Olá pessoal.
Bom, o problema com a página de aviso/corte ainda é algo que me assombra. Eu ainda não consegui fazer funcionar. Tentei de todas as formas via List, e agora estou tentando via POOL. Tudo o que eu encontrei até agora a respeito disto é antigo, para MK-Auth antigo e Mikrotik versão antiga, então eu estou querendo saber se alguém teria como me ajudar com isso? Atualmente uso Mikrotik 6.30.2 e MK-Auth 4.99.
Lembrando: não tenho preferência por POOL ou List, só algo que funcione hehe
Uso só PPPOE como autenticação.
Obrigado a quem puder ajudar.
Respostas
Sei de uma coisa que descobri aqui...se no cadastro do cliente estiver o "ramal" configurado para "todos" não funciona o list, tem setar o ramal para o servidor especifico do cliente!
No meu caso, este problema não existe. O Ramal é setado em todos os clientes.
Nenhuma solução? Ninguém aqui consegue usar as benditas páginas de aviso e bloqueio?
1 seu mk-auth para bloquear os clientes ( SSH (precisa da chave ssh) )
2 baixa a chave do servidor
3 importa no mikrotk "com o usuário mkauth"
4 add action=dst-nat chain=dstnat comment="Pagina de Corte" disabled=no protocol=tcp src-address-list=pgcorte to-addresses=ip_do_Mk-Auth to-ports=85
pronto.
1 seu mk-auth para bloquear os clientes ( SSH (precisa da chave ssh) )
2 baixa a chave do servidor
3 importa no mikrotk "com o usuário mkauth"
4 add action=dst-nat chain=dstnat comment="Pagina de Corte" disabled=no protocol=tcp src-address-list=pgcorte to-addresses=ip_do_Mk-Auth to-ports=85
pronto.
1 seu mk-auth para bloquear os clientes ( SSH (precisa da chave ssh) )
2 baixa a chave do servidor
3 importa no mikrotk "com o usuário mkauth"
4 add action=dst-nat chain=dstnat comment="Pagina de Corte" disabled=no protocol=tcp src-address-list=pgcorte to-addresses=ip_do_Mk-Auth to-ports=85
pronto.
Amigo, todos os passos acima citados já foram feitos, refeitos e refeitos novamente, alterando inclusive o tipo de bloqueio do MK-Auth de List para POOL e vice-versa, sem nenhum sucesso.
Se você ou outra pessoa quiser, eu pago pelo serviço feito e funcionando. Dou acesso ao MK-Auth e à minha RB.
coloca as regras e testa com sites não https como a url abaixo e veja se funciona:
www.pedrofilho.com.br
Consegui fazer funcionar via POOL, porém tem um problema: quando o MK-Auth bloqueia o cliente, ele manda o comando para o Mikrotik derrubar o cliente com o IP setado para a POOL de corte, ou seja: não derruba o cliente porque o cliente está usando outro IP kkkk que coisa não?
Via List, não funciona nem em sites HTTPS nem em sites HTTP.
Digo e repito: se alguém quiser se aventurar em conseguir fazer essa página funcionar via LIST(POOL já vi que não vai dar certo pelo dito acima), eu pago pelo serviço.
Faz o seguinte:
Abra o terminal dentro do mikrotik e basta copiar e colar cada regra abaixo, claro que não deve esquecer de alterar o que está em negrito, informando os ips conforme sua rede:
======================================================================================================
/ip address
add address=10.234.0.1/18 comment="Ip para o Pool de Bloqueio" disabled=no interface=ether5_Clientes network=10.234.0.0
======================================================================================================
/ip pool
add name=pgcorte ranges=10.234.0.2-10.234.63.254
Esta range de ip será o ip que os clientes bloqueados irão pegar, você pode mudar segundo sua vontade.
===========================================================================================================================================================
/ip firewall filter
add action=add-dst-to-address-list address-list=pgcorte address-list-timeout=3m chain=forward comment="Bloqueio de trafego para Pool bloqueado" disabled=no dst-address=10.234.0.2-10.234.63.254 src-address=!172.32.255.2
add action=drop chain=forward comment="Bloqueio de trafego ICMP para Pool bloqueado" disabled=no dst-address=10.234.0.2-10.234.63.254 protocol=icmp src-address=!172.32.255.2
explicando:
a primeira regra faz o seguinte:
No momento em que o cliente que está no mkauth bloqueado se conecta via pppoe ele pega um ip do pool criado ou seja qualquer ip entre 10.234.0.2-10.234.63.254 e o filter ao perceber que ele faz parte deste range de ip logo cria um addeslist com nome pgcorte associado ao seu ip.
a segunda regra faz o seguinte:
serve para não permitir que qualquer ip que esteja no range de ip bloqueado consiga pingar pra qualquer lugar a não ser o ip do mkauth que é pra ele poder acessar e imprimir o boleto pra pagar.
============================================================================================================================================================
/ip firewall nat
add action=dst-nat chain=dstnat comment="PG CORTE via addresslist - http" disabled=no dst-address=!172.32.255.2 dst-port=80 protocol=tcp src-address-list=pgcorte to-addresses=172.32.255.2 to-ports=85
add action=dst-nat chain=dstnat comment="PG CORTE via addresslist - https" disabled=no dst-address=!172.32.255.2 dst-port=443 protocol=tcp src-address-list=pgcorte to-addresses=172.32.255.2 to-ports=445
add action=dst-nat chain=dstnat comment="PG CORTE via addresslist - todas outras portas" disabled=no dst-address=!172.32.255.2 dst-port=0-65535 protocol=tcp src-address-list=pgcorte to-addresses=172.32.255.2 to-ports=85
add action=masquerade chain=srcnat comment="masquerade Pool bloqueio" disabled=no src-address=10.234.0.0/18
explicando:
estas regras deve ficar acima de todas as regras que existir no nat para funcionar corretamente e vai pegar todo o tráfego de todas as portas dos ips de clientes bloqueados que foi adicionado no addrlist pela regra do filter e vai direcionar para o ip do mkauth para exibir a pagina de corte.
Então qualquer tráfego gerado na maquina do cliente bloqueado, seja porta:
80 cai na primeira regra;
porta 443 cai na segunda e por último,
qualquer porta entre 0-65535 que inclui qualquer serviço ftp, skyp, team viewer, watsup, p2p entre outros cai nesta regra e é direcionado para ip do mkauth na porta 85.
============================================================================================================================================================
Obs:
Ainda não tem jeito pra mostrar a pagina do pgcorte sem que o cliente veja o alerta pelo navegador no momento em que o cliente estiver querendo acessar https e o mikrotik tentar redireciona-lo para o pgcorte, o que vai acontecer é que o trafego vai ser bloqueado mas ele verá aquele aviso do navegador que a pagina não é segura e bla bla bla. A não ser que coloque um certificado digital.
No exemplo acima o range de bloqueio é 10.234.0.2-10.234.63.254 mas vc pode alterar a seu gosto bastando repassar o novo range pra todas as regras.
O ip do mkauth no exemplo acima é 172.32.255.2 vc deve colocar o ip do seu mkauth e repassar o novo ip pra todas as regras.
Não esqueça de ir no mkauth no menu opções/configurar recursos e na seção 4.0 deixar como no print veja:
Bom espero que tenha ajudado pois aqui desta forma tem segurado tudo.
Mas claro, se houver alguma falha nas regras aceito correções.
-
1
-
2
-
3
-
4
de 4 Próximo