Forum

Resolvendo o Bloqueio PPPoE que não funciona.

Postado por RENATO COSTA DO NASCIMENTO em 2 de Maio de 2015 às 22:23

Olá pessoal,

Aqui vai um dica pontual sobre um problema que até certo ponto não encontrei solução aqui no Forum.

Alguns clientes que utilizavam autenticação por PPPoE não eram bloqueados após o atraso, mesmo que as informações do mk-auth passassem que ele estava no "bloqueado.in".
Depois de tentar bloquear de diversas formas sem sucesso, encontrei o detalhe que impedia o bloqueio de alguns clientes.

O cadastro do clientes estava para autenticar por Hotspot e ele estava se autenticando por PPPoE, é só mudar o cadastro dele para autenticar por PPPoE que naturalmente ele será bloqueado com sucesso. Apenas isso.

Aqui uso rede mista (hotspot e pppoe), e fui migrando aos poucos para pppoe, mas muitos dos clientes eu não alterava o modo de autenticação no cadastro, assim foi criado esse problema.

É interessante que o MK-Auth libere apenas a conexão baseando-se no tipo de autenticação do cadastro do cliente, pois, em hotspot, você autentica com o mesmo login tbm pppoe, mas, se no cadastro tiver pppoe, você não consegue autenticar no hotspot.

Fica a dica.

Visualizações: 261

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: autenticação, bloqueio, hotspot, pppoe
Votos 0
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Impacto Network Outubro 12, 2019 23:38

    Boa noite pessoal a pagina de bloqueio de vcs funciona em https? aqui só apresenta a pagina se acessar a porta 80!

  • Pedro Filho Julho 26, 2017 19:56

    irei verificar uma solução e Maicon clica em informações do cliente e veja se nas tabelas de radius ele está ativo:

    3.0 - Parametros do radius

    dados de configuracao no servidor radius



    Maicon Antonio Steffens disse:

    O MK-Auth pelo menos o 32bits que eu uso tem uma falha no Radius, mesmo marcada a opção cliente não loga depois de muitas tentativas de discagem pppoe recusadas do nada ele aceita as discagens, mesmo o cliente estando bloqueado.

    Não entendo como isso acontece, pois se recusa nas primeiras tentativas por que depois de algum tempo aceita a conexão, e o mais esquisito é que vai conectando alguns dos bloqueados aleatoriamente, aos poucos no meu caso agora com 36 bloqueados chega demorar mais de 24 horas depois que derrubo eles para todos se conectarem novamente, alguns menos de 30 minutos depois já tão conectados outros leva mais de 1 dia pra conectar. Se eu ficar olhando os logs da RB ele fica discando e recusando repetidamente, até que do nada aceita discagem.

    Não consigo entender a lógica disso, pois se esta recusando deveria recusar sempre, até que a condição mudasse.

  • Maicon Antonio Julho 26, 2017 19:18

    O MK-Auth pelo menos o 32bits que eu uso tem uma falha no Radius, mesmo marcada a opção cliente não loga depois de muitas tentativas de discagem pppoe recusadas do nada ele aceita as discagens, mesmo o cliente estando bloqueado.

    Não entendo como isso acontece, pois se recusa nas primeiras tentativas por que depois de algum tempo aceita a conexão, e o mais esquisito é que vai conectando alguns dos bloqueados aleatoriamente, aos poucos no meu caso agora com 36 bloqueados chega demorar mais de 24 horas depois que derrubo eles para todos se conectarem novamente, alguns menos de 30 minutos depois já tão conectados outros leva mais de 1 dia pra conectar. Se eu ficar olhando os logs da RB ele fica discando e recusando repetidamente, até que do nada aceita discagem.

    Não consigo entender a lógica disso, pois se esta recusando deveria recusar sempre, até que a condição mudasse.

  • wellington augusto da silva juni Dezembro 20, 2016 10:33

    isso mesmo, poderia direcionar a 445 para a porta 85?

    ainda nao descobrir o erro das paginas de bloqueio https!

  • Digital.Net Telecom Dezembro 16, 2016 23:17

    Olá Estava com o mesmo Problema. 

    Eu estou com Radios com PPPoE. 

    Coloquei a Regra no Firewall

    a Do Manual. Obs. a de SSH

    Exibir pagina de corte usando Radius LIST ou SSH:

    /ip firewall filter
    add action=drop chain=forward comment=CORTE dst-port=!53 protocol=udp src-address-list=pgcorte
    add action=drop chain=forward comment=CORTE dst-port=!80,85,443,445 protocol=tcp src-address-list=pgcorte

    /ip firewall nat
    add action=dst-nat chain=dstnat comment=CORTE_HTTPS dst-address=!172.31.255.2 dst-port=443 protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=445
    add action=dst-nat chain=dstnat comment=CORTE_HTTP dst-address=!172.31.255.2 dst-port=80 protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85

    Depois dentro do MK-Auto

    Acessar a Guia  Opção / Configurar Recurso / 

    Depois lá em baixo na opção Tipo de pagina de corte:

    Marque . 

    exibir pgcorte:
    Não (cliente nao loga)

    Reiniciar MK-AUTh

  • cristiano alves dos santos Abril 20, 2016 16:12

    não deveria redirecionar a porta 443 tbm para a porta 85?

  • cristiano alves dos santos Abril 20, 2016 16:11

    Ola amigo, poderia me elucidar em uma duvida minha a respeito dessas regras?  se pagina de bloqueio do mk-auth esta na porta 85 porque na regra de https ela direciona a porta https 443 para a porta 445?


    Ibrahim Raphael disse:

    Amigão, verifique se seu mk-auth está fazendo a comunicação com o mikrotik pelo ssh se estiver verifica sua regra de corte e observe já está jogando os clientes para a address lists, aqui utilizo essas:

    /ip firewall nat
    add action=dst-nat chain=dstnat comment="PG CORTE HTTPS" dst-address=\
        !172.31.255.2 dst-port=443 protocol=tcp src-address-list=pgcorte \
        to-addresses=172.31.255.2 to-ports=445
    add action=dst-nat chain=dstnat comment="PG CORTE" dst-address=!172.31.255.2 \
        protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=\
        85

    OBS.: Para dar certo tem que está como primeira regra, acima de todas as outras!

  • Juliano Alves Fernandes Junho 23, 2015 13:16

    vou mudar pra ver

  • Vinicius França Junho 23, 2015 11:33

    Lailson Dantas freitas e Juliano, experimenta por as regras no topo do firewall. Se bem eu lembro funciona assim, se a primeira bloqueia, ele nem lê o restante. Agora alguém comentou que ele esta pegando o ip do pool de endereços validos para navegar e bloqueia, estou com o mesmo problema. Achei que com esse tópico com 53 post fosse achar algo para resolver. Risos. Pedro, o manual esta precisando de uns detalhes mais metódicos, visto que o mais procurado é sobre esse assunto.  Percebi que quando o sistema manda o cliente para o address-list na RB ele vai com a faixa 10.5.1.0(Leia o resto) quando deveria ir para 10.5.4.0. Qual o pulo do gato??? rs. Já vi diversos posts e nenhum chega ao um consenso. Quem conseguiu o milagre, rs, não conta como fez, e quando conta parece ta faltando algo. Se alguém se predispor a contar, estou aqui atento para lê. ;). Ontem a tarde uma cliente me ligou, jogando as tamancas que eu tinha bloqueado ela...rs. Obvio não fui eu, ela pegou um ip bloqueado. Impressionando essas coisas só acontece com clientes formadores de opinião. rs. Segue abaixo minhas configurações

    Uso a faixa 10.5.1.0/24 para acesso ao internet.

    Coloquei o pgcorte 10.5.4.0/24 

    meus servidores estão 10.0.2.0

    Pool no Mk-auth 10.5.1.0/24.

    Uso ips´s dinamicos

  • Juliano Alves Fernandes Junho 12, 2015 12:01

    consegui fazer o meu funcionar, via pool, mas no https não ele ta abrindo o google normal, mas não passa das pesquisas, vou tentar fazer um tudo com minha solução pra todos

This reply was deleted.