Bom dia Pessoal, sei que o assunto já está meio batido e tal, mas aconteceu comigo. Segundo as novas regras estava tudo funcionando e do nada parou. Já deleteia as regras, fiz novamente e com inumeros testes nada resolvi.
O mk até muda os ips e tal, mas trava na tela e dá como tempo expirado. na info do cliente consta como bloqueado e não abre nada apenas o hotsite por estar no walled gardem.
Ai é aonde eu percebi uma coisa. Tudo bem acessar o hotsite pq ele está liberado mas depois que efetua o login vc navega normalmente e outra a página de corte não aparece nem por decreto...
O que pode ser ??
Att.
Marcelo Schmidt
Respostas
ABAIXO REGRAS PARA EXIBIR PAGINA DE CORTE:
Usando LIST:
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE HTTPS" dst-port=443 disabled=no protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=445
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85
Usando POOL:
/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.254
/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 interface=Placa do clientes
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE HTTPS" dst-port=443 disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=445
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85
PROBLEMAS E SOLUÇÕES:
se vc usa a pagina de corte por radius, uma forma de vc saber se seu cliente realmente esta bloqueado no radius e clica no link informações que tem abaixo do nome do cliente e na janela que abre na parte de radius veja se tem os parametros Mikrotik-Address-List / Framed-Pool como na imagem abaixo, se tem então o erro com certeza é no MikroTik por isso depois do login, veja se o ip do cliente bloqueado entra no address-list/pool do MikroTik:
se vc usa a pagina de corte por ssh, uma forma de vc saber se seu cliente realmente esta bloqueado é ver se na address-list o ip do cliente aparece, se não aparece veja se não é falha na comunicação ssh. Para testar a comunicação ssh agora o sistema envia uma regra desabilitada para o filter do MikroTik, se gravar a regra é pq esta ok...
nas duas formas de bloqueio é preciso colocar a regra de redirecionamento para pagina de corte acima de todas as outras no nat do MikroTik e nas configurações de profile de hotspot do MikroTik é preciso deixar a opção transparet proxy desativada.
Erickson Martins disse:
Boa tarde. Pedro relatei que aqui os clientes assim que é efetuado o login aparecem na address-list e no Mangle também com o ip da range pgcorte, mas dá página inválida não acessa nem a rb mais.. coloquei a regra no firewall como diz o manual, em vários lugares e sempre a mesma coisa..
/ip address
add address=10.3.0.1/22 comment="Pagina de Corte" disabled=no interface=HOTSPOT network=10.3.0.0
/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.255
/ip firewall nat
add action=dst-nat chain=dstnat comment="Pagina de Corte" disabled=no dst-address=!172.31.255.2 protocol=tcp src-address=10.3.0.2-10.3.3.255 to-addresses=172.31.255.2 to-ports=85
Realmente fico frustrado por não saber configurar direito esse mikrotik, e já faz algum tempo que estou quebrando a cuca.. é como se tudo desse certo, e no finalzinho empacasse..
obrigado e estou acompanhando...
Pedro Filho disse:
Pedro,
O problema é o framed-pool para quem utiliza hotspot em mais de uma interface. Não tem como atribuir o mesmo ip a várias interfaces senão em bridge.
Pedro Filho disse:
Acompanhando....
tenho problemas idênticos, e optei por deixar o dhcp, dessa forma o sitema bloqueia determinado cliente, e se o dhcp serve este ip para outro cliente, é o outro quem fica bloqueado.
O caso do Otávio é o típico caso onde o bloqueio por range trouxe problemas porque ele possui mais de uma interface fazendo hotspot, no entanto, nó possível atribuir o ip 10.3.0.1 a uma interface, daí falta comunicação aos clientes bloqueados nos outros hotspots.
O "jeitinho" a ser utilizado neste caso é colocar as interfaces em uma espécie de bridge paralela e utilizar um único hotspot. E neste caso é necessário criar regras de firewall na bridge para fazer o izolamento entre clientes de interfaces diferentes.
Para muitos isto também não é uma solução, porque o cliente utiliza ip fixo, e transformar a rede em um unico hotspot traz mais complicação.
Não adianta utilizar as regras antigas do bloqueio por radius porque mesmo que vc utilize as regras antigas, o parâmetro "Framed-Pool = pgcorte" continua sendo transmitdo e gerando os mesmos problemas.
Então qual seria a solução:
Como disse outros tópicos: Seria o Pedro colocar estes parâmetros de forma configurável, assim o cliente poderia decidir usar este ou aquele parâmetro.
No meu caso aqui tive que utilizar trigger para excluir o parâmetro no banco de dados e tudo voltou a funcionar normalmente com as regras de corte para hotspot do primeiro método de bloqueio por radius.
Conclusão: Eu mesmo cheguei a dizer que o bloqueio por range seria melhor, mas dou a mão a palmatória: O primeiro método de bloqueio por radius funciona redondinho, seria interessante podermos escolher entre ele e o autal, para isso seria necessário não transmitir o parâmetro Framed-Pool quando o método escolhido fosse esse. Fica aí dica, espero que o Pedro entenda e dê um jeito nisso.
No caso do otávio, vamos utilizar o "jeitinho" relatado acima.
ja te add no skype
Jhonne Jossy disse:
skype: jhonnejossy
Otavio C. G. disse:
Tem como vc me dar uma ajuda, é que os clientes vão ser cortados amanhã
Jhonne Jossy disse:
Em qualquer circunstancia radius não tem nada a ver com ssh, minha rede é toda roteada, uso mk-auth a anos e nunca importei uma chave ssh para o mikrotik e aliás não pretendo, antes mesmo de ter sido implanto o bloqueio por radius no mk-auth, ja o fazia assim, com algumas alterações no banco de dados.
Otavio C. G. disse:
Quando a rede for roteada?
Jhonne Jossy disse:
-
1
-
2
de 2 Próximo