Fiz recentemente a instalação do mk-auth, configurei tudo certinho, consigo resetar o mikrotik pelo admin do MK e consigo conectar via radius por pppoe, a internet funciona tudo certinho.
atualmente meus clientes estão ligados via dhcp, colocou o cabo já consegue acesso a internet
minha rede esta na faixa 192.168.2.0/24 sendo que meu mk-auth ta no ip 192.168.2.254 e fiz toda configuração baseada nesse ip e esta funcionando, o único problema é q após autenticar via pppoe eu fui no admin do mk-auth e cliquei na opção bloqueio, minha placa de rede de imediato ficou com a interrogação amarela e ao tentar navegar não carrega pagina nenhuma muito mesmo a de avisos de bloqueio, ao tentar acessar a central do assinante a pagina apareceu toda deformada como se tivesse bloqueada, segue abaixo minhas regras de filter e nat
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=Wan
add action=masquerade chain=srcnat src-address=192.168.2.0/24
add action=redirect chain=dstnat dst-address=!192.168.2.1 dst-port=53 in-interface=Rede protocol=udp to-ports=53
add action=dst-nat chain=dstnat dst-port=82 protocol=tcp to-addresses=192.168.2.254 to-ports=80
add action=dst-nat chain=dstnat dst-port=22 protocol=tcp src-address=!192.168.2.254 to-addresses=192.168.2.254 to-ports=22
add action=dst-nat chain=dstnat dst-address=!192.168.2.254 dst-port=443 protocol=tcp src-address-list=pgcorte to-addresses=192.168.2.254 to-ports=445
add action=dst-nat chain=dstnat dst-address=!192.168.2.254 dst-port=80 protocol=tcp src-address-list=pgcorte to-addresses=192.168.2.254 to-ports=85
add action=dst-nat chain=dstnat dst-address=!192.168.2.254 dst-port=443 protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=192.168.2.254 to-ports=445
add action=dst-nat chain=dstnat dst-address=!192.168.2.254 dst-port=80 protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=192.168.2.254 to-ports=85
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface-list=Wan protocol=udp
add action=drop chain=input dst-port=53 in-interface-list=Wan protocol=tcp
add action=add-src-to-address-list address-list=Conectado address-list-timeout=none-dynamic chain=forward protocol=tcp src-address=192.168.2.0/24
add action=drop chain=forward dst-port=!53 protocol=udp src-address-list=pgcorte
add action=drop chain=forward dst-port=!80,85,443,445 protocol=tcp src-address-list=pgcorte
add action=drop chain=forward dst-port=!53 protocol=udp src-address=10.3.0.2-10.3.3.254
add action=drop chain=forward dst-port=!80,85,443,445 protocol=tcp src-address=10.3.0.2-10.3.3.254
/ip address
add address=192.168.2.1/24 interface=Rede network=192.168.2.0
add address=10.3.0.1/22 interface=Rede network=10.3.0.0
Respostas
parceiro eu sei disso, meus clientes estão ligados em dhcp e FORA do mkauth, eu conectei somente minha maquina no pppoe pra fazer testes com mkauth, e minha maquina navegou no pppoe mas quando fiz o bloqueio do pppoe pelo mkauth ela simplesmente n navegou mais e sem mostrar aviso nenhum.
minha duvida é em relação as regras q postei se estão corretas pro meu cenário, todos os clientes vão pro pppoe más so quando eu terminar os teste de funcionalidade
foi justamente esse tutorial que segui, fiz tudo igual ta ai só mudei o ip 172.31.255.2 pra 192.168.2.254
no final tem duas partes de script Exibir pagina de corte usando Radius LIST ou SSH: e Exibir pagina de corte usando Radius Pool:, é pra mim escolher uma ou colocar as duas ? aqui eu botei as duas
não entendi foi nada, minha configuração é essa q ja postei, tirando isso no mikrotik n tem mais nada, unica coisa q sei é q o mk-auth se conecta ao mikrotik via ssh e o mikrotik via radius ao mk
não tem jeito, não funciona, mkauth ta se comunicando perfeitamente, ta adicionando o ip na addresslist via ssh, quando insiro a regra de redirecionamento dstnat só funciona se eu digitar o ip do mikrotik, tipo se coloco 192.168.2.1 q é o ip do meu mk em vez de aparecer o webadmin do mk aparece a pagina de corte más se digito qualquer endereço http continua dando conexão recusada, detalhe é q mesmo inserindo https://192.168.2.1:445 não redireciona, somente o http funciona e somente na pagina do mk, ( outro detalhe, se coloco o ip do mkauth no navegador http:192.168.2.254:85 ou https://192.168.2.254:445 o aviso é exibido, esta descartado ser qualquer coisa em relação a ip ou porta errada ), pra conseguir fazer esse redirecionamento eu tive q alterar o action de dst-nat para redirect na porta 8080 e no webproxy meter um access deny e um redirect pra o endereço http://192.168.2.254:85 ai sim funciona mas dessa forma que pedem pra fazer n consegui, n sei se pode ser a versão do meu mk q esta na 6.43