naum deixar cliente pendurar na torre com freeradius

[ticawhatahell]

Estou implementando uma solução utilizando freeradius + mikrotik e naum estou conseguindo fazer com que apenas os usuarios cadastrados tenham permissão pra pendurar na torre...
Uso PPPOE amarrando User + Senha + MAC.

Se alguém puder dar uma luz, agradeço.

Obrigado.

[sergio]

Mas como é isso??? Pro cidadão conectar precisa digitar user e senha... como é que outros, que não tem nem user e nem senha conseguem conexão??? Não me diga que deixou um belo de um pppoe rodando com um IP configurado na interface e que esse IP é parte de uma rede com nat e está servindo de gateway.... PPPOoE é camada 2, não precisa de IP configurado em lugar nenhum (só no cadastro dos user no radius).

[ticawhatahell]

Naum existe ip na rede, apenas uma classe entre mikrotik's que naum navega. o que gostaria é naum deixar um usuario que naum é meu cliente se conectar na minha AP, usuarios que as vezes quase naum tem sinal e elevam o valor do ack, prejudicando outros clientes..
o unico meio de navegar é digitando usuario e senha, mas gostaria que apenas esses usuarios cadastrados possam conectar em minha AP.

Obrigado...

[2KILLER2]

Naum existe ip na rede, apenas uma classe entre mikrotik's que naum navega. o que gostaria é naum deixar um usuario que naum é meu cliente se conectar na minha AP, usuarios que as vezes quase naum tem sinal e elevam o valor do ack, prejudicando outros clientes..
o unico meio de navegar é digitando usuario e senha, mas gostaria que apenas esses usuarios cadastrados possam conectar em minha AP.

Obrigado...

Se for AP normal ativa o mac control e cadastra os macs dos seus clientes nele, se for mk desmarca default forward e default authenticate, e esconde o SSID marcando Hide SSID, poe os macs dos clientes na access list.
Pronto! So macs dos seus clientes cadastrados no seu AP.

[ticawhatahell]

Gostaria de apenas desmarcar Default Forward e Default Autentication e que o Freeradius verifica-se o MAC e autoriza-se o cliente conectar em minha AP.

[liandrocarniel]

Creio que dá para fazer algo melhor.

Apesar que já tentei, mas não tivemos tempo de testar com mais calma, e acertar conferindo com as informações que chegam ao Radius.

A idéia é:
independente de usuário e senha para logar (hotspot ou ppoe), que para AP aceitar o cliente, ela já precisa autenticar e conferir o MAC (é quase que um controle normal de MAC na própria AP, mas que com o uso do Radius, pode-se centralizar, assim você não precisa cadastrar o MAC naquela AP, e o dia que for mudar, tem que cadastrar em outra).

Como fazer?
na menu Wireless --> Security Profiles
Criar um profile, e marcar a ultima linha (RADIUS MAC Auth.....)

Depois no menu RADIUS --> criar um um Radius Server, selecionar no SERVICE, o item WIRELESS, e em Adress, apontar para o IP do seu servidor de radius (onde provavelmente vocês já usam para autenticar hotspot).
Não me recordo, mas precisa saber a senha ´secret´ do Radius, e acho que definir a porta.

Lógico que você precisa ter todos os macs guardados no seu banco de dados onde o seu radius buscará.
Dessa maneira, em qualquer AP que você tenha, em qualquer ponto da cidade, para o cliente apenas se conectar nela, já vai fazer a prévia autenticação do MAC, e após liberado, dai entra para a parte de hotspot e ppoe.

Se não me engano (vou ter que voltar a esse projeto para poder repassar detalhes), tem que também no menu WIRELESS, no Connect List criar uma regra, selecionar a interface (é que no meu caso nos testes estava fazendo uma interface por vez), e bem em baixo marcar o Security Profile com o nome que você deu anteriormente.

[ticawhatahell]

Vou efetuar testes e posto o resultado...

[Gosulator]

Se for AP normal ativa o mac control e cadastra os macs dos seus clientes nele, se for mk desmarca default forward e default authenticate, e esconde o SSID marcando Hide SSID, poe os macs dos clientes na access list.
Pronto! So macs dos seus clientes cadastrados no seu AP.

fiz isso recentemente em minha rede, com excessão de esconder o SSID. Os clientes tinham muitíssimo mais dificuldade em se conectar ao meu ap, caiam mais, e as vezes a conexão não caía mas parava completamente de trafegar dados. Passei 3 dias de cão, e resolvi desativar. Pararam as ligações de clientes, os pings dos mesmos melhoraram muito, e eu estou novamente à procura de opções para que não-clientes não se conectem à meu ap

Nunca ví ninguém reclamar desses problemas que eu tive, então pode ser que eu só tenha tido azar, do tipo meus concorrentes nesses 3 dias terem aumentado a potência de seus amplificadores. Mas acho muito difícil . na hora que eu desativei, os pings voltaram ao normal (ruims, mas bem melhor do que sem def aut).