instalar mk-auth em maquina virtual para aviso e bloqueio no pppoe pode?

bom dia! estou pesquisando aqui, porém com muitas dúvidas. gostaria de uma resposta simples, se pode ou não ao invés de deixar uma maquina rodando o mk-auth eu comprar a licença e e instalar o mk-auth em uma maquina virtual para enviar tela de aviso e bloqueio para meus clientes pppoe?

pode ou não???

Complementando o que o @Arthur Bernardes disse...

Pode sim instalar numa maquina virtual, roda tranquilo, mas essa VM vai ter que estar ligada 24/7 para servir de Radius server do seu router. Tenho um parceiro que ta começando a usar MKAuth e ajudei ele a montar tudo e fizemos exatamente assim, um PC virtualizando MKAuth com XenServer, e sobra maquina para virtualizar um DNS por exemplo, e outros serviços dependendo do PC.

Pode instalar, aviso e bloqueio é uma das funções dele. Ainda pode aproveitar e hospedar outras páginas nele. Como por exemplo de notificação.

Interhome valeu meu brother, obrigado. Caso eu desligue minha máquina, os meus clientes vão ser derrubado? ( ficar sem net?) Eu sei que é pergunta de leigo, porque eu só quero colocar somente para aviso,bloqueio e anúncios.

Se usar o mk-auth como autenticador, os clientes que estão conectados permanecem porém os novos não autenticam. Apesar que já vi usuários do sistema exportando para o MK a lista de clientes para contornar esse tipo de situação.
Prefiro nessa questão ou donde sistemas que usam SSH ou API. Ex. SCUT. Existem vários no mercado.

aí é que está, mais eu nao quero utilizar o mk-auth como autenticador, apenas quero somente utilizar ele quando for enviar um aviso, um anuncio ou até mesmo bloquear o cliente e ele ver na tela dele... redirecionamento para a pagina do mk-auth entende.

estou eliminando hotspot da minha rede, migrando para pppoe, entao queria que o mk-auth mosttrasse a tela de aviso e bloqueio no cliente inadiplente

Para isso funciona 100%.

É bem simples não é amigão fazer esse redirecionamento de aviso e bloqueio para clientes pppoe não é?

Sim. Coloca a máquina para rodar que lhe envio as regatas. Precisarei do ip da máquina.

Citação:

---

Postado originalmente por interhome

Sim. Coloca a máquina para rodar que lhe envio as regatas. Precisarei do ip da máquina.

---

@interhome seria de muita valia ser voce postar as regras aqui no forum.

Ok.

interhome, eu agradeço muito a sua ajuda cara.porém para crescimento do forum e ajudar nao só a mim, você poderia até postar as regras aqui mesmo no forum. pois sei que é dúvida de muitos...

aê galera.. ja tenho meu servidor apache rodando.. afim de teste, instalei ele no meu pc, através do programa easyphp. fiz toda a configuração. e ja consigo acessar essa pagina de bloqueio de fora da rede. e agora como faço para rodar o script para bloquear os clientes em pppoe???

servidor apache pronto, redirecionar pagina bloqueio cliente pppoe.


http://177.42.228.186:81


preciso criar um host no no-ip, ou o próprio script que vai rodar já faz essa atualização de IP publico?

Buenas @ruanserver

Você usa Radius para autenticar? Ou cadastra os profiles e secrets (usuários) direto na RB?

Uma coisa que você deve levar em consideração também é que esse aviso só vai aparecer quando o cliente tentar acessar um site HTTP. Se ele tentar acessar um site HTTPS, não vai funcionar, a não ser que você configure o apache para trabalhar em HTTPS também; mas mesmo neste caso, o redirecionamento do HTTPS vai gerar um aviso de segurança no browser. Eu não consigo pensar em qualquer forma de prevenir isso além de setar um servidor DNS e fazer ele responder requisições para qualquer nome a um IP em específico (o seu apache nesse caso), mas se torna uma solução bem complexa dai.

Mas só no HTTP da tranquilo.

entao inquiery, como eu faço isso???? eu cadastro os usuarios direto na rb em secrets... eu nao uso mk auth.. minha forma de autenticação é pppoe. a única coisa que eu quero é mandar para os clientes pagina de aviso, bloqueio e anuncios, somente...


aproveitar fazer com que o cliente abra uma pagina especifica minha antes de começar a navegar.

Não, dai já é bem mais complexo. Só com scripts.

Bloquear um cliente e redirecionar ele para uma pagina, tranquilo. Anúncios já é outro coisa bem diferente, tem que interferir na tráfego dos HTML e injetar código. Com PPPoE acredito que não tenha como fazer no mikrotik.

A questão de aparecer um aviso antes de ele começar a navegar, depois de logar, até dá, mas vai ter que usar scripts, dai te indico 2 caminhos: estudar e fazer ou contratar um consultor pra fazer pra você.

Agora, se você quer só uma pagina de bloqueio, cria um profile lá, chama ele de PERFIL_BLOQUEIO por exemplo, e no campo "Address List" do profile, coloca lá assim "CLIENTE_BLOQUEADO".

coloca essas regras no firewall:

Código :

---

/ip firewall nat chain=dstnat src-address-list=CLIENTE_BLOQUEADO protocol=tcp dst-port=80 action=dst-nat to-address=IP_DO_APACHE to-port=PORTA_DO_APACHE
/ip firewall filter add chain=forward src-address-list=CLIENTE_BLOQUEADO protocol=!tcp action=drop
/ip firewall filter add chain=forward src-address-list=CLIENTE_BLOQUEADO protocol=tcp dst-port=!80 action=drop

---

Assim, o cliente que você quiser que aparece a tela de bloqueio, você muda o profile dele para esse "PERFIL_BLOQUEIO". Todo o trafego HTTP dele (porta TCP 80) vai ser direcionado pro Apache, aparecendo a sua mensagem lá. E qualquer outro tipo de trafego vai ser bloqueado.

Se seu servidor DNS é externo (e não a RB), acredito que requisições DNS vão ser bloqueadas pois vão passar pelo forward e cair num drop daqueles. Dai vai ter que criar uma regra liberando o DNS, antes das regras de drop.

Código :

---

/ip firewall filter add chain=forward in-interface=ETHER_CLIENTES protocol=udp dst-port=53 action=accept

---

muito obrigado irmao,,, vai ser somente para bloqueio mesmo.

ééé, nao sei aonde estou errando, tentei aqui e nao funcionou.

instalei o easyphp no meu próprio pc. meu cenario aqui é o seguinte:

modem bridge
rb discando pppoe
uso a mesma interface para autenticar hotspot e pppoe
pppoe faixa de ip 192.168.77.1/24
tenho um roteador discando meu usuario pppoe que no caso meu ip loca fica 192.168.1.100
utilizo o dns do google e um da gvt


o que fiz: coloquei as regras no firewal e no filter rules citadas acima, porém nao funcionou. detalhe, meu ip publico vindo da gvt, ja está resolvido para meu ddns computador.no-ip.info

Dando uma liga ali vi que eu errei o primeiro comando, para adicionar uma regra de nat, faltou o "add", você chegou a arrumar?

Se você adicionou a regra pelo winbox, tranquilo, se tentou pelo terminal, a regra não foi adicionada. A primeira linha ficaria assim:

Código :

---

/ip firewall nat add chain=dstnat src-address-list=CLIENTE_BLOQUEADO protocol=tcp dst-port=80 action=dst-nat to-address=IP_DO_APACHE to-port=PORTA_DO_APACHE

---

Outra coisa é que se você ja tem regras de filtro e/ou nat adicionadas que podem interferir nesse redirecionamento, vc tem que ajeitar, reconfigurar direitinho.

Não tenho regras nenhuma adicionadas por mim... A única coisa que fiz foi abrir duas portas no firewall.. Vou abrir agora a 81 para meu IP... Para funcionar esse bloqueio popoe

É rapaz...pela minha limitação em redirecionamento tentei,tentei,tentei e não conseguir. De qualquer lugar desse mundo, eu estou conseguindo acessar minha página de bloqueio, que eu fiz e coloquei dentro do programa easyphp que está no meu PC...

Meu PC. IP local 192.168.1.100
IP que vem do servidor pppoe mikrotik.. 192.168.50.19
Porta do servidor apache que está rodando no próprio PC. 39.

Onde estou errando....

@ruanserver, a forma que você se conecta na internet ou mesmo ter ou não conectividade com a internet não importa pro seu caso. Pois o que você quer é mostrar uma pagina de bloqueio para um cliente seu, ou seja, a requisição HTTP vai vir de DENTRO da sua rede.

O seu PC é IP 192.168.1.100 ? E ele ta ligado direto na RB ?

Se sim, não tem erro, naquelas regras que eu postei, basta vc colocar o IP do seu PC lá, 192.168.1.100, e a porta que o apache está rodando, o padrão é 80, se vc alterou ela, coloca a porta alterada.

Se você não tem regra de filtro nenhuma, tem que liberar o DNS antes do bloqueio do trafego, pois a requisição DNS vai vir ANTES da requisição HTTP (óbviamente). E se o browser não conseguir resolver o nome, ele não vai nem iniciar uma requisição HTTP pois não vai saber pra onde.

Código :

---

/ip firewall nat add chain=dstnat src-address-list=CLIENTE_BLOQUEADO protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.100 to-port=80
/ip firewall filter add chain=forward in-interface=ETHER_CLIENTES protocol=udp dst-port=53 action=accept
/ip firewall filter add chain=forward src-address-list=CLIENTE_BLOQUEADO protocol=!tcp action=drop
/ip firewall filter add chain=forward src-address-list=CLIENTE_BLOQUEADO protocol=tcp dst-port=!80 action=drop

---

Não esquece de criar um profile no PPP e colocar "CLIENTE_BLOQUEADO" no campo "Address List". No hotspot a mesma coisa; só criar um profile e colocar "CLIENTE_BLOQUEADO" no campo "Address List". Os clientes, tanto PPPoE ou Hotspot, que tu quiser bloquear e mostrar mensagem, é só alterar para esse profile.

Regra 1 = trocar o to-port= Pela porta do apache.
Regra 2 = Não precisa.
Regra 3 = Ok.
Regra 4 = Ok.
Apesar de entender que DROP deve ser feito no Filter.

Respondendo a dúvida de inquiery, esse IP 192.168.1.100 quem está me dando é o meu roteador. Sai um cabo da rb e conecta na porta wan do meu roteador, no roteador o IP wan é 192.168.50.19.

Vou tentar fazer de novo colegas.

Devo dizer a vocês que também fico pesquisando, lendo entendeu? Não fico só querendo tudo mastigado.

Devo dizer que no hotspot eu consigo normalmente... Sempre tjve minha página de bloqueio no hotspot...

Bom dia @ruanserver

Pelo que eu andei lendo uns posts anteriores, você alterou a porta do Apache para 81, é isso?
Se o seu servidor Apache está atraz do seu router local, então a regra que redireciona para o Apache, deve redirecionar para o IP da WAN do seu roteador, que é um IP conhecido pelo Mikrotik.
Depois disso, você precisa ir nas configurações do seu roteador, e criar uma regra de "Port Forwarding", e redirecionar a porta 81 para o IP local do seu PC. Para facilitar a sua vida, configura uma regra estática no DHCP do seu roteador, para o MAC do seu PC pegar sempre o mesmo IP, 192.168.1.100 no caso.

Outra coisa é o seguinte, se o seu roteador ta conectando no seu mikrotik por PPPoE, está com IP dinamico, vai deixar a sua vida um pouco mais complicada. Bota um IP fixo fora do pool que você usa no seu PPPoE para o usuário do seu roteador, e usa esse IP nas regras.

Depois disso, basta você trocar os IPs la nas regras, o "to-address=" é o IP do roteador; por enquanto ele é 192.168.50.19, se esse IP é fixo ta tranquilo, mas se ele mudar, ja vai parar de funcionar as regras, então ele tem que ser fixo (conforme comentei anteriormente, se precisar colocar fixo, escolha um IP fora do range do pool que você usa no PPPoE). No "to-port=" é a porta que o servidor Apache está escutando, que aparentemente é 81.

Quanto a regra que o nosso amigo disse que não precisa, deixa ela por enquanto, pois como comentei nos posts anteriores, não sei se você usa DNS externo, pois caso use, o forward das requisições DNS vão ser bloqueados pela regra logo abaixo daquela que libera o DNS, e dai não vai funcionar tb.

caro colega, so para finalizar, eu desistir de por o bloqueio. tenho certeza que estava errando em na regra no firewal..

pois eu tenho um servidor ftp rodando em meu pc, na porta ex: 21 . como eu tenho o roteador com dhcp ligado , eu abrir a porta no mikrotik para meu ip wan que o mikrotik reconhece, depois eu abrir fiz uma dmz no meu roteador para meu ip local que o roteador está me dando. traduzindo. a questão do redirecionamento de portas inquiery, eu sei como fazer. agora devo está errando no firewal... mais deixa pra lah.. desisto...

Ultimamente não tenho tido tempo para pegar mais trabalho. Como disse que lhe ajudaria. Entre em contato pelo Skype inter-homesolucoes amanhã a tarde. Que colocamos para funcionar.

Beleza irmão... Viajei a trabalho não pude. Vou te add aqui