Ola pessoal, antes de atualizar meu Mk-auth, me veio uma duvida.
Coloque o ip 172.31.255.1/30 na placa de rede de seu mikrotik que irar se comunicar com o seu mk-auth e o ip 10.3.0.1/22 na placa de comunicação dos clientes.
/ip address
add address=172.31.255.1/30 broadcast=172.31.255.3 comment="MK-AUTH" disabled=no interface=mka network=172.31.255.0
add address=10.3.0.1/22 broadcast=10.3.3.255 comment="PG CORTE" disabled=no interface=cli network=10.3.0.0
-------------------------------------------------------------------------
Para clientes hotspot:
/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.254
/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 interface=Placa do clientes
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85
-------------------------------------------------------------------------
1º Uso hotspot com ip fixo, quem é que vai mudar o ip do cliente para que ele entre nessa faixa 10.3.0.2-10.3.3.254 para que o mesmo seja cortado?
2º Não seria desperdicio de ips usar uma faixa tao grande apenas para corte?
3º pelo visto voltou ao sistema de corte antigo usando ssh, e corte por address lists
4º e quem usa essa faixa em seus clientes, pode colocar outra faixa.
5º sou obrigado a usar esse metodo de corte?
Respostas
Amigo,
Fui um dos idealizadores do primeiro sistema de corte por radius e posso te afirmar que agora ficou melhor, quanto as suas questões, vou tentar respondê-las
1 - Não há problema nenhum em usar ip fixo no cliente, porque o hotspot identifica dois ips para o cliente, se vc abrir seu hotspot na aba hosts vai verficar que se tem a informação Adress e To Adress, o primeiro é o ip que vc fixou no cliente, já o segundo é o ip da range que foi atribuido a ele, ou seja quando bloqueado, mesmo que o ciente tem um ip difente na placa de rede o To Address ficará com o ip da faixa de bloqueio e é ele que determina a navegação e sofre interferencia das regras de firewall.
2 - Esta faixa é de ips privados, ou seja, funciona apenas em rede privada, assim temos 16.777.215 ips só na faixa 10.0.0.0/8, mais 8.388.607 na faixa 172.16.0.0/12 e 65.535 na faixa 192.168.0.0/16, ou seja, pode desperdicar à vontade.
3 - Não, isso não é ssh, simplemente mudou o parametro transmitido pelo radius, ao invés do Mikrotik-Mark-Id , agora é transmitido o parâmetro Framed-Poool;
4 - Se você utiliza essa faixa nos clientes, vai precisar trocar a faixa dos clientes.
5 - Pelo menos no sistema ainda existe os 3 métodos de corte: bloqueio total (não loga), radius e ssh.
esperto ter ajudado
Boa noite eu trabalho com varias classes de ips para meus clientes e nesse caso como ficaria.
trabalho assim em vlans
vlan1 10.0.0.0/24
vlan2 10.0.1.0/24
vlan3 10.0.2.0/24
vlan4 10.0.3.0/24
vlan5 10.0.4.0/24 e para os clientes fora das vlans
192.168.10.0/24
nesse caso como eu faria?
Amigo,
foi utilizada a faixa 10.3.0.0 a 10.3.3.255, assim todos os outros ips fora dessa faixa não terá problemas, como é o caso das faixas que vc citou, pode usar sem problemas.
Obrigado mais so ta nessa faixa de ip a vlan 4 e com eu faço para o restante?
o jeito é mudar a faixa de ip da rede
Obrigado no meu caso tive trabalhar em vlan e separar por mais classe di ips, se no caso eu quizer criar uma
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85
para cada vlan que tenho sera que resolve?
Jhonne Jossy disse:
Ok Jhone entendi mais ou menos.
Me diga uma coisa se eu quiser mudar essa faixa de 10.3.0.2 - 10.3.3.254 para 10.3.0.2 - 10.3.0.254, tem algum problema.
Em nossa filial usamos a faixa 10.0.3.x para clientes, e a faixa 10.3.3.x para APs.
Pelo que eu entendi ta usando para bloqueio
10.3.0.x
10.3.1.x
10.3.2.x
10.3.3.x
Ta sendo usado so aqui 1012 ips, um provedor para ter 1012 clientes bloqueados por falta de pagamento, é um Put... Provedor.
Não podemos trocar essa faixa de IPs, de 10.x.x.x para 192.x.x.x
é que nao temos itensão de usar essa faixa 192, ja que a mesma é padrao de roteadores shingling e afins, e ai toda vez que um cliente mal informado espeta um desses na rede é facil de achar.
Você tera que trocar tudo que tiver na faixa do bloqueio.
E no meu caso como eu faço posso criar varios pg corte no firewall para cada faixa de rede no meu caso se eu fou mudar somente para uma faixa nao da vai dar muito trabalho.
Jhonne Jossy disse:
Várias paginas de corte por faixa? como assim ? a faixa de corte é uma só, basta você não ter clientes dentro da faixa do corte que é 10.3.0.0 a 10.3.3.255, ou seja pode usar 10.0.x.x a vontade, como também 10.1.x.x, 10.2.x.x, 10.4.x.x ....... 10.255.x.x.
jose olegario de araujo junior disse:
-
1
-
2
de 2 Próximo