#  > Telecomunicações >  > pfsense >  >  Hotspot para autenticação + Pfsense como proxy = QUASE PERFEITO! Só falta IP real dos clientes

## jairomarconi

Bom dia a todos! Estou a 90 dias testando esta situação: 1 Servidor Mikrotik com Hotspot + 1 servidor PFsense apenas como proxy... Eu achei o PFsense muito superior ao web proxy do MK, além de ter muitas outras possibilidades de fazer mais coisas, além do proxy em si.

O Hotspot está na com o ip 196.0.0.254 e o PFsense está com o ip 192.168.1.1. O problema é apenas no lightsquid (pacote adicional do squid, para listar o relatório dos acessos) porém, ele só lista o ip do servidor Hotspot (196.0.0.254), como se todos os usuarios estivessem utilizando o ip do servidor Hotspot, e eu preciso que o Mikrotik repasse o IP REAL de cada usuário...


Sei que existe algumas regras a serem adicionadas talvez no ip firewall, porém, sou sincero em dizer que não sei fazer, alguém poderia me ajudar?

----------


## xXNeoXx

colega vc tem que fazer um diagrama da sua topologia pra gente entender como as coisas funcionam aí..: 

vamos lá seu servidor mikrotik no caso deve ter pelo menos 3 placas de rede né:
ether1 -> link
ether2 -> clientes - 196.0.0.254/24 (preste atenção essa faixa de ip não é uma classe utilizavel para rede interna vide rfc1918.
ether3 -> proxy (pfsense) - 192.168.0.1 /24

como vc faz o redirecionamento para o proxy ? usando dst-nat ou por rota ? 

*vc deve ter uma regra de nat generica como essa abaixo em ip-> firewall->nat
REGRA DE NAT GENERICA - Essa regra serve para fazer um nat geral, por isso não aparece seus clientes no proxy
chain=src-nat
action=masquerade

*
*correção nas regras de nat*
para aparecer os clientes vc deve usar assim essa regra de nateamento
*nat para cliente*
chain=src-nat
src.Address=196.0.0.0/24 (se sua rede for /24)
Out.Interface=Ether1 (Interface onde chega o Link de Internet)
action=masquerade
*
nat para o proxy*
chain=src-nat
src.Address=192.168.0.0/24 (se sua rede for /24)
Out.Interface=Ether1 (Interface onde chega o Link de Internet)
action=masquerade

aí vai faltar a regra de redirecionamento para o proxy, pois preciso saber se é por rota ou por dst-nat

em todo o caso vou postar por dst-nat ok..

chain=dst-nat
protocol=tcp (6) 
dst-port=80 (Porta http)
action=dst-nat
to Address=192.168.0.1 (IP DO PROXY)
to ports=3128 (não sei a porta do seu proxy, to chutando caso seja a padrão do squid, se for outra mude-a)

acredito que assim funcione, se você postasse sua topologia poderíamos fazer a coisa mais certinha. veja aí se funciona..

----------


## jairomarconi

Obrigado pela resporta, xXneoXx!
Sobre a topologia é o seguinte:
Tenho um modem roteado, e o ip dele é 192.168.2.254. O servidor de proxy é o PFsense, e o ip da wan (entrada) dele é o 192.168.2.1 e a da lan (saída) é o 192.168.1.1. A placa de rede do servidor mikrotik ether1 (entrada) tem o ip 192.168.1.2 A placa ether2 tem a saida com o ip 196.0.0.254. O hotspot eu criei pelo Hotspot setup, e não alterei nenhuma regra. tudo está funcionando perfeitamente, mas, eu gostaria que no PFsense (192.168.1.1) ao exibir o relatório do lightsquid, mostrasse o ip de cada maquina por trás do ip do gateway hotspot. Se funcionar assim, será mais que perfeito!!!

----------


## jairomarconi

Obrigado pela resposta, xXneoXx!
Sobre a topologia é o seguinte:
Tenho um modem roteado, e o ip dele é 192.168.2.254. O servidor de proxy é o PFsense, e o ip da wan (entrada) dele é o 192.168.2.1 e a da lan (saída) é o 192.168.1.1. A placa de rede do servidor mikrotik ether1 (entrada) tem o ip 192.168.1.2 A placa ether2 tem a saida com o ip 196.0.0.254. O hotspot eu criei pelo Hotspot setup, e não alterei nenhuma regra. tudo está funcionando perfeitamente, mas, eu gostaria que no PFsense (192.168.1.1) ao exibir o relatório do lightsquid, mostrasse o ip de cada maquina por trás do ip do gateway hotspot. Se funcionar assim, será mais que perfeito!!!

----------


## xXNeoXx

com hotspot eu nunca trabalhei, a sua implementação de proxy está meio diferente de como a maioria utiliza, tipo vc tá colocando o proxy de cara para internet e servindo o seu router mikrotik apartir do servidor proxy, como se fosse em modo de interceptção, não sei se assim daria certo, tem que testar em ambiente de testes pra ver, porque vc não muda um pouquinho e coloca ele com um redirecionamento com dst-nat, vc teria que ter 3 placas de rede no servidor mikrotik como postei acima.. não é difícil de fazer, no servidor proxy só precisaria de uma placa de rede.. bom não sei como o pfsense funciona realmente pra saber se com ele dá pra fazer assim.

----------


## jairomarconi

Boa noite! xXneoXx, coloquei o PFsense logo de cara, porque ele é um exelente firewall, e nem precisa fazer nada de configuração! acredito que abrir ele pela lan, só conseguirá com um pé de cabra. KKKKK Tenho um "mui amigo" na sociedade, e quando ele sair, como ele tem o cadastro de todos os clientes, irá atacar e sabotar a rede, por isso estou implementando este sistema para defesa futura, entende? Suas dicas acima são muito interesantes, eu irei testar neste final de semana, daí retorno os resultados. Obrigado + uma vez!!!
Se eu deixar o mikrotik, de cara ele vai sabotar rapidinho, e com o PFsense, por enquanto, nem meu irmão que se formou em ciencias da computação conseguiu invadir, pelo menos até agora!

----------


## jairomarconi

Bom dia, Jorge!
Quanto ao trocar tudo para o PFsense, tbm pensei sobre esta possibilidade, porém, o MK, vamos ser honesto, é legal para editar as páginas de hotspot, quase não dá trabalho... Se conseguissemos colocar só uma regra no MK para que em vez de identificar apenas o ip do Gateway hotspot, pudesse passar todos os ip no relatorio PFsense, seria uma combinação mais que perfeita, e eu acho que estamos bem próximos de descobrir este pequeno detalhe!!





> O problema dele é que o mikrotik esta fazendo NAT
> 
> se ele desligar o NAT vai ter que criar as tabelas de roteamento no pfSense.
> 
> Me diz teus IPs, faz um desenho da tua rede (nao precisa ser inteira, apenas modem, pfsense, mikrotik) com os IPs que eu te digo como colocar as rotas no pfSense. Agora no mikrotik é mais confuso desligar o NAT e deixar ele roteado com hotspot ativo.
> 
> Pra te ser sincero, se tu ja tas usando pfSense, por que não liga o portal cativo do pfSense ? Tu troca o mikrotik por um RADIUS qualquer e tu já teria tua rede toda configurada e com sistema de administração no RADIUS.

----------


## jairomarconi

Bom, a dificuldade de editar seria em, basicamente, eu não saber como!

----------

