la IP de NAS y se envía a medida que escribe.
  • Enrutador : limite la lista a las sesiones en un único NAS.
  • Solo limitado : muestra solo los suscriptores que se mantienen en un límite a una velocidad reducida.
  • Por página : 20, 50, 100 o 200 filas.

Qué muestra cada fila

ColumnaSignificado
UsuarioNombre de usuario: enlaces a la página de detalles del suscriptor
IP asignadaLa dirección que el router asignó a esta sesión
RouterEl nombre corto del NAS y su dirección IP
PlanEl plan actual del suscriptor.
Velocidad efectivaLa velocidad impuesta en el enrutador en este momento: la velocidad del plan ajustada por cualquier ventana de velocidad activa. Una insignia limitada significa que un límite mantiene al suscriptor a una velocidad reducida.
Descarga / SubidaContadores de bytes en vivo para la sesión
En línea¿Cuánto tiempo ha estado activa la sesión?
IniciadoCuándo comenzó la sesión

Desconectando una sesión

El botón Desconectar de una fila pone en cola una CoA-Desconexión para esa sesión exacta (razón admin_manual ) después de un mensaje de confirmación. El suscriptor cae inmediatamente; Si su cuenta todavía está activa, son libres de reconectar. Realice un seguimiento del paquete en la bandeja de salida de CoA .

Operaciones diarias

Informes & análisis

Descripción general → Informes es la vista de análisis: suscriptor tendencias, tráfico a lo largo del tiempo y los usuarios y tarjetas más importantes en su red.

Eligiendo el rango

Cada cifra de la página está vinculada a un rango de fechas. Elija un ajuste preestablecido 7d, 14d, 30d, 90d - o escriba start explícito y finalice las fechas y haga clic en Aplicar . Una superposición de carga cubre la página mientras se ejecuta una consulta de largo alcance como 90d.

Tendencias de suscriptores & sesiones

Un gráfico de líneas con tres series en el rango elegido: Activo suscriptores, sesiones en línea y vencidas suscriptores. Úselo para detectar el crecimiento, la rotación y las horas ocupadas de su red.

Tráfico diario

Un gráfico de barras apiladas de carga y descarga bytes por día. Al pasar el cursor sobre un día se muestran las cifras de carga y descarga más una combinación total en el pie de página de información sobre herramientas.

Listas Top 10

Cuatro tablas muestran sus cuentas con mayor tráfico, cada una clasificada por volumen en GB:

ListaClasificaciones
Top 10 descarga hoyMayor descarga desde el último reinicio diario
Top 10 subida hoyMayor subida desde el último reinicio diario
Top 10 descarga mensualMayor descarga este mes calendario
Top 10 subida mensualMayor subida este mes calendario

Tráfico por entidad

Una tabla paginada y con capacidad de búsqueda de tráfico por cuenta. Dos pestañas cambian lo que enumera:

  • Usuarios : cada suscriptor con su nombre, plan, fecha de hoy carga/descarga en MB, y la carga/descarga de este mes en GB.
  • Tarjetas : cada tarjeta de punto de acceso con su grupo, estado y lo mismo División del tráfico hoy/mes.

El cuadro de búsqueda filtra la tabla a medida que escribe; el El selector por página ocupa de 20 a 200 filas. Cada fila enlaza con la página de detalles de ese suscriptor o tarjeta.

Exportando Informes es una vista analítica en pantalla. Para que las filas sin procesar funcionen correctamente en una hoja de cálculo, use Herramientas → Exportar/Importar para descargar usuarios, planes o NAS como CSV/XLSX.

Operaciones diarias

Contabilidad & facturación

SAMM tiene un completo sistema de contabilidad por partida doble integrado: facturas, gastos, recibos, pagos, revendedores, activos fijos y finanzas completas declaraciones. No hay ningún producto de facturación separado para integrar ni ningún contador. necesario para mantener los libros en orden.

Nunca tocas débitos y créditos Cada acción (registrar un pago, agregar un gasto, vender un grupo de tarjetas) contabiliza un asiento de diario equilibrado en el libro mayor automáticamente. tu trabajar en términos sencillos (facturas, gastos, recibos); SAMM mantiene la doble entrada libros detrás de escena y demuestra que se equilibran en el balance de comprobación.

La página Contabilidad está organizada en diez pestañas.

Resumen

La instantánea financiera. Cuatro titulares se encuentran en la parte superior:

CifraSignificado
Efectivo disponibleSaldo total en todas las cuentas de efectivo & bancarias
Dinero que te debenCuentas por cobrar — facturas de clientes y distribuidores impagadas
Dinero que debesCuentas por pagar — gastos impagados
Beneficio este mesIngresos menos gastos para el mes actual

A continuación: una tabla de cada efectivo y dinero. cuenta bancaria con su saldo, y una gráfico de ingresos frente a gastos de los últimos 1, 2, 3, 6 o 12 meses.

Facturas

Una factura es una factura que usted emite. Haga clic en Nueva factura y complete:

CampoSignificado
ClienteBúsqueda de escritura anticipada de la cuenta que se factura
Categoría de ingresosA qué cuenta de ingresos se registra la venta
Fecha de emisión / vencimientoFecha de emisión en blanco = hoy; fecha de vencimiento en blanco = la fecha de emisión
Tasa de impuesto %La tarifa predeterminada es Configuración → Facturación
PartidasUna o más filas de descripción/cantidad/precio unitario: subtotal, impuestos y cálculo total en vivo

Las facturas también se generan automáticamente cuando el plan de un suscriptor se renueva (a partir de la acción Renovar vencimiento del usuario o mediante renovación automática), siempre que El plan tiene un precio. La lista se filtra por estado: impago, parcial, vencido, pagado y busca por número de factura o cliente. Abrir cualquier factura por su página de detalles y un PDF imprimible; Los suscriptores pueden descargar sus propias copias desde el portal del cliente y Telegram bot.

Gastos

Un gasto es el dinero gastado en el funcionamiento del ISP. Nuevo gasto registra un categoría (la cuenta de gastos), el proveedor que pagó, el monto, la fecha en que se incurrió y un fecha de vencimiento opcional. Cada gasto tiene el mismo impago/parcial/vencido/pagado ciclo de vida como una factura, una página de detalles y un vovo PDF imprimible.

Recibos & Pagos

Estas dos pestañas registran el efectivo en movimiento, distinto de la factura o el gasto. que lo causó .

  • Recibos : dinero en : efectivo recibido de un cliente, un revendedor u otros ingresos, aterrizando en una de sus cuentas de efectivo. Una factura es el factura; el recibo es el dinero que llega contra él.
  • Pagos : salida de dinero : efectivo pagado contra un gasto o a un revendedor.

El registro de un recibo o pago mueve la factura o gasto relacionado hacia pagó y contabiliza el asiento contable correspondiente.

Clientes & Ventas de tarjetas

La pestaña Clientes enumera el saldo corriente de cada cliente: lo que te lo debo. Las ventas con tarjeta cubren los ingresos del punto de acceso prepago: realiza un seguimiento de las ventas grupos de tarjetas y revendedores . Un revendedor compra la tarjeta completa agrupa sus tarjetas en una factura y luego revende las tarjetas individuales a los usuarios finales; su saldo adeudado es lo que aún deben pagarle.

Activos & Cuentas de efectivo

  • Activos : registre activos fijos (enrutadores, vehículos, equipos). SAMM realiza un seguimiento de su valor y depreciación a lo largo del tiempo.
  • Efectivo : administra tu efectivo y tus ahorros. cuentas bancarias , y sus cuentas de capital : capital del propietario, donde una contribución es dinero que el propietario pone en el negocio y un retiro es dinero que se retira. capital no son ingresos y nunca aparecen en Profit & Pérdida.

Informes — los estados financieros

La pestaña Informes es la vista del contable. Cinco declaraciones, cada una con intervalo de fechas y exportable a PDF :

InformeResponde
Ganancias & PérdidasIngresos frente a gastos y beneficio neto durante un rango de fechas. Base de acumulación: los ingresos cuentan cuando se facturan, los gastos cuando se incurren, no cuando se mueve el efectivo.
Balance generalA la fecha: lo que posee (activos) contra lo que debe (pasivos) más patrimonio. Una insignia equilibrada confirma que ambas partes coinciden.
Flujo de cajaPor cuenta de efectivo: saldo inicial, entrada y salida de dinero, saldo final en un rango.
AntigüedadLas cuentas por cobrar y por pagar pendientes se clasifican en categorías de antigüedad, para que pueda controlar las facturas vencidas y adelantarse a las facturas.
AvanzadoLos libros sin procesar: Libro mayor (cada línea de una cuenta con un saldo corriente), Saldo de comprobación (el control de libros equilibrados), Diario y un registro de actividades.
La verificación de equilibrio En el Saldo de prueba , las columnas de débito y crédito de cada cuenta deben total igualdad: esa es la prueba de que los libros son sólidos. Si alguna vez se desequilibra, apunta a un error de publicación que vale la pena investigar.

Operaciones diarias

Tickets de soporte

SAMM tiene un servicio de asistencia técnica integrado. Los suscriptores obtienen tickets desde el portal del cliente o el bot Telegram , un administrador puede abrir uno en nombre de un suscriptor y su equipo trabaja todos ellos de Usuarios → Tickets de soporte .

La cola de tickets

La cola enumera cada ticket: número, cliente, asunto, prioridad, estado, el fechas de apertura y última actualización, y el recuento de mensajes. Filtrarlo con:

  • Chips de estado : uno por estado de ticket, cada uno con un mensaje en vivo contar, por lo que la carga de trabajo es visible de un vistazo.
  • Prioridad : Normal, Moderada o Crítica.
  • Activo / Retirado : un cliente puede retirar un boleto que no necesidad más larga; Los billetes retirados están atenuados y ocultos de forma predeterminada.
  • Buscar : por número de ticket, asunto o cliente.

La insignia de la barra lateral cuenta los boletos abiertos para que no se pierda nada.

Abrir un ticket

El nuevo ticket permite a un administrador generar un ticket para un cliente elegido: elija el cliente, luego establezca un asunto, prioridad y descripción. Los suscriptores también abren. los suyos desde el portal del cliente o el bot Telegram .

Trabajando en un ticket

Abra un ticket para leer el hilo de conversación completo. Desde allí puedes:

  • Responder al cliente : un mensaje público que el suscriptor ve en su portal y a través del bot Telegram .
  • Agregar una nota interna : un mensaje exclusivo para el personal, oculto al público cliente, para notas de entrega entre su equipo.
  • Cambie el estado y la prioridad del ticket.

Haga clic derecho en cualquier fila, o use su botón ⋮, para obtener el mismo estado, prioridad y respuesta. y acciones de notas internas sin salir de la cola.

Operaciones diarias

Centro de notificaciones

SAMM mantiene a los suscriptores informados automáticamente (a través de correo electrónico y Telegram : y te permite transmitir mensajes. el El servicio samm-notification entrega todo a través de una cola limitada. La página Sistema → Centro de notificaciones tiene seis pestañas.

Resumen

La pestaña de inicio: recuentos en vivo (en cola, enviando, enviado hoy, fallido, omitido, exclusión voluntaria), el estado de cada canal de entrega y un feed de los más recientes notificaciones.

Canales

Configura cómo salen los mensajes SAMM . El correo electrónico utiliza su propia notificación cuenta, mantenida separada del SMTP de recuperación de contraseña en Configuración . Telegram utiliza un token de bot. Cada suscriptor, desde el portal del cliente, elige qué canales quiere quiere y puede optar por no participar por completo.

Mensajes

El mensaje plantillas , un conjunto por evento. Edite la redacción de cualquier Notificación (recordatorios de renovación, recibos y el resto) para que se envíe cada mensaje. en tu propia voz y lenguaje.

Reglas & Temporizadores

Esta pestaña controla cuándo y cómo se activan las notificaciones automáticas. Para cada evento que controlas:

  • Si la regla es en .
  • Ignorar la exclusión voluntaria : cuando se configura, el mensaje llega a todos los suscriptores incluso si optaron por no participar. Resérvalo para mensajes transaccionales importantes.
  • Momento : por ejemplo, cuántos días antes de que expire una renovación Se envía el recordatorio.
  • Entrega y envío estrangulamiento : el trabajador drena la cola lote por tic; El tamaño del lote y el intervalo de ticks juntos marcan la velocidad de los mensajes. salir, para que una transmisión grande nunca inunde su servidor de correo.

Los eventos que SAMM puede emitir por sí solo incluyen el recordatorio de renovación (antes de que caduque una suscripción), el aviso de caducidad (cuando caduque), la advertencia de cuota (ya que el límite de datos se está agotando), el pago recibo (cuando se registra un pago) y plan renovado .

Difusión

Envíe un mensaje único (una ventana de mantenimiento, un cambio de precio) a un conjunto elegido de suscriptores. La transmisión fluye a través de la misma cola limitada que la transmisión automática. notificaciones.

Bandeja de salida

Cada mensaje SAMM se ha puesto en cola o se ha enviado, con su estado de entrega por mensaje, por lo que usted Puede confirmar que una notificación llegó al suscriptor o ver por qué no lo hizo.

Sistema

VPN WireGuard

SAMM puede ejecutar un WireGuard servidor VPN en el host SAMM (normalmente) para acceso de administrador remoto al cuadro SAMM y acceso de administración a MikroTiks detrás de esto. Se gestiona íntegramente desde Sistema → VPN ; no Se necesita caparazón.

Pestaña Servidor

  1. Haga clic en Generar claves para crear el par de claves del servidor. el La clave pública del servidor aparece una vez generada: los clientes la necesitan.
  2. Configure el puerto de escucha (UDP, predeterminado 51820 ), el Dirección del túnel del servidor (el CIDR en la interfaz wg0 , predeterminado 10.254.254.1/24 ) y el rango de IP del cliente — las direcciones inicial y final SAMM se entregan automáticamente a los nuevos pares.
  3. Active Habilitar WireGuard VPN y haga clic en Guardar : SAMM activa la interfaz wg0 . La palanca está bloqueada hasta que las claves del servidor existir.

Pestaña Clientes

Haga clic en Agregar cliente , asigne un nombre al igual y SAMM le asigna el siguiente dirección del rango de clientes. Para cada par puede descargar su archivo de configuración, escanee un código QR con la aplicación móvil WireGuard o cópielo ya preparado MikroTik RouterOS comandos para conectar un enrutador a la VPN. Los compañeros pueden ser activado/desactivado o eliminado; Los colores de estado muestran si cada uno está conectado, obsoleto o nunca visto.

Regenerar claves es destructivo Regenerar claves cambia el par de claves del servidor . Cada cliente ya implementado config tiene la antigua clave pública del servidor incorporada y dejará de conectarse hasta que usted Vuelva a entregar la configuración actualizada. La interfaz de usuario bloquea esto detrás de un cuadro de diálogo de tipo para confirmar.

Sistema

Túnel Cloudflare

Un túnel Cloudflare Zero Trust publica SAMM en la Internet pública sin abrir ningún puerto de firewall : útil cuando el host SAMM está inactivo detrás de NAT. Se gestiona desde Sistema → Cloudflare Túnel .

Estado del servicio

La página se abre en una tarjeta de estado que informa el estado del conector:

EstadoSignificado
En ejecuciónEl túnel está activo y reenvía tráfico
DetenidoConfigurado pero no en ejecución actualmente
No configuradoEl binario está presente — pega un token para configurarlo
No instaladoVuelva a ejecutar install.sh para instalar el binario cloudflared

También muestra la versión cloudflared y si el El conector está configurado en inicio automático en el inicio .

Configurar el túnel

  1. En el panel Cloudflare Confianza cero ( one.dash.cloudflare.com ), abra Redes → Túneles y Crear un túnel .
  2. Elija el conector Cloudflared , asigne un nombre al túnel y guárdelo. encendido En el paso de instalación, copie solo el token : la cadena larga después --token .
  3. Pégalo en SAMM y haz clic en Configurar túnel . SAMM entrega el token a cloudflared e inicia el conector.
  4. De vuelta en Cloudflare , agregue un nombre de host público : su dirección elegida, escriba HTTP , URL localhost:80 (proxy por nginx - recomendado) o localhost:8000 (directo a la API).

En unos segundos, la insignia de estado se vuelve verde y se puede acceder a SAMM en el nombre de host público. Una vez configuradas, las acciones con un solo clic le permiten Iniciar , Detener o Reiniciar el conector, Reemplazar Token para rotarlo, o Eliminar el túnel (un tipo: QUITAR para confirmar acción).

No hay puertos abiertos, el token nunca está en la base de datos. El túnel realiza una conexión saliente al borde de Cloudflare : no El puerto del firewall se abre alguna vez en el servidor. El token se envía a cloudflared y almacenado en /etc/cloudflared/ ; SAMM nunca lo persiste en la base de datos. TLS termina en el borde de Cloudflare , por lo que SAMM se ejecuta HTTP simple en el loopback.

Sistema

Configuración

Sistema → Configuración mantiene la información activa y recargable en caliente sintonizables. Los demonios los vuelven a leer en el siguiente tic: no se reinicia el servicio. necesario . Las configuraciones están organizadas en pestañas.

Parámetros generales

ConfiguraciónPredeterminadoControles
samm-radius interval30 sCon qué frecuencia se evalúan los eventos temporales y se envían CoAs
samm-worker interval60 sCadencia de ping de router + sincronización de API MikroTik
Intervalo contable intermedio60 sEl intervalo de contabilidad enviado a los enrutadores.
Hora de reinicio diario00:00Cuando los contadores de uso diario se acumulan
Zona horaria del servidorUTCZona horaria para ventanas de velocidad y reinicio diario
Puerto CoA predeterminado3799Puerto UDP predeterminado para paquetes CoA
Máximo de reintentos CoA3Reintentos antes de la reserva de solicitud de desconexión

Reduzca el intervalo de radio samm para una aplicación más estricta; levántelo para reducir la carga.

Pestaña ISP

Configure su identidad de ISP y cargue un logotipo de ISP . El logo cambia de tamaño automáticamente y aparece en tarjetas de hotspot impresas y en archivos PDF de facturas.

Pestaña Correo

Configure el servidor SMTP utilizado para los códigos de recuperación de contraseña enviados a administradores y clientes (host, puerto, SSL/STARTTLS, nombre de usuario, dirección remitente, contraseña). Haga clic en Probar conexión para verificar las credenciales sin enviar correo.

Dos cuentas de correo La pestaña Correo electrónico aquí es solo para recuperación de OTP/contraseña. La cuenta utilizada para Las notificaciones del cliente se configuran por separado en el Centro de notificaciones .

Sistema

Administradores & roles

Sistema → Administradores administra quién puede iniciar sesión en el administrador portal y lo que cada persona puede hacer. Tiene dos pestañas: Administradores y Roles .

Cuentas de administrador

Cree un administrador con un nombre de usuario, contraseña, correo electrónico opcional y una función. De una fila ⋮ menú puede editar la función o contraseña, deshabilitar la cuenta o eliminarla. Sólo un El superadministrador puede gestionar otros administradores.

Roles & permisos

Un rol ​​otorga acceso por área. El superadministrador integrado El rol siempre tiene acceso completo y no se puede cambiar. Crea roles personalizados para personas limitadas acceso: una nueva función comienza sin acceso hasta que usted establece sus permisos.

Para cada área de SAMM (suscriptores, planes, NAS, contabilidad, herramientas, configuración, etc.), se establece una función en uno de tres niveles:

NivelSignificado
No permitidoEl área está completamente oculta de la barra lateral
VerAcceso de solo lectura
EditarAcceso completo — crear, cambiar, eliminar

Alcance de visibilidad de datos

Cada rol también tiene un alcance. Ver todos los clientes y clientes tarjetas significa el el rol ve todos los registros; Si no está marcado, sus administradores solo ven los suscriptores y las tarjetas. ellos mismos crearon : ideal para revendedores o personal de sucursales.

La licencia siempre está disponible La página Sistema → Licencia está intencionalmente exenta de la matriz de permisos: es el camino de recuperación para salir de un bloqueo y nunca debe ser oculto a cualquier administrador.

Sistema

Herramientas

La sección Herramientas incluye utilidades masivas y de mantenimiento.

Copia de seguridad & Restauración

Cree una instantánea completa de la base de datos antes de cualquier cambio importante. Una copia de seguridad está comprimida Archivo pg_dump almacenado en el servidor, cada uno con un encabezado SAMM .

  • Crear copia de seguridad : opcionalmente, agregue una nota; marque Omitir uso & historial para un volcado más pequeño y más rápido que omite tablas de registro voluminosas.
  • Descargue una copia de seguridad en su PC o cargue una copia de seguridad SAMM anterior al servidor.
  • Restaurar sobrescribe la base de datos actual, controlada por un escriba RESTAURAR para confirmar el cuadro de diálogo.

Limpiador de historial

Elimine permanentemente las filas de registro e historial antiguas para recuperar espacio en la base de datos. Elige un retención preestablecida y confirme. Los ajustes más limpios cerraron sesiones de RADIUS, después de la autenticación registros, resúmenes de uso diario, historial de enrutador/interfaz, registros de limitación, auditoría aplicada entradas y filas de CoA terminadas. nunca toca sesiones en vivo, en cola comandos, CoA pendientes o los totales de uso de por vida no reiniciables.

Primero haz una copia de seguridad History Cleaner se elimina permanentemente. Ejecute una copia de seguridad antes de limpiar si lo desea los datos más tarde.

Exportar / Importar

Exportación e importación masiva para usuarios, planes y NAS como .csv o .xlsx . Descargue una plantilla (las columnas de la derecha más una fila de muestra) o una instantánea de los datos actuales, complétela y cárguela nuevamente. Cada fila es validado y mostrado en una pantalla de vista previa : duplicados y filas no válidas aparecen y usted elige si desea omitir duplicados o actualizarlos en su lugar, antes de cualquier cosa está escrita.

Cambios masivos

Aplique un cambio (propietario, fecha de vencimiento, estado o renovación automática) a cada suscriptor que coincide con un filtro, en una sola ejecución. Elija el cambio, construya el filtro (estado/plan/propietario/búsqueda), revise la lista de coincidencias y confirme.

Eliminación masiva

Elimina permanentemente muchos suscriptores o tarjetas de hotspot a la vez, seleccionados por filtro. Al eliminar un suscriptor también se elimina su historial de uso, sesiones, contabilidad RADIUS y facturas y desconecta cualquier sesión en vivo. Cerrado por un cuadro de diálogo de tipo DELETE para confirmar.

Sistema

Idiomas & temas

Idiomas

Los portales de administración y de clientes son totalmente traducibles. Barco en seis idiomas construido en: inglés, árabe (de derecha a izquierda), turco, francés, español y alemán . Cada usuario elige su idioma en la barra superior o su perfil; la elección se recuerda por cuenta.

El editor de traducciones

Un superadministrador puede editar traducciones en vivo desde Sistema → Traducciones : sin reinicio, sin edición de archivos. El editor también crea idiomas completamente nuevos e importa/exporta traducción. libros de trabajo como .xlsx , para que pueda localizar SAMM en cualquier idioma que preste.

Temas

SAMM incluye 11 temas visuales , claros y oscuros. Cada usuario elige un tema de la barra superior; la vista previa se actualiza instantáneamente y se guarda por cuenta. eso La terminología nunca se traduce, por lo que las pantallas técnicas son precisas en todos los idiomas.

Sistema

Registro de auditoría

Sistema → Registro de auditoría es el registro de las acciones del administrador: y la cola de comandos que los lleva a cabo. Cuando reinicias un contador, cambias un plan, o renovar un suscriptor, SAMM escribe la acción aquí en lugar de tocar un enrutador activo directamente.

Cada entrada muestra la acción, su objetivo, el administrador que la desencadenó, cuándo sucedió y si ya se ha aplicado . el El servicio samm-radius drena las entradas pendientes en su siguiente tick y, donde necesario, emite un CoA para actualizar una sesión en vivo. La insignia de la barra lateral todavía cuenta las entradas pendiente; El panel de estado de la canalización del Panel realiza un seguimiento del trabajo pendiente.

Por qué una cola Enrutar cada acción del administrador a través del registro de auditoría significa que los cambios se aplican exactamente un proceso en un orden predecible: nunca hay una carrera entre el portal web y un enrutador.

Licencias

Licencias & niveles

Cada SAMM instalación tiene una licencia por dispositivo : el plan sigue vigente esa instalación, por lo que puede ejecutar varios servidores SAMM , cada uno en su propio nivel. Los conjuntos de niveles tres mayúsculas numéricas.

NivelUsuarios AAATarjetas HotspotNAS / routers
No registrado252001
Gratis1005002
Pro2,0005,0005
Pro Maxilimitadoilimitadoilimitado

Una instalación nueva ejecuta sin registrar en el nivel mínimo. Cada característica es disponible en cada nivel: el nivel solo establece los límites. Crear un abonado, tarjeta o El NAS que supera el límite está bloqueado hasta que actualice; nunca se pierden datos .

Activar & actualizar

  1. Abra Sistema → Licencia .
  2. Actívelo iniciando sesión con su cuenta SecuryTik o use Vincula este dispositivo , que muestra un código que apruebas samm.securytik.com sin escribir su contraseña en el servidor. El dispositivo se activa en Gratis .
  3. Para ir más alto, solicite Pro o Pro Max en el misma página: un administrador SecuryTik la revisa y la aprueba.

La página Licencia también vuelve a verificar la licencia a pedido y muestra su actual uso contra cada límite. Desvincular el dispositivo devuelve la instalación al nivel no registrado sin eliminar ningún dato.

Si una licencia de pago vence

SAMM nunca elimina datos. Una licencia caducada se retira con gracia:

EtapaQué sucede
AdvertenciaUn cartel recordatorio; todo sigue funcionando
GraciaUna breve ventana para reactivar; los suscriptores permanecen en línea
Bloqueo parcialLos servicios en segundo plano se detienen; RADIUS sigue autenticándose durante aproximadamente 7 días
Bloqueo totalLos servicios se detienen excepto la página de reactivación.

La reactivación en cualquier etapa reinicia todos los servicios automáticamente: todos los datos y el historial del suscriptor están intactos.

Actualizaciones automáticas

La actualización automática es independiente de la licencia: cada nivel se actualiza y una licencia caducada nunca lo bloquea. SAMM busca diariamente una nueva versión firmada. De Sistema → Licencia entre las que puedes cambiar notificar a (el valor predeterminado: un banner con un botón Aplicar ahora ) y auto (aplicar sin supervisión). Cada actualización se verifica, se respalda y se aplica en lugar. También puede volver a ejecutar el instalador en cualquier momento; se actualiza de forma idempotente.

Para tus suscriptores

Portal del cliente & bot

SAMM ofrece a cada suscriptor dos superficies de autoservicio: un portal web y un Telegram bot: para que puedan verificar el uso y pagar sin comunicarse contigo.

El portal del cliente

Los suscriptores inician sesión en la raíz del sitio SAMM ( / ) con su nombre de usuario SAMM y contraseña. El portal tiene:

PáginaLo que ve el suscriptor
ResumenEstado de la cuenta, plan, vencimiento, uso de hoy y de este mes, cualquier factura pendiente
Uso y uso sesionesTotal descargado/cargado, presupuesto de tiempo de actividad e historial de sesión completo
Mis planesEl plan actual más el catálogo de planes disponibles.
Mis facturasHistorial de facturación con descarga en PDF con un solo clic
Tickets de soporteAbrir y seguir tickets de soporte
PerfilEdite los datos de contacto, cambie la contraseña, establezca el idioma y el idioma. tema, gestionar notificaciones

Desde el perfil , un suscriptor conecta su cuenta Telegram , realiza pedidos sus canales de notificación preferidos u optar por no recibir notificaciones por completo. si ellos olvidan su contraseña, se les envía un código OTP por correo electrónico (esto necesita el Pestaña de correo electrónico configurada).

El bot de Telegram

El servicio samm-telegram ejecuta un bot de autoservicio interactivo. un el suscriptor envía /start , verifica una vez con su nombre de usuario SAMM y contraseña (el robot elimina el mensaje de contraseña inmediatamente) y luego puede, por completo del chat:

  • Consulta su plan, cuota, uso y fecha de vencimiento.
  • Ver y descargar facturas como PDF
  • Actualiza su perfil y cambia su contraseña.
  • Abrir y seguir tickets de soporte

El bot también envía notificaciones automáticas: recordatorios de renovación, vencimiento. avisos, advertencias de cuota y recibos, a los suscriptores que se conectaron a Telegram .

Referencia

Operando SAMM

Casi todo se hace desde el portal de administración. Esta página es la referencia de shell para las raras ocasiones en que la necesita.

Gestión de servicios

# Restart all SAMM services
systemctl restart samm-api samm-radius samm-worker samm-notification samm-telegram

# Live logs for one service
journalctl -u samm-api    -f
journalctl -u samm-radius -f

# Validate the FreeRADIUS config after any change
freeradius -CX

CLI Admin

Para operaciones rápidas de suscriptores desde el shell. Cada comando está en cola para la auditoría. log y se aplica en el siguiente tick samm-radius , exactamente igual que las acciones de la interfaz de usuario.

CLI="sudo -u samm /opt/samm/venv/bin/python -m samm_radius.cli"

$CLI reset-quota      alice          # reset a limit counter
$CLI reset-daily      alice
$CLI reset-uptime     alice
$CLI reset-expiration alice
$CLI change-plan      alice home-50M # switch a subscriber's plan

Archivos de configuración

ArchivoContiene
/etc/samm/samm.yamlEl DSN de la base de datos, los tamaños del grupo de conexiones y el nivel de registro.
/etc/samm/api.envSecretos de sesión del portal y configuración SMTP de recuperación de contraseña
/etc/samm/secret.keyLa clave de cifrado para las contraseñas API del enrutador almacenadas

Estos archivos se conservan durante las actualizaciones y nunca se sobrescriben una nueva ejecución del instalador. Configurables en tiempo de ejecución (cadencias de bucle, tiempo de reinicio diario, CoA) puertos) se encuentran en Configuración en su lugar, y aplicar sin reiniciar.

Actualizando SAMM

Deje que SAMM se actualice desde Sistema → Licencia , o vuelva a ejecutar el instalador; consulte Instalación → Actualizando . Ambas rutas vuelven a aplicar migraciones y reinician servicios; tu configuración y los datos están intactos.

Copia de seguridad & recuperación

Utilice Herramientas → Copia de seguridad y actualización. Restaurar por completo instantánea de la base de datos antes de cualquier cambio importante. Para reconstruir en un host nuevo, instale SAMM y luego restaure la copia de seguridad.

Referencia

Preguntas frecuentes & solución de problemas

¿Qué sistemas operativos admite SAMM ?

Ubuntu 22.04 LTS, Ubuntu 24.04 LTS y Debian 12. Solo Linux de nivel de servidor: Las variantes de escritorio no son compatibles. El instalador espera systemd, una nueva Instalación de PostgreSQL (hay una configurada para usted) y acceso de root.

¿Necesito una conexión a Internet para ejecutar SAMM ?

No. SAMM se ejecuta completamente en su propio servidor y autentica a los suscriptores localmente sobre RADIO. El único tráfico saliente es un latido periódico de licencia al SecuryTik servidor de licencias para que tu plan permanezca validado.

¿Puedo ejecutar SAMM en la nube o es necesario que sea local?

Cualquiera de los dos funciona. La mayoría de los operadores ejecutan localmente junto a sus enrutadores principales; algunos corren en una pequeña máquina virtual en la nube con un túnel Cloudflare Zero Trust hacia atrás. El único requisito es que los MikroTik enrutadores pueden llegar al servidor SAMM en los puertos RADIUS (1812/1813 UDP) y que SAMM pueda llegar a los enrutadores a través de la API MikroTik .

¿Tengo que reiniciar FreeRADIUS cuando agrego o elimino un enrutador?

No. SAMM resuelve los clientes NAS dinámicamente desde la base de datos, por lo que al agregar, editar o eliminar un enrutador en MikroTik → NAS entra en vigor sin reiniciar.

¿Qué tan rápido surte efecto un cambio de plan o un reinicio de contador?

Las acciones de administración se ponen en cola y las aplica el servicio samm-radius en su siguiente tick, dentro de los 30 segundos de forma predeterminada. Si el suscriptor está en línea, SAMM también envía un CoA en vivo para actualizar la sesión. Reducir el intervalo de radio samm en Sistema → Configuración para una sincronización más ajustada.

¿Qué pasa con mis datos si caduca una licencia paga?

Nunca se borra nada. Una licencia caducada se retira mediante advertencia, gracia, una bloqueo suave (RADIUS sigue autenticándose durante aproximadamente una semana) y finalmente un bloqueo duro bloqueo. La reactivación en cualquier etapa reinicia todos los servicios con todos los datos intactos.

¿ SAMM es gratis? ¿Qué añade Pro?

El nivel gratuito es gratuito para siempre e incluye todas las funciones. Pro y Pro Max no desbloquean funciones: aumentan los límites de usuarios AAA, tarjetas de punto de acceso y enrutadores. Consulte Licencias y niveles .

Un suscriptor no puede autenticarse: ¿por dónde empiezo?

Verifique que el secreto compartido RADIUS del enrutador coincida exactamente con el registro NAS, que el enrutador esté habilitado para PPP / Hotspot RADIUS y que el La cuenta está activa y no ha caducado. Ver journalctl -u samm-api -f y el registro FreeRADIUS , y confirme que el enrutador puede alcanzar el host SAMM en UDP 1812/1813.

¿Necesitas más ayuda?

Envíe un correo electrónico a [email protected] para informar un error o solicitar una función.