Bem amigos, sou usuario novo, estou implantando o mk-auth, ja li varios artigos sobre a criação do novo metodo de autenticação, um inclusive de 25 paginas, e de tanto ler acabei perdido, se alguem puder me dar uma força eu agradecerei imensamente.
Na minha rede existem muitas RBs e cada torre a rb tem seu proprio NATe HOTSPOT, burst, todos os clientes tem ip fixo C cadastrados em radios e mac cadastrados aqui comigo, com ip amarrado ao mac na tabela arp, nao existe cliente plaquinha.
Eu queria saber em termos tecnicos a diferença do radius mangle e do pool e em qual cenario um se comporta melhor do que o outro, qual consome menos recursos, qual da menos problemas, qual da para trabalhar com pagina de aviso e depois pag bloqueio e porque colocaram 2 tipos?
da uma força ai meu povo e antecipadamente agradeço a quem se dispuser a me ajudar, vlw
Respostas
acompanhando
Seguinte amigo,
O sistema de corte do mk-auth nasceu com ssh fazendo a conexão com as torres e implementando um ip no access list do mkrotik. Evidentimente essa configuração não atendia a todos, nem sempre era possível se ter ip fixo na rede, ademais qualquer falha na chave ssh atrapalhava o bloqueio, daí foi proposta uma nova solução, utilizar o protocolo radius (o mesmo que se usa para autenticar) passando alguns parâmetros para o mikrotik no momento da autenticação do cliente, desta forma inciou-se o corte por radius com parametros no mangle, no entanto essa config demanda mais processamento e assim pode ser que o cliente bloqueado ao abrir o browser demore a ver página de aviso, desta forma foi idealizado outro parâmetro por pool de ips, que é mais rápido, no entanto ele não atende em uma configuração específica: Quando a rb tem mais de um hotspot. Por isso os dois tipos de corte por radius. Particularmente ajudei na idealização disso, mas não utilizo dessa forma, no meu sistema o cliente não loga quando bloqueado e as mensagens de corte foram implementadas na página do hotspot comunicando com scripts php no servidor mk-auth.
Parceiro..
É tipo assim..
Pensa numa rede local onde vc tem vário PCs e todos têm q se pingar.. É isso com as RBs e o mk-auth.
coloca ele na mesma rede de tuas RBs (se vc usa IP válido nas RB, vc pode colocar IP válido no mk-auth tb).
no meu caso eu não uso mangle, pq para página de aviso é só criar uma regra no NAT redirecionando quem autentica estando bloqueado para a porta 85 do teu mk-auth.
Tem q criar um pool para quem está bloqueado.
Se precisar de mais força, dá um toque aí!
humm estou entendendo, muito obrigado por estar me ajudando,
Entao no meu caso onde o mesmo equipamento rb433ah chega a ter 6 ssids diferentes, 2 em cada painel, um em bridge para industrias oculto que vai para um servidor com 4 links balanceados, e outro com hotspot sendo o NAT feito na mesma RB e pegando um link de outro servidor que tenho, a melhor seria qual?
li seu artigo sobre a criação do radius, foi bem planejado.
Eu estou implantando e estou querendo mudar para que as empresas autentiquem no NAT do mk criado em uma vmware (pois eles veem de um ssid bridge e os demais clientes que continuem fazendo o hotspot e o nat na propria rb433ah,
vc saberia me informar nesse cenario qual o melhor metodo?
desde ja agradeço imensamente sua ajuda, VLw
Bom dia
Rodrigo gostei da sua explicação, vc teria as regras da pagina de corte, estou tentado fazer, mas estou com um pouco de dificuldade ainda não deu certo!! Tenho só uma RB 1100 na rede autenticando os clientes.
desde já agradeço, valeu
Rodrigo Londres disse:
parceiro.. vc tem q criar um ip na sua placa do hotspot: 10.3.0.1/22
depois cria um pool:
name=pgcorte
Addresses=10.3.0.2-10.3.3.255
aí em firewall vai em NAT e adiciona uma regra para mascarar essa rede: 10.3.0.0/22 (igual vc mascara a rede de seus clientes).
tb em NAT adiciona uma regra com:
chain=dstnat
Src. Adrress=10.3.0.2-10.3.3.254
Dst. Addrress="IP de seu mk-auth"(marca o quadrado na frente do IP com o ponto de exclamação "!)
Protocol=tcp
Em action:
Action=dst-nat
To addreess= "IP de seu mk-auth""
To port=85
assim todo mundo q logar e estiver bloqueado, vai receber um IP dessa rede (10.3.X.X) e qnd for tentar navegar, será redirecionado para essa porta no teu mk-auth.. que tem uma pág.de aviso.. essa página vc edita no próprio mk-auth..
espero ter ajudado.. Abraço.
Se quiser ajuda manda email para otaviocg@hotmail.com
ajudou muito parceiro, muito obrigado por tudo, se um dia for aparecer para esses lados me avisa que te pago uma gelada, ja estou entendendo, só me esclareça uma coisa, aqui devo ter umas 16 rbs todas fazem nat, tenho 16 nats, minha rede nao existe problema, pois se alguem tentar invadir e dar conflito de ip fechando o range no maximo vai afetar 1 painel e eu estarei andando pelas redes das RBs tranquilo e facil para mim solucionar, mas eu nao queria mudar esta topologia, uma que me daria muito trabalho e outra por requisitos de segurança, eu quero manter todos esses nats, eu devo colocar as regras em ip/firewall em todas as rbs entao? , as que eu fizer hotspot mando em radius pro mangle ou pool?, as que são bridge eu entendi que devem ser habilitadas o acess-list no cadastro do cliente.
De ante mão.. já aceito a gelada.. hehehehe
Vê só.. ficou um pouco complicado de eu entender..
De ante mão ñ tem pró em ter NAT.
Desenhei uma imagem q está em anexo. Vê se teu esquema é tipo isso?
Veja q o MK está na mesma rede das RBs, assim é mais fácil pq vc terá q cadastrar as RBs no MK.
Dessa forma é só colocar a config q te enviei antes q teus hotspots iram redirecionar teus clientes bloqueados para a pág de aviso. Basta usar o pool e as regras do NAT.. sem Mangle.>!
aps.jpg
Nas tuas RBs tem q cadastrar o RADIUS q no caso da imagem será 10.10.10.254
-
1
-
2
de 2 Próximo