+ Responder ao Tópico



  1. Se a range está criada, basta o espertinho setar um ip pertencente a range que está criada...
    Boom! Esta navegando...

  2. Citação Postado originalmente por Clik Ver Post
    Outra pergunta:
    Não teria como fazer isso pelo ARP? Acho que seria mais seguro, colocaria tudo em reply-only,assim os IPs do DHCP adicionaria automaticamente no ARP, Porem teria que criar uma regra para adicionar os IPs válidos dos usuarios logados ao ARP, é possivel
    Atualização: acho que o método que descrevi abaixo não vai funcionar. Se não me engano o valor da variável $address vai ser o IP recebido pelo DHCP, não o IP novo proveniente do Pool. Se quiser teste aí, mas acho que a única forma funcional vai ser a que descrevi no meu post anterior.

    Citação Postado originalmente por TsouzaR
    Sim, é possível fazer dessa forma também, mas a eficiência será a mesma.
    No meu ver, ambos métodos funcionam perfeitamente.

    - No User Profile, na aba Scripts, adicione os seguintes códigos:

    On Login:
    Código :
    /ip arp add address=$address mac-address=$mac-address interface=INTERFACE_CLIENTES comment="$user autenticado";

    Onde está INTERFACE_CLIENTES, substitua pelo nome da interface (que você disse ser uma bridge da qual fazem parte as wlans dos cartões) dos clientes.

    On Logout:
    Código :
    /ip arp remove [find address=$address];

    - Ative o Add ARP for Leases no DHCP Server dos clientes.
    - Configure a interface dos clientes como modo ARP reply-only.
    Citação Postado originalmente por emilidani Ver Post
    Primeira vez que me deparo com essa situação. Utilizo Hotspot desde o inicio, 2006 e nunca aconteceu isso na minha rede (sera que nao vi?) Não sabia que poderia ser fixado um IP e navegar como se fosse bypass!!!
    Isso é porque o Clik está trabalhando de uma forma um pouco diferente do normal, "atribuindo" um IP válido para cada cliente APÓS fazer o login pelo Address Pool no User Profile.

    Se você não faz assim, não há esse risco de alguém configurar IP manualmente e navegar, a não ser que seu IP Binding esteja indevidamente configurado.

    Citação Postado originalmente por int21 Ver Post
    você não entendeu, eu disse duas regras, uma o seu pool atual em regular, a de baixo block, com isso seu pessoal autenticado nevega se tiver esse ip, caso contrario bloqueia, qualquer duvida me chame no skype que te esplico melhor. Isso é simples de resolver.
    Ele possui duas faixas de endereços IP, uma privada para usuários que ainda não fizeram login, para apenas acessarem a página do Hotspot, e outra faixa de IPs públicos, da qual os clientes recebem um endereço IP após fazerem login.

    Inclusive, @Clik, não entendo porque você está trabalhando dessa forma, já que o resultado final será o mesmo que atribuir o IP público diretamente aos clientes por DHCP e configurar o Hotspot nele. Se tiver alguma razão especial para isso, fiquei curioso em saber e agradeço-lhe se puder compartilhar.

    A configuração no IP Binding nesse caso deve ser a seguinte:

    - faixa de IP privada: regular
    - faixa de IP público: bypassed
    - 0.0.0.0/0: blocked

    E para evitar que alguém configure manualmente um IP público bypassed e navegue sem controle, que é o problema que está ocorrendo, basta fazer conforme instrui no meu post anterior ou no começo desse atual.

    Citação Postado originalmente por demolaymsilva Ver Post
    Se a range está criada, basta o espertinho setar um ip pertencente a range que está criada...
    Boom! Esta navegando...
    Se utilizar alguma das duas técnicas que ensinei, isso não ocorrerá.
    Última edição por TsouzaR; 08-10-2015 às 15:16.



  3. TsouzaR
    O primeiro Script Não esta adicionando os IPs
    Coloquei ele na New Terminal para testar e da erro:

    [admin@CLIK] > /ip arp add address=$address mac-address=$mac-address interface=bridge1 comment="$user autenticado";";
    expected end of command (line 1 column 46)

    O outro Modo que você ensinou esta funcionando certinho

    Mas seria interessante esse script, pois estando as interfaces em modo Reply-only evitaria os clientes setar um IP manual IP estático e aumentaria mais a segurança, uma ves que o Hotspot por si próprio não é muito seguro, e aqui na minha cidade tem muitos metidos a hacker que ficam fuçando na rede dos outros

    Respondendo a sua pergunta:
    Essa segunda range de IP Válidos seria justamente para dar mais segurança, uma vez que esta masquered tem acesso a internet e a primeira range não tem, mas pelo jeito num adiantou muito
    Seria interessante se essa range de IP válido estivesse em outra Interface isolada da Bridge, ja tentei mas não consegui.
    Última edição por Clik; 08-10-2015 às 16:34.

  4. Citação Postado originalmente por Clik Ver Post
    TsouzaR
    O primeiro Script Não esta adicionando os IPs
    Coloquei ele na New Terminal para testar e da erro:

    [admin@CLIK] > /ip arp add address=$address mac-address=$mac-address interface=bridge1 comment="$user autenticado";";
    expected end of command (line 1 column 46)

    O outro Modo que você ensinou esta funcionando certinho

    Mas seria interessante esse script, pois estando as interfaces em modo Reply-only evitaria os clientes setar um IP manual IP estático e aumentaria mais a segurança, uma ves que o Hotspot por si próprio não é muito seguro, e aqui na minha cidade tem muitos metidos a hacker que ficam fuçando na rede dos outros

    Respondendo a sua pergunta:
    Essa segunda range de IP Válidos seria justamente para dar mais segurança, uma vez que esta masquered tem acesso a internet e a primeira range não tem, mas pelo jeito num adiantou muito
    Seria interessante se essa range de IP válido estivesse em outra Interface isolada da Bridge, ja tentei mas não consegui.
    Não está adicionando qualquer IP? Nem o IP privado?
    Você desconectou algum cliente e verificou se o IP é adicionado quando ele faz login?

    Após configurar conforme instrui, desconectar algum cliente e ele reconectar, qual é a resultado do comando abaixo no terminal?

    Código :
    /ip arp print where !dynamic

    Sobre o erro no terminal ao testar o comando: não tem como você testar esse comando no terminal, ele usa variáveis enviadas pelo Hotspot ($address, $mac-address e $user), por isso só funciona quando configurado no User Profile e executado no momento do login do cliente.

    Para facilitar o debug, altere o comando do On Login para o seguinte:

    Código :
    :log warning "$user fez login. MAC: $mac-address - IP: $address";
    /ip arp add address=$address mac-address=$mac-address interface=INTERFACE_CLIENTES comment="$user autenticado";

    Desconecte algum(ns) cliente(s) e verifique o que aparece no Log da RB enquanto eles fazem login. Poste aqui. Pode mudar o MAC e IP por segurança, apenas informe se é o IP privado ou público que está aparecendo no Log, ou nenhum...

    Sobre segurança: ambos métodos que instrui são semelhantes em eficiência. Em ambas formas, se alguém configurar um IP estático manualmente não irá conseguir navegar.

    Mas veja que isso que você está fazendo, uma faixa de IP sem acesso à Internet e outra com, não torna as coisas mais seguras. O efeito é o mesmo de que se você estivesse usando apenas uma faixa e pedindo autenticação nela, e ainda com o risco de alguém configurar manualmente e roubar Internet (problema que é solucionado com o método que instrui).



  5. No ARP aparece apenas o endereço de IP Hotspot que o DHCP adicionou 200.168.xxx.xxx mas o IP Válido 201.168.10.xxx não adiciona
    O cliente consegue se conectar e logar no hotspot porem não consegue navegar na internet porque o Endereço de IP Válidos que o hotspot atribuiu para ele não esta na ARP

    Comando no terminal:

    [admin@CLIK] > /ip arp print where !dynamic
    Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published
    # ADDRESS MAC-ADDRESS INTERFACE
    [admin@CLIK] >

    No log aparece

    18:54:09 dhcp,info Servidor_DHCP assigned 200.168.220.249 to 00:15:AF:2C:A4:6F
    18:57:31 hotspot,info,debug clik (200.168.220.249): trying to log in by http-chap
    18:57:31 hotspot,account,info,debug clik (201.168.10.254): logged in






Tópicos Similares

  1. Ajuda no hotspot mikrotik v5.20
    Por leoneoliveira no fórum Mikrotik
    Respostas: 1
    Último Post: 14-01-2017, 23:15
  2. Respostas: 11
    Último Post: 08-12-2015, 07:06
  3. Respostas: 6
    Último Post: 10-12-2014, 15:48
  4. Ajuda com usuario no hotspot
    Por Claudineibj no fórum Redes
    Respostas: 3
    Último Post: 21-01-2011, 08:28
  5. hotspot ajuda quero colocar filmes no hotspot
    Por meganetdf no fórum Redes
    Respostas: 19
    Último Post: 16-09-2010, 18:42

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L