Olá Pessoal,
Estou iniciando a utilização do MK-Auth e pretendo utilizá-lo para fazer autenticação de varias servidores Mikrotick localizado em varias cidadades. Estas cidades não estão ligadas na mesma rede e cada uma possui um link proprio da OI. Gostaria de saber se alguém já utiliza desta forma e se o tráfego gerado entre os links das cidades remotas e a central do MK-Auth não compreterão a performance do sistema. Qual o tamanho do trágego gerado entre Mikrotik e Mk-Auth :
Visualizações: 107
Para adicionar comentários, você deve ser membro de MK-AUTH.
Achei bem interessante a proposta deste tópico, então vou também dar minha humilde opinião:
As soluções apresentadas pelos colegas acima como uso de VPN funcionam bacana, mas neste caso não seria e melhor solução. Se o interesse é utilizar um servidor central de MK-AUTH para várias cidades em vários links, então o ideal seria fazer os direcionamentos somente da parte de autenticação. Vamos lá:
1 - O MK-AUTH possui ip válido
Basta adicionar no seu Mikrotik o ip do MK-AUTH na aba radius que ele já vai começar a enviar as autenticações para o seu servidor.
2 - O MK-AUTH não possui ip válido
Basta acessar o equipamento que tem o ip válido mais próximo e fazer os encaminhamentos das portas 1812 e 1813. Exemplo no Mikrotik:
Agora quanto a questão do MK-AUTH rejeitar a conexão: O radius só aceita requisições de parceiros conhecidos. Por isso vocÊ tem que ir no MK-AUTH e cadastrar os servidores mikrotik. O problema é que nem sempre o ip que você coloca lá é o que o radius recebe, aí ele acaba rejeitanto a autenticação e você fica sem saber qual é o problema.
Uma boa dica é sempre verificar os logs do radius direto no servidor. Você faz isso acessando o servidor por ssh e aplicando o comando:
tail -f /var/log/freeradius/radius.log
Se o pedido de autenticação estiver chegando normalmente no servidor, mas por algum motivo o ip não está correto, mostrará uma mensagem desta forma:
Error: Ignoring request from unknown client
Basta você descobrir qual ip está chegando para o servidor e alterar no WebAdmin do MK-AUTH que funcionará 100%. Para isso você pode utilizar o comando torch no próprio Mikrotik. Assim ele varrerá a interface de saída e te mostrará qual ip está tentando autenticar.
Está precisando turbinar o seu provedor? Oferecemos consultoria total em Mikrotik, MK-AUTH, Rádio Enlace, Servidores, etc. Solicite um orçamento!
Para responder essa sua nescessidade precisamos saber como é sua rede nessas outra cidades, como trabalha, vai usar que tipo de autenticação e se o link dessas cidades vao direto para uma RB ou Server Mikrotik pois a sulução é simples quando se tem uma ideia do que vai fazer.
bom na minha rede aki uso todas rbs apontado para um servidor central mk-auth e so redirecionar as portas que o que chegam das rbs ou servidores externos que radius use para o seu mk-auth, deve funcionar
Respostas
Boa Tarde Pessoal,
Achei bem interessante a proposta deste tópico, então vou também dar minha humilde opinião:
As soluções apresentadas pelos colegas acima como uso de VPN funcionam bacana, mas neste caso não seria e melhor solução. Se o interesse é utilizar um servidor central de MK-AUTH para várias cidades em vários links, então o ideal seria fazer os direcionamentos somente da parte de autenticação. Vamos lá:
1 - O MK-AUTH possui ip válido
Basta adicionar no seu Mikrotik o ip do MK-AUTH na aba radius que ele já vai começar a enviar as autenticações para o seu servidor.
2 - O MK-AUTH não possui ip válido
Basta acessar o equipamento que tem o ip válido mais próximo e fazer os encaminhamentos das portas 1812 e 1813. Exemplo no Mikrotik:
/ip firewall nat
add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO RADIUS" disabled=no dst-address=IP VÁLIDO dst-port=1812 protocol=udp to-addresses=IP DO MK-AUTH to-ports=1812
/ip firewall nat
add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO RADIUS" disabled=no dst-address=IP VÁLIDO dst-port=1813 protocol=udp to-addresses=IP DO MK-AUTH to-ports=1813
Agora quanto a questão do MK-AUTH rejeitar a conexão: O radius só aceita requisições de parceiros conhecidos. Por isso vocÊ tem que ir no MK-AUTH e cadastrar os servidores mikrotik. O problema é que nem sempre o ip que você coloca lá é o que o radius recebe, aí ele acaba rejeitanto a autenticação e você fica sem saber qual é o problema.
Uma boa dica é sempre verificar os logs do radius direto no servidor. Você faz isso acessando o servidor por ssh e aplicando o comando:
tail -f /var/log/freeradius/radius.log
Se o pedido de autenticação estiver chegando normalmente no servidor, mas por algum motivo o ip não está correto, mostrará uma mensagem desta forma:
Error: Ignoring request from unknown client
Basta você descobrir qual ip está chegando para o servidor e alterar no WebAdmin do MK-AUTH que funcionará 100%. Para isso você pode utilizar o comando torch no próprio Mikrotik. Assim ele varrerá a interface de saída e te mostrará qual ip está tentando autenticar.
Está precisando turbinar o seu provedor? Oferecemos consultoria total em Mikrotik, MK-AUTH, Rádio Enlace, Servidores, etc. Solicite um orçamento!
Acesse:
www.verdante.com.br
verdante@verdante.com.br
Como se faz por PPtp-vpn?
Rodrigo Meireles disse:
iSSO MELHOR SOLUÇÃO
Rodrigo Meireles disse:
com esse script dá pra autenticar os cliente no mk-auth com ddns?
Samuel Silva de Azevedo disse:
PPTP-VPN = Resolve e é seguro.
Ta aew
/system script add name="resolver" source= {:local resolvedIP [:resolve "server.example.com"];
:local radiusID [/radius find comment="Radius"];
:local currentIP [/radius get $radiusID address];
:if ($resolvedIP != $currentIP) do={
/radius set $radiusID address=$resolvedIP;
/log info "radius ip updated";
}
}
Aew esta o script de atualização de IP do Radius..
Lembrando Que voce deve esta com script de atualizar o IP do Mikrotik onde tem o Mk-auth
Onde esta marcado em Negrito voce coloca o ddns do servidor central.
/ip firewall Nat
add action=dst-nat chain=dstnat comment="Radius externo ao MK-AUTH" disabled=\
no dst-port=1812 in-interface=pppoe-out1 protocol=tcp to-addresses=\
172.31.255.2 to-ports=1812
/ip firewall Nat
add action=dst-nat chain=dstnat comment="Radius externo ao MK-AUTH" disabled=\
no dst-port=1813 in-interface=pppoe-out1 protocol=tcp to-addresses=\
172.31.255.2 to-ports=1813
Este redirecionamento qui fica de acordo com a sua entrada de link
Qualquer duvida só avisar Ok..
Adroaldo Ortolan disse:
Posta ai entao, estamos todos loucos atras desse material , obrigado
Samuel Silva de Azevedo disse:
Para responder essa sua nescessidade precisamos saber como é sua rede nessas outra cidades, como trabalha, vai usar que tipo de autenticação e se o link dessas cidades vao direto para uma RB ou Server Mikrotik pois a sulução é simples quando se tem uma ideia do que vai fazer.
-
1
-
2
-
3
de 3 Próximo