o mk-auth parou de enviar clientes em atraso para adress list do mk, até esses dias estava tudo ok, agora nao roda mais, alguem sabe como resolver, meus clientes sao pppoe e hotspot,
Para adicionar comentários, você deve ser membro de MK-AUTH.
o cliente somente entra na address-list depois que faz o login, agora o comando é enviado por radius na conexão, mais se desejar pode voltar a usar por SSH, em opções tem o item pgcorte vc muda lá...
Olha só. Acho que o grande problema de tudo é a falta de informação explícita. O que muda com o novo método de bloqueio? DEPENDE!
Depende pq se você utiliza PPPoE, suas regras de bloqueio não mudam em nada. Agora se você usa Hotspot, as regras são alteradas, mas eu creio que o grande problema de todo mundo, é que a informação está chegando pela metade. Pq pela metade? Pq é informado que a regra pra pppoe não muda, então você pensa: então pq meus clientes não são bloqueados e não vão pro address list? Pq a forma de eles serem adicionados lá mudou. Vamos continuar com as informações para que todos fiquem beeem esclarecidos.
Foram efetuadas uma série de alterações no novo método de bloqueio, e eu era um que me deparei com o mesmo problema que todos vocês, e achava que o corte por ssh era melhor, quando na verdade era meio que uma "gambiarra". Bloqueio por Radius é uma maravilha e funciona super bem.
Como ativar o novo método de bloqueio então?
1 - Vá aos parâmetros do sistema no mk-auth, e ative o bloqueio por Radius.
2 - Abra o Winbox, vá nos seus mikrotik, abra a opção RADIUS no menu principal, e ative o incoming na porta 3799.
3 - Bloqueie um cliente e faça um teste.
Isso resolve o problema. Vou me aprofundar no PPPoE pq é o método que eu uso, que eu sei como funciona e é o que menos tem informações em relação a isso.
Depois que você bloquear, o MK-AUTH vai enviar um comando ao mikrotik via Radius, que vai derrubar o cliente, e assim que ele reconectar, ele vai pra address list de bloqueio, como acontecia antes. E o desbloqueio, como funciona? Mais fácil ainda. Assim que você desbloqueia o cliente, ele tem um timeout de até 5 minutos pra ser desconectado. Assim que ele for desconectado, assim que a conexão voltar, ela volta como desbloqueado.
Simples, né?
Vou montar um post detalhando isso, pq ainda estou vendo que existe muita dúvida entre os amigos do fórum.
1 - ainda estou com versão 4.85 vou precisar atualizar para 4.86 ?
2 - nao preciso colocar ip para os clientes no cadastro ? aqui eu deixo marcado (PEGAR IP = NÃO)
3 - a pagina so vai aparecer para o cliente se ele tiver boleto em aberto no sistema ?
4 - quando o cliente for logar vai aparecer a pagina de aviso certo,msm assim ele vai conseguir acessar a net ou não vai navegar de maneira alguma ? 5 - ultima, como faço para regra ficar acima das outras no firewal fica mudando sempre que entro?
Olha só. Acho que o grande problema de tudo é a falta de informação explícita. O que muda com o novo método de bloqueio? DEPENDE!
Depende pq se você utiliza PPPoE, suas regras de bloqueio não mudam em nada. Agora se você usa Hotspot, as regras são alteradas, mas eu creio que o grande problema de todo mundo, é que a informação está chegando pela metade. Pq pela metade? Pq é informado que a regra pra pppoe não muda, então você pensa: então pq meus clientes não são bloqueados e não vão pro address list? Pq a forma de eles serem adicionados lá mudou. Vamos continuar com as informações para que todos fiquem beeem esclarecidos.
Foram efetuadas uma série de alterações no novo método de bloqueio, e eu era um que me deparei com o mesmo problema que todos vocês, e achava que o corte por ssh era melhor, quando na verdade era meio que uma "gambiarra". Bloqueio por Radius é uma maravilha e funciona super bem.
Como ativar o novo método de bloqueio então?
1 - Vá aos parâmetros do sistema no mk-auth, e ative o bloqueio por Radius.
2 - Abra o Winbox, vá nos seus mikrotik, abra a opção RADIUS no menu principal, e ative o incoming na porta 3799.
3 - Bloqueie um cliente e faça um teste.
Isso resolve o problema. Vou me aprofundar no PPPoE pq é o método que eu uso, que eu sei como funciona e é o que menos tem informações em relação a isso.
Depois que você bloquear, o MK-AUTH vai enviar um comando ao mikrotik via Radius, que vai derrubar o cliente, e assim que ele reconectar, ele vai pra address list de bloqueio, como acontecia antes. E o desbloqueio, como funciona? Mais fácil ainda. Assim que você desbloqueia o cliente, ele tem um timeout de até 5 minutos pra ser desconectado. Assim que ele for desconectado, assim que a conexão voltar, ela volta como desbloqueado.
Simples, né?
Vou montar um post detalhando isso, pq ainda estou vendo que existe muita dúvida entre os amigos do fórum.
Obrigado pela consideração amigo, mas eu não entendo muito não. Eu me viro só, e repasso aquilo que outros amigos do forum me ensinaram.
Quanto às suas perguntas, vamos verificar.
1 - Sim, você precisa sim atualizar sua versão. Depois que você fizer o update pra versão 4.86, lá embaixo nos parâmetros do sistema vai ter a opção perguntando se você quer o bloqueio por radius ou por ssh.
2 - A ideia inicial que levou o Pedro a implementar esse tipo de bloqueio, é o fato de você não precisar de um ip fixo nem um ramal definido para o cliente. Como ele vai ser bloqueado na hora que logar, ele não precisa ter ip fixo. Coloque o IP da forma que se adequar à você. Pode ser automático ou fixo, tanto faz.
3 - A página aparece para quem tem boleto vencido a mais dias que definido no cadastro da empresa, ou para clientes que você bloquear manualmente. Se não me falha a memória, se você marcar que o cliente é isento de mensalidade no cadastro dele, ou colocar ele em observação, ele não é bloqueado independente de ter títulos vencidos ou não.
4 - A única coisa que vai aparecer para o cliente, é a página de aviso, quando se utiliza pppoe. Vocẽ não vai conseguir usar nenhum serviço ou porta que não seja a 85, visto que a regra redireciona todas as portas acessadas para a porta 85 do MK-AUTH. No caso do hotspot, você ainda consegue definir alguns sites que podem ser abertos independentes do cliente estar bloqueado ou não.
5 - basta você arrastar a regra para o topo da lista de regras do NAT. Tente ver se você não está ordenando essa regra por hits ou algum outro parâmetro. Geralmente regras que "se movem sozinhas" são regras que estão ordenadas por algum parâmetro que vai fazer ela sair do lugar.
Acho que é só isso.
Boa sorte e qualquer dúvida, estamos aí.
Abraço
alexandre disse:
amigo to vendo que vc entende bastante, ja me ajudou uma vez hoje, espero que possa me ajudar dinovo.
seguinte vou postar abaixo como estou realizando os procedimentos.
1 - ainda estou com versão 4.85 vou precisar atualizar para 4.86 ?
2 - nao preciso colocar ip para os clientes no cadastro ? aqui eu deixo marcado (PEGAR IP = NÃO)
3 - a pagina so vai aparecer para o cliente se ele tiver boleto em aberto no sistema ?
4 - quando o cliente for logar vai aparecer a pagina de aviso certo,msm assim ele vai conseguir acessar a net ou não vai navegar de maneira alguma ? 5 - ultima, como faço para regra ficar acima das outras no firewal fica mudando sempre que entro?
Uso hotspot e aquí não está bloqueando o cliente, nem com radius e nem com ssh;Tambem clico em DESLOGAR e não adianta, eu até desativei o cliente e mesm assim ele continua acessando a internet. Estou pensando em instalar a versão anterior do mk.
José vc alterou na configuração do radius a opção incoming ?? colocando como accept e porta 3799 ??
José Uilson Sacramento disse:
Olá Amigo !.
Uso hotspot e aquí não está bloqueando o cliente, nem com radius e nem com ssh;Tambem clico em DESLOGAR e não adianta, eu até desativei o cliente e mesm assim ele continua acessando a internet. Estou pensando em instalar a versão anterior do mk.
Respostas
mas e a address-list pgaviso?
pq nao funciona mais?
pelo menos para clientes com ip fixado.
mais e no caso pra pppoe é a mesma coisa?
nao tenho essa opcao pagcorte nao
Olha só. Acho que o grande problema de tudo é a falta de informação explícita. O que muda com o novo método de bloqueio? DEPENDE!
Depende pq se você utiliza PPPoE, suas regras de bloqueio não mudam em nada. Agora se você usa Hotspot, as regras são alteradas, mas eu creio que o grande problema de todo mundo, é que a informação está chegando pela metade. Pq pela metade? Pq é informado que a regra pra pppoe não muda, então você pensa: então pq meus clientes não são bloqueados e não vão pro address list? Pq a forma de eles serem adicionados lá mudou. Vamos continuar com as informações para que todos fiquem beeem esclarecidos.
Foram efetuadas uma série de alterações no novo método de bloqueio, e eu era um que me deparei com o mesmo problema que todos vocês, e achava que o corte por ssh era melhor, quando na verdade era meio que uma "gambiarra". Bloqueio por Radius é uma maravilha e funciona super bem.
Como ativar o novo método de bloqueio então?
1 - Vá aos parâmetros do sistema no mk-auth, e ative o bloqueio por Radius.
2 - Abra o Winbox, vá nos seus mikrotik, abra a opção RADIUS no menu principal, e ative o incoming na porta 3799.
3 - Bloqueie um cliente e faça um teste.
Isso resolve o problema. Vou me aprofundar no PPPoE pq é o método que eu uso, que eu sei como funciona e é o que menos tem informações em relação a isso.
Depois que você bloquear, o MK-AUTH vai enviar um comando ao mikrotik via Radius, que vai derrubar o cliente, e assim que ele reconectar, ele vai pra address list de bloqueio, como acontecia antes. E o desbloqueio, como funciona? Mais fácil ainda. Assim que você desbloqueia o cliente, ele tem um timeout de até 5 minutos pra ser desconectado. Assim que ele for desconectado, assim que a conexão voltar, ela volta como desbloqueado.
Simples, né?
Vou montar um post detalhando isso, pq ainda estou vendo que existe muita dúvida entre os amigos do fórum.
amigo to vendo que vc entende bastante, ja me ajudou uma vez hoje, espero que possa me ajudar dinovo.
seguinte vou postar abaixo como estou realizando os procedimentos.
MK-AUTH
AUTO DESBLOQUEIO (X) SIM
BLOQUEIA NO RADIUS (x)SIM
WINBOX =SERVIDOR
RADIUS = INCOMING PORTA 3799 (ATIVADO)
REGRA MIKROTIK PPOE
pppoe:
/ip firewall nat
add action=dst-nat chain=dstnat comment="PG CORTE PPPoE" disabled=no protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85
DUVIDAS !
1 - ainda estou com versão 4.85 vou precisar atualizar para 4.86 ?
2 - nao preciso colocar ip para os clientes no cadastro ? aqui eu deixo marcado (PEGAR IP = NÃO)
3 - a pagina so vai aparecer para o cliente se ele tiver boleto em aberto no sistema ?
4 - quando o cliente for logar vai aparecer a pagina de aviso certo,msm assim ele vai conseguir acessar a net ou não vai navegar de maneira alguma ?
5 - ultima, como faço para regra ficar acima das outras no firewal fica mudando sempre que entro?
Obrigado pela consideração amigo, mas eu não entendo muito não. Eu me viro só, e repasso aquilo que outros amigos do forum me ensinaram.
Quanto às suas perguntas, vamos verificar.
1 - Sim, você precisa sim atualizar sua versão. Depois que você fizer o update pra versão 4.86, lá embaixo nos parâmetros do sistema vai ter a opção perguntando se você quer o bloqueio por radius ou por ssh.
2 - A ideia inicial que levou o Pedro a implementar esse tipo de bloqueio, é o fato de você não precisar de um ip fixo nem um ramal definido para o cliente. Como ele vai ser bloqueado na hora que logar, ele não precisa ter ip fixo. Coloque o IP da forma que se adequar à você. Pode ser automático ou fixo, tanto faz.
3 - A página aparece para quem tem boleto vencido a mais dias que definido no cadastro da empresa, ou para clientes que você bloquear manualmente. Se não me falha a memória, se você marcar que o cliente é isento de mensalidade no cadastro dele, ou colocar ele em observação, ele não é bloqueado independente de ter títulos vencidos ou não.
4 - A única coisa que vai aparecer para o cliente, é a página de aviso, quando se utiliza pppoe. Vocẽ não vai conseguir usar nenhum serviço ou porta que não seja a 85, visto que a regra redireciona todas as portas acessadas para a porta 85 do MK-AUTH. No caso do hotspot, você ainda consegue definir alguns sites que podem ser abertos independentes do cliente estar bloqueado ou não.
5 - basta você arrastar a regra para o topo da lista de regras do NAT. Tente ver se você não está ordenando essa regra por hits ou algum outro parâmetro. Geralmente regras que "se movem sozinhas" são regras que estão ordenadas por algum parâmetro que vai fazer ela sair do lugar.
Acho que é só isso.
Boa sorte e qualquer dúvida, estamos aí.
Abraço
alexandre disse:
Olá Amigo !.
Uso hotspot e aquí não está bloqueando o cliente, nem com radius e nem com ssh;Tambem clico em DESLOGAR e não adianta, eu até desativei o cliente e mesm assim ele continua acessando a internet. Estou pensando em instalar a versão anterior do mk.
José Uilson Sacramento disse:
-
1
-
2
-
3
de 3 Próximo