Se a range está criada, basta o espertinho setar um ip pertencente a range que está criada...
Boom! Esta navegando...
Versão Imprimível
Se a range está criada, basta o espertinho setar um ip pertencente a range que está criada...
Boom! Esta navegando...
Atualização: acho que o método que descrevi abaixo não vai funcionar. Se não me engano o valor da variável $address vai ser o IP recebido pelo DHCP, não o IP novo proveniente do Pool. Se quiser teste aí, mas acho que a única forma funcional vai ser a que descrevi no meu post anterior.
Isso é porque o Clik está trabalhando de uma forma um pouco diferente do normal, "atribuindo" um IP válido para cada cliente APÓS fazer o login pelo Address Pool no User Profile.Citação:
Postado originalmente por TsouzaR
Se você não faz assim, não há esse risco de alguém configurar IP manualmente e navegar, a não ser que seu IP Binding esteja indevidamente configurado.
Ele possui duas faixas de endereços IP, uma privada para usuários que ainda não fizeram login, para apenas acessarem a página do Hotspot, e outra faixa de IPs públicos, da qual os clientes recebem um endereço IP após fazerem login.
Inclusive, @Clik, não entendo porque você está trabalhando dessa forma, já que o resultado final será o mesmo que atribuir o IP público diretamente aos clientes por DHCP e configurar o Hotspot nele. Se tiver alguma razão especial para isso, fiquei curioso em saber e agradeço-lhe se puder compartilhar.
A configuração no IP Binding nesse caso deve ser a seguinte:
- faixa de IP privada: regular
- faixa de IP público: bypassed
- 0.0.0.0/0: blocked
E para evitar que alguém configure manualmente um IP público bypassed e navegue sem controle, que é o problema que está ocorrendo, basta fazer conforme instrui no meu post anterior ou no começo desse atual.
Se utilizar alguma das duas técnicas que ensinei, isso não ocorrerá.
TsouzaR
O primeiro Script Não esta adicionando os IPs
Coloquei ele na New Terminal para testar e da erro:
[admin@CLIK] > /ip arp add address=$address mac-address=$mac-address interface=bridge1 comment="$user autenticado";";
expected end of command (line 1 column 46)
O outro Modo que você ensinou esta funcionando certinho :)
Mas seria interessante esse script, pois estando as interfaces em modo Reply-only evitaria os clientes setar um IP manual IP estático e aumentaria mais a segurança, uma ves que o Hotspot por si próprio não é muito seguro, e aqui na minha cidade tem muitos metidos a hacker que ficam fuçando na rede dos outros
Respondendo a sua pergunta:
Essa segunda range de IP Válidos seria justamente para dar mais segurança, uma vez que esta masquered tem acesso a internet e a primeira range não tem, mas pelo jeito num adiantou muito
Seria interessante se essa range de IP válido estivesse em outra Interface isolada da Bridge, ja tentei mas não consegui.
Não está adicionando qualquer IP? Nem o IP privado?
Você desconectou algum cliente e verificou se o IP é adicionado quando ele faz login?
Após configurar conforme instrui, desconectar algum cliente e ele reconectar, qual é a resultado do comando abaixo no terminal?
Código :
/ip arp print where !dynamic
Sobre o erro no terminal ao testar o comando: não tem como você testar esse comando no terminal, ele usa variáveis enviadas pelo Hotspot ($address, $mac-address e $user), por isso só funciona quando configurado no User Profile e executado no momento do login do cliente.
Para facilitar o debug, altere o comando do On Login para o seguinte:
Código :
:log warning "$user fez login. MAC: $mac-address - IP: $address"; /ip arp add address=$address mac-address=$mac-address interface=INTERFACE_CLIENTES comment="$user autenticado";
Desconecte algum(ns) cliente(s) e verifique o que aparece no Log da RB enquanto eles fazem login. Poste aqui. Pode mudar o MAC e IP por segurança, apenas informe se é o IP privado ou público que está aparecendo no Log, ou nenhum...
Sobre segurança: ambos métodos que instrui são semelhantes em eficiência. Em ambas formas, se alguém configurar um IP estático manualmente não irá conseguir navegar.
Mas veja que isso que você está fazendo, uma faixa de IP sem acesso à Internet e outra com, não torna as coisas mais seguras. O efeito é o mesmo de que se você estivesse usando apenas uma faixa e pedindo autenticação nela, e ainda com o risco de alguém configurar manualmente e roubar Internet (problema que é solucionado com o método que instrui).
No ARP aparece apenas o endereço de IP Hotspot que o DHCP adicionou 200.168.xxx.xxx mas o IP Válido 201.168.10.xxx não adiciona
O cliente consegue se conectar e logar no hotspot porem não consegue navegar na internet porque o Endereço de IP Válidos que o hotspot atribuiu para ele não esta na ARP
Comando no terminal:
[admin@CLIK] > /ip arp print where !dynamic
Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published
# ADDRESS MAC-ADDRESS INTERFACE
[admin@CLIK] >
No log aparece
18:54:09 dhcp,info Servidor_DHCP assigned 200.168.220.249 to 00:15:AF:2C:A4:6F
18:57:31 hotspot,info,debug clik (200.168.220.249): trying to log in by http-chap
18:57:31 hotspot,account,info,debug clik (201.168.10.254): logged in