Forum

Duvida Sobre Regras PPPoE Para MK-AUTH 4.109

Postado por Douglas Simões em 10 de Julho de 2017 às 8:27pm

Olá, estou tendo dificuldade de implantar as regras de bloqueios para meu MK-Auth!

Procurei aqui mesmo nesse fórum e até em vídeos aulas no youtube e não encontrei.

Alguém poderia me ajudar?

Minha rede funciona dessa forma!

Servidor 64 Bits MK-Auth em nuvem, DataCenter EUA.

Cada NAS em células separadas cada um com link de 200MB, total de 4 redes.

Cada NAS tem uma RB 1100Ahx4 Nível 6, versão do Mikrotik de cada 6.39.2

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Helpsist Telecomunicação 11 de Julho de 2017 as 8:57am

    Use a configuração padrão amigo dependendo do esquema que escolher no MK-AUTH

    e use ferramenta Tool Fetch muito bom também:

    http://www.mk-auth.com.br/tool_fetch/

    Radius com PPPoE

    Primeiro em IP/POOL o pool Local-1 para seu servidor com endereços entre 10.1.0.1-10.1.5.254, depois crie outro pool chamado Remoto-1 para seus clientes com endereços entre 10.2.0.1-10.2.5.254.

    poolp.jpg

    Depois em PPP profiles crie um profile padrão, coloque o nome pppoe,

    Local Address escolha o pool Local-1,

    Remote Address escolha Remoto-1,

    DNS server coloque o ip do seu mikrotik, as outra opções deixe como abaixo:

    profilesw.jpg

    Para criar o servidor PPPoE, Abra PPP clique em PPPoE Server, clique no no sinal de + e coloque em Services Name: servidor-pppoe, Intafaces escolha sua placa de conexão com seu clientes, MAX MTU/MRU coloque 1488, Keepalive Timeout coloque o valor, Default Profile escolha o que acabamos de cria pppoe, marque One Session Per Host e em Authentication marque chap.

    pppoeserver.jpg

    Por ultimo para que seus clientes possa se conectar pelos dados no MK-AUTH clique em secrets, botão AAA e marque Use Radius e Accounting em Interim Update coloque 00:05:00.

    pppoe.jpg

    Exibir pagina de corte usando Radius LIST ou SSH:

    /ip firewall filter
    add action=drop chain=forward comment=CORTE dst-port=!53 protocol=udp src-address-list=pgcorte
    add action=drop chain=forward comment=CORTE dst-port=!80,85,443,445 protocol=tcp src-address-list=pgcorte

    /ip firewall nat
    add action=dst-nat chain=dstnat comment=CORTE_HTTPS dst-address=!172.31.255.2 dst-port=443 protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=445
    add action=dst-nat chain=dstnat comment=CORTE_HTTP dst-address=!172.31.255.2 dst-port=80 protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85

    Exibir pagina de corte usando Radius Pool:

    /ip pool
    add name=pgcorte ranges=10.3.0.2-10.3.3.254

    /ip address
    add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 comment=CORTE interface=porte

    /ip firewall filter
    add action=drop chain=forward comment=CORTE dst-port=!53 protocol=udp src-address=10.3.0.2-10.3.3.254
    add action=drop chain=forward comment=CORTE dst-port=!80,85,443,445 protocol=tcp src-address=10.3.0.2-10.3.3.254

    /ip firewall nat
    add action=dst-nat chain=dstnat comment=CORTE_HTTPS dst-address=!172.31.255.2 dst-port=443 protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=445
    add action=dst-nat chain=dstnat comment=CORTE_HTTP dst-address=!172.31.255.2 dst-port=80 protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85

  • Douglas Simões 11 de Julho de 2017 as 9:46am

    Coloquei as regras informadas e mais essa configuração aqui com meu IP do servidor e não funcionou!

    /system scheduler add interval=45m name=ler_pppoe on-event=":execute script=ler_pppoe;" /system script add name=ler_pppoe source="#===============================\r\     \n:global IPMKAUTH \"172.31.255.2\"; \r\     \n:global KEY \"key_api\"; \r\     \n:global RAMAL \"todos\";\r\     \n:global done \"\";\r\     \n/tool fetch mode=http url=\"https://\$IPMKAUTH/mkt/pppoe.php\\\?key=\$KEY&ramal=\$RAMAL\" src-path=mkt_pppoe.php dst-path=mkt_pppoe.rsc;\r\     \n:set done \"true\";\r\     \n\r\     \n:if ( [/file find name=mkt_pppoe.rsc] != \"\" ) do={\r\     \n   :log warning \"Importando PPPoE\";\r\     \n   /import mkt_pppoe.rsc;\r\     \n   /file remove mkt_pppoe.rsc;\r\     \n}\r\     \n"
  • Helpsist Telecomunicação 11 de Julho de 2017 as 11:26am
    Esse Tool fetch é para importar os usuários e senhas dos clientes do ramal em caso de parada do RADIUS o cliente conecta local, veja o de aviso e corte.
  • Douglas Simões 11 de Julho de 2017 as 11:31am

    Entendo mais coloquei as regras, no meu MK-auth tem mais de 25 pendencias e nenhum deles entrou na address-list do mikrotik, estranho de mais.

  • Helpsist Telecomunicação 11 de Julho de 2017 as 12:12pm

    Verifique se sei MK-AUTH loga no seu MK, reveja configuração de comunicação entre eles e dica do Mestre Pedro:

    http://mk-auth.com.br/forum/topics/meu-mk-auth-n-o-est-conseguindo-...

  • Douglas Simões 11 de Julho de 2017 as 12:15pm

    Radius Funciona normalmente, liberando IP MAC e Velocidade, só não está bloqueando.

  • Helpsist Telecomunicação 11 de Julho de 2017 as 12:29pm

    posta o log desses clientes no mk, mais tem que ver as configurações ai viu amigo, com certeza alguma coisa te passou despercebido.

  • Douglas Simões 11 de Julho de 2017 as 1:21pm

    1488766212?profile=RESIZE_1024x1024Essa é a configuração do cliente em bloqueio.

  • Helpsist Telecomunicação 11 de Julho de 2017 as 1:28pm

    sim o mk-auth está adicionando ele internamente no bloqueio mais eu digo o log de conexão dele no PPPoE, e tem que ver se seu MK-AUTH está conseguindo conectar no seu concentrador para passar as informações de corte.

    Veja se seu Mikrotik está com os Services habilitados o mk-auth usa os quatro abaixo, o SSH pode ser alterado os demais ainda não.

    1488767999?profile=original

  • Douglas Simões 11 de Julho de 2017 as 1:58pm

    api 8728 desativada
    api-ssl 8729 desativada

    ftp 21 ativada mais só aceitando ip do MK-auth
    ssh 22 ativada mais só aceitando ip do MK-auth

This reply was deleted.