Direcionar e Redirecionar

[jocave]

Um problema a ser resolvido.
Olhei, testei mas não funciona.

Alguem pode me dar uma luz?

Criei uma regra para avisar meu cliente que ele está bloqueado, não uso Freeradius, logo, criei a regra direto no Mikrotik e está funcionando adequadamente para os bloqueios olhem o que implantei:

Primeiro no Web-Proxy criei 2 portas de acesso a 8080 e a 8079 e em seguida duas paginas, uma para o AVISO outra para o BLOQUEIO

/ip proxy

set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 cache-on-disk=no enabled=yes max-cache-size=none max-client-connections=600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080,8079 serialize-connections=no src-address=0.0.0.0

/ip proxy access

add action=deny comment="" disabled=no local-port=8079 redirect-to=192.168.1.3:4444/bloqueio/aviso.htm

add action=deny comment="" disabled=no local-port=8080 redirect-to=192.168.1.3:4444/bloqueio/bloqueio.htm

Criei 2 regras no Firewall uma para direcionar para o bloqueio a outra direciona para o aviso, em portas diferentes

/ip firewall

address-listadd action=redirect chain=dstnat comment="DIRECIONAMENTO PARA BLOQUEIO" disabled=no dst-port=80 protocol=tcp src-address-list=Lembrete to-ports=8080

add action=redirect chain=dstnat comment="DIRECIONA PARA AVISO" connection-mark=Aviso disabled=no dst-port=80 protocol=tcp to-ports=8079

Criei duas regras

/ip firewall filter

add action=drop chain=forward comment="" disabled=no src-address-list=Lembreteadd action=add-src-to-address-list address-list=leu_aviso address-list-timeout=1m chain=input comment="" connection-mark=Aviso disabled=no

E finalmente essas regras no Mangle

/ip firewall mangle

add action=mark-connection chain=prerouting comment="" connection-state=new disabled=no dst-port=80 new-connection-mark=potencial_bloqueio passthrough=yes protocol=tcp src-address-list=Aviso

add action=mark-connection chain=prerouting comment="" connection-mark=potencial_bloqueio disabled=no new-connection-mark=Aviso passthrough=yes src-address-list=leu_aviso

A idéia é:

Quando adiciono um usuário Na lista de endereços como Lembrete, o cliente é avisado e aparece para ele uma página com o aviso de Pagamentos em aberto, a navegação é liberada e o aviso será exibido novamente após 1 hora:

/ip firewall
address-listadd address=192.168.1.3 comment="Cliente sendo Avisado" disabled=no list=Aviso

Quando adiciono um usuário Na lista de endereços como Lembrete, o cliente é bloqueado e aparece para ele uma página com o aviso de Conexão Bloqueada e ele não navega:

/ip firewall
address-listadd address=192.168.1.3 comment="Cliente sendo Bloqueado" disabled=no list=Lembrete

Mostra o aviso a cada 1 hora, esse tempo pode ser alterado

/IP firewall
add action=add-src-to-address-list address-list=leu_aviso address-list-timeout=1h chain=input comment="Mostra o aviso de pendência a cada 1 hora" e altera a marca para " leu_aviso" para " connection-mark=Aviso disabled=no


Pois é, o bloqueio está funcionando perfeitamente, mas o lembrete não.

Alguem pode ajudar?

Desde já agradeço

[jarbas5968]

acompanhando !!

[jocave]

E ai pessoal? O bloqueio está funcionando legal. Na teoria os avisos deveriam funcionar, mas estou comendo bola em algum lugar. Alguma luz?

[felipezatta]

Já pensou em usar hotspot prá isso?

[jocave]

Hotspot é uma saída para quem trabalha com DHCP, Senha, Login e não tem que instalar ATA para voip. A nossa arquitetura de rede é feita, do lado cliente: NAT levantado, controle de banda no rádio do cliente e sem autenticação pois além de internet oferecemos VOIP e o ATA não vai bem com hotspot. Foi a primeira coisa que pensamos. O que busco aqui não são sugestões obvias mas sim ajuda para um desafio, tanto é que ninguem responde pois o desafio é difícil. Agradeço sua sugestão mas tecnicamente não funciona.

[jocave]

Após várias tentativas consegui solucionar o problema, a solução segue abaixo. Basta inserir o cliente na "Address Lists" com o "Name" = CLIENTE_ATRASO + o IP do cliente a ser avisado.

/ip firewall mangle
add action=mark-connection chain=prerouting comment="" connection-state=new disabled=no dst-port=80 new-connection-mark=NOVA_MARCA passthrough=yes protocol=tcp src-address-list=CLIENTE_ATRASO
add action=mark-connection chain=prerouting comment="" connection-mark=NOVA_MARCA disabled=no new-connection-mark=AVISO_CLIENTE passthrough=yes
add action=mark-connection chain=prerouting comment="" connection-mark=AVISO_CLIENTE disabled=no new-connection-mark=NOVA_MARCA passthrough=yes src-address-list=PERMITE_NAVEGAR

/ip firewall filter
add action=add-src-to-address-list address-list=PERMITE_NAVEGAR address-list-timeout=1m chain=input comment="" connection-mark=AVISO_CLIENTE disabled=no
add action=passthrough chain=forward comment="" disabled=no src-address-list=PERMITE_NAVEGAR

/ip firewall nat
add action=redirect chain=dstnat comment="" connection-mark=AVISO_CLIENTE disabled=no dst-port=80 protocol=tcp to-ports=8079

É isso ai, obrigado a todos aqueles que me ajudaram nesse forúm, nunca vi tamanha eficiencia. É o primeiro forum que vejo que tem respostas prontas, saiu do convencional ninguém sabe nada.

[peritinaicos]

tenho uma rede que nao usa DHCP e sim FIXO e com hotspot, roda normal

[jocave]

O amigo trabalha com VOIP? Tem ATAs instalados? Como seu cliente recebe uma ligação se ele não está logado no HotSpot? Você coloca 1 IP para cada ATA e coloca a lista no Ip bindings? Cada cliente ganha 2 IPs? Um para o Hotspot e outro para o ATA? E se o cliente descobrir o IP do ATA? Funcionar Hotspot eu sei que funciona, mas eu tenho 1200 linhas de telefone Voip instalados com ATAS, como resolver? O amigo tem alguma sugestão?

[peritinaicos]

Nao trabalho com VOIP.

[jocave]

Pois é, VOIP e Hotspot não combinam. Essa solução funciona perfeitamente.

[jarbas5968]

ola Jocave me responde vc usa segurança ip x mac

[jocave]

Uso ip fixo na nanoloko 192.168.x.y e o controle de mac tambem é na nano. No firewal NAT tenho listados todos os IPs que uso, e fora da faixa ninguem navega

[silviola]

Após várias tentativas consegui solucionar o problema, a solução segue abaixo. Basta inserir o cliente na "Address Lists" com o "Name" = CLIENTE_ATRASO + o IP do cliente a ser avisado.

/ip firewall mangle
add action=mark-connection chain=prerouting comment="" connection-state=new disabled=no dst-port=80 new-connection-mark=NOVA_MARCA passthrough=yes protocol=tcp src-address-list=CLIENTE_ATRASO
add action=mark-connection chain=prerouting comment="" connection-mark=NOVA_MARCA disabled=no new-connection-mark=AVISO_CLIENTE passthrough=yes
add action=mark-connection chain=prerouting comment="" connection-mark=AVISO_CLIENTE disabled=no new-connection-mark=NOVA_MARCA passthrough=yes src-address-list=PERMITE_NAVEGAR

/ip firewall filter
add action=add-src-to-address-list address-list=PERMITE_NAVEGAR address-list-timeout=1m chain=input comment="" connection-mark=AVISO_CLIENTE disabled=no
add action=passthrough chain=forward comment="" disabled=no src-address-list=PERMITE_NAVEGAR

/ip firewall nat
add action=redirect chain=dstnat comment="" connection-mark=AVISO_CLIENTE disabled=no dst-port=80 protocol=tcp to-ports=8079

É isso ai, obrigado a todos aqueles que me ajudaram nesse forúm, nunca vi tamanha eficiencia. É o primeiro forum que vejo que tem respostas prontas, saiu do convencional ninguém sabe nada.

Aqui no lugar de webproxy, tenho um webserver escutando no IP 10.1.1.10:81. Tentei adaptar teu redirect para um dst-nat mas a ao fazer isso não há a criação da lista PERMITE_NAVEGAR .

Você ou alguém teria alguma idéia de como adequar a regra ?

[claudiobf]

Sou novo em forum e em mikrotik, mas sei que o topico é antigo e dou razão aos comentarios do Jocave. Mas eu queria uma ajuda. Ja tenho as telas de aviso e bloqueio prontas.... Tudo configurado..... Mas não sei nem onde e nem como colocar no webproxy para poder acessá-las. No menu files não tem a pasta webproxy. Acredito que deva ser uma coisa óbvia, por isso não encontro passo a passo. Procurei por varios dias e não encontrei. Se algume puder ajudar.... Fico agradecido..

[iftael]

Amigo, sou novo no fórum, será que você poderia postar a solução completa que eu consiga acompanhar. Desde já agradeço sua colaboração.

[iftael]

Meu proxy não aceita o uso de duas portas diferentes. Quando ponho a vírgula, o campo já fica vermelho sinalizando a não aceita quando aplico. Estou fazendo algo errado?