A regra de Corte mudou na 4.90, mas quem muda o ip do cliente com ip fixo

Ola pessoal, antes de atualizar meu Mk-auth, me veio uma duvida.

Coloque o ip 172.31.255.1/30 na placa de rede de seu mikrotik que irar se comunicar com o seu mk-auth e o ip 10.3.0.1/22 na placa de comunicação dos clientes.

/ip address

add address=172.31.255.1/30 broadcast=172.31.255.3 comment="MK-AUTH" disabled=no interface=mka network=172.31.255.0

add address=10.3.0.1/22 broadcast=10.3.3.255 comment="PG CORTE" disabled=no interface=cli network=10.3.0.0

-------------------------------------------------------------------------

Para clientes hotspot:

/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.254

/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 interface=Placa do clientes

/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85

-------------------------------------------------------------------------

1º Uso hotspot com ip fixo, quem é que vai mudar o ip do cliente para que ele entre nessa faixa 10.3.0.2-10.3.3.254 para que o mesmo seja cortado?

2º Não seria desperdicio de ips usar uma faixa tao grande apenas para corte?

3º pelo visto voltou ao sistema de corte antigo usando ssh, e corte por address lists

4º e quem usa essa faixa em seus clientes, pode colocar outra faixa.

5º sou obrigado a usar esse metodo de corte?

Jossy muito obrigado pela explicação amigo, acho que melhor impossivel...

Jhonne Jossy disse:

Amigo,

Fui um dos idealizadores do primeiro sistema de corte por radius e posso te afirmar que agora ficou melhor, quanto as suas questões, vou tentar respondê-las

1 - Não há problema nenhum em usar ip fixo no cliente, porque o hotspot identifica dois ips para o cliente, se vc abrir seu hotspot na aba hosts vai verficar que se tem a informação Adress e To Adress, o primeiro é o ip que vc fixou no cliente, já o segundo é o ip da range que foi atribuido a ele, ou seja quando bloqueado, mesmo que o ciente tem um ip difente na placa de rede o To Address ficará com o ip da faixa de bloqueio e é ele que determina a navegação e sofre interferencia das regras de firewall.

2 - Esta faixa é de ips privados, ou seja, funciona apenas em rede privada, assim temos 16.777.215 ips só na faixa 10.0.0.0/8, mais 8.388.607 na faixa 172.16.0.0/12 e 65.535 na faixa 192.168.0.0/16, ou seja, pode desperdicar à vontade.

3 - Não, isso não é ssh, simplemente mudou o parametro transmitido pelo radius, ao invés do Mikrotik-Mark-Id , agora é transmitido o parâmetro Framed-Poool;

4 - Se você utiliza essa faixa nos clientes, vai precisar trocar a faixa dos clientes.

5 - Pelo menos no sistema ainda existe os 3 métodos de corte: bloqueio total (não loga), radius e ssh.

esperto ter ajudado

Respostas

Rafael Gunes Agosto 27, 2015 0:22

Olá amigos!

Alguém poderia me ajudar com as configurações com Paginas de Corte, Paginas de Manutenção, Atraso ?

MK 5.26 hotspot radius + mk-auth 4.99 + velox roteado

estrutura:

ether1-Link

ether2-mk-auth

ether3-clientes

Não consigo fazer funcionar de maneira eficiente, e tem tbm as paginas https que n exibem a msg de corte, existe solução pra esses caso específico ?

Aguardo ajuda!!!
Pedro Filho Fevereiro 18, 2012 23:24

Jossy muito obrigado pela explicação amigo, acho que melhor impossivel...

Jhonne Jossy disse:

Amigo,

Fui um dos idealizadores do primeiro sistema de corte por radius e posso te afirmar que agora ficou melhor, quanto as suas questões, vou tentar respondê-las

1 - Não há problema nenhum em usar ip fixo no cliente, porque o hotspot identifica dois ips para o cliente, se vc abrir seu hotspot na aba hosts vai verficar que se tem a informação Adress e To Adress, o primeiro é o ip que vc fixou no cliente, já o segundo é o ip da range que foi atribuido a ele, ou seja quando bloqueado, mesmo que o ciente tem um ip difente na placa de rede o To Address ficará com o ip da faixa de bloqueio e é ele que determina a navegação e sofre interferencia das regras de firewall.

2 - Esta faixa é de ips privados, ou seja, funciona apenas em rede privada, assim temos 16.777.215 ips só na faixa 10.0.0.0/8, mais 8.388.607 na faixa 172.16.0.0/12 e 65.535 na faixa 192.168.0.0/16, ou seja, pode desperdicar à vontade.

3 - Não, isso não é ssh, simplemente mudou o parametro transmitido pelo radius, ao invés do Mikrotik-Mark-Id , agora é transmitido o parâmetro Framed-Poool;

4 - Se você utiliza essa faixa nos clientes, vai precisar trocar a faixa dos clientes.

5 - Pelo menos no sistema ainda existe os 3 métodos de corte: bloqueio total (não loga), radius e ssh.

esperto ter ajudado
jose olegario de araujo junior Fevereiro 18, 2012 17:39

Opa pedrao muito obrigado no meu caso eu fiz assim, da uma olhada para ver se esta certo..

/ip pool
add name=pgcorte ranges=10.10.0.2-10.10.13.254
/ip address
add address=10.10.0.1/22 broadcast=10.10.13.255 network=10.10.0.0 interface=Clientes
/ip firewall nat
add action=dst-nat dst-address=!192.10.x.x chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.10.0.2-10.10.13.254 to-addresses=192.10.x.x to-ports=85

Pedro Filho disse:

troca por 10.5.0.X ou qualquer outra, lembrando que vc precisa trocar no pool, nat e address...

Edmar Aparecido dos Santos disse:

Ok Jhone entendi mais ou menos.

Me diga uma coisa se eu quiser mudar essa faixa de 10.3.0.2 - 10.3.3.254 para 10.3.0.2 - 10.3.0.254, tem algum problema.

Em nossa filial usamos a faixa 10.0.3.x para clientes, e a faixa 10.3.3.x para APs.

Pelo que eu entendi ta usando para bloqueio

10.3.0.x

10.3.1.x

10.3.2.x

10.3.3.x

Ta sendo usado so aqui 1012 ips, um provedor para ter 1012 clientes bloqueados por falta de pagamento, é um Put... Provedor.

Não podemos trocar essa faixa de IPs, de 10.x.x.x para 192.x.x.x

é que nao temos itensão de usar essa faixa 192, ja que a mesma é padrao de roteadores shingling e afins, e ai toda vez que um cliente mal informado espeta um desses na rede é facil de achar.
Pedro Filho Fevereiro 18, 2012 16:13

troca por 10.5.0.X ou qualquer outra, lembrando que vc precisa trocar no pool, nat e address...

Edmar Aparecido dos Santos disse:

Ok Jhone entendi mais ou menos.

Me diga uma coisa se eu quiser mudar essa faixa de 10.3.0.2 - 10.3.3.254 para 10.3.0.2 - 10.3.0.254, tem algum problema.

Em nossa filial usamos a faixa 10.0.3.x para clientes, e a faixa 10.3.3.x para APs.

Pelo que eu entendi ta usando para bloqueio

10.3.0.x

10.3.1.x

10.3.2.x

10.3.3.x

Ta sendo usado so aqui 1012 ips, um provedor para ter 1012 clientes bloqueados por falta de pagamento, é um Put... Provedor.

Não podemos trocar essa faixa de IPs, de 10.x.x.x para 192.x.x.x

é que nao temos itensão de usar essa faixa 192, ja que a mesma é padrao de roteadores shingling e afins, e ai toda vez que um cliente mal informado espeta um desses na rede é facil de achar.
jose olegario de araujo junior Fevereiro 18, 2012 10:49

Agora entendi a faixa de corte é uma faixa de ip cadastrada que nao esteja em ultilização.

Jhonne Jossy disse:

Várias paginas de corte por faixa? como assim ? a faixa de corte é uma só, basta você não ter clientes dentro da faixa do corte que é 10.3.0.0 a 10.3.3.255, ou seja pode usar 10.0.x.x a vontade, como também 10.1.x.x, 10.2.x.x, 10.4.x.x ....... 10.255.x.x.

jose olegario de araujo junior disse:

E no meu caso como eu faço posso criar varios pg corte no firewall para cada faixa de rede no meu caso se eu fou mudar somente para uma faixa nao da vai dar muito trabalho.

Jhonne Jossy disse:

Você tera que trocar tudo que tiver na faixa do bloqueio.
Jhonne Jossy Fevereiro 18, 2012 10:39

Várias paginas de corte por faixa? como assim ? a faixa de corte é uma só, basta você não ter clientes dentro da faixa do corte que é 10.3.0.0 a 10.3.3.255, ou seja pode usar 10.0.x.x a vontade, como também 10.1.x.x, 10.2.x.x, 10.4.x.x ....... 10.255.x.x.

jose olegario de araujo junior disse:

E no meu caso como eu faço posso criar varios pg corte no firewall para cada faixa de rede no meu caso se eu fou mudar somente para uma faixa nao da vai dar muito trabalho.

Jhonne Jossy disse:

Você tera que trocar tudo que tiver na faixa do bloqueio.
jose olegario de araujo junior Fevereiro 18, 2012 9:47

E no meu caso como eu faço posso criar varios pg corte no firewall para cada faixa de rede no meu caso se eu fou mudar somente para uma faixa nao da vai dar muito trabalho.

Jhonne Jossy disse:

Você tera que trocar tudo que tiver na faixa do bloqueio.
Jhonne Jossy Fevereiro 17, 2012 23:50

Você tera que trocar tudo que tiver na faixa do bloqueio.
Edmar Aparecido dos Santos Fevereiro 17, 2012 23:48

Ok Jhone entendi mais ou menos.

Me diga uma coisa se eu quiser mudar essa faixa de 10.3.0.2 - 10.3.3.254 para 10.3.0.2 - 10.3.0.254, tem algum problema.

Em nossa filial usamos a faixa 10.0.3.x para clientes, e a faixa 10.3.3.x para APs.

Pelo que eu entendi ta usando para bloqueio

10.3.0.x

10.3.1.x

10.3.2.x

10.3.3.x

Ta sendo usado so aqui 1012 ips, um provedor para ter 1012 clientes bloqueados por falta de pagamento, é um Put... Provedor.

Não podemos trocar essa faixa de IPs, de 10.x.x.x para 192.x.x.x

é que nao temos itensão de usar essa faixa 192, ja que a mesma é padrao de roteadores shingling e afins, e ai toda vez que um cliente mal informado espeta um desses na rede é facil de achar.
jose olegario de araujo junior Fevereiro 17, 2012 22:58

Obrigado no meu caso tive trabalhar em vlan e separar por mais classe di ips, se no caso eu quizer criar uma

/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85

para cada vlan que tenho sera que resolve?

Jhonne Jossy disse:

o jeito é mudar a faixa de ip da rede

de 2

This reply was deleted.