Hotspot para autenticação + Pfsense como proxy = QUASE PERFEITO! Só falta IP real dos clientes
Bom dia a todos! Estou a 90 dias testando esta situação: 1 Servidor Mikrotik com Hotspot + 1 servidor PFsense apenas como proxy... Eu achei o PFsense muito superior ao web proxy do MK, além de ter muitas outras possibilidades de fazer mais coisas, além do proxy em si.
O Hotspot está na com o ip 196.0.0.254 e o PFsense está com o ip 192.168.1.1. O problema é apenas no lightsquid (pacote adicional do squid, para listar o relatório dos acessos) porém, ele só lista o ip do servidor Hotspot (196.0.0.254), como se todos os usuarios estivessem utilizando o ip do servidor Hotspot, e eu preciso que o Mikrotik repasse o IP REAL de cada usuário...
Sei que existe algumas regras a serem adicionadas talvez no ip firewall, porém, sou sincero em dizer que não sei fazer, alguém poderia me ajudar?
Re: Hotspot para autenticação + Pfsense como proxy = QUASE PERFEITO! Só falta IP real dos clientes
colega vc tem que fazer um diagrama da sua topologia pra gente entender como as coisas funcionam aí..:
vamos lá seu servidor mikrotik no caso deve ter pelo menos 3 placas de rede né:
ether1 -> link
ether2 -> clientes - 196.0.0.254/24 (preste atenção essa faixa de ip não é uma classe utilizavel para rede interna vide rfc1918.
ether3 -> proxy (pfsense) - 192.168.0.1 /24
como vc faz o redirecionamento para o proxy ? usando dst-nat ou por rota ?
vc deve ter uma regra de nat generica como essa abaixo em ip-> firewall->nat
REGRA DE NAT GENERICA - Essa regra serve para fazer um nat geral, por isso não aparece seus clientes no proxy
chain=src-nat
action=masquerade
correção nas regras de nat
para aparecer os clientes vc deve usar assim essa regra de nateamento
nat para cliente
chain=src-nat
src.Address=196.0.0.0/24 (se sua rede for /24)
Out.Interface=Ether1 (Interface onde chega o Link de Internet)
action=masquerade
nat para o proxy
chain=src-nat
src.Address=192.168.0.0/24 (se sua rede for /24)
Out.Interface=Ether1 (Interface onde chega o Link de Internet)
action=masquerade
aí vai faltar a regra de redirecionamento para o proxy, pois preciso saber se é por rota ou por dst-nat
em todo o caso vou postar por dst-nat ok..
chain=dst-nat
protocol=tcp (6)
dst-port=80 (Porta http)
action=dst-nat
to Address=192.168.0.1 (IP DO PROXY)
to ports=3128 (não sei a porta do seu proxy, to chutando caso seja a padrão do squid, se for outra mude-a)
acredito que assim funcione, se você postasse sua topologia poderíamos fazer a coisa mais certinha. veja aí se funciona..
Re: Hotspot para autenticação + Pfsense como proxy = QUASE PERFEITO! Só falta IP real dos clientes
Obrigado pela resporta, xXneoXx!
Sobre a topologia é o seguinte:
Tenho um modem roteado, e o ip dele é 192.168.2.254. O servidor de proxy é o PFsense, e o ip da wan (entrada) dele é o 192.168.2.1 e a da lan (saída) é o 192.168.1.1. A placa de rede do servidor mikrotik ether1 (entrada) tem o ip 192.168.1.2 A placa ether2 tem a saida com o ip 196.0.0.254. O hotspot eu criei pelo Hotspot setup, e não alterei nenhuma regra. tudo está funcionando perfeitamente, mas, eu gostaria que no PFsense (192.168.1.1) ao exibir o relatório do lightsquid, mostrasse o ip de cada maquina por trás do ip do gateway hotspot. Se funcionar assim, será mais que perfeito!!!
Re: Hotspot para autenticação + Pfsense como proxy = QUASE PERFEITO! Só falta IP real dos clientes
Obrigado pela resposta, xXneoXx!
Sobre a topologia é o seguinte:
Tenho um modem roteado, e o ip dele é 192.168.2.254. O servidor de proxy é o PFsense, e o ip da wan (entrada) dele é o 192.168.2.1 e a da lan (saída) é o 192.168.1.1. A placa de rede do servidor mikrotik ether1 (entrada) tem o ip 192.168.1.2 A placa ether2 tem a saida com o ip 196.0.0.254. O hotspot eu criei pelo Hotspot setup, e não alterei nenhuma regra. tudo está funcionando perfeitamente, mas, eu gostaria que no PFsense (192.168.1.1) ao exibir o relatório do lightsquid, mostrasse o ip de cada maquina por trás do ip do gateway hotspot. Se funcionar assim, será mais que perfeito!!!
Re: Hotspot para autenticação + Pfsense como proxy = QUASE PERFEITO! Só falta IP real dos clientes
com hotspot eu nunca trabalhei, a sua implementação de proxy está meio diferente de como a maioria utiliza, tipo vc tá colocando o proxy de cara para internet e servindo o seu router mikrotik apartir do servidor proxy, como se fosse em modo de interceptção, não sei se assim daria certo, tem que testar em ambiente de testes pra ver, porque vc não muda um pouquinho e coloca ele com um redirecionamento com dst-nat, vc teria que ter 3 placas de rede no servidor mikrotik como postei acima.. não é difícil de fazer, no servidor proxy só precisaria de uma placa de rede.. bom não sei como o pfsense funciona realmente pra saber se com ele dá pra fazer assim.
Re: Hotspot para autenticação + Pfsense como proxy = QUASE PERFEITO! Só falta IP real dos clientes
Boa noite! xXneoXx, coloquei o PFsense logo de cara, porque ele é um exelente firewall, e nem precisa fazer nada de configuração! acredito que abrir ele pela lan, só conseguirá com um pé de cabra. KKKKK Tenho um "mui amigo" na sociedade, e quando ele sair, como ele tem o cadastro de todos os clientes, irá atacar e sabotar a rede, por isso estou implementando este sistema para defesa futura, entende? Suas dicas acima são muito interesantes, eu irei testar neste final de semana, daí retorno os resultados. Obrigado + uma vez!!!
Se eu deixar o mikrotik, de cara ele vai sabotar rapidinho, e com o PFsense, por enquanto, nem meu irmão que se formou em ciencias da computação conseguiu invadir, pelo menos até agora!
Re: Hotspot para autenticação + Pfsense como proxy = QUASE PERFEITO! Só falta IP real dos clientes
Bom dia, Jorge!
Quanto ao trocar tudo para o PFsense, tbm pensei sobre esta possibilidade, porém, o MK, vamos ser honesto, é legal para editar as páginas de hotspot, quase não dá trabalho... Se conseguissemos colocar só uma regra no MK para que em vez de identificar apenas o ip do Gateway hotspot, pudesse passar todos os ip no relatorio PFsense, seria uma combinação mais que perfeita, e eu acho que estamos bem próximos de descobrir este pequeno detalhe!!
Citação:
Postado originalmente por
JorgeAldo
O problema dele é que o mikrotik esta fazendo NAT
se ele desligar o NAT vai ter que criar as tabelas de roteamento no pfSense.
Me diz teus IPs, faz um desenho da tua rede (nao precisa ser inteira, apenas modem, pfsense, mikrotik) com os IPs que eu te digo como colocar as rotas no pfSense. Agora no mikrotik é mais confuso desligar o NAT e deixar ele roteado com hotspot ativo.
Pra te ser sincero, se tu ja tas usando pfSense, por que não liga o portal cativo do pfSense ? Tu troca o mikrotik por um RADIUS qualquer e tu já teria tua rede toda configurada e com sistema de administração no RADIUS.
Re: Hotspot para autenticação + Pfsense como proxy = QUASE PERFEITO! Só falta IP real dos clientes
Bom, a dificuldade de editar seria em, basicamente, eu não saber como!