непонятные проблемы с hotspot

Обсуждение оборудования и его настройки
doker
Сообщения: 14
Зарегистрирован: 18 янв 2013, 09:11

27 мар 2013, 11:03

Здравствуйте !
появилась задача организовать раздачу интернета посредством микротика с авторизацией в домене. dhcp и radius внешние.
инициализировал микротик, настроит адреса - он виден, и в интернете. адрес в серверной подсети.
развернул hotspot и связал с виндовым радиусом. клиенты авторизуются. НО вот тут дальше начинаются непонятки. после авторизации перестал пингаться гейт (все остальные сервера в его подсети отвечают) , через короткое время стали отваливаться и сервера .в закладке Hotspot->Hosts начали показываться адреса этих серверов и трафик от них к другим компам подсети. такое ощущение , что микротик всем сказал что он теперь дефаульт гейтвей. как побороть сие ?
и вот еще вопрос но из области ликбеза. зачем в сервисе хотспот пулы адресов ? (Address pool) указываются в настройках хотспот сервера и без наличия неавторизует (в профиле клиентов стоит - none)
заранее благодарен за ответы и разъяснения!
пс. убрал из свойств сервера hotspot пул адресов, вроде работает... хотя раньше ругался - типа нет адресов в пуле...
наверное заработало совместно с отключением dhcp сервера

но счасть всёеще не пришло, микротик авторизует, но интернет не раздаёт. продолжаю разбирательство....
HTTP-шлюз не отвечает (код ошибки: 504)
настройки NAt и фаервола стандартные, созданные мастером создания хотспота
начинаю подозревать что он рулит адресами, выданными им самим...
вот правила
я постараюсь конечно сам разобраться , но был бы очень признателен за помощь )
Вложения
2.jpg
(134.52 КБ) 104 скачивания
1.jpg
(161.96 КБ) 104 скачивания


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

28 мар 2013, 07:27

Тяжело помогать по двум скриншотам.

Нарисуйте нормальную схему. Сделайте export файерволла dhcp сервера и ip adresses

тогда можно будет думать


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
doker
Сообщения: 14
Зарегистрирован: 18 янв 2013, 09:11

28 мар 2013, 10:19

спасибо что ответили.
значит полная схема такова :
есть серверная подсеть , там находится контролер AD и DHCP сервер. в этой же подсети планируется расположить микротик в качестве прокси сервера с авторизацией на радиусе ад.
клиенты в своих подсетях с динамическими адресами.
или вам картинку нарисовать?

запрошенная вами информация
/ip firewall filter
add action=accept chain=input disabled=no src-address=10.0.2.11
add action=accept chain=input disabled=no dst-port=8291 protocol=tcp \
src-address=10.0.11.0/24
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip address
add address=10.0.2.200/16 disabled=no interface=ether11 network=10.0.0.0

/ip firewall filter print dynamic
Flags: X - disabled, I - invalid, D - dynamic
0 D chain=forward action=jump jump-target=hs-unauth hotspot=from-client,!auth

1 D chain=forward action=jump jump-target=hs-unauth-to hotspot=to-client,!auth

2 D chain=input action=jump jump-target=hs-input hotspot=from-client

3 D chain=input action=drop protocol=tcp hotspot=!from-client dst-port=64872-64875

4 I chain=hs-input action=jump jump-target=pre-hs-input

5 D chain=hs-input action=accept protocol=udp dst-port=64872

6 D chain=hs-input action=accept protocol=tcp dst-port=64872-64875

7 D chain=hs-input action=jump jump-target=hs-unauth hotspot=!auth

8 D chain=hs-unauth action=reject reject-with=tcp-reset protocol=tcp

9 D chain=hs-unauth action=reject reject-with=icmp-net-prohibited

10 D chain=hs-unauth-to action=reject reject-with=icmp-host-prohibited




/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
disabled=no src-address=10.0.0.0/16 to-addresses=0.0.0.0fi
/ip firewall nat print dynamic
Flags: X - disabled, I - invalid, D - dynamic
0 D chain=dstnat action=jump jump-target=hotspot hotspot=from-client

1 I chain=hotspot action=jump jump-target=pre-hotspot

2 D chain=hotspot action=redirect to-ports=64872 protocol=udp dst-port=53

3 D chain=hotspot action=redirect to-ports=64872 protocol=tcp dst-port=53

4 D chain=hotspot action=redirect to-ports=64873 protocol=tcp hotspot=local-dst
dst-port=80

5 D chain=hotspot action=redirect to-ports=64875 protocol=tcp hotspot=local-dst
dst-port=443

6 D chain=hotspot action=jump jump-target=hs-unauth protocol=tcp hotspot=!auth

7 D chain=hotspot action=jump jump-target=hs-auth protocol=tcp hotspot=auth

8 D chain=hs-unauth action=redirect to-ports=64874 protocol=tcp dst-port=80

9 D chain=hs-unauth action=redirect to-ports=64874 protocol=tcp dst-port=3128



в правилах фаервола и ната ещё куча джампов, сделанных мастером настройки хоспота.

dhcp сервер на микротике потушен
убрал прокси порт в настройках профиля хотспот сервера. (ошибочно указал)
в голове пока не сложилась картина мира микротика , логику организации прав доступа пользователей хотспота...


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

02 апр 2013, 07:46

Схему рисуйте, с указанием айпишников и подсетей, где что висит


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
doker
Сообщения: 14
Зарегистрирован: 18 янв 2013, 09:11

03 апр 2013, 11:06

микротик выступает в качестве прокси сервера, шейпера , контроль доступа в интернет и тд
Вложения
схема.jpg
(26.89 КБ) 62 скачивания


doker
Сообщения: 14
Зарегистрирован: 18 янв 2013, 09:11

17 апр 2013, 10:14

почему-то всё время перекидывает на страничку статуса после авторизации..
есть у кого идеи как побороть?


doker
Сообщения: 14
Зарегистрирован: 18 янв 2013, 09:11

17 апр 2013, 12:08



doker
Сообщения: 14
Зарегистрирован: 18 янв 2013, 09:11

17 апр 2013, 12:20

а вот например на вот такой урл
viewtopic.php?f=3&t=3433&p=12801#p12801
пишет 404


doker
Сообщения: 14
Зарегистрирован: 18 янв 2013, 09:11

17 апр 2013, 16:14

обновил софт, всё сбросил, натсроил без мастера, - авторизует редиректит но в инет не пускает, короче вернулся на исходные (


doker
Сообщения: 14
Зарегистрирован: 18 янв 2013, 09:11

18 апр 2013, 15:26

пакеты уходят в инет, возвращаются , но не отдаются клиенту..


Ответить