Forum

Sugestão nova função - CALLEDSTATIONID

Postado por Wallace de Lima em 9 de Novembro de 2012 às 11:34am

Bom dia Pedro,

Com intenção de melhorar a segurança e diminuir o uso indevido em minha rede, pesquisei e estudei um pouco a respeito do radius.

Para que você entenda onde quero chegar e as vantagens que este novo recurso pode trazer ao sistema, vou explicar a maneira que trabalho.

Atualmente tenho vários ramais (RB 450 G) para atender meus clientes no seguinte esquema:

(Ate aqui nenhuma novidade.)

Para chegar até o cliente sigo o esquema abaixo com switchs cascateados apartir de cada ramal:

(Pequeno exemplo de uma de minhas redes)

Como você pode notar eu chego até a rb (ramal) e a partir dela cascateio switchs (numerados) em 4 direções, rede A, B, C, D.

Cada rede é ligada em uma interface diferente da RB, logo tenho 4 redes distintas para cada ramal.

Cada interface tem seu próprio profile, pool, etc.

Cada interface é configurada com um Service Name diferente tal qual a imagem abaixo, portanto 4 CALLEDSTATIONID diferentes:

 (Pequeno exemplo)

Minha sugestão é:

Fixar o SERVICE NAME (CALLEDSTATIONID no radius) no cadastro do cliente, da mesma maneira que é feito com o mac. A vantagem disso é que o cliente da REDE A não pode conectar na REDE B, entre outras.

Aqui no provedor e na maioria dos outros (com certeza absoluta), tem sempre aqueles clientes espertinhos que ficam passando o login e a senha pro vizinho da rua de traz ou tem um primo que também é cliente mas está com a mensalidade atrasada mas mora em outra rua, ainda tem os casos que o cara vai lá no poste, pluga um cabo, pega login e senha com um amigo e fica navegando.

Porém você vai me dizer: amarra o MAC e coloca para não aceitar conexões simultaneas; isso resolve parcialmente, pois se o clonador de mac conectar antes do cliente daí é o cliente não conecta, ou também tem casos que um amigo usa de dia na REDE A e o outro usa a noite na REDE B, ou seja, horários distintos e o mesmo login e senha, porém servidores PPPoE diferentes.

É nesse ponto que quero chegar, desta forma teremos uma camada de proteção a mais para nos previnir de burladores.

Poderia ser igualzinho ao MAC no cadastro do cliente, basta colocar o botão:

Pegar Rede - ( ) sim ( ) nao

Caso seja marcado sim o sistema automaticamente fixa o CALLEDSTATIONID na tabela radcheck, desta forma, se o cliente tentar conectar de outro servidor pppoe ele não conseguirá.

Já fiz todos os testes e funciona perfeitamente para pppoe, como não uso hotspot não testei, mas creio q também funcione.

Fica da seguinte forma na tabela radcheck:
insert into radcheck (username, attribute, op, value, ativo, ativo2, login, idcliente, tipo) values ('joao','Called-Station-ID','==','REDE_B','s','s','joao','123','log');

OBS: O parâmetro ao qual me refiro é CALLEDSTATIONID = Nome do servidor pppoe, não confunda com CALLINGSTATIONID = MAC do cliente.

Obrigado pela atenção e espero que seja útil minha sugestão, pois pra mim é um recurso essencial e acho que para todos também, pois não é possível que apenas eu use mais de 1 servidor pppoe em cada mikrotik.

PS: Você poderia colocar o conteúdo da checkbox de equipamentos e ramais presentes no cadastro de clientes em orderm alfabética?

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: calledstationid, pppoe, segurança
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Pedro Filho 11 de Novembro de 2012 as 5:04pm

    estou arrumando uma forma de ser possivel colocar manualmente alguns parametros no radius predefinidos e servirá para esse caso tb...

This reply was deleted.