[ resolvido ] Ajuda para resolver erros na PGCORTE

Prezados,

Após inúmeras pesquisas na internet e no próprio fórum sobre o PGCORTE que não conseguiam resolver o problema (Inclusive EU), resolvi mudar esse tópico que antes era um pedido de ajuda para se transformar numa possível referência para outros que se encontrem na mesma situação.

Explicando o cenário utilizado:
- Versão 6.30.1 do RouterOS;
- CCR1016-12G
- MK-AUTH Versão 4.99 Virtualizado e Licenciado;
- Porta Física (placa de rede) dedicada para a máquina virtual;
- IP Fixo na ETHER2 (172.31.255.2) da CCR;
- DNS Unbound no MK-AUTH (Secundário na Rede)
- DNS FreeBRs (DNS Primário) - 10.1.2.2

- Todos os Ranges de IPS de Rede (inclusive o de corte) inclusos na lista de permissões do DNS Unbound (allow))
- IP Fixo no Servidor (172.31.255.1) conforme o manual de instalação;
- Chave.pub importada com sucesso e comunicação OK;
--- (Permitir somente o IP do MKAUTH no service SSH)

- Regras inseridas conforme o procedimento de instalação (personalizadas de acordo com a minha necessidade);
--
--
--
--
- Autentication Port: 1812
- Account Port: 1813
- Radius Incoming: 3799
--
Interim Update: 00:03:00
- Porta SSH 2233 e FTP 21 Ativas e funcionando.
...
- Faz o bloqueio do usuário e funciona normalmente, o bloqueio também.
Libero, Bloqueio... Todas as restrições do usuário funcionando.

Tentei por Radius List, Pool, SSH com chave e todos BLOQUEIAM e LIBERAM, mas nenhum redirecionava o cliente para 172.31.255.2:85 na rede de clientes (mas conseguia numa outra rede sem autenticação dentro da mesma RB).

Notei que não conseguia acessar a página http://172.31.255.2:85, mas que "havia algum movimento" nos contadores das regras.
Então fui no firewall e testei mais uma coisa que ainda não tinha feito (já tinha tentado tanta coisa e não tinha conseguido...)

Inseri uma permissão no firewall para a porta 85 para o MKAUTH.

/ip firewall filter
add chain=forward comment="PERMISSAO DE ACESSO A PAGINA DE CORTE (Radius Pool)" dst-port=85 protocol=tcp src-address=10.3.0.2-10.3.3.254

/ip firewall filter
add chain=forward comment="PERMISSAO DE ACESSO A PAGINA DE CORTE (Radius LIST/SSH)" dst-port=85 protocol=tcp src-address-list=pgcorte

Não é que agora a porra da página aparece?
Consegui resolver o meu problema. De repente alguém está numa situação parecida.

Deixei o post bem detalhado para que sirva como exemplo para futuras pesquisas, pois, observei em vários sites essa mesma questão ou similar e alguns não conseguiram resolver.

Abraços a todos.

Respostas

GSG Telecom 29 de Novembro de 2015 as 4:00am

Bom meu querido é Giovanni. Insere no dns local o ip de corte. Pode ser isso.
GSG Telecom 29 de Novembro de 2015 as 3:50pm

Verdade, talvez o cenário virtualizado tenha essa necessidade como descrito. Do mais resolvido o problema isso é bom para o pessoal que não consegue.
Pedro Filho 12 de Dezembro de 2015 as 11:48pm

Luis aparece em sites https ? como o facebook por exemplo...
Luis Eduardo Ramalho 13 de Dezembro de 2015 as 2:17pm

Funciona em alguns HTTPS.

Eu coloco pra capturar os IPs do:
www.google.com
hotmail.com
live.com
facebook.com
e outros HTTPs.

Dessa forma, os caras no meu range de CORTE, usam a mesma regra com address-list daqueles https e redireciona pro bloqueio.
Assim eu não tenho problemas com o cara abrir https e não mostrar a página. É só colocar a maioria dos https pra pegar o AS e depois bloqueia pela address-list. E é dinâmico, não preciso digitar os ips, a própria regra alimenta o address-list com os ASs dos HTTPs.

Se tiver uma ideia melhor, compartilhe. ;)

Pedro Filho disse:

Luis aparece em sites https ? como o facebook por exemplo...
Rodrigo Henrique Bastos Fonseca 15 de Dezembro de 2015 as 10:56am

Luis bacana sua solução. Teria como passar as regras ou melhor, uma explicação sobre como pegar os AS de sites como facebook, youtube etc e jogar na adress list? Tenho uma necessidade de fazer umas marcações de rotas para alguns sites e isso ia me ajudar demais. Desde já obrigado
Luis Eduardo Ramalho 15 de Dezembro de 2015 as 1:37pm

Simples...

Primeiramente deve-se criar uma address-list de nome "rede-local".
Nesse address list vamos colocar todos os IPs locais, afinal, essa lista pode servir pra tudo.
por exemplo, você fazer um único NAT de mascarade para aquela address-list e na address-list ter todos os IPs de rede. Legal né? Enxuga as regras de firewall.
Nesse caso, vamos utilizar para trabalhar em conjunto com a regra de DROP no outro exemplo de utilização do address-list do facebook.com (não vamos querer dropar nosso IP local na address-list do facebook.com né?).
Mãos a obra...

# Pegar os IPs
/ip firewall filter
add action=add-dst-to-address-list address-list=ips-facebook

address-list-timeout=1d chain=forward comment="Pega IPs do Facebook.com"
content=facebook.com dst-address-list=!rede-local
# Acima ele pega todos os IPs de facebook.com e joga na address-list=ips-facebook, ignorando (!)* os ips de destino da address-list "rede-local"

# Agora um exemplo de como usar os IPs da Address-List
/ip firewall filter
add action=drop chain=forward comment="Dropa Address-List Facebook (Black-List)"
disabled=yes dst-address-list=ips-facebook

Um outro exemplo de bloqueio pra HTTPs é você criar a mesma regra que já tem no manual de instalação do MK-AUTH. Quando a origem for "Range de IPs de Corte" e o destino for "dst-address-list=ips-facebook", encaminhar para 172.31.255.2 to port 85 (Página de Aviso).
Essa regrinha eu não vou postar. Mas ai já tem dizendo como fazer. Mastigado demais também complica.
Usem a imaginação.
Dá pra usar a adress-list que criou com o filter, em NAT, mangle... Escolher um rota pelo Mangle para aqueles IPs de destino. Ilimitadas formas de usar. E ai? Já pensou das inúmeras possibilidades? mark-routes, connections, queues, drop...

Um bom exemplo de uso disso é colocar os HTTPs mais utilizados em address-list diferentes e criar regras individuais para cada site daquele (ou colocar tudo numa address-list só). Assim fica mais fácil de interagir com os sites, ignorando o fato de ser http, https, ftp...

Olha o que ele já pegou de IPs do facebook (tinham mais de 250IPs, mas não quis poluir o post:

Flags: X - disabled, D - dynamic
# LIST ADDRESS TIMEOUT
0 D ips-facebook 31.13.85.36 23h59m44s
1 D ips-facebook 66.220.146.5 23h58m29s
2 D ips-facebook 66.220.146.37 23h34m34s
3 D ips-facebook 192.168.10.2 23h59m26s
4 D ips-facebook 66.220.146.36 23h51m57s
5 D ips-facebook 31.13.85.2 23h42m4s
6 D ips-facebook 31.13.85.8 23h59m10s
7 D ips-facebook 31.13.85.37 23h58m51s
8 D ips-facebook 66.220.158.68 14h44m5s
9 D ips-facebook 66.220.146.4 10h41m6s
10 D ips-facebook 31.13.73.1 22h50m28s
11 D ips-facebook 23.208.82.110 7h16m29s
12 D ips-facebook 186.215.111.91 22h52m21s
13 D ips-facebook 69.58.188.49 22h51m56s
14 D ips-facebook 186.202.143.115 22h52m
15 D ips-facebook 186.202.143.122 22h52m
16 D ips-facebook 186.202.143.92 22h52m8s
17 D ips-facebook 74.119.118.71 22h52m
18 D ips-facebook 23.57.116.235 22h52m8s
19 D ips-facebook 23.23.170.52 22h52m15s
20 D ips-facebook 162.248.16.37 22h52m21s
21 D ips-facebook 209.225.49.79 11h36m40s
22 D ips-facebook 216.33.197.57 11h36m42s
23 D ips-facebook 23.206.186.212 22h52m20s
24 D ips-facebook 31.13.73.37 13h17m44s
25 D ips-facebook 173.194.118.33 11h3m28s
26 D ips-facebook 216.33.197.58 11h36m11s
27 D ips-facebook 104.73.29.26 23h57m51s
28 D ips-facebook 31.13.73.36 11h45m45s
29 D ips-facebook 69.4.231.30 7h26m32s
30 D ips-facebook 67.202.94.94 3h15m58s
31 D ips-facebook 162.248.19.138 14h50m29s
32 D ips-facebook 184.172.7.7 15h14m54s
33 D ips-facebook 108.168.159.153 7h26m33s
34 D ips-facebook 208.100.17.187 7h26m34s
35 D ips-facebook 173.194.118.38 5h42m44s
36 D ips-facebook 173.194.118.34 11h3m29s
37 D ips-facebook 173.194.118.46 6h26m7s
Pedro Filho 10 de Março de 2016 as 11:12pm

testei aqui e sites HTTPS que usam a tecnica de HSTS não aparece, somente o aviso de erro:

Sua conexão não é particular

Invasores podem estar tentando roubar suas informações de www.twitter.com (por exemplo, senhas, mensagens ou cartões de crédito). NET::ERR_CERT_AUTHORITY_INVALID

O site www.twitter.com geralmente usa criptografia para proteger suas informações. Quando o Google Chrome tentou se conectar a www.twitter.com desta vez, o website retornou credenciais incomuns e incorretas. Isso pode acontecer quando um invasor está fingindo ser www.twitter.com ou quando uma tela de login por Wi-Fi interrompeu a conexão. Suas informações ainda estão protegidas, porque o Chrome interrompeu a conexão antes que os dados fossem trocados.

Não é possível acessar www.twitter.com no momento, porque o website usa HSTS. Ataques e erros de rede geralmente são temporários. Portanto, essa página deve funcionar mais tarde.
Pitet 24 de Abril de 2016 as 8:29pm

ac....
Janilson Lopes 27 de Maio de 2016 as 6:11pm

ac....
Cláudio 22 de Novembro de 2017 as 7:00pm

o meu tbm esta dando erro de certificado teria como fazer um certificado alto assinado pra isso Pedro pra baixar automaticamente no navegador tipo, quando configuramos um firewall com proxy-transparente? segue minha sugestão ai só você testar e nos dizer como fazer no mk-auth.

#apt-build install squid3

Instala e compila o squid

#mkdir /etc/squid3/certificado

#cd /etc/squid3/certificado

Pasta para certificados

#openssl req -new -newkey rsa:1024 -days 3650 -nodes
-x509 -keyout provedor.pem -out provedor.pem (obs. certificado com validade de 10anos)
Criando o certificado do squid

#openssl x509 -in fatesg.pem -outform DER -out
proverdor.der

#/usr/lib/squid3/ssl_crtd -c -s /etc/squid3/certificado/ssl_db

-M 4MB
#chown proxy.proxy –R /etc/squid3/certificado/ssl_db

#service squid3 stop

#squid3 –z

#service squid3 start

#apt-get install apache2

#mkdir /var/www/html/certificado

#rm /var/www/html/index.html

#cp /etc/squid3/certificado/fatesg.der

/var/www/html/certificado

#chmod –R 755 /var/www/html/certificado

#firewall squid

não se daria pra nós adicionarmos ao sistema pra que fique de uma forma automática quando configuro firewall coloco assim o certificado auto assinado ai não da erro de certificado serial uma solução sem custos extras.