Olá amigos do fórum, este post é sobre a implantação de um recurso ainda inexistente na maioria dos sistemas de autenticação que utiliza RADIUS, pra mim um recurso importante mas para a maioria insignificante. A configuração é simples e pode ser executada com um pouco de conhecimento utilizando o phpmysql, não vou entrar em detalhes como instalar e acessar tendo em vista que se você não tiver esse conhecimento não deve tentar executar os passos abaixo sob o risco de danificar o banco de dados do sistema.
Na versão atual do MK-AUTH, os endereços IPs para todas as conexões vem da configuração do profile utilizado no pppoe, que normalmente leva o nome de Remoto-1, com a configuração que iremos executar, cada plano disponível passa a contar com uma pool de IPs exclusiva, possíbilitando novas políticas de aceleração de conteúdo ou liberação de banda extra conforme o plano, diferenciando dessa forma os clientes dos planos simplesmente pela classe de IP que o cliente se encontra e isso tem inúmeras vantagens, a principal delas é poder construir um QoS mais avançado com uso mínimo de recursos do seu MikroTik.
Aqui na empresa e nos parceiros que atendemos com nossos serviços a eficiência energética e a economia gerada com a virtualização de recursos sempre que possível é levada a um nível extremo.
Entendemos que se ao invez de utilizar 3 servidores para gerenciar um provedor pudermos utilizar apenas 1 e 1 RB não estaremos apenase conomizando reais mas também estaremos fazendo a nossa parte no que diz respeito à consciência ecológica em evidência nos dias de hoje, escolher e dimensionar bem os equipamentos faz toda a diferença para nós e para a sociedade em que vivemos, pode acreditar.
Dito isso, sempre que possível temos indicado o uso de sistemas de controle e autenticação MK-AUTH em VM (Maquina Virtual), pois o mesmo já esta comprovadamente compatível e suficientemente leve e robusto para essa tarefa, mérito do Pedro Filho que vem a cada dia melhorando o MK-AUTH ouvindo os seus usuários, hoje o MK-AUTH já é o sistema que mais evolui ouvindo as necessidades dos usuários, parabéns por essa façanha.
O inicio:
Partimos do ponto que você já deve ter instalado e acessado o phpmysql em seu servidor MK-AUTH 4.88 (funciona em outras versões).
Atributo Framed-Pool:
Acesse o banco de dados mkradius e abra a tabela radgroupreply, nesta tabela vamos encontrar os planos de acesso cadastrados no seu sistema e as respectivas velocidades de acesso, vamos precisar inserir o atributo "Framed-Pool" para cada plano cadastrado, este atributo é responsável por conectar os clientes de cada plano a uma Pool de IPs especifica abrindo um leque de novas possibilidades como já dito antes.
Na tabela acima já preenchida com cada plano (Id 1 a 7) e seus respectivos "Framed-Pool" (Id 8 a 13). Segue o código para quem quiser adicionar via linha de comando SQL.
INSERT INTO radgroupreply VALUES (8, 'PCR1-Acesso', 'Framed-Pool', '=', 'pool_acesso');
Note que será necessário alterar o Id, nome do plano e da pool conforme o seu banco de dados.
Feito isso passamos ao MikroTik, o procedimento é o mesmo pra quem autentica em servidor central nas bordas em RBs.
Adicione cada uma das pools no MikroTik com o mesmo nome que utilizou no banco de dados, ex:
/ip pool
add name=pool_turbo ranges=10.3.3.128-10.3.3.190
add name=pool_nitro ranges=10.4.4.128-10.4.4.190
add name=pool_acesso ranges=10.1.1.128-10.1.1.190
Siga na configuração do PPOE server e troque no profile default ao invez de utilizar o pool Local-1 (em Local Address), informe o IP da WAN do servidor ou RB (ip que se conecta a internet).
Por conveniência eu prefiro utilizar este ip o que me libera para utilizá-lo também como único DNS do profile, sendo assim posso via DNS do MikroTik alterar os DNS e dessa forma o cliente passa a utilizar novos servidores apesar de não ter sido necessária nenhuma mudança no cliente ou em seu profile.
Note que o profile default utiliza a pool_default, que sequer citei até agora, esta pool só será utilizada quando o plano que o cliente estiver cadastrado não contiver seu relacionamento na tabela radgroupreply.
Feito isso esta completo, agora já pode imaginar todo tipo de uso para este complemento, a dica que dou é a aceleração de conteúdo web e níveis adicionais de QoS por plano, em uso em quase todos os provedores que atendemos.
Considerações finais:
A alteração funciona em qualquer sistema que utilize RADIUS, o que deve-se levar em consideração é que toda vez que houver a inserção de um novo plano ou a alteração nos existentes deve-se efetuar manualmente as alterações na tabela para manter a compatibilidade.
Grande abraço a todos e bom uso.
Luciano Rampanelli / M4D3
“Como bons administradores da multiforme graça de Deus, cada um coloque à disposição dos outros o dom que recebeu” (1 Pedro 4, 10)
Respostas
So não rola pra quem usa ips validos nos clientes e não tem muitos ips para isso. Vendo que a saida para muitas coisas relacionadas a internet é atravez do ip valido. Visto que todos q tem SCM tem por obrigação ir atraz de ips validos para os clientes...
Luciano,
O Pedro já está estudando trabalhar com framed-pool, inclusive para realização de bloqueio, planos night, turbo etc, mas até então ninguém havia se atentando para esse outro leque de possibilidades, obrigado pela sua contribuição!
Rogerio, Jhonne, obrigado por seus comentários
Devo exclarecer:
Utilizo IPs públicos e privados nos clientes com este mesmo esquema que postei complementado com o uso de OSPF, em provedores que atendemos e aqui também, inclusive em um deles além da autenticação IP utilizamos a autenticação MAC+Chave individual WPA2 tudo controlado pelo MK-AUTH.
O IP público nos clientes não é obrigatório e por enquanto nem o registro de logs, porém quem quiser se precaver contra possíveis problemas relacionados ao mau uso e não quiser se responsabilizar por atos dos clientes é altamente recomendável que utilize IP público individual para cada cliente, pena que isso nem sempre é possível em grande parte dos casos.
Abraço
Lucianao o problema de usar Framed-Pool em varias funções é que nem todos são mestres em configurações no mikrotik e cada recurso seria preciso configurar tb no mikrotik e o Framed-Pool no pppoe tem conflito com Framed-IP-Address, a definição do ip prevalece...
Jhonne Jossy disse:
Teria a possibilidade de o MK-AUTH criar no MIKROTIK atraves de SSH tais recursos, um script dentro do mk-auth que envia para o mkt as configuraçoes personalizada de acorco com os ips que o cliente escolheu.
Ou não teria como fazer isso? Logico que isso não é prioridade agora, mas se vc tiver tempo em uma versao futura ficaria bom.
Pedro Filho disse:
A verdade é que cada um de nós tem sua propria topologia e é dificil, criar ou alterar um recurso sem mecher com outras questões, acredito que questão dos parâmetros poderiam ser configuráveis por evento, e já viessem com um padrão, assim atenderia aos usuários mais leigos e aos avançados.
Pedro, concordo contigo quando disse que nem todo mundo saberia configurar, mas você se esquece que já fez isso no MK-AUTH, quando manda exportar os clientes para o MikroTik, o mesmo já exporta os clientes e planos (profiles), bastaria adicionar o Local Address onde hoje é o Local-1 e o nome da pool de cada plano onde hoje é o Remote-1.
Não entendi o problema com o Framed-IP-Address (na tabela radreply), pra mim que quando o usuário adiciona um IP fixo é porque ele quer sobrepor o endereço da pool, isso não é de fato um problema mas um adicional, o que devemos observar é que se utiliza amarração do IP ao cliente (IP fixo), deve reservar uma parte da pool para os usuários com IP fixo e outra para a pool, evitando assim a possibilidade de colisão.
RIBEIROS'NET
O MK-AUTH já faz isso que você falou, basta usar o icone de "Exportar para o MikroTik" que fica ao lado do botão vermelho "Desativar"
Jhonne,
Acho que não entendi a sua colocação, mas estou tentando ainda sem sucesso fazer o MK-AUTH envair por ssh a Access List pro mikrotik, assim pretendo desativar a autenticação MAC que hoje faço via RADIUS, se tiver alguma forma de fazer isso forçadamente eu estou precisando e qualquer ajuda é bem vinda.
Grande agraço a todos.
Bem, luciano eu sou fã do radius pra tudo, quando se fala em ssh dá até arrepio, soa pra mim muito esquesito, embora o protocolo do radius ainda não seja perfeito. O que eu quiz dizer que se o pedro colocasse de forma configurável os parametros seria melhor pra todo mundo. Os leigos poderiam ficar com parâmetros padrão e quem quisesse se aventura poderia escololher os parâmetros que seriam colocados em cada evento, tipo quando o cliente se loga, quando o cliente bloqueado se loga, quando o cliente night se loga, quando o cliente com qos para voz se loga etc,..
Na verdade isso são só exemplos, dentro da relidade poderia ser clientes do planoX, ou cliente do grupoX repassa certa parametro no momento da autenticação.
Inclusive já fiz isso para um colega meu que usa o night de uma forma diferentem, controlada pela rb e nao pelo mk-auth. Foi preciso criar uns triggers no bd para adiconar os parametros na radreply, mas enfim, ta funcionando muito bem.
o problema do ip e pool é somente com pppoe Luciano, se tem ip definido ele ignora o do pool, mais com hotspot funciona sem problemas e a dificuldade seria criar muitos pool para cada função e configurar tudo isso, para quem sabe tudo de mikrotik isso é mamão com açucar mais para a maioria dos usuários do mk-auth que não sabem mexer bem com mikrotik seria um grande problema...
m4d3 disse:
Grande Rampanelli sempre ajudando o próximo com seu conhecimento admirável.
Meu ídolo. \o/ rsrsrs
-
1
-
2
-
3
de 3 Próximo