+ Responder ao Tópico



  1. #1

    Padrão Resolvendo problema do Conectividade Social e Hotspot com proxy

    Bom amigos esta semana implantei aqui apos longos teste o hotspot com o mikrotik e logo surgiu as duvidas em relação a sites e aplicações que não funcionam com o uso de proxy, bem a primeira coisa que fiz foi desativar o proxy, porem como todos sabem o uso do proxy alem de melhorar a velocidade de acesso a websites tambem traz grande economia de link sendo assim fui efetuando testes e consegui chegar uma maneira de usar proxy + hotspot no mk, bem vamos ao que interessa:

    primeiramente configure seu hotspot normalmente assim como é explicado no manual aqui mesmo no wiki do under-linux, o manual pode ser encontrado neste link https://under-linux.org/wiki/index.php/Mikrotik ou tambem neste topico tem um excelente guia passo a passo https://under-linux.org/forums/mikro...-mikrotik.html , bem apos o hotspot configurado, não se deve setar as configurações de proxy no profile do hotspot, pois estas configurações serão feitas no firewall.

    Quando se cria o hotspot usando o assistente ele cria a regra de NAT, abaixo delas devemos crias as regras do conectividade social e do proxy transparente, lembrando que quando usamos o hotspot a cadeia a ser usada deve ser pre-hotspot ao inves de dstnat.

    Para criar as regras acesse seu mk pelo winbox, pode tambem ser feito via ssh ou telnet, clique na opção New Terminal acesse o diretorio /ip firewall nat cole as regras

    add chain=pre-hotspot in-interface="Rede Local" dst-address=200.201.160.0/24 protocol=tcp dst-port=80 hotspot=auth action=accept comment="Conectividade Social"
    add chain=pre-hotspot in-interface="Rede Local" dst-address=200.201.166.0/24 protocol=tcp dst-port=80 hotspot=auth action=accept
    add chain=pre-hotspot in-interface="Rede Local" dst-address=200.201.173.0/24 protocol=tcp dst-port=80 hotspot=auth action=accept
    add chain=pre-hotspot in-interface="Rede Local" dst-address=200.201.174.0/24 protocol=tcp dst-port=80 hotspot=auth action=accept

    add chain=pre-hotspot dst-address=192.168.100.1 protocol=tcp dst-port=80 hotspot=auth action=redirect to-ports=64873 comment="Paginas de status do hotspot"

    add chain=pre-hotspot in-interface="Rede Local" protocol=tcp dst-port=80 hotspot=auth action=redirect to-ports=3128 comment="Redirecionamento Proxy"

    Lembrando que vc deve alterar o nome da proprieda in-interface das regras de Rede Local para o nome usado na interface conectada aos seus clientes, apos isso acesse o menu IP -> Firewall clique na aba nat e as regras estaram prontas, lembrando que vc deve ter o proxy configurado, na regra de status do hotspot deve se alterar o endereço 192.168.100.1 pelo endereço usado em sua interface conectada ao cliente, e não deve setar as configurações de proxy no profile do hotspot.


    Falow galera espero ter ajudado, ate a proxima forte abraço
    Última edição por cleciorodrigo; 30-07-2007 às 11:12.

  2. #2
    Avatar de angelangra
    Ingresso
    Jul 2007
    Localização
    Angra dos Reis, Rio de Janeiro, Brazil, Brazil
    Posts
    368

    Padrão

    no dst-address tenho q colocar a class de ip q está indo para meus clientes?
    Ou deixo esses ips q vc colocou?



  3. #3

    Padrão

    Citação Postado originalmente por angelangra Ver Post
    no dst-address tenho q colocar a class de ip q está indo para meus clientes?
    Ou deixo esses ips q vc colocou?
    Os ips devem ser os mesmo citados no topico acima, apenas o primeiro foi comentado como: "Conectividade Social", mas voce pode acrescentar outros serviços essenciais tais como: Radio Uol>>>200.221.0.0/16, Radio Terra>>>200.154.0.0/16, etc...

  4. #4

    Padrão

    Pessoal as regras foram corrigidas e agora funcionam perfeitamente
    Última edição por cleciorodrigo; 30-07-2007 às 11:13.



  5. #5

    Padrão

    Citação Postado originalmente por cleciorodrigo Ver Post
    Pessoal as regras foram corrigidas e agora funcionam perfeitamente
    Ok Clecio, só uma dúvida... no meu mk eu trabalho com duas interfaces: 1 tem o hotspot ativado e na outra só controle de mac e banda...

    Como ficariam as regras para implementar o uso do web proxy de forma correta nas duas interfaces ?

  6. #6

    Padrão

    Referente ao conectividade social e o proxy sao as mesmas regras vc deve apenas alterar a interface o nas regras referentes a interface sem hotspot vc nao deve colocar hotspot=auth



  7. #7

    Padrão

    Ok. ta funcionando mas ainda continuo com problemas com Orkut, msn e hotmail. Poderia me dar um help ?

  8. #8

    Padrão

    opa poste suas configurações de firewall, proxy e hotspot aqui pra poder analisar, pq se nao vai se apenas palpites



  9. #9

    Padrão

    / ip hotspot
    add name="hotspot1" interface=ether2 address-pool=hs-pool-2 profile=hsprof1 idle-timeout=5m keepalive-timeout=none \
    addresses-per-mac=2 disabled=no
    / ip hotspot service-port
    set ftp ports=21 disabled=no
    / ip hotspot profile
    set default name="default" hotspot-address=0.0.0.0 dns-name="" html-directory=hotspot rate-limit="" http-proxy=0.0.0.0:0 \
    smtp-server=0.0.0.0 login-by=cookie,http-chap http-cookie-lifetime=3d split-user-domain=no use-radius=no
    add name="hsprof1" hotspot-address=192.168.200.1 dns-name="" html-directory=hotspot/lv rate-limit="" http-proxy=0.0.0.0:0 \
    smtp-server=0.0.0.0 login-by=http-pap split-user-domain=no use-radius=no


    / ip web-proxy
    set enabled=yes src-address=0.0.0.0 port=3128 hostname="" transparent-proxy=yes parent-proxy=0.0.0.0:0 \
    cache-administrator="webmaster" max-object-size=4096KiB cache-drive=system max-cache-size=unlimited \
    max-ram-cache-size=unlimited
    / ip web-proxy access
    add dst-port=23-25 action=deny comment="block telnet & spam e-mail relaying" disabled=no
    / ip web-proxy cache
    add url=":cgi-bin \\?" action=deny comment="don't cache dynamic http pages" disabled=no



    / ip firewall mangle
    add chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1492 comment="" disabled=no
    add chain=forward out-interface=pppoe-out1 protocol=tcp dst-port=!5190 tcp-flags=syn action=change-mss new-mss=1360 \
    comment="" disabled=yes
    / ip firewall nat
    add chain=srcnat src-address=192.168.200.0/24 action=accept comment="Maquerade Para HotSpot Anastacio" disabled=no
    add chain=srcnat out-interface=pppoe-out1 src-address=192.168.85.0/24 action=accept comment="Maquerade Para Vila Bancaria" \
    disabled=no
    add chain=pre-hotspot in-interface=ether2 protocol=tcp dst-port=80 hotspot=auth action=redirect to-ports=3128 comment="" \
    disabled=yes
    add chain=dstnat protocol=tcp dst-port=1863 action=accept comment="" disabled=yes
    add chain=dstnat protocol=tcp dst-port=443 action=accept comment="" disabled=yes
    add chain=dstnat hotspot=from-client action=jump jump-target=hotspot comment="" disabled=no
    add chain=hotspot protocol=udp dst-port=53 action=redirect to-ports=64872 comment="" disabled=no
    add chain=hotspot protocol=tcp dst-port=53 action=redirect to-ports=64872 comment="" disabled=no
    add chain=hotspot protocol=tcp dst-port=80 hotspot=local-dst action=redirect to-ports=64873 comment="" disabled=no
    add chain=hotspot protocol=tcp dst-port=443 hotspot=local-dst action=redirect to-ports=64875 comment="" disabled=no
    add chain=hotspot protocol=tcp hotspot=!auth action=jump jump-target=hs-unauth comment="" disabled=no
    add chain=hotspot protocol=tcp hotspot=auth action=jump jump-target=hs-auth comment="" disabled=no
    add chain=hs-unauth protocol=tcp dst-port=80 action=redirect to-ports=64874 comment="" disabled=no
    add chain=hs-unauth protocol=tcp dst-port=3128 action=redirect to-ports=64874 comment="" disabled=no
    add chain=hs-unauth protocol=tcp dst-port=8080 action=redirect to-ports=64874 comment="" disabled=no
    add chain=hs-unauth protocol=tcp dst-port=443 action=redirect to-ports=64875 comment="" disabled=no
    add chain=hs-unauth protocol=tcp dst-port=25 action=jump jump-target=hs-smtp comment="" disabled=no
    add chain=hs-auth protocol=tcp hotspot=to-client action=redirect to-ports=64874 comment="" disabled=no
    add chain=hs-auth protocol=tcp dst-port=25 action=jump jump-target=hs-smtp comment="" disabled=no
    add chain=hs-auth protocol=tcp dst-port=25 action=jump jump-target=hs-smtp comment="" disabled=no
    add chain=dstnat in-interface=ether3 protocol=tcp dst-port=80 action=redirect to-ports=3128 comment="" disabled=no

    / ip firewall connection tracking
    set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s tcp-established-timeout=1d tcp-fin-wait-timeout=10s \
    tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
    udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m tcp-syncookie=no

    / ip firewall filter
    add chain=input in-interface=pppoe-out1 protocol=tcp dst-port=3128 action=drop comment="" disabled=no
    add chain=forward hotspot=from-client,!auth action=jump jump-target=hs-unauth comment="" disabled=no
    add chain=forward hotspot=to-client,!auth action=jump jump-target=hs-unauth-to comment="" disabled=no
    add chain=input hotspot=from-client action=jump jump-target=hs-input comment="" disabled=no
    add chain=hs-input protocol=udp dst-port=64872 action=accept comment="" disabled=no
    add chain=hs-input protocol=tcp dst-port=64872-64875 action=accept comment="" disabled=no
    add chain=hs-input hotspot=!auth action=jump jump-target=hs-unauth comment="" disabled=no
    add chain=hs-unauth protocol=icmp action=return comment="" disabled=no
    add chain=hs-unauth protocol=tcp action=reject reject-with=tcp-reset comment="" disabled=no
    add chain=hs-unauth action=reject reject-with=icmp-net-prohibited comment="" disabled=no
    add chain=hs-unauth-to action=reject reject-with=icmp-host-prohibited comment="" disabled=no

    / ip firewall service-port
    set ftp ports=21 disabled=no
    set tftp ports=69 disabled=no
    set irc ports=6667 disabled=no
    set h323 disabled=yes
    set quake3 disabled=no
    set gre disabled=yes
    set pptp disabled=yes

  10. #10

    Padrão regras

    em webproxy bloquei sites com https vc colocou apenas http