Depende pq se você utiliza PPPoE, suas regras de bloqueio não mudam em nada. Agora se você usa Hotspot, as regras são alteradas, mas eu creio que o grande problema de todo mundo, é que a informação está chegando pela metade. Pq pela metade? Pq é informado que a regra pra pppoe não muda, então você pensa: então pq meus clientes não são bloqueados e não vão pro address list? Pq a forma de eles serem adicionados lá mudou. Vamos continuar com as informações para que todos fiquem beeem esclarecidos.
Foram efetuadas uma série de alterações no novo método de bloqueio, e eu era um que me deparei com o mesmo problema que todos vocês, e achava que o corte por ssh era melhor, quando na verdade era meio que uma "gambiarra". Bloqueio por Radius é uma maravilha e funciona super bem.
Como ativar o novo método de bloqueio então?
1 - Vá aos parâmetros do sistema no mk-auth, e ative o bloqueio por Radius.
2 - Abra o Winbox, vá nos seus mikrotik, abra a opção RADIUS no menu principal, e ative o incoming na porta 3799.
3 - Bloqueie um cliente e faça um teste.
Isso resolve o problema. Vou me aprofundar no PPPoE pq é o método que eu uso, que eu sei como funciona e é o que menos tem informações em relação a isso.
Depois que você bloquear, o MK-AUTH vai enviar um comando ao mikrotik via Radius, que vai derrubar o cliente, e assim que ele reconectar, ele vai pra address list de bloqueio, como acontecia antes. E o desbloqueio, como funciona? Mais fácil ainda. Assim que você desbloqueia o cliente, ele tem um timeout de até 5 minutos pra ser desconectado. Assim que ele for desconectado, assim que a conexão voltar, ela volta como desbloqueado.
Simples, né?
Para adicionar comentários, você deve ser membro de MK-AUTH.
Respostas
se vc usa a pagina de corte por radius, uma forma de vc saber se seu cliente realmente esta bloqueado no radius e clica no link informações que tem abaixo do nome do cliente e na janela que abre na parte de radius veja se tem os parametros Mikrotik-Mark-Id ou Framed-Pool (clientes hotspot) ou Mikrotik-Address-List (clientes pppoe) como na imagem abaixo, se tem então o erro com certeza é no mikrotik por isso depois do login, veja se o cliente bloqueado aparece no mangle do mikrotik (hotspot) ou veja se o ip do cliente bloqueado entra no address-list do mikrotik (pppoe):
se vc usa a pagina de corte por ssh, uma forma de vc saber se seu cliente realmente esta bloqueado é ver se na address-list o ip do cliente aparece, se não aparece veja se não é falha na comunicação ssh, clique no link informações da pagina de ramais mikrotik e veja se aparece os dados como na imagem abaixo, caso os dados sejam mostrados com sucesso então a razão do bloqueio por ssh não funcionar é pq o cliente não tem um ip definido no cadastro dele ou nunca tenha se conectado ao provedor.
nas duas formas de bloqueio é preciso colocar a regra de redirecionamento para pagina de corte acima da regra de nat para o proxy no nat do mikrotik e nas configurações de profile de hotspot do mikrotik é preciso deixar a opção transparet proxydesativada.
veja abaixo as regras atuais para exibir a pagina de corte com radius ou ssh:
Para todos os clientes:
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85
Para hotspot com radius (pool):
/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.254
/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 interface=Placa do clientes
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85
Para hotspot com radius (mangle):
/ip firewall mangle
add chain=prerouting action=jump comment="PG CORTE" jump-target=hotspot
/ip firewall nat
add chain=hotspot comment="PG CORTE" packet-mark=bloqueado protocol=tcp action=dst-nat to-addresses=172.31.255.2 to-ports=85
Felipe disse:
Cara, entao tem a possibilidade de bloquear via radius? como faço?
Amanda eu removir o tempo de timeout, agora o cliente ao seu desbloqueado tb cai a conexão, a mesma coisa que ocorre ao ser bloqueado assim não é preciso ter um tempo definido, se a pagina para vc aparece somente por 1 minuto é pq tem algo errado em seu mikrotik, testa deixando somente a regra de masquarede ativa e a de redirecionamento para pgcorte em seu nat e ver se funciona sem problemas...
Amanda Karine Bonkovoski-LogMais disse:
Não existe necessidade de alteração de tempo. O problema ali encima é que o cara tem alguma regra errada ou alguma configuração errada que faz com que o cliente acesse internet por 5 minutos (que é o timeout pra desconectar o cliente bloqueado).
Se as regras de bloqueio dele estivessem certas, o cliente logaria, receberia a mensagem de corte e não conseguiria acessar nenhum site. Ele somente visualiza a página de corte. Depois de 5 minutos, ele é desconectado solicitando o login e senha novamente.
F3RR3LL disse:
Qual tipo de autenticação você está utilizando amigo?
Ronny Everson L. da silva disse:
Pedro aque a pagina mau aparece e o cliente bloqueado fica navegando normalmente durante 5 min. dpois é derrubado, ele faz loguin novamente e volta a navegar... As minhas regras de bloqueio estão certas...
Amanda Karine Bonkovoski-LogMais disse:
Pedro Filho disse:
Amanda Karine Bonkovoski-LogMais disse:
-
1
-
2
de 2 Próximo