+ Responder ao Tópico



  1. #1

    Padrão Filtro de Bridge + Autenticação no Freeradius

    Boa tarde pessoal.

    Venho enfrentando um problema aqui na rede.

    É o seguinte: Preciso fazer uns testes adicionando um filtro de bridge nos meus APs Mikrotik, pois estamos enfrentando uns problemas de lentidão na rede e pings altos. Já conferimos, sinal, ack, etc...
    Então pensei em fazer filtro nas bridges para deixar passar somente PPPOE. Apliquei as regras e funciona mto bem, passa somente PPPOE.

    Mas é ai que mora o problema.
    Meus rádios são configurados para autenticarem a chave wpa dos clientes de acordo com o mac cadastrado num servidor freeradius.

    E pelo fato de ter um filtro permitindo somente pppoe, os rádios não estão conseguindo ter acesso ao servidor freeradius.

    Já tentei colocar umas regras de forward aceitando as portas 1812-1813 (testei udp e tcp) mas mesmo assim não funciona.

    Alguém tem alguma idéia do que eu poderia fazer para resolver isso?

    Agradeço desde já !

  2. #2

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Citação Postado originalmente por gustavo_marcon Ver Post
    Boa tarde pessoal.

    Venho enfrentando um problema aqui na rede.

    É o seguinte: Preciso fazer uns testes adicionando um filtro de bridge nos meus APs Mikrotik, pois estamos enfrentando uns problemas de lentidão na rede e pings altos. Já conferimos, sinal, ack, etc...
    Então pensei em fazer filtro nas bridges para deixar passar somente PPPOE. Apliquei as regras e funciona mto bem, passa somente PPPOE.

    Mas é ai que mora o problema.
    Meus rádios são configurados para autenticarem a chave wpa dos clientes de acordo com o mac cadastrado num servidor freeradius.

    E pelo fato de ter um filtro permitindo somente pppoe, os rádios não estão conseguindo ter acesso ao servidor freeradius.

    Já tentei colocar umas regras de forward aceitando as portas 1812-1813 (testei udp e tcp) mas mesmo assim não funciona.

    Alguém tem alguma idéia do que eu poderia fazer para resolver isso?

    Agradeço desde já !
    ja tentou deixar o filtro somente para a bridge?

  3. #3

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    não entendi o que vc quis dizer.

    o filtro é na bridge mesmo, liberando pppoe e bloqueando o resto.


    as regras que uso são essas:
    Código :
    /interface bridge filter add action=accept chain=forward comment=PPPOE-SESSION disabled=no mac-protocol=0x8864
    /interface bridge filter add action=accept chain=forward comment=PPPOE-DISCOVERY disabled=no mac-protocol=0x8863
    /interface bridge filter add action=drop chain=forward comment=DROPA-RESTO disabled=no

  4. #4

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Citação Postado originalmente por gustavo_marcon Ver Post
    não entendi o que vc quis dizer.

    o filtro é na bridge mesmo, liberando pppoe e bloqueando o resto.


    as regras que uso são essas:
    Código :
    /interface bridge filter add action=accept chain=forward comment=PPPOE-SESSION disabled=no mac-protocol=0x8864
    /interface bridge filter add action=accept chain=forward comment=PPPOE-DISCOVERY disabled=no mac-protocol=0x8863
    /interface bridge filter add action=drop chain=forward comment=DROPA-RESTO disabled=no
    ai não vai mesmo, ta tropando tudo

  5. #5

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Sim, claro. Até ai eu já sabia.... rsrs

    O que eu estou perguntando é, como fazer para criar uma regra que libere o pedido do MK para o Radius conferir mac e chave wpa.

    Está dropando tudo mesmo, pq deve ser assim, liberar PPPOE (que já está feito) e liberar essa requisição ao radius (que não consegui fazer ainda).

  6. #6

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Vc já tentou rotear sua rede , pois vc trabalhando em bridge se ocorrer uma sujeira em algum ponto, mesmo com sinais bons , possivelmente afetará toda sua rede com esse tipo de problema.

  7. #7

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Não tentei rotear ainda.

    Eu gostaria de por enquanto ainda trabalhar em bridge, porém, usando esse filtro para permitir passar só pppoe e essa requisição de verificação de chave para o freeradius, pois dessa forma esse problema de tráfego desnecessário atrapalhando toda a rede estaria resolvido e mantenho minha estrutura e forma de trabalho atual.

  8. #8

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Alguém tem idéia do que pode ser feito para permitir que minha RB conversa com um servidor específico que está rodando freeradius. O servidor tem IP da mesma faixa das minhas RBs que estão em Bridge e hoje a autenticação já está funcionando OK. Porém quando eu ativo o filtro de bridge essa comunicação para pois o filtro libera PPPOE e bloqueia qualquer outro tipo de forward.
    Já tentei colocar uma regra de forward antes aceitando conexoes nas portas do freeradius porém mesmo assim não funcionou.

  9. #9

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Citação Postado originalmente por gustavo_marcon Ver Post
    Alguém tem idéia do que pode ser feito para permitir que minha RB conversa com um servidor específico que está rodando freeradius. O servidor tem IP da mesma faixa das minhas RBs que estão em Bridge e hoje a autenticação já está funcionando OK. Porém quando eu ativo o filtro de bridge essa comunicação para pois o filtro libera PPPOE e bloqueia qualquer outro tipo de forward.
    Já tentei colocar uma regra de forward antes aceitando conexoes nas portas do freeradius porém mesmo assim não funcionou.
    Eu tbm tentei de tudo amigo e realmente não vai, mesmo vc colocando a faixa de ips das rbs antes do drop não vai mesmo, mai como vc tem so rb como ap, vc pode colocar as rbs para discarem o pppoe tbm...

  10. #10

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Putz cara, que coisa hein. Seria uma solução ótima para reduzir tráfego desnecessário.
    Se não vai, o jeito vai ser fazer regras bloqueando cada tipo de tráfego que não preciso, como netbios, dhcp e outras portas que eu for lembrando, problema dai é que vou ter varias regras para cada rb, e quando tiver necessidade de adicionar uma, vou ter que ir em cada rb fazendo isso.... um trabalhão.

    Mas vou continuar tentando, se conseguir posto o resultado aqui. valeu !

  11. #11

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Não é esta regra que esta bloqueando vc, pois a autenticação MAC+Chave ocorre na associação do radio.

    O pacote que faz a busca no radius, parte de seu NAS, que neste caso é o AP, então não se aplica a regra de FORWARD.

    Post o restante das regras para podermos lhe ajudar

  12. #12

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Citação Postado originalmente por herlon2008 Ver Post
    Não é esta regra que esta bloqueando vc, pois a autenticação MAC+Chave ocorre na associação do radio.

    O pacote que faz a busca no radius, parte de seu NAS, que neste caso é o AP, então não se aplica a regra de FORWARD.

    Post o restante das regras para podermos lhe ajudar
    Cara, mas eu acho que é esta regra pois até então eu não tinha regra nenhuma no filtro e o NAS conseguia falar com o servidor freeradius, agora que coloquei essas 3 regras parou. Se eu desabilito volta a funcionar.

    Eu vejo assim. O cliente tenta associar. O rádio tenta comunicar com o servidor através do IP configurado para isso. Neste momento ele para na regra que da um DROP em qualquer Forward, portanto o cliente não autentica.

    O que acha?

    Obs: Nâo tenho outras regras.

  13. #13
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Cadastre o MAC de cada rádio no canal forward e dê um accept. Logicamente que estas regras deverão ser antes das regras de drop.

  14. #14

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Citação Postado originalmente por sergio Ver Post
    Cadastre o MAC de cada rádio no canal forward e dê um accept. Logicamente que estas regras deverão ser antes das regras de drop.
    Sérgio, muito obrigado pela resposta.
    Mas vamos ver se entendi.
    Eu tenho vários rádios, então em cada um deles eu teria que ter uma regra com o mac de cada um dos rádios?

    E pior, tenho RBs que recebem um cabo na ethernet, vindo de outra RB, teria que adicionar os MACS das portas ethernet também?

    Nâo teria uma maneira mais prática, por exemplo trabalhando direto com a faixa de IP dos meus rádios ou coisa assm?

    Obrigado!

  15. #15

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Citação Postado originalmente por sergio Ver Post
    Cadastre o MAC de cada rádio no canal forward e dê um accept. Logicamente que estas regras deverão ser antes das regras de drop.

    Tentei aqui e tbm não deu amigo, tentei colocar o mac em SRC Mac Address e DST Mac Address, aquela mascara de mac eu deixei como estava cheio de FF:FF, e não vai mesmo, teria alguma outra dica amigo?

  16. #16

    Padrão Re: Filtro de Bridge + Autenticação no Freeradius

    Desculpem eu ressucitar o tópico, mas eu estou enfrentando o mesmo problema aqui na empresa, so que o meu problema é em relação ao monitoramento, que no caso utilizamos o the dude, quando chega na RB que aplico os filtros, naum passa e perde acesso. Ja tentei liberar antes do drop o ICMP, o SNMP, mas não vai...
    Alguém teria alguma sugestão?