Ola Pedro estou com um problema enorme aqui, o troquei o meu sistema para uma nuvem e puxei um backup do outro mk-auth ate ai tudo certo, o problema que um amigo tinha criado umas regras de bloqueio da porta ssh e quando chego a data do corte o mk-auth nao cortou ninguem dai desfiz todas as regras refiz a integraçao ele envia o teste ssh normalmente, mas quando eu mando bloquear um cliente simplesmente nao acontece nada. Oque pode ser??? Alguem pode me ajudar aii.. Desde ja agradeço!!
Para adicionar comentários, você deve ser membro de MK-AUTH.
Respostas
Exibir pagina de corte usando Radius LIST ou SSH:
/ip firewall filter
add action=drop chain=forward dst-port=!80 protocol=tcp comment="CORTE" src-address-list=pgcorte
add action=drop chain=forward dst-port=!85 protocol=tcp comment="CORTE" src-address-list=pgcorte
add action=drop chain=forward dst-port=!53 protocol=udp comment="CORTE" src-address-list=pgcorte
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="CORTE" dst-port=80 protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85
Exibir pagina de corte usando Radius Pool:
/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.254
/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 interface=Placa do clientes
/ip firewall filter
add action=drop chain=forward dst-port=!80 protocol=tcp comment="CORTE" src-address=10.3.0.2-10.3.3.254
add action=drop chain=forward dst-port=!53 protocol=udp comment="CORTE" src-address=10.3.0.2-10.3.3.254
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="CORTE" dst-port=80 protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85
PROBLEMAS E SOLUÇÕES:
se vc usa a pagina de corte por radius, uma forma de vc saber se seu cliente realmente esta bloqueado no radius e clica no link informações que tem abaixo do nome do cliente e na janela que abre na parte de radius veja se tem os parametros Mikrotik-Address-List / Framed-Pool como na imagem abaixo, se tem então o erro com certeza é no MikroTik por isso depois do login, veja se o ip do cliente bloqueado entra no address-list/pool do MikroTik:
se vc usa a pagina de corte por ssh, uma forma de vc saber se seu cliente realmente esta bloqueado é ver se na address-list o ip do cliente aparece, se não aparece veja se não é falha na comunicação ssh. Para testar a comunicação ssh agora o sistema envia uma regra desabilitada para o filter do MikroTik, se gravar a regra é pq esta ok...
nas duas formas de bloqueio é preciso colocar a regra de redirecionamento para pagina de corte acima de todas as outras no nat do MikroTik e nas configurações de profile de hotspot do MikroTik é preciso deixar a opção transparet proxy desativada.
TOPICOS QUE PODEM AJUDAR:
Clientes bloquados nao acessam hotspot - MK-AUTH
A regra de Corte mudou na 4.90, mas quem muda o ip do cliente com i...
Bloqueio automatico - pppoe - MK-AUTH
Bloqueando Clientes Via Radius Mangle PPPoe Ips válidos sem Nat - M...
Problemas com a pagina de bloqueio! - MK-AUTH
Liberar site pra cliente bloqueados - MK-AUTH
Regra de corte via mangle 03 interfaces hotspot - MK-AUTH
REGRA PGCORTE COM THUNDERCACHE 7 - MK-AUTH
Cláudio Lemes disse:
o meu não esta mandando o arquivo pra address list com pgaviso e pgcorte uso pppoe Pedro o que fazer?
corte por SSH é preciso colocar o ramal para o mk-auth saber qual o ip do ramal que ele precisa enviar o comando de corte por SSH, se o cliente não loga é pq o mk-auth não está pegando o ramal correto que ele usa, olha na pagina de detalhes do cliente no log de conexões invalidas o ip do ramal que foi passado...
Rafael Mascarenhas disse:
Bom fazer bloquear consegui fazer mas so adicionando o RAMAL, o problema eh que com ramal o cliente nao loga, parece que o mkauth so reconhece a RB quando se altera o cliente e coloca o ramal e mesmo essa rb sendo a unica que autentica os clientes com ramal nao funciona, ja configurei o SNMP e nada oq pode ser pedro??
Pedro, a coisa parece que so piora hehehe, olha so minha conecao eh por PPOE, tenho um RB750G fazendo um ballance e uma Cloud Core autenticando fiz os direcionamentos das portas e o teste ssh funciona perfeitamente, mas coloquei essa RB hj no lugar de uma RB2011 que tinha antes, bom ai começo o problema quase a mesma coisa, a outra RB2011 tinha um pool de ppoe 192.168.0.1/16, e dava muito problema pq era muito ip e quando configurei entendia bem menos de Mikrotik que hj, bom essa eu configurei com o POOL 10.11.1.1/24 e ai começo o problema os clientes autenticaram beleza, so que os que estavam bloqueados ficaram liberados na rb, dai desbloquei manualmente eles e mandei bloquear de novo nada aconteceu. Somente os que ainda nao tinha conectado nos ips com o novo pool que iam para o adress-list os outros nada acontecia. E o teste ssh faz normalmente e estou com ip fixo, o direcionamento acredito estar certo lo load caso contrario nao bloquearia os que ainda tinha ips com o pool antigo. Tens ideia do que pode ser, to meio apavorado heheh os clientes nao pagaram e nem consigo bloquealos. ??????
ok amigo...
Rafael Mascarenhas disse:
Pedro descobri o problema aki, era no ip cadastrado no mikrotik, como eu nao tinha ip fixo pq a operadora fico de levar dois dias pra disponibilizar o serviço eu cadastrei a RB com ddns la no Mkauth, e fiz o teste so que pelo que descobri com DDNS funciona o teste SSH mas nao corta, na mesma hora que cadastrei meu ip valido, mesmo ele sendo dinamico ja funcionou tudo certinho, agora ja troquei pro ip fixo e esta tudo certo, estou com outro problemas coloquei um loadballance na rede e com ele nao autentica cliente nenhum, estou pesquisando aki pra ver como resolvo isso. Ja li outro artigo seu dizendo que o acesso ao Mkauth tem que sair por um link so, assim como os de alguns bancos, mas ainda nao tenho ideia de como fazer isso. Agradeço a atençao e a ajuda a meio ano conheci o sistema Mkauth e comecei meus estudos em Mikrotik e hj ja tenho uma rede ate bem estruturada somente com o que leio por aki e com a ajudas dos amigos do forum Abraçoo
PPOE ou HOTSPORT?
ABAIXO REGRAS PARA EXIBIR PAGINA DE CORTE:
Usando LIST:
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE HTTPS" dst-port=443 disabled=no protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=445
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85
Usando POOL:
/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.254
/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 interface=Placa do clientes
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE HTTPS" dst-port=443 disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=445
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85
PROBLEMAS E SOLUÇÕES:
se vc usa a pagina de corte por radius, uma forma de vc saber se seu cliente realmente esta bloqueado no radius e clica no link informações que tem abaixo do nome do cliente e na janela que abre na parte de radius veja se tem os parametros Mikrotik-Address-List / Framed-Pool como na imagem abaixo, se tem então o erro com certeza é no MikroTik por isso depois do login, veja se o ip do cliente bloqueado entra no address-list/pool do MikroTik:
se vc usa a pagina de corte por ssh, uma forma de vc saber se seu cliente realmente esta bloqueado é ver se na address-list o ip do cliente aparece, se não aparece veja se não é falha na comunicação ssh. Para testar a comunicação ssh agora o sistema envia uma regra desabilitada para o filter do MikroTik, se gravar a regra é pq esta ok...
nas duas formas de bloqueio é preciso colocar a regra de redirecionamento para pagina de corte acima de todas as outras no nat do MikroTik e nas configurações de profile de hotspot do MikroTik é preciso deixar a opção transparet proxy desativada.