Resolvendo problema do Conectividade Social e Hotspot com proxy

[cleciorodrigo]

Bom amigos esta semana implantei aqui apos longos teste o hotspot com o mikrotik e logo surgiu as duvidas em relação a sites e aplicações que não funcionam com o uso de proxy, bem a primeira coisa que fiz foi desativar o proxy, porem como todos sabem o uso do proxy alem de melhorar a velocidade de acesso a websites tambem traz grande economia de link sendo assim fui efetuando testes e consegui chegar uma maneira de usar proxy + hotspot no mk, bem vamos ao que interessa:

primeiramente configure seu hotspot normalmente assim como é explicado no manual aqui mesmo no wiki do under-linux, o manual pode ser encontrado neste link https://under-linux.org/wiki/index.php/Mikrotik ou tambem neste topico tem um excelente guia passo a passo https://under-linux.org/forums/mikro...-mikrotik.html , bem apos o hotspot configurado, não se deve setar as configurações de proxy no profile do hotspot, pois estas configurações serão feitas no firewall.

Quando se cria o hotspot usando o assistente ele cria a regra de NAT, abaixo delas devemos crias as regras do conectividade social e do proxy transparente, lembrando que quando usamos o hotspot a cadeia a ser usada deve ser pre-hotspot ao inves de dstnat.

Para criar as regras acesse seu mk pelo winbox, pode tambem ser feito via ssh ou telnet, clique na opção New Terminal acesse o diretorio /ip firewall nat cole as regras

add chain=pre-hotspot in-interface="Rede Local" dst-address=200.201.160.0/24 protocol=tcp dst-port=80 hotspot=auth action=accept comment="Conectividade Social"
add chain=pre-hotspot in-interface="Rede Local" dst-address=200.201.166.0/24 protocol=tcp dst-port=80 hotspot=auth action=accept
add chain=pre-hotspot in-interface="Rede Local" dst-address=200.201.173.0/24 protocol=tcp dst-port=80 hotspot=auth action=accept
add chain=pre-hotspot in-interface="Rede Local" dst-address=200.201.174.0/24 protocol=tcp dst-port=80 hotspot=auth action=accept

add chain=pre-hotspot dst-address=192.168.100.1 protocol=tcp dst-port=80 hotspot=auth action=redirect to-ports=64873 comment="Paginas de status do hotspot"

add chain=pre-hotspot in-interface="Rede Local" protocol=tcp dst-port=80 hotspot=auth action=redirect to-ports=3128 comment="Redirecionamento Proxy"

Lembrando que vc deve alterar o nome da proprieda in-interface das regras de Rede Local para o nome usado na interface conectada aos seus clientes, apos isso acesse o menu IP -> Firewall clique na aba nat e as regras estaram prontas, lembrando que vc deve ter o proxy configurado, na regra de status do hotspot deve se alterar o endereço 192.168.100.1 pelo endereço usado em sua interface conectada ao cliente, e não deve setar as configurações de proxy no profile do hotspot.


Falow galera espero ter ajudado, ate a proxima forte abraço

[angelangra]

no dst-address tenho q colocar a class de ip q está indo para meus clientes?
Ou deixo esses ips q vc colocou?

[Mirandapb]

no dst-address tenho q colocar a class de ip q está indo para meus clientes?
Ou deixo esses ips q vc colocou?

Os ips devem ser os mesmo citados no topico acima, apenas o primeiro foi comentado como: "Conectividade Social", mas voce pode acrescentar outros serviços essenciais tais como: Radio Uol>>>200.221.0.0/16, Radio Terra>>>200.154.0.0/16, etc...

[cleciorodrigo]

Pessoal as regras foram corrigidas e agora funcionam perfeitamente

[emanuelms]

Pessoal as regras foram corrigidas e agora funcionam perfeitamente

Ok Clecio, só uma dúvida... no meu mk eu trabalho com duas interfaces: 1 tem o hotspot ativado e na outra só controle de mac e banda...

Como ficariam as regras para implementar o uso do web proxy de forma correta nas duas interfaces ?

[cleciorodrigo]

Referente ao conectividade social e o proxy sao as mesmas regras vc deve apenas alterar a interface o nas regras referentes a interface sem hotspot vc nao deve colocar hotspot=auth

[emanuelms]

Ok. ta funcionando mas ainda continuo com problemas com Orkut, msn e hotmail. Poderia me dar um help ?

[cleciorodrigo]

opa poste suas configurações de firewall, proxy e hotspot aqui pra poder analisar, pq se nao vai se apenas palpites

[emanuelms]

/ ip hotspot
add name="hotspot1" interface=ether2 address-pool=hs-pool-2 profile=hsprof1 idle-timeout=5m keepalive-timeout=none \
addresses-per-mac=2 disabled=no
/ ip hotspot service-port
set ftp ports=21 disabled=no
/ ip hotspot profile
set default name="default" hotspot-address=0.0.0.0 dns-name="" html-directory=hotspot rate-limit="" http-proxy=0.0.0.0:0 \
smtp-server=0.0.0.0 login-by=cookie,http-chap http-cookie-lifetime=3d split-user-domain=no use-radius=no
add name="hsprof1" hotspot-address=192.168.200.1 dns-name="" html-directory=hotspot/lv rate-limit="" http-proxy=0.0.0.0:0 \
smtp-server=0.0.0.0 login-by=http-pap split-user-domain=no use-radius=no


/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=3128 hostname="" transparent-proxy=yes parent-proxy=0.0.0.0:0 \
cache-administrator="webmaster" max-object-size=4096KiB cache-drive=system max-cache-size=unlimited \
max-ram-cache-size=unlimited
/ ip web-proxy access
add dst-port=23-25 action=deny comment="block telnet & spam e-mail relaying" disabled=no
/ ip web-proxy cache
add url=":cgi-bin \\?" action=deny comment="don't cache dynamic http pages" disabled=no



/ ip firewall mangle
add chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1492 comment="" disabled=no
add chain=forward out-interface=pppoe-out1 protocol=tcp dst-port=!5190 tcp-flags=syn action=change-mss new-mss=1360 \
comment="" disabled=yes
/ ip firewall nat
add chain=srcnat src-address=192.168.200.0/24 action=accept comment="Maquerade Para HotSpot Anastacio" disabled=no
add chain=srcnat out-interface=pppoe-out1 src-address=192.168.85.0/24 action=accept comment="Maquerade Para Vila Bancaria" \
disabled=no
add chain=pre-hotspot in-interface=ether2 protocol=tcp dst-port=80 hotspot=auth action=redirect to-ports=3128 comment="" \
disabled=yes
add chain=dstnat protocol=tcp dst-port=1863 action=accept comment="" disabled=yes
add chain=dstnat protocol=tcp dst-port=443 action=accept comment="" disabled=yes
add chain=dstnat hotspot=from-client action=jump jump-target=hotspot comment="" disabled=no
add chain=hotspot protocol=udp dst-port=53 action=redirect to-ports=64872 comment="" disabled=no
add chain=hotspot protocol=tcp dst-port=53 action=redirect to-ports=64872 comment="" disabled=no
add chain=hotspot protocol=tcp dst-port=80 hotspot=local-dst action=redirect to-ports=64873 comment="" disabled=no
add chain=hotspot protocol=tcp dst-port=443 hotspot=local-dst action=redirect to-ports=64875 comment="" disabled=no
add chain=hotspot protocol=tcp hotspot=!auth action=jump jump-target=hs-unauth comment="" disabled=no
add chain=hotspot protocol=tcp hotspot=auth action=jump jump-target=hs-auth comment="" disabled=no
add chain=hs-unauth protocol=tcp dst-port=80 action=redirect to-ports=64874 comment="" disabled=no
add chain=hs-unauth protocol=tcp dst-port=3128 action=redirect to-ports=64874 comment="" disabled=no
add chain=hs-unauth protocol=tcp dst-port=8080 action=redirect to-ports=64874 comment="" disabled=no
add chain=hs-unauth protocol=tcp dst-port=443 action=redirect to-ports=64875 comment="" disabled=no
add chain=hs-unauth protocol=tcp dst-port=25 action=jump jump-target=hs-smtp comment="" disabled=no
add chain=hs-auth protocol=tcp hotspot=to-client action=redirect to-ports=64874 comment="" disabled=no
add chain=hs-auth protocol=tcp dst-port=25 action=jump jump-target=hs-smtp comment="" disabled=no
add chain=hs-auth protocol=tcp dst-port=25 action=jump jump-target=hs-smtp comment="" disabled=no
add chain=dstnat in-interface=ether3 protocol=tcp dst-port=80 action=redirect to-ports=3128 comment="" disabled=no

/ ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s tcp-established-timeout=1d tcp-fin-wait-timeout=10s \
tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m tcp-syncookie=no

/ ip firewall filter
add chain=input in-interface=pppoe-out1 protocol=tcp dst-port=3128 action=drop comment="" disabled=no
add chain=forward hotspot=from-client,!auth action=jump jump-target=hs-unauth comment="" disabled=no
add chain=forward hotspot=to-client,!auth action=jump jump-target=hs-unauth-to comment="" disabled=no
add chain=input hotspot=from-client action=jump jump-target=hs-input comment="" disabled=no
add chain=hs-input protocol=udp dst-port=64872 action=accept comment="" disabled=no
add chain=hs-input protocol=tcp dst-port=64872-64875 action=accept comment="" disabled=no
add chain=hs-input hotspot=!auth action=jump jump-target=hs-unauth comment="" disabled=no
add chain=hs-unauth protocol=icmp action=return comment="" disabled=no
add chain=hs-unauth protocol=tcp action=reject reject-with=tcp-reset comment="" disabled=no
add chain=hs-unauth action=reject reject-with=icmp-net-prohibited comment="" disabled=no
add chain=hs-unauth-to action=reject reject-with=icmp-host-prohibited comment="" disabled=no

/ ip firewall service-port
set ftp ports=21 disabled=no
set tftp ports=69 disabled=no
set irc ports=6667 disabled=no
set h323 disabled=yes
set quake3 disabled=no
set gre disabled=yes
set pptp disabled=yes

[apnet]

em webproxy bloquei sites com https vc colocou apenas http