Olá pedro, tenho certeza q esse meu caso é o problema de muitos aqui
1° https não tem jeito de funcionar (clientes não querem tirar o "s" e nem adicionar exceções de segurança no navegador, isso é gambiara) https ja esta em praticamente todos os sites
2° ja tentei por ssl de tudo que é maneira ssl pago gratuito e assim vai...
3° a solução foi deixar os clientes em bypassed e os inadimplentes em blocked
Resumo precisamos que implemente essa opção de bloqueio no mk-auth
uma opção que de bloqueio total nada de paginas etc...
Na central de assinante uma aba bem visivel ja na entrada do site. status da conexão
Bloqueado / destacado em vermelho
acesso Normal / Destacado em verde..
Clientes não querem saber de Login e senha!!!!
querem é navegar sem serem atrapalhados ou avisados.
e se querem tirar 2° via pode acessar com o plano de celular. (isso pra quem tem dominio ou ddns)
Agora!!!!
Lógico que eu preferiria as paginas de login e bloqueio se funcionassem em https
Aproveitando o tópico, ja pensou em tornar o MK-AUTH com uma versão pro (Paga)
e já pensou em por o MK com interação total com o Geogridmaps (tipo radiusnet)
Respostas
Usa bloqueio por pool, não terá problema nenhum, coloca o site pra tirar segunda via por fora ou algo do tipo não recomendo deixar brecha no máximo uma página de aviso e pronto, porém pra rodar com página de aviso e pool tem que fazer um esqueminha que torna impossível de burlar, mas é bem fácil e você tem que ter um servidor próprio com a página de aviso pra conseguir pois com a do mk auth não rola, qualquer brecha que o servidor da página tiver com internet o cliente pode conseguir burlar, e você pode deixar a central por fora se quiser também nesse caso é confiável mas qualquer site na internet não é muito não mas também rola.
Não é possível redir https, mesmo que o pedro quisesse não adianta usar certificado nem nada, somente http pode redir https não.
Tipo deixo a pagina no meu dominio? e redireciono tudo pra la?
e a questão que é a chave do negocio HTTPS?
a questão aqui é essa, só não quero ficar sem a autonomia do mk-auth (bloqueio liberação baixas suporte cadastro etc)
Qual domínio? você pode redir o ip que tá a página de aviso, só isso se ela tiver dentro de um domínio não irá aparecer vai continuar o site no navegador, não precisa de certificado, sua página de aviso será em http e o redir também, é apenas uma página de bloqueio não tem necessidade de ter https, o mk auth que irá fazer isso amigo isso é apenas como você deve configurar no seu mikrotik.
Antônio Marciano Duarte disse:
Falou tudo e nao falou nada passa a visao para gente como se faz.
Felipe Bruno disse:
Simples, coloca bloqueio por pool, cria uma regra no mk pra redir todos desse pool pra página de aviso na porta 80 apenas, o resto bloqueia tudo nesse pool, e no servidor da página de aviso deixe ele sem acesso a internet, aí tem que saber configurar um freebsd com apache pra fazer isso é bem simples, pronto e o que quiser deixar por fora só colocar ip e accept acima dessas regras, não esqueça o dns porta 53 tem que tá liberado nesse pool também se não, não vai redir nada.
angelino Saldanha Monteiro disse:
Felipe é fazendo uma marcação dos clientes nesse pool e depois definido uma rota diferente para essa marcação ?
Felipe Bruno disse:
Pedro, o pool dos bloqueados é só criar um nat na rb que autentica pra redir na porta 80 apenas pra o ip que contém a página de aviso, e no filter coloca pra bloquear tudo menos dns udp porta 53, e porta tcp 80, só criar um accept desses 2 e em baixo drop geral claro apenas pro bloco de bloqueio que foi definido no mk-auth.
caso não queira usar página de aviso, apenas deixar liberado painel do assinante ou site da empresa, cria um accept pro mesmo deixando claro dns livre, e drop em baixo do mesmo jeito, colocando ip e porta do site no accept pra evitar brechas também.
e pra bloqueio ipv6, faz o mesmo, cria um pool de ipv6 no mk auth e no mikrotik, seleciona todos os clientes com esse plano de bloqueio, e faz essas regras no firewall do mikrotik na parte ipv6, podendo bloquear tudo ou bloquear e deixar livre o que quiser em ipv6 da mesma forma que é feita em ipv4, só não pode redir páginas.
Pedro Filho disse: