Forum

Link Remoto - Autenticando no MK-AUTH - sem Ip fixo e com corte automatico

Postado por Gilvan em 24 de Junho de 2015 às 0:59

Pessoal depois de bater a cabeça consegui sem muitas 

frescuras e conhecimento usar link´s separados sem ip fixo autenticando no MK-auth

tudo ok com pagina de corte monitoramento e radius alterado automaticamente

com ip do local do mk-auth usando o change ip com autenticação remota de PPPoe

Visualizações: 128

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Votos 0
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Gilvan Agosto 9, 2015 20:53


    Apenas com regras no próprio mikrotik

  • Gilvan Junho 29, 2015 23:27

    Pedro
    1) No local onde vai ficar o MK-auth eu fiz a configuração conforme seu manual.

    2) Criar dois DDNS no Change Ip ( gratis isso ajudo o bolso).

    3) Adicionar estas regras no servidor Mikrotik que tem o MK-AUTH conectado (172.31.255.2)

    /ip firewall nat
    add action=dst-nat chain=dstnat comment="Regra 1812 autentica PPPOE remoto" \
    disabled=no dst-port=1812 in-interface=LinkFibra protocol=udp to-addresses=\
    172.31.255.2 to-ports=1812
    add action=dst-nat chain=dstnat comment="Regra 1813autentica PPPOE remoto" \
    disabled=no dst-port=1813 in-interface=LinkFibra protocol=udp to-addresses=\
    172.31.255.2 to-ports=1813
    add action=dst-nat chain=dstnat comment="Telas de bloqueio remoto" \
    disabled=no dst-port=85 in-interface=LinkFibra protocol=tcp to-addresses=\
    172.31.255.2 to-ports=85

    Obs.: ( estas regras permitem que quando o servidor remoto iniciar as autenticaçoes dos cliente pppoe seja liberadas pelo servidor MK-AUTH)

    ***** LinkFibra ( é a interface que esta a minha conexão com a internet no Mikrotik (pppoe client)

    4) Abaixo vc tera o script adicionado no Mikrotik para que ele mantenha atualizado
    o ip no changeip caso seja alterado o IP (que no caso seria dinamico)

    /system script
    add name=Changeip policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
    source="# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\
    \n# EDIT YOUR DETAILS / CONFIGURATION HERE\r\
    \n# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\
    \n:global ddnsuser \"LOGINCHANGEIP\"\r\
    \n:global ddnspass \"SENHACHANGEIP\"\r\
    \n:global ddnshost \"DDDNSCHANGEIP\"\r\
    \n:global ddnsinterface \"INTERFACEDEENTRADAINTERNET\"\r\
    \n# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\
    \n# END OF USER DEFINED CONFIGURATION\r\
    \n# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\
    \n\r\
    \n:global ddnssystem (\"mt-\" . [/system package get [/system package find n\
    ame=system] version] )\r\
    \n:global ddnsip [ /ip address get [/ip address find interface=\$ddnsinterfa\
    ce] address ]\r\
    \n:global ddnslastip\r\
    \n\r\
    \n:if ([:len [/interface find name=\$ddnsinterface]] = 0 ) do={ :log info \"\
    DDNS: No interface named \$ddnsinterface, please check configuration.\" }\r\
    \n\r\
    \n:if ([ :typeof \$ddnslastip ] = \"nothing\" ) do={ :global ddnslastip 0.0.\
    0.0/0 }\r\
    \n\r\
    \n:if ([ :typeof \$ddnsip ] = \"nothing\" ) do={\r\
    \n\r\
    \n:log info (\"DDNS: No ip address present on \" . \$ddnsinterface . \", p
    ase check.\")\r\
    \n\r\
    \n} else={\r\
    \n\r\
    \n :if (\$ddnsip != \$ddnslastip) do={\r\
    \n\r\
    \n :log info \"DDNS: Sending UPDATE!\"\r\
    \n :log info [ :put [/tool dns-update name=\$ddnshost address=[:pick \$
    nsip 0 [:find \$ddnsip \"/\"] ] key-name=\$ddnsuser key=\$ddnspass ] ]\r\
    \n :global ddnslastip \$ddnsip\r\
    \n\r\
    \n } else={ \r\
    \n\r\
    \n :log info \"DDNS: No changes necessary.\"\r\
    \n\r\
    \n }\r\
    \n\r\
    \n}\r\
    \n\r\
    \n# END OF SCRIPT"

    5) Bom Agora vamos automatizar esta atualização a cada 05 minutos pois eu acho um tempo razoavel
    pois vamos contar que mude o ip apos reconectar a internet no maximo os servidores demorarão uns 10
    minutos tempo que eu acho justificativamente rasoavél mas claro um nobreak ajuda muito nesta
    estabilidade.

    /system scheduler
    add disabled=no interval=5m name=Changeip on-event=Changeip policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
    start-time=startup

    6) Seguir o manual para criar o servidor local que estara junto ao MK-AUTH ( IP do MK: 172.31.255.1)
    Tambem criar o servidor remoto que ira conectar remotamente ao MK-AUTH (IP do MK: nome.changeip.net)
    nome do servidor fica por sua criatividade

    ========================================================================================================

    Agora vamos para a ROUTER BOARD ( no minimo uma 450G estou usando para 70 conexoes
    sumultaneas com link de 100megas de internet)

    7) adicionar os scripts abaixo que serão responsaveis para manter os ips atualizados do radius e atualizar o ip
    para que o MK-AUTH localize o mikrotik (RB450G) e que faça a rechecagem automatica a cada 5 minutos se houve
    algunha alteração de IP nas conexoes

    /system script
    add name=changeip policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
    source="# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\
    \n# EDIT YOUR DETAILS / CONFIGURATION HERE\r\
    \n# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\
    \n:global ddnsuser \"LOGINNOCHANGEIP\"\r\
    \n:global ddnspass \"SENHANOCHANGEIP\"\r\
    \n:global ddnshost \"DDDNS.CHANGEIP.NET\"\r\
    \n:global ddnsinterface \"INTERFACEDEENTRADAINTENET\"\r\
    \n# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\
    \n# END OF USER DEFINED CONFIGURATION\r\
    \n# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\
    \n\r\
    \n:global ddnssystem (\"mt-\" . [/system package get [/system package find\
    \_name=system] version] )\r\
    \n:global ddnsip [ /ip address get [/ip address find interface=\$ddnsinter\
    face] address ]\r\
    \n:global ddnslastip\r\
    \n\r\
    \n:if ([:len [/interface find name=\$ddnsinterface]] = 0 ) do={ :log info \
    \"DDNS: No interface named \$ddnsinterface, please check configuration.\" \
    }\r\
    \n\r\
    \n:if ([ :typeof \$ddnslastip ] = \"nothing\" ) do={ :global ddnslastip 0.\
    0.0.0/0 }\r\
    \n\r\
    \n:if ([ :typeof \$ddnsip ] = \"nothing\" ) do={\r\
    \n\r\
    \n:log info (\"DDNS: No ip address present on \" . \$ddnsinterface . \", p\
    lease check.\")\r\
    \n\r\
    \n} else={\r\
    \n\r\
    \n :if (\$ddnsip != \$ddnslastip) do={\r\
    \n\r\
    \n :log info \"DDNS: Sending UPDATE!\"\r\
    \n :log info [ :put [/tool dns-update name=\$ddnshost address=[:pick \$\
    ddnsip 0 [:find \$ddnsip \"/\"] ] key-name=\$ddnsuser key=\$ddnspass ] ]\r\
    \n :global ddnslastip \$ddnsip\r\
    \n\r\
    \n } else={ \r\
    \n\r\
    \n :log info \"DDNS: No changes necessary.\"\r\
    \n\r\
    \n }\r\
    \n\r\
    \n}\r\
    \n\r\
    \n# END OF SCRIPT"
    add name=Radius policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
    source="#Resolve o endere\E7o atual do servidor RADIUS\r\
    \n:local atualipserverradius [:resolve \"ddns.changeip.net\"]\r\
    \n:log info \"Atual IP do servidor RADIUS: \$atualipserverradius\"\r\
    \n#Consulta o IP do servidor cadastrado no momento\r\
    \n:local ipcadastradoserverradius [radius get 0 address]\r\
    \n:log info \"IP cadastrado do servidor RADIUS: \$ipcadastradoserverradius\
    \"\r\
    \n#Compara os IPs e altera a configura\E7\E3o do RADIUS se os endere\E7os \
    n\E3o forem iguais\r\
    \n:if (\$atualipserverradius != \$ipcadastradoserverradius) do={\r\
    \nradius set 0 address=\$atualipserverradius\r\
    \n:log info \"Configuracao de RADIUS alterada\"\r\
    \n}"

    /system scheduler
    add disabled=no interval=5m name="Update IP" on-event=changeip policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api start-time=\
    startup
    add disabled=no interval=5m name="Altera o Radius MKAUTH" on-event=Radius policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api start-time=\
    startup

    8) Exportar a chave de comunicação do MK-AUTH para configurar o usuario MK-AUTH no servidor
    seguir o manual para isso mas permitir o range de ips para 0.0.0.0/0 para que qualquer ip
    consiga se comunicar com o mikrotik remoto(RB450G)
    logo apos no servidor criado no mk-auth altere a porta SSH de 22 para um outro numero tipo
    24 não esqueça de fazer a mesma configuração no mikrotik remoto para a mesma porta alterada

    /ip service

    Tambem permitir o range de ip para todos 0.0.0.0/0

    Caso contrario o mikrotik não ira permitir a comunicação

    9) Nas regras de NAT ficara as regras de masquerade
    e as regras de PGcorte conforme o manual

    porem no momento identifiquei uma falha a qual estou providenciando para automatizar
    o envio da pagina com a mensagem de corte porem não impede o bloqueio do cliente
    precisa de um processo manual nestas duas regras

    No manual pede para que busque a pagina de corte no endereço 172.31.255.2 na porta 85
    apenas deve ser alterado onde esta o ip 172.31.255.2 para o ip que esta no momento no servidor
    mk_auth

    Obs.: estou trabalhando em um script que faça isso automatico


    espero que tenho ajudado...



    Robson da silva pereira disse:

    preciso disso vc fez pptp? vpn?

  • PORTAL ANI Junho 26, 2015 18:53

    Na minha opinião para quem não tem ip fixo a melhor solução mais segura e estável e usar MK-AUTH CLOUD VOCÊ PODE POR QUANTOS MIKROTIK QUISER A CONEXÃO E MAIS SEGURA E NÃO TEM SEGREDO ATÉ MESMO POR QUE AUTENTICAÇÃO USANDO DDNS NÃO E BOM POR QUE NÃO E ESTÁVEL QUANDO CAIR TRARA PROBLEMAS AO SEUS CLIENTES  a não ser que use um ddns pago Estável. 

  • Pedro Filho Junho 26, 2015 18:06

    isso é maldade, fala ai como...

  • CSALEX Junho 24, 2015 9:09

    pptp seria a melhor opçao.

  • Tutorial Mikrotik Junho 24, 2015 6:46

    preciso disso vc fez pptp? vpn?

This reply was deleted.