Forum

Pedro Duvidas na Configuração do MK-AuTH

Postado por Cristian Nunes Macena em 26 de Maio de 2010 às 15:42

Ola Pedro configurei o MK-AuTH conforme o tutorial, só que eu ja tinha o Mikrotik configurado com autenticação dos clientes via PPoe, salvei a chave SSH e ja coloquei via FTP a chave, mas na hora de ativar ela no meu Mikrotik esbarrei ai e o meu Mikrotik não aparece a opção em Usuarios List SSH, veja a imagem em anexo a galera conectada e o IP do MK- Auth configurado, como faço?

Outra duvida no Admin do MkAuth também não aparece nada do Mikrotik ou seja as configurações dos clientes minha duvida se eu add os clientes la ele irá alterar as configurações do meu Mikrotik? E como faço para bloquear um IP unico diferente da rede que esta tendo acesso ao meu Provedor ou seja tem um cara roubando sinal como bloqueio ele?


No Aguardo



Visualizações: 112

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: ajuda, arruma, maluco, mikrotik
Votos 0
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Cristian Nunes Macena Junho 3, 2010 14:35
    Pior que agora deposi que adicionei as regras no Mikrotik e ativei o Hostspot e o PPPOe não consigo acessar o MKAuTH, ja formatei ele mudei a placa de rede e não tenho mais acesso a ele, como faço para acessar e finalizar as configurações? e para adicionar as regras do NAT e Mangles no Mikrotik?
    Já to quase desistindo de tentar configurar isso.
  • Cristian Nunes Macena Junho 3, 2010 13:51
    Estive revisando todos os parametros da configuração do meu Servidor Mikrotik pelo Tutor e havia esquecido de add a parte do NAT e MAngle e qdo fui add da erro line 1 e col6.
    Alguem pode ajudar ai, ou postar a imagem dessas regras para eu criar manualmente mesmo.
  • Cristian Nunes Macena Junho 2, 2010 15:37
    Outra coisa quando cheguei em Radius com Access-List do tutor deixei em branco ja que não uso meu Mikrotik do Radio, pois deixo ele como brigde e uso servidor separado para o Mikrotik, não tem problema não né?
  • Pedro Filho Junho 2, 2010 10:26
    isso mesmo ...

    Cristian Nunes Macena disse:
    Bem se entendi eu devo desativar os meus PPOe que ja possuo e cadastrar pelo MK AUTH? fica todos autenticados no MK-AUth e não no mikrotik é isso?
  • Rogerio Alves Junho 2, 2010 10:25
    Isso mesmo amigo...

    Cristian Nunes Macena disse:
    Bem se entendi eu devo desativar os meus PPOe que ja possuo e cadastrar pelo MK AUTH? fica todos autenticados no MK-AUth e não no mikrotik é isso?
  • Cristian Nunes Macena Junho 2, 2010 10:21
    Bem se entendi eu devo desativar os meus PPOe que ja possuo e cadastrar pelo MK AUTH? fica todos autenticados no MK-AUth e não no mikrotik é isso?
  • Pedro Filho Junho 2, 2010 10:05
    vc tem apenas que adicionar a configuração para uso do radius, e vc desativa o cliente no mikrotik e cadastra no mk-auth ...

    Cristian Nunes Macena disse:
    Pedro, já instalei uma licença nova do Mikrotik, peguei a 3.22 mesmo, já ativei a chave SSh, agora parei aqui porque já tenho cadastrado meus clientes via PPOe, ai como faço para ele deixar o meu sistema e eu poder alterar pelo MK-AuTH e finalizar essa parte do MK-AutH, sendo que tambem irei fazer cache com o MKAUtH.
  • Cristian Nunes Macena Junho 2, 2010 9:46
    Pedro, já instalei uma licença nova do Mikrotik, peguei a 3.22 mesmo, já ativei a chave SSh, agora parei aqui porque já tenho cadastrado meus clientes via PPOe, ai como faço para ele deixar o meu sistema e eu poder alterar pelo MK-AuTH e finalizar essa parte do MK-AutH, sendo que tambem irei fazer cache com o MKAUtH.
  • Cristian Nunes Macena Maio 31, 2010 8:35
    Certo blzz vou tentar essa regra, pois eu ja havia adicionado varias regras que fiz pelo site da Mikrotik por força bruta, e esse cara consegue entrar e navegar sem ser força bruta, vou dar uma olhada nesse script se dar certo e posto aqui se resolveu meu problema para os demais usuarios tambem poderem resolver o deles.

    Valewwww ai pela ajuda.
  • Sóstenes L. Teixeira Maio 31, 2010 1:54
    ## Primeiramente vamos detectar quem está tentando scannear seu router ##
    /ip firewall filter

    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Port Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp psd=20,3s,3,1

    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Mass Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack

    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Null Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

    ## Agora vamos dropar as tentativas de conexão com o router dos ips detectados. ##
    add action=drop chain=input comment="Dropa conexoes de scanners" disabled=no protocol=tcp src-address-list=bloqueados


    Agora vamos ao knock knock. Vou utilizar, neste exemplo, o serviço da porta 8291 que é o acesso ao winbox. Caso você queira outros serviços basta mudar a porta e/ou protocolo. Vou usar a seguinte sequência de portas: 3002, 2003 e 3200. Utilize portas distantes umas das outras.

    ## Vamos adicionar a lista o ip do primeiro digito correto por 5 segundos ##
    add action=add-src-to-address-list address-list=digito1 address-list-timeout=5s chain=input comment="Digito 1" disabled=no dst-port=3002 protocol=tcp

    ## Caso o primeiro digito esteja na lista, vamos manter ip do primeiro digito correto, na segunda lista de digito correto por 5 segundos também. ##
    add action=add-src-to-address-list address-list=digito2 address-list-timeout=5s chain=input comment="Digito 2" disabled=no dst-port=2003 protocol=tcp src-address-list=digito1

    ## Por fim, vamos adicionar o ip do terceiro digito correto a lista por 5 segundos também. ##
    add action=add-src-to-address-list address-list=digito3 address-list-timeout=5s chain=input comment="Digito 3" disabled=no dst-port=3200 protocol=tcp src-address-list=digito2

    ## Após confirmar a combinação correta de portas, vamos adicionar o ip a lista de liberados por 1 hora para acesso a porta 8291. ##
    add action=add-src-to-address-list address-list=liberados address-list-timeout=1h chain=input comment="Adiciona src ip a lista de liberados por 1h" disabled=no dst-port=8291 protocol=tcp src-address-list=digito3

    ## Agora precisamos aceitar SOMENTE as conexões dessa lista de ips liberados. ##
    add action=accept chain=input comment="Aceita conexoes liberadas p/ Winbox" disabled=no dst-port=8291 protocol=tcp src-address-list=liberados

    ## Por fim, dropamos o restante. ##
    add action=drop chain=input comment="Dropa conexoes nao autorizadas ao Winbox" disabled=no dst-port=8291 protocol=tcp




    credito para o Guilherme Ramires forum under.
This reply was deleted.