Olá, estou tendo dificuldade de implantar as regras de bloqueios para meu MK-Auth!
Procurei aqui mesmo nesse fórum e até em vídeos aulas no youtube e não encontrei.
Alguém poderia me ajudar?
Minha rede funciona dessa forma!
Servidor 64 Bits MK-Auth em nuvem, DataCenter EUA.
Cada NAS em células separadas cada um com link de 200MB, total de 4 redes.
Cada NAS tem uma RB 1100Ahx4 Nível 6, versão do Mikrotik de cada 6.39.2
Respostas
Use a configuração padrão amigo dependendo do esquema que escolher no MK-AUTH
e use ferramenta Tool Fetch muito bom também:
http://www.mk-auth.com.br/tool_fetch/
Radius com PPPoE
Primeiro em IP/POOL o pool Local-1 para seu servidor com endereços entre 10.1.0.1-10.1.5.254, depois crie outro pool chamado Remoto-1 para seus clientes com endereços entre 10.2.0.1-10.2.5.254.
Depois em PPP profiles crie um profile padrão, coloque o nome pppoe,
Local Address escolha o pool Local-1,
Remote Address escolha Remoto-1,
DNS server coloque o ip do seu mikrotik, as outra opções deixe como abaixo:
Para criar o servidor PPPoE, Abra PPP clique em PPPoE Server, clique no no sinal de + e coloque em Services Name: servidor-pppoe, Intafaces escolha sua placa de conexão com seu clientes, MAX MTU/MRU coloque 1488, Keepalive Timeout coloque o valor, Default Profile escolha o que acabamos de cria pppoe, marque One Session Per Host e em Authentication marque chap.
Por ultimo para que seus clientes possa se conectar pelos dados no MK-AUTH clique em secrets, botão AAA e marque Use Radius e Accounting em Interim Update coloque 00:05:00.
Exibir pagina de corte usando Radius LIST ou SSH:
/ip firewall filter
add action=drop chain=forward comment=CORTE dst-port=!53 protocol=udp src-address-list=pgcorte
add action=drop chain=forward comment=CORTE dst-port=!80,85,443,445 protocol=tcp src-address-list=pgcorte
/ip firewall nat
add action=dst-nat chain=dstnat comment=CORTE_HTTPS dst-address=!172.31.255.2 dst-port=443 protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=445
add action=dst-nat chain=dstnat comment=CORTE_HTTP dst-address=!172.31.255.2 dst-port=80 protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85
Exibir pagina de corte usando Radius Pool:
/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.254
/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 comment=CORTE interface=porte
/ip firewall filter
add action=drop chain=forward comment=CORTE dst-port=!53 protocol=udp src-address=10.3.0.2-10.3.3.254
add action=drop chain=forward comment=CORTE dst-port=!80,85,443,445 protocol=tcp src-address=10.3.0.2-10.3.3.254
/ip firewall nat
add action=dst-nat chain=dstnat comment=CORTE_HTTPS dst-address=!172.31.255.2 dst-port=443 protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=445
add action=dst-nat chain=dstnat comment=CORTE_HTTP dst-address=!172.31.255.2 dst-port=80 protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85
Coloquei as regras informadas e mais essa configuração aqui com meu IP do servidor e não funcionou!
Entendo mais coloquei as regras, no meu MK-auth tem mais de 25 pendencias e nenhum deles entrou na address-list do mikrotik, estranho de mais.
Verifique se sei MK-AUTH loga no seu MK, reveja configuração de comunicação entre eles e dica do Mestre Pedro:
http://mk-auth.com.br/forum/topics/meu-mk-auth-n-o-est-conseguindo-...
Radius Funciona normalmente, liberando IP MAC e Velocidade, só não está bloqueando.
posta o log desses clientes no mk, mais tem que ver as configurações ai viu amigo, com certeza alguma coisa te passou despercebido.
Essa é a configuração do cliente em bloqueio.
sim o mk-auth está adicionando ele internamente no bloqueio mais eu digo o log de conexão dele no PPPoE, e tem que ver se seu MK-AUTH está conseguindo conectar no seu concentrador para passar as informações de corte.
Veja se seu Mikrotik está com os Services habilitados o mk-auth usa os quatro abaixo, o SSH pode ser alterado os demais ainda não.
api 8728 desativada
api-ssl 8729 desativada
ftp 21 ativada mais só aceitando ip do MK-auth
ssh 22 ativada mais só aceitando ip do MK-auth