Ambiente de teste- PPPoE com Hotspot - Dupla autenticação

[didism2]

Olá Senhores , Tudo bem com todos vocês???

Bom , se ninguém nunca fez isso , trago á nós um novo desafio.....

Não expert em mikrotik , porém estou estou montando em meu laboratorio um abiente de teste simulando a minha rede real com os meus clientes...

A minha idéia é fazer com que os clientes usem dupla autenticação , uma seguida da outra...

De que forma, pretendo fazer isso...

Bom , todos os meus clientes , usam mikrotik a maioria com RB411

Em meu provedor real, eu uso varios RB800 e varios RB1100AHx2

Porém para o meu ambiente de teste , vou me concentrar em outras RBs de baixa performance..

Possuo varias RB's RB433 , por tanto se acha que para esse caso precisa de mais routers , me avisem....é apenas teste mesmo...

Pretendo fazer a seguinte forma

Internet --> Modem -->RB01: RB433 como gateway com Hostpot e IPxMAC -->RB02:RB433 somente como PPPoE Server e IPxMAC -->RB:03 RB433 com XR2 como AP com WPA2 e IPxMAC <-- RBCliente com RB411 + R52h com PPPoE client devidamente configurado..

OU seja , o cliente liga o RB411 na tomada ,a RB411 se autentica com a chave no WPA2 da RB03 , em seguida se autentica no PPoE Server da RB02 , que libera a conexão e a chegada até a RB01 , o cliente com sua estação ligada , se autentica no Hotspot , e pronto , todo mundo esta feliz.....

Bom ...é possivel fazer isso pessoal????

[rbginfo]

qual o intuito de tudo isso??

o PPPoE já é suficientemente seguro se essa é sua preocupação, e a perda de performance seria enorme, e o gerenciamento em uma rede de grande tamanho seria completamente inviável.

[didism2]

Bom , não é questão de inviabilidade.....

Existem vários motivos , mas o principal deles é o fato de que queria justamente a segurança do PPPoE , com o "Marketing" do Hotspot.......

Sobre a questão de performance ,em cada provedor , possuo no maximo 100 clientes em cada provedor , todos pendurados no Hotspot da RB1100Ahx2...

No meu ambiente real hoje , esta tudo funcionando conforme mencionado no exemplo acima, eu só não possuo a RB02....

Mas a questão é.....existe a possibilidade de fazer isso??
É apenas curiosidade...

e claro que se der certo , e eu não tiver problemas com desempenho e performance , estarei aplicando em ambiente de produção..

[hizunspire]

vc pode ter a segurança do pppoe e o marketing apenas usando radius server simples.

[rbginfo]

você pode usar o PPPoE e o Hotspot em paralelo, com o hotspot habilitado somente para os que ainda não são clientes, nunca testei autenticar com pppoe e depois com hotspot mais acredito que deve ser possível sim, mas como falei vai ser completamente inviável pala perda de desempenho, principalmente quando você aumentar a quantidade de clientes.

[didism2]

BINGO !!!!

É exatamente neste ponto que eu queria chegar , performance e desempenho , caso seja possível trabalhar com 2 x RB's 1100AHx2

Fazendo uma analise sobre isso veja só...

No provedor , vamos ter 1 RB1100AHX2 com hotspot que é o que eu tenho hoje ,e para chegar até o hotspot , o cliente vai se logar na Rb dedicada SOMENTE para PPPoE (lembrando que também é uma RB1100AHX2..)

Não sei se a minha teoria esta certa , mas olhando por esse lado , a RB1100AHX2 com PPPoE é o ponto chave de segurança do provedor, usando criptografia na conexão e protocolos , por esse motivo esta RB vai ser dedicada somente para o PPPoe , para focar o seu processamento , somente em criptografia , e na transmissão de pacotes dentro da rede, e a outra RB1100AHx2 que ja é usada com hotspot DHCP e IPxMAC , ficaria como está.

Veja que esse processo é totalmente diferente , de deixar apenas uma RB1100AHx2 para fazer PPPoE e hotspot juntos , independente de ser sequencial ou em paralelo para alguns clientes....

E é justamente por esse motivo que acredito não ter problemas de performance , pois estou dedicando uma RB1100AHx2 somente para PPPoE e a outra RB1100AHx2 para hotspot....

Ficaria dessa forma:
Provedor:

INTERNET
|
V
MODEM's (Ja usado hoje)
|
V
RB01:RB1100AHx2 com Hotspot , DHCP server , IPxMAC (ja usado hoje)
|
V
RB02: RB1100AHx2 somente para PPPoE
|
V
RB03:RB800 com XR2 como AP com WPA2 de 58 caracteres (Ja usado Hoje)

Cliente: ^
|
|
RBCLIENTE:RB411 com R52H se autenticando no WPA2 da Rb03 , chegando e se autenticando no PPPoE da RB02 , liberando a passagem para a tela inicial do hotspot para o usuario , quando o mesmo tentar acessar alguma pagina da internet...

Preciso saber , minha teoria esta certa????
Ou estou enxergando de forma errada???

E como fazer....

[rbginfo]

Bom nunca cheguei a testar dessa forma, mas teoricamente o problema não está em usar os dois serviços em um servidor, más de usar duas autenticações no mesmo cliente, isso sobrecarrega o link do cliente.

[didism2]

Pois é , eu também ja olhei por esse lado ,e por isso é que hoje acredito não ter problemas.....estudei um pouco dos 2 mundos , tanto o PPPoE quanto o HotSpot....

E se analisarmos bem o que é PPPoE e o que é Hotspot , acabo concluindo que não teremos problemas...pois:

O PPPoE , é um processo de autenticação de verdade , pesado , e que requer um bom processamento em grande escala....pois quando o cliente se conecta no PPPoE , ele estabelece um Túnel de comunicação entre a RB e o cliente , gerando processamento em ambos os lados....

Ja Hotspot , mesmo sendo bem configurado , eu nem considero muito como autenticação.....pois o mesmo é bem mais fragil que o PPPoE, e diferente do PPPoE , ele não cria um túnel de processamento de pacotes entre o cliente e o provedor , e logo ele não gera processamento no cliente, ele apenas gera um Cookie carregado de informações do hotspot , gerando processamento apenas no provedor...

Se olhar por esse lado , podemos chegar a conclusão de que o cliente na verdade , só vai se logar no PPPoE (através da RB411) , assim como é feito em todos os provedores , que usa como autenticação somente o PPPoE , pois o pppoe estabelece o processamento tanto no provedor, quanto no cliente , já o hotspot , gera processamento somente no provedor ,ja que teoricamente o hotspot , após o login no PPPoE , ja pode ser considerado a "internet" para o cliente , assim como entrar com credenciais de acesso para acessar seu e-mail...

Caso o Hotspot caia , ou algo do tipo , o cliente vai permanecer conectado no PPPoE , e o nivel de processamento , tanto no cliente , quanto no PPPoE , não vai nem aumentar e nem diminuir , vai continuar a mesma coisa...


Por favor , não me ache teimoso..rsrsr , mas é por que eu ainda não encontrei , o que esta errado no que estou querendo fazer...

[rbginfo]

você mesmo explicou o seu erro, se você mesmo considera o Hotspot como frágil, porque usá-lo?

e isso leva a outros problemas, como um problema tanto no servidor de PPPoE quanto no Hotspot para sua rede, e você tem um custo maior de implantação e upgrade, já que tem que colocar duas RBs, e se uma delas parar a rede para, no fim você criou vários pontos de falha na sua rede.



se o único motivo é fazer propaganda, o mais simples é criar uma página de redirecionamento.

[didism2]

Entendi , na verdade eu relacionei a elaboração do hotspot com o Marketing de forma errada , não é só isso....

Quero usar o Hotspot ,para que assim que o usuario se logar , que seja avisado o motivo pelo qual o cliente esta sendo bloqueado, ou avisar que faltam tantos dias para expirar o crédito de acesso a internet , quero avisar que a "ESTAREMOS REALIZANDO UMA MANUTENÇÃO PREVENTIVA AMANHÃ TAL HORAS" , essas coisas....

Por isso preciso do Hotspot , e de preferencia , sem usar servidores externos como o Captive portal entre outros serviços que só funcionaria com servidor externo....

Pretendo usar o proprio hotspot do Mikrotik para isso....

Será que é possivel????

rbginfo , obrigado pela ajuda que esta me dando...

[rbginfo]

Entendi , na verdade eu relacionei a elaboração do hotspot com o Marketing de forma errada , não é só isso....

Quero usar o Hotspot ,para que assim que o usuario se logar , que seja avisado o motivo pelo qual o cliente esta sendo bloqueado, ou avisar que faltam tantos dias para expirar o crédito de acesso a internet , quero avisar que a "ESTAREMOS REALIZANDO UMA MANUTENÇÃO PREVENTIVA AMANHÃ TAL HORAS" , essas coisas....

Por isso preciso do Hotspot , e de preferencia , sem usar servidores externos como o Captive portal entre outros serviços que só funcionaria com servidor externo....

Pretendo usar o proprio hotspot do Mikrotik para isso....

Será que é possivel????

rbginfo , obrigado pela ajuda que esta me dando...

eu já faço isso tudo somente com o PPPoE amigo

[didism2]

Desculpe a pergunta....

Por não trabalhar com PPPoE , eu desconheço tal solução

Pode me dizer o nome dessa solução e como ativar?

[FabricioViana]

Gente, o RadiusNET faz as tela de manutenção, aviso, bloqueio, etc etc.

Na WIKI ensina como ativar essas telas.

No RadiusNET funciona corretamente, mas mesmo para quem não usa tem os comandos de MK lá na Wiki, acho que é só adaptar para cada caso.


Dá uma olhada lá e veja se funciona:

http://wiki.radius.net.br/index.php/Cookbook (Item Telas de Aviso)

Espero que ajude
Abraços
Fabricio

[rbginfo]

Desculpe a pergunta....

Por não trabalhar com PPPoE , eu desconheço tal solução

Pode me dizer o nome dessa solução e como ativar?

Eu utilizo o Mk-Auth para fazer isso.

mas pode ser feito diretamente no MK e redirecionando.