Bem amigos, sou usuario novo, estou implantando o mk-auth, ja li varios artigos sobre a criação do novo metodo de autenticação, um inclusive de 25 paginas, e de tanto ler acabei perdido, se alguem puder me dar uma força eu agradecerei imensamente.
Na minha rede existem muitas RBs e cada torre a rb tem seu proprio NATe HOTSPOT, burst, todos os clientes tem ip fixo C cadastrados em radios e mac cadastrados aqui comigo, com ip amarrado ao mac na tabela arp, nao existe cliente plaquinha.
Eu queria saber em termos tecnicos a diferença do radius mangle e do pool e em qual cenario um se comporta melhor do que o outro, qual consome menos recursos, qual da menos problemas, qual da para trabalhar com pagina de aviso e depois pag bloqueio e porque colocaram 2 tipos?
da uma força ai meu povo e antecipadamente agradeço a quem se dispuser a me ajudar, vlw
Respostas
O pool funciona sim.
E o desenho eu fiz no corel draw.
Abraço.
hummm entendi, valeu mesmo, o mk-auth nao faz nat!!!, ficou mais facil de entender, seu desenho deu uma otima luz, é bem isso que vc desenhou, só que cada rb tem ssid com nat e 1 ssid sem nat bridge,
nao querendo abusar de sua boa vontade tenho 2 duvidas, nesse caso o pool da certo tb? e vc usou algum programa para fazer o desenho ou fez na mao mesmo? rsrsrs ficou da hora!!!
Nas tuas RBs tem q cadastrar o RADIUS q no caso da imagem será 10.10.10.254
De ante mão.. já aceito a gelada.. hehehehe
Vê só.. ficou um pouco complicado de eu entender..
De ante mão ñ tem pró em ter NAT.
Desenhei uma imagem q está em anexo. Vê se teu esquema é tipo isso?
Veja q o MK está na mesma rede das RBs, assim é mais fácil pq vc terá q cadastrar as RBs no MK.
Dessa forma é só colocar a config q te enviei antes q teus hotspots iram redirecionar teus clientes bloqueados para a pág de aviso. Basta usar o pool e as regras do NAT.. sem Mangle.>!
aps.jpg
ajudou muito parceiro, muito obrigado por tudo, se um dia for aparecer para esses lados me avisa que te pago uma gelada, ja estou entendendo, só me esclareça uma coisa, aqui devo ter umas 16 rbs todas fazem nat, tenho 16 nats, minha rede nao existe problema, pois se alguem tentar invadir e dar conflito de ip fechando o range no maximo vai afetar 1 painel e eu estarei andando pelas redes das RBs tranquilo e facil para mim solucionar, mas eu nao queria mudar esta topologia, uma que me daria muito trabalho e outra por requisitos de segurança, eu quero manter todos esses nats, eu devo colocar as regras em ip/firewall em todas as rbs entao? , as que eu fizer hotspot mando em radius pro mangle ou pool?, as que são bridge eu entendi que devem ser habilitadas o acess-list no cadastro do cliente.
Se quiser ajuda manda email para otaviocg@hotmail.com
parceiro.. vc tem q criar um ip na sua placa do hotspot: 10.3.0.1/22
depois cria um pool:
name=pgcorte
Addresses=10.3.0.2-10.3.3.255
aí em firewall vai em NAT e adiciona uma regra para mascarar essa rede: 10.3.0.0/22 (igual vc mascara a rede de seus clientes).
tb em NAT adiciona uma regra com:
chain=dstnat
Src. Adrress=10.3.0.2-10.3.3.254
Dst. Addrress="IP de seu mk-auth"(marca o quadrado na frente do IP com o ponto de exclamação "!)
Protocol=tcp
Em action:
Action=dst-nat
To addreess= "IP de seu mk-auth""
To port=85
assim todo mundo q logar e estiver bloqueado, vai receber um IP dessa rede (10.3.X.X) e qnd for tentar navegar, será redirecionado para essa porta no teu mk-auth.. que tem uma pág.de aviso.. essa página vc edita no próprio mk-auth..
espero ter ajudado.. Abraço.
Bom dia
Rodrigo gostei da sua explicação, vc teria as regras da pagina de corte, estou tentado fazer, mas estou com um pouco de dificuldade ainda não deu certo!! Tenho só uma RB 1100 na rede autenticando os clientes.
desde já agradeço, valeu
Rodrigo Londres disse:
humm estou entendendo, muito obrigado por estar me ajudando,
Entao no meu caso onde o mesmo equipamento rb433ah chega a ter 6 ssids diferentes, 2 em cada painel, um em bridge para industrias oculto que vai para um servidor com 4 links balanceados, e outro com hotspot sendo o NAT feito na mesma RB e pegando um link de outro servidor que tenho, a melhor seria qual?
li seu artigo sobre a criação do radius, foi bem planejado.
Eu estou implantando e estou querendo mudar para que as empresas autentiquem no NAT do mk criado em uma vmware (pois eles veem de um ssid bridge e os demais clientes que continuem fazendo o hotspot e o nat na propria rb433ah,
vc saberia me informar nesse cenario qual o melhor metodo?
desde ja agradeço imensamente sua ajuda, VLw
Parceiro..
É tipo assim..
Pensa numa rede local onde vc tem vário PCs e todos têm q se pingar.. É isso com as RBs e o mk-auth.
coloca ele na mesma rede de tuas RBs (se vc usa IP válido nas RB, vc pode colocar IP válido no mk-auth tb).
no meu caso eu não uso mangle, pq para página de aviso é só criar uma regra no NAT redirecionando quem autentica estando bloqueado para a porta 85 do teu mk-auth.
Tem q criar um pool para quem está bloqueado.
Se precisar de mais força, dá um toque aí!
-
1
-
2
de 2 Próximo