configuracao rede e radius

Após o computador reiniciar execute o comando mk-auth e escolha a opção configurar rede e configure o sistema com o endereço de IP:

ip 172.31.255.2 mascara: 255.255.255.0 gateway: 172.31.255.1 dns: 8.8.8.8 e 8.8.4.4

Coloque o ip 172.31.255.1/30 na placa de rede de seu mikrotik que irar se comunicar com o seu mk-auth e o ip 10.3.0.1/22 na placa de comunicação dos clientes.

/ip address

add address=172.31.255.1/30 broadcast=172.31.255.3 comment="ACESSO AO SISTEMA MK-AUTH" disabled=no interface=mka network=172.31.255.0

add address=10.3.0.1/22 broadcast=10.3.3.255 comment="USADO PELA PGCORTE COM POOL" disabled=no interface=cli network=10.3.0.0

cuidado para não fazer controle de banda nesta placa pois é ela quem se comunica com mikrotik:

No esquema abaixo esta a topologia da rede correta para usar com o sistema:

Para exibir a pagina de corte é preciso colocar essa regra em primeiro lugar em seu Firewall NAT (acima da regra que redireciona para o proxy):

PARA HOTSPOT

Usando mangle:

/ip firewall mangle
add chain=prerouting action=jump comment="PG CORTE" jump-target=hotspot

/ip firewall nat
add action=dst-nat chain=hotspot comment="PG CORTE SSL" dst-port=443 packet-mark=bloqueado protocol=tcp to-addresses=172.31.255.2 to-ports=445
add chain=hotspot comment="PG CORTE" packet-mark=bloqueado protocol=tcp action=dst-nat to-addresses=172.31.255.2 to-ports=85

Usando POOL:

/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.254

/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 interface=Placa do clientes

/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE SSL" dst-port=443 disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=445
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85

PARA PPPoE

Usando Lista:

/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE SSL" dst-port=443 disabled=no protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=445
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85

Usando POOL:

/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.254

/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 interface=Placa do clientes

/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85

Para configurar no mikrotik clique na opção radius no winbox depois clique no botão + e marque service hotspot, wireless e ppp, address coloque 172.31.255.2 e secret 123456 em ports coloque 1812 e 1813:

Depois clique no botão incoming e ative a opção accept e coloque o valor 3799 em port:

Depois clique em IP/SNMP e configure as opções de snmp de seu mikrotik:

Você pode configurar o cliente FTP do MikroTik para controlar o DHCP, depois de habilitar o uso de FTP no cadastro de servidores MikroTik no webadmin e incluir o usuário mkauth no MikroTik:

Use o script abaixo para controla o leases do servidor DHCP.

:if ( [/file find name=dhcp.rsc] != "" ) do={
:log warning "Importando DHCP Geral";
/ip dhcp-server lease remove [/ip dhcp-server lease find comment=mkauth]
/import dhcp.rsc;
}

atenção: cuidado para com regras em seu mikrotik que bloqueiam a comunicação entre o mikrotik e o mk-auth e também ao cria regras de iptables para bloqueio por conta própria no mk-auth que também atrapalham na comunicação.