Postado por Geisson Hugo em 23 de Agosto de 2010 às 11:07am
Bom dia, Pedro, hoje estou implantando na minha rede uma topologia meio diferente, que eu achei mais segura, e com um desempenho maior, funciona da seguinte forma.
Tenho um Concentrador Mikrotik, um servidor aonde entra o link, eh feito o NAT, e tudo mais, menos servidor PPPoE, o servidor PPPoE vai direto na rb, na torre, mas na rb na torre não tem NAT, eu trabalho com uma especie de NAT na camada 3, algo assim, meio quei copiei de um provedor de um amigo, até ai tudo bem, esta conectado tudo blz, navegando, e tudo mais, maravilha.
Tenho todas as rbs cadastradas no MK-AUTH, tudo separado, com chave WPA2 nos clientes, e talz.... mas como o NAT não vai na RB na torre, me deparei com um problema, a pagina de aviso e o bloqueio. os ips da addresss list estão sendo inseridos na rb, e deve ir no servidor concentrador, aonde e feito todo o roteamento.
Gostaria de saber se tem a possibilidade de fazer algo que enviasse esses ips direto pro concentrador, e não na rb da torre?
E o sistema esta ficando muito bom, o menu horizontal ficou otimo.
Para adicionar comentários, você deve ser membro de MK-AUTH.
Concentrador ate onde eu sei, é onde se concentra a autenticação dos clientes, no seu caso vc terá de adaptar nas suas rbs para que elas redirecionem para o mk-auth, pois vc tem varios concentradores...
Mas assim, cada RB minha tem um servidor pppoe diferente, mas não existe NAT na rb.... então a rb não consegue redirecionar o bloqueio ou aviso para o cliente, pq o meu firewall fica nesse concentrador, junto com o redirecionamento do proxy e tudo mais. nesse cado. links distantes em 900mhz, pode cair, mas a conexão, não cai, pq o cliente esta conectado na rb. então eu preciso de uma adaptação do mk-auth, pra ele tipo, colocar os ips das address list direto no servidor/concentrador.
Pedro, vi que no cadastro dos servidores, tem duas opções. servidor/pc e transmissor/rb, teria como colocar para o mk-auth colocar todos os ips de bloqueio e aviso nos "servidore/pc"?
E outra ideia, se possivel, colocar no comentario dos ips na address list, o login do cliente, fica um pouco mais facil de identificar os ips da address list...
Obrigado Rogerio.
Rogerio Alves disse:
Concentrador ate onde eu sei, é onde se concentra a autenticação dos clientes, no seu caso vc terá de adaptar nas suas rbs para que elas redirecionem para o mk-auth, pois vc tem varios concentradores...
Bom amigo... nao sei entendi direito, mas acho q vc quer receber do MK-AUTH apenas os dados de autenticação na RB e o address list cadastrado no Servidor principal (Concentrador), se for isso mesmo segue explicação:
Autenticação freeradius usa porta 1812
Accouting freeradius usa port 1813
SSH usa porta 22.
seguindo a lógica de q os cadastro de address list vindo do MK-AUTH sao feitos pelo SSH (porta 22), adicione na sua RB um redirecionamento da porta 22 para o Mikrotik concentrador, dessa forma as autenticaçoes irao continuar nele, mas os cadastros de address list serao redirecionados para o Concentrador.
isso que o Alisson passou resolve é meio gambiarra mais funciona até que eu possa encontra uma solução.
Alisson Jonas da Silva disse:
Bom amigo... nao sei entendi direito, mas acho q vc quer receber do MK-AUTH apenas os dados de autenticação na RB e o address list cadastrado no Servidor principal (Concentrador), se for isso mesmo segue explicação:
Autenticação freeradius usa porta 1812
Accouting freeradius usa port 1813
SSH usa porta 22.
seguindo a lógica de q os cadastro de address list vindo do MK-AUTH sao feitos pelo SSH (porta 22), adicione na sua RB um redirecionamento da porta 22 para o Mikrotik concentrador, dessa forma as autenticaçoes irao continuar nele, mas os cadastros de address list serao redirecionados para o Concentrador.
Respostas
Mas assim, cada RB minha tem um servidor pppoe diferente, mas não existe NAT na rb.... então a rb não consegue redirecionar o bloqueio ou aviso para o cliente, pq o meu firewall fica nesse concentrador, junto com o redirecionamento do proxy e tudo mais. nesse cado. links distantes em 900mhz, pode cair, mas a conexão, não cai, pq o cliente esta conectado na rb. então eu preciso de uma adaptação do mk-auth, pra ele tipo, colocar os ips das address list direto no servidor/concentrador.
Pedro, vi que no cadastro dos servidores, tem duas opções. servidor/pc e transmissor/rb, teria como colocar para o mk-auth colocar todos os ips de bloqueio e aviso nos "servidore/pc"?
E outra ideia, se possivel, colocar no comentario dos ips na address list, o login do cliente, fica um pouco mais facil de identificar os ips da address list...
Obrigado Rogerio.
Rogerio Alves disse:
Autenticação freeradius usa porta 1812
Accouting freeradius usa port 1813
SSH usa porta 22.
seguindo a lógica de q os cadastro de address list vindo do MK-AUTH sao feitos pelo SSH (porta 22), adicione na sua RB um redirecionamento da porta 22 para o Mikrotik concentrador, dessa forma as autenticaçoes irao continuar nele, mas os cadastros de address list serao redirecionados para o Concentrador.
Alisson Jonas da Silva disse: