Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #7

    Padrão

    Obrigado Carcara,

    Apesar de interessante a opção de ip-binding ainda não atendeu a necessidade, o tipo "bypassed" elimina também a necessidade do cliente fazer autenticação.

    Vou continuar na luta aqui, obrigado a todos

  2. #8
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por maleficavatar Ver Post
    Obrigado Carcara,

    Apesar de interessante a opção de ip-binding ainda não atendeu a necessidade, o tipo "bypassed" elimina também a necessidade do cliente fazer autenticação.

    Vou continuar na luta aqui, obrigado a todos
    Leu o que o Clecio Rodrigo postou?



  3. #9

    Padrão

    Olá Sérgio, li sim, foi mal, esqueci de comentar,

    Não usei o assistente do hotspot, criei um novo profile e depois um server usando o profile recém-criado. Realmente usando aquele assistente não tem problema com NAT, será que tem algo haver com o fato de ativar o dhcp server? Vou fazer os testes aqui e reporto os resultados.

    Obrigado!

  4. #10

    Padrão

    Se vc nao pretende usar NAT neste caso seus clientes estao com IP Público sendo assim basta apenas não ter a regra de nat criado no firewall, na tabela nat, agora seguinte é este o seu caso???

    Citação Postado originalmente por maleficavatar Ver Post
    Olá Sérgio, li sim, foi mal, esqueci de comentar,

    Não usei o assistente do hotspot, criei um novo profile e depois um server usando o profile recém-criado. Realmente usando aquele assistente não tem problema com NAT, será que tem algo haver com o fato de ativar o dhcp server? Vou fazer os testes aqui e reporto os resultados.

    Obrigado!



  5. #11

    Padrão

    Pois é Clécio, o problema é que ao ativar o hotspot, o mesmo cria várias regras dinâmicas de filtragem e nat. Se eu removo tais regras (com as chain "dstnat", "hotspot", "hs-unauth" e "hs-auth" - se eu removo apenas uma, tem o mesmo efeito) o hotspot para de funcionar, é o mesmo que desabilitar ou remover o servidor de hotspot que eu crio. Ao reniciar o sistema, como o serviço hotspot é carregado novamente, as regras dinâmicas voltam a ser inseridas . Lendo a documentação oficial, esse é um comportamento normal do sistema. E os ips dos clientes não sao publicos, privados mesmo. Tenho um servidor FreeBSD que sera responsavel pelo NAT. No primeiro post eu coloquei a regra (estática) que fiz para inibir a ação de mascaramento. Veja:

    /ip firewall nat add chain=hs-auth action=accept comment="ANTI-NAT HOTSPOT" disable=no

    Essa regra colocada no topo, acima das regras dinâmicas resolve meu problema, mas como disse, momentaneamente. Ao reniciar o sistema as regras dinâmincas são carregadas primeiro com prioridade sobre as estáticas, ou seja, as regras dinâmicas são processdas primeiro, e o NAT volta a atuar.
    Então estou com várias idéias aqui para resolver esse problema, mas inda não testei, mas uma hora a solução aparece eu acredito.

    Obrigado Clécio, se tiver mais dicas, todas são bem vindas

  6. #12

    Padrão

    Citação Postado originalmente por maleficavatar Ver Post
    Pois é Clécio, o problema é que ao ativar o hotspot, o mesmo cria várias regras dinâmicas de filtragem e nat. Se eu removo tais regras (com as chain "dstnat", "hotspot", "hs-unauth" e "hs-auth" - se eu removo apenas uma, tem o mesmo efeito) o hotspot para de funcionar, é o mesmo que desabilitar ou remover o servidor de hotspot que eu crio. Ao reniciar o sistema, como o serviço hotspot é carregado novamente, as regras dinâmicas voltam a ser inseridas . Lendo a documentação oficial, esse é um comportamento normal do sistema. E os ips dos clientes não sao publicos, privados mesmo. Tenho um servidor FreeBSD que sera responsavel pelo NAT. No primeiro post eu coloquei a regra (estática) que fiz para inibir a ação de mascaramento. Veja:

    /ip firewall nat add chain=hs-auth action=accept comment="ANTI-NAT HOTSPOT" disable=no

    Essa regra colocada no topo, acima das regras dinâmicas resolve meu problema, mas como disse, momentaneamente. Ao reniciar o sistema as regras dinâmincas são carregadas primeiro com prioridade sobre as estáticas, ou seja, as regras dinâmicas são processdas primeiro, e o NAT volta a atuar.
    Então estou com várias idéias aqui para resolver esse problema, mas inda não testei, mas uma hora a solução aparece eu acredito.

    Obrigado Clécio, se tiver mais dicas, todas são bem vindas
    Basicamente o que vc quer fazer? as regras do hotspot controlam a autenticação do mesmo sem ela não tem como o hotspot funcionar. agora seguinte se vc quer que o ip que o cliente está usando passe pelo hotspot sem sofrer nenhuma interferencia "depois de autenticado" entaum faça o seguinte:

    Não coloque nem um pool de endereços para o hotspot
    Desmarque a opção transparent proxy no profile
    e se os ips vão ser direcionados para uma rota X exclua a regra de masquerade na ip>firewall>nat

    Espero ter ajudado