Comunicação entre Mk e MK Auth

se vc usa a pagina de corte por radius, uma forma de vc saber se seu cliente realmente esta bloqueado no radius e clica no link informações que tem abaixo do nome do cliente e na janela que abre na parte de radius veja se tem os parametros Mikrotik-Mark-Id / Framed-Pool (clientes hotspot) ou Mikrotik-Address-List / Framed-Pool (clientes pppoe) como na imagem abaixo, se tem então o erro com certeza é no MikroTik por isso depois do login, veja se o cliente bloqueado aparece no mangle do MikroTik (hotspot) ou veja se o ip do cliente bloqueado entra no address-list do MikroTik (pppoe):

se vc usa a pagina de corte por ssh, uma forma de vc saber se seu cliente realmente esta bloqueado é ver se na address-list o ip do cliente aparece, se não aparece veja se não é falha na comunicação ssh. Para testar a comunicação ssh agora o sistema envia uma regra desabilitada para o filter do MikroTik, se gravar a regra é pq esta ok...

nas duas formas de bloqueio é preciso colocar a regra de redirecionamento para pagina de corte acima da regra de nat para o proxy no nat do MikroTik e nas configurações de profile de hotspot do MikroTik é preciso deixar a opção transparet proxy desativada.

veja abaixo as regras atuais para exibir a pagina de corte com radius ou ssh:

Para todos os clientes:

/ip firewall nat

add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no hotspot=from-client,auth protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85

Para hotspot com radius (pool):

/ip pool

add name=pgcorte ranges=10.3.0.2-10.3.3.254

/ip address

add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 interface=Placa do clientes

/ip firewall nat

add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85

Para hotspot com radius (mangle):

/ip firewall mangle

add chain=prerouting action=jump comment="PG CORTE" jump-target=hotspot

/ip firewall nat

add chain=hotspot comment="PG CORTE" packet-mark=bloqueado protocol=tcp action=dst-nat to-addresses=172.31.255.2 to-ports=85

Vanci Butrago disse:

Já deu certo, um colega me ajudou. Agora como tenho link adsl ele disse que eu colocar página de corte devo ter um dns... criei ontem um pelo changeip vou esperar pra ver se ele pode me ajudar nisso tbm.

Respostas

HD NET TELECOM & INFORMATICA 23 de Novembro de 2014 as 10:47am

Bom Dia !

me liga que vou te ajudar 38 97454575
Pedro Filho 24 de Novembro de 2014 as 12:51pm

vr no log do mikrotik qual erro aparece quando o cliente tenta logar...
Vanci Butrago 24 de Novembro de 2014 as 6:11pm

Já deu certo, um colega me ajudou. Agora como tenho link adsl ele disse que eu colocar página de corte devo ter um dns... criei ontem um pelo changeip vou esperar pra ver se ele pode me ajudar nisso tbm.
Pedro Filho 24 de Novembro de 2014 as 10:36pm

se vc usa a pagina de corte por radius, uma forma de vc saber se seu cliente realmente esta bloqueado no radius e clica no link informações que tem abaixo do nome do cliente e na janela que abre na parte de radius veja se tem os parametros Mikrotik-Mark-Id / Framed-Pool (clientes hotspot) ou Mikrotik-Address-List / Framed-Pool (clientes pppoe) como na imagem abaixo, se tem então o erro com certeza é no MikroTik por isso depois do login, veja se o cliente bloqueado aparece no mangle do MikroTik (hotspot) ou veja se o ip do cliente bloqueado entra no address-list do MikroTik (pppoe):

se vc usa a pagina de corte por ssh, uma forma de vc saber se seu cliente realmente esta bloqueado é ver se na address-list o ip do cliente aparece, se não aparece veja se não é falha na comunicação ssh. Para testar a comunicação ssh agora o sistema envia uma regra desabilitada para o filter do MikroTik, se gravar a regra é pq esta ok...

nas duas formas de bloqueio é preciso colocar a regra de redirecionamento para pagina de corte acima da regra de nat para o proxy no nat do MikroTik e nas configurações de profile de hotspot do MikroTik é preciso deixar a opção transparet proxy desativada.

veja abaixo as regras atuais para exibir a pagina de corte com radius ou ssh:

Para todos os clientes:

/ip firewall nat

add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no hotspot=from-client,auth protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85

Para hotspot com radius (pool):

/ip pool

add name=pgcorte ranges=10.3.0.2-10.3.3.254

/ip address

add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 interface=Placa do clientes

/ip firewall nat

add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85

Para hotspot com radius (mangle):

/ip firewall mangle

add chain=prerouting action=jump comment="PG CORTE" jump-target=hotspot

/ip firewall nat

add chain=hotspot comment="PG CORTE" packet-mark=bloqueado protocol=tcp action=dst-nat to-addresses=172.31.255.2 to-ports=85

Vanci Butrago disse:

Já deu certo, um colega me ajudou. Agora como tenho link adsl ele disse que eu colocar página de corte devo ter um dns... criei ontem um pelo changeip vou esperar pra ver se ele pode me ajudar nisso tbm.

This reply was deleted.