Boa tarde a todos, venho acompanhando o fórum sobre esse problema desde a atualização 4.90 já pesquisei tudo e já fiz todos os modelos mostrados aqui e não funciona, o bloqueio em PPPoE ta normal, mas o HotSpot não funciona, então resolvi detalhar aqui como está as minhas regras, fiz um teste com usuario "wifi", em pppoe observem na imagem que ele é adicionado na Address Lista (pgcorte) ficando realmente bloqueado, já quando testo esse mesmo usuario "wifi" em modo hotspot, observem na imagem na aba Active ele é adicionado dinamicamente utilizando o Pool ele é bloqueado mas não aparece tela de bloqueio, fico esperando os companheiros me darem uma luz... grande abraço a todos.
/ip firewall mangle
add chain=prerouting action=jump comment="PG CORTE" jump-target=hotspot
/ip firewall nat
add chain=hotspot comment="PG CORTE" packet-mark=bloqueado protocol=tcp action=dst-nat to-addresses=187.33.253.50 to-ports=85
/ip firewall nat
add action=dst-nat chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address-list=pgcorte to-addresses=187.33.253.50 to-ports=85
/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 comment="PG CORTE" disabled=no interface=EthClientes network=10.3.0.0
add address=172.16.0.1/16 broadcast=172.16.255.255 comment="" disabled=no interface=EthClientes network=172.16.0.0
add address=172.16.1.1/24 broadcast=172.16.1.255 comment="" disabled=no interface=EthClientes network=172.16.1.0
add address=172.16.2.1/24 broadcast=172.16.2.255 comment="" disabled=no interface=EthClientes network=172.16.2.0
add address=187.X.X.X/X broadcast=187.X.X.X comment="" disabled=no interface=EthLinkD network=187.X.X.X
/ip pool
add name=PPPoE ranges=172.16.1.1-172.16.10.254
add name=pgcorte ranges=10.3.0.2-10.3.3.255
/ip firewall nat
add action=dst-nat chain=hotspot comment="PG CORTE" disabled=no packet-mark=bloqueado protocol=tcp to-addresses=187.X.X.X to-ports=85
add action=dst-nat chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address-list=pgcorte to-addresses=187.X.X.X to-ports=85
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=no
add action=masquerade chain=srcnat comment=MASQUEREIDE disabled=no
/ip firewall mangle
add action=jump chain=prerouting comment="PG CORTE" disabled=no jump-target=hotspot
Respostas
Amigo, veja abaixo uma print minha, está funcionando os dois bloqueios aqui pra mim tanto hotspot quanto pppoe.
Boa tarde companheiro, vc poderia por favor enviar suas regras pra eu comparar com as minhas, agradeço desde já.
Marcio Conterato disse:
To vendo que seu mk-auth está em um ip publico. Por um acaso todas as portas estao liberadas neste ip?
Ta faltando o (Source Nat), para poder redirecionar certinho velho, ainda nem uso essa regra ainda mais vejo que falta a Range 10.3.0.2!!!
a segunda regra faltou colocar o src. address, veja o exemplo abaixo:
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85
Eu consegui fazer funcionar da seguinte forma.
adicionei as regras:
/ip address
add address=10.8.8.1/22 broadcast=10.8.11.255 comment="PG CORTE" disabled=no interface=Clientes network=10.8.8.0
ip pool add name=pgcorte ranges=10.8.8.2-10.8.11.254
ip firewall nat
add action=dst-nat dst-address=!IP DO MK-AUTH chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.8.8.2-10.8.11.254 to-addresses=IP DO MK-AUTH to-ports=85
IP FIREWALL NAT
add action=src-nat src.address=10.8.8.2-10.8.11.254 dts.address=ip do mk-auth protocol=tcp
out-interface=link-internet action=masquerade
depois de feito o masquerade funcionou perfeitamente
Boa noite! Pedro ja fiz todas as regras mas o mikrotik fica dando erro de login ou senha, desabilito as regras de corte funciona normal. obrigado
Eu testei seguindo a sua regra ip/firewall/nat e mangle apenas acrescentando à 2ª regra nat o src address conforme orientado pelo Pedro Filho, funcionou corretamente no modo hotspot. Qualquer novidade eu te passo.
não sei se já resolveu, mas eu estava com o mesmo problema, bloqueava o cliente mas não aparecia tela de login, aí percebi que o cliente sempre pegava o ip 10.3.3.255, então eu fui no poll e alterei o ultimo ip para 10.3.3.250 e funcionou blz, não sei se é o seu caso, mas não custa nada tentar