Escolar Documentos
Profissional Documentos
Cultura Documentos
6. Agora o ip de sua rede (o que vai sair para os clientes), o IP e mascara fica a clitrio.
/ip address add address=179.0.0.1/22 disabled=no interface=EthClientes comment="Rede Clientes"
7. Agora o IP do MK-AUTH, no deve ser mudada se algum quiser mudar lembrem-se de mudar o html do hotspot
8. Agora o IP do seu proxy, esse pode ser conforme o seu critrio so o coloque se vocs vo utilizar o mesmo
/ip address add address=172.30.255.1/30 disabled=no interface=EthProxy comment="Proxy"
hotspot interface: EthClientes local address off network: 179.0.0.1/20 masquerade network: no (no iremos mascara porque faremos isso na interface do link) address pool of network: 179.0.0.2-179.0.3.254 eu mudo e coloco 179.0.0.20-179.0.3.254 select certificate: none ip address of smtp server: 0.0.0.0 dns server: 8.8.8.8,8.8.4.4 dns name: deixe em branco ou coloque o de seu domnio caso o tenha. name of local hotspot: admin password for the user: coloque o de sua preferncia
Pronto o seu hotspot esta criado. 9. agora colocamos o address-pool como none
/ip hotspot set hotspot1 address-pool=none
11. Agora vamos adicionar o Mk-Auth no walled Garden no mikrotik para que seus clientes tenham acesso a central de assinante mesmo estando com o cadastro bloqueado.
/ip hotspot walled-garden add action=allow dst-host=172.31.255.2 dst-port=80
file:///E|/Mk-Auth/manual-mk-auth.htm[05/08/2011 20:21:25]
12. Agora vamos configurar o cliente NTP do seu Mikrotik para que a hora sempre esteja certa.
/system ntp client set enabled=yes mode=unicast primary-ntp=200.160.0.8 secondary-ntp=200.189.40.8
17. Quando o sinal do link cair de grande importncia que seus cliente receba uma mensagem de manuteno na tela para isso basta adicionar as regras abaixo que eles vo receber a mensagem. A regra por padro fica desabilitada so sendo ativada automaticamente quando o link ficar fora.
/ip firewall nat add action=dst-nat chain=dstnat comment="MANUTENCAO" to-addresses=172.31.255.2 to-ports=89 src-address=0.0.0.0/0 src-port=!80 protocol=tcp disabled=yes
18. Abaixo a regra para que seja habilitada automaticamente quando o link cair.
/tool netwatch add comment="Status da net" disabled=no down-script=\ "/ip firewall nat set [find comment=\"MANUTENCAO\"] disabled=no\r\ \n" host=200.147.67.142 interval=30s timeout=2s up-script=\ "/ip firewall nat set [find comment=\"MANUTENCAO\"] disabled=yes"
19. Vamos agora configurar a masquerade no NA OBS: Na regra abaixo criamos um masquerade de forma que o Mk-auth e o Proxy recebam o IP dos clientes ao invs de receberem apenas do Mikrotik.
Note que a interface usada para o masquerade a interface da internet "EthInternet". No caso se voc usa pppoe, troque EthInternet pela sua interface pppoe.
/ip firewall nat add action=masquerade chain=srcnat out-interface=EthInternet
21. Para definirmos quis IP's do clientes (lintados como "proxy") que vo ser redirecioando para o proxy.
Na regra abaixo a definimos que toda a faixa 179.0.0.0/22 ira passar para o proxy.
/ip firewall address-list add address=179.0.0.0/22 comment="Clientes" disabled=no list=proxys
22. Na lista evitamos que o site do Mk-auth seja redirecionado para o proxy, pois ele consta como sendo um endereo de destino na nossa lista de "sem Proxy". Isso interessante, pois se voc ativa o proxy, os logs de acessos ao sistema do mk-auth iro constar o IP que o acessou e no do prprio Mk-auth.
file:///E|/Mk-Auth/manual-mk-auth.htm[05/08/2011 20:21:25]
23. Agora iremos tambm inserir o website do proxy coso o mesmo tenha como exceo na nossa lista.
/ip firewall address-list add address=172.30.255.2 comment="Proxy" disabled=no list=sem_proxy
24. Criaremos o usurio "mkauth" sem traos e uma senha forte de sua escolha para o mesmo.
OBS. no confunda o secret do radius com a senha do usurio mkauth para o SSH.
/user add name=mkauth password=senha group=full
25. Agora acesse o winbox e mude a senha do usurio mkauth para a de sua escolha.
26. Agora abra o seu internet explore ou o navegador de sua preferncia e digite ou clique no link 172.31.255.2/admin entre no mk-auth com a usurio admin e senha padro 123
file:///E|/Mk-Auth/manual-mk-auth.htm[05/08/2011 20:21:25]
file:///E|/Mk-Auth/manual-mk-auth.htm[05/08/2011 20:21:25]
file:///E|/Mk-Auth/manual-mk-auth.htm[05/08/2011 20:21:25]
32. Acesse novamente o Mk-Auth em 172.31.255.2/admin e em provedor depois em servidor mikrotik e faa com a figura abaixo e clique em enviar.
file:///E|/Mk-Auth/manual-mk-auth.htm[05/08/2011 20:21:25]
34. Clique em visualizar e se aparecer a imagem como abaixo e que tudo saiu como o esperado.
file:///E|/Mk-Auth/manual-mk-auth.htm[05/08/2011 20:21:25]
action=mark-connection chain=forward comment="CACHE FULL X:HITS" content="X-Cache: HIT" disabled=no new-connection-mark=forward-hits passthrough=yes action=mark-packet chain=forward comment="" connection-mark=forward-hits disabled=no new-packet-mark=cache-hits passthrough=no action=mark-connection chain=prerouting comment="" content="X-Cache: HIT" disabled=no new-connection-mark=forward-hits passthrough=yes action=mark-packet chain=prerouting comment="" connection-mark=forward-hits disabled=no new-packet-mark=cache-hits passthrough=no
Regras do mangle
/ ip firewall mangle add chain=postrouting protocol=tcp src-port=3128 dscp=12 action=mark-connection new-connection-mark=n-cache passthrough=yes \ comment="Marca o com e sem TOS" disabled=no
/ip firewall mangle add chain=postrouting protocol=tcp src-port=3128 dscp=!12 action=mark-connection new-connection-mark=s-cache \ passthrough=yes comment="" disabled=no /ip firewall mangle add chain=postrouting connection-mark=n-cache action=mark-packet new-packet-mark=Cache-Packet passthrough=no \ comment="Libera cache full" disabled=no
Regras para SpeedR Bom primeiramente voc deve redirecionar o trfego para o Speedr na porta 3128. Segue as regras para o firewall no mikrotik, substitua 192.168.1.2 pelo ip do seu webcache na sua rede: MANGLE
/ip firewall mangle add action=mark-connection chain=prerouting comment=\ "if addrlist = speedr-redirect -> mark connection [connmarkspeedr-redirect]" \ disabled=no dst-address-list=!intranet dst-port=80 new-connection-mark=\ connmarkspeedr-redirect passthrough=no protocol=tcp src-address-list=\ speedr-redirect
NAT
/ip firewall nat add action=dst-nat chain=dstnat comment="if [connmarkspeedr-redirect]\ _-> redirect [172.30.255.2 tcp.dst=3128]" connection-mark=\ connmarkspeedr-redirect disabled=no dst-address-list=!intranet \ protocol=tcp to-addresses=172.30.255.2 to-ports=3128
ADDRESS-LIST
/ip firewall address-list add address=179.0.0.0/22 comment="" disabled=no list=intranet
/ip firewall address-list add address=179.0.0.0/22 comment="Regra webcache" disabled=no list=\ speedr-redirect
MANGLE
/ip firewall mangle add action=mark-packet chain=postrouting comment="tos 0x30 (dscp->12) = mark packet\ [packet_speedr_HIT]" disabled=no dscp=12 new-packet-mark=\ packet_speedr_HIT passthrough=no
QUEUE TREE
/queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=10M \ max-limit=10M name="webcache HIT" packet-mark=packet_speedr_HIT \ parent=global-out priority=8 queue=default
file:///E|/Mk-Auth/manual-mk-auth.htm[05/08/2011 20:21:25]
file:///E|/Mk-Auth/manual-mk-auth.htm[05/08/2011 20:21:25]