Здравствуйте !
появилась задача организовать раздачу интернета посредством микротика с авторизацией в домене. dhcp и radius внешние.
инициализировал микротик, настроит адреса - он виден, и в интернете. адрес в серверной подсети.
развернул hotspot и связал с виндовым радиусом. клиенты авторизуются. НО вот тут дальше начинаются непонятки. после авторизации перестал пингаться гейт (все остальные сервера в его подсети отвечают) , через короткое время стали отваливаться и сервера .в закладке Hotspot->Hosts начали показываться адреса этих серверов и трафик от них к другим компам подсети. такое ощущение , что микротик всем сказал что он теперь дефаульт гейтвей. как побороть сие ?
и вот еще вопрос но из области ликбеза. зачем в сервисе хотспот пулы адресов ? (Address pool) указываются в настройках хотспот сервера и без наличия неавторизует (в профиле клиентов стоит - none)
заранее благодарен за ответы и разъяснения!
пс. убрал из свойств сервера hotspot пул адресов, вроде работает... хотя раньше ругался - типа нет адресов в пуле...
наверное заработало совместно с отключением dhcp сервера
но счасть всёеще не пришло, микротик авторизует, но интернет не раздаёт. продолжаю разбирательство....
HTTP-шлюз не отвечает (код ошибки: 504)
настройки NAt и фаервола стандартные, созданные мастером создания хотспота
начинаю подозревать что он рулит адресами, выданными им самим...
вот правила
я постараюсь конечно сам разобраться , но был бы очень признателен за помощь )
непонятные проблемы с hotspot
-
doker
- Сообщения: 14
- Зарегистрирован: 18 янв 2013, 09:11
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
Тяжело помогать по двум скриншотам.
Нарисуйте нормальную схему. Сделайте export файерволла dhcp сервера и ip adresses
тогда можно будет думать
Нарисуйте нормальную схему. Сделайте export файерволла dhcp сервера и ip adresses
тогда можно будет думать
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
doker
- Сообщения: 14
- Зарегистрирован: 18 янв 2013, 09:11
спасибо что ответили.
значит полная схема такова :
есть серверная подсеть , там находится контролер AD и DHCP сервер. в этой же подсети планируется расположить микротик в качестве прокси сервера с авторизацией на радиусе ад.
клиенты в своих подсетях с динамическими адресами.
или вам картинку нарисовать?
запрошенная вами информация
/ip firewall filter
add action=accept chain=input disabled=no src-address=10.0.2.11
add action=accept chain=input disabled=no dst-port=8291 protocol=tcp \
src-address=10.0.11.0/24
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip address
add address=10.0.2.200/16 disabled=no interface=ether11 network=10.0.0.0
/ip firewall filter print dynamic
Flags: X - disabled, I - invalid, D - dynamic
0 D chain=forward action=jump jump-target=hs-unauth hotspot=from-client,!auth
1 D chain=forward action=jump jump-target=hs-unauth-to hotspot=to-client,!auth
2 D chain=input action=jump jump-target=hs-input hotspot=from-client
3 D chain=input action=drop protocol=tcp hotspot=!from-client dst-port=64872-64875
4 I chain=hs-input action=jump jump-target=pre-hs-input
5 D chain=hs-input action=accept protocol=udp dst-port=64872
6 D chain=hs-input action=accept protocol=tcp dst-port=64872-64875
7 D chain=hs-input action=jump jump-target=hs-unauth hotspot=!auth
8 D chain=hs-unauth action=reject reject-with=tcp-reset protocol=tcp
9 D chain=hs-unauth action=reject reject-with=icmp-net-prohibited
10 D chain=hs-unauth-to action=reject reject-with=icmp-host-prohibited
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
disabled=no src-address=10.0.0.0/16 to-addresses=0.0.0.0fi
/ip firewall nat print dynamic
Flags: X - disabled, I - invalid, D - dynamic
0 D chain=dstnat action=jump jump-target=hotspot hotspot=from-client
1 I chain=hotspot action=jump jump-target=pre-hotspot
2 D chain=hotspot action=redirect to-ports=64872 protocol=udp dst-port=53
3 D chain=hotspot action=redirect to-ports=64872 protocol=tcp dst-port=53
4 D chain=hotspot action=redirect to-ports=64873 protocol=tcp hotspot=local-dst
dst-port=80
5 D chain=hotspot action=redirect to-ports=64875 protocol=tcp hotspot=local-dst
dst-port=443
6 D chain=hotspot action=jump jump-target=hs-unauth protocol=tcp hotspot=!auth
7 D chain=hotspot action=jump jump-target=hs-auth protocol=tcp hotspot=auth
8 D chain=hs-unauth action=redirect to-ports=64874 protocol=tcp dst-port=80
9 D chain=hs-unauth action=redirect to-ports=64874 protocol=tcp dst-port=3128
в правилах фаервола и ната ещё куча джампов, сделанных мастером настройки хоспота.
dhcp сервер на микротике потушен
убрал прокси порт в настройках профиля хотспот сервера. (ошибочно указал)
в голове пока не сложилась картина мира микротика , логику организации прав доступа пользователей хотспота...
значит полная схема такова :
есть серверная подсеть , там находится контролер AD и DHCP сервер. в этой же подсети планируется расположить микротик в качестве прокси сервера с авторизацией на радиусе ад.
клиенты в своих подсетях с динамическими адресами.
или вам картинку нарисовать?
запрошенная вами информация
/ip firewall filter
add action=accept chain=input disabled=no src-address=10.0.2.11
add action=accept chain=input disabled=no dst-port=8291 protocol=tcp \
src-address=10.0.11.0/24
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip address
add address=10.0.2.200/16 disabled=no interface=ether11 network=10.0.0.0
/ip firewall filter print dynamic
Flags: X - disabled, I - invalid, D - dynamic
0 D chain=forward action=jump jump-target=hs-unauth hotspot=from-client,!auth
1 D chain=forward action=jump jump-target=hs-unauth-to hotspot=to-client,!auth
2 D chain=input action=jump jump-target=hs-input hotspot=from-client
3 D chain=input action=drop protocol=tcp hotspot=!from-client dst-port=64872-64875
4 I chain=hs-input action=jump jump-target=pre-hs-input
5 D chain=hs-input action=accept protocol=udp dst-port=64872
6 D chain=hs-input action=accept protocol=tcp dst-port=64872-64875
7 D chain=hs-input action=jump jump-target=hs-unauth hotspot=!auth
8 D chain=hs-unauth action=reject reject-with=tcp-reset protocol=tcp
9 D chain=hs-unauth action=reject reject-with=icmp-net-prohibited
10 D chain=hs-unauth-to action=reject reject-with=icmp-host-prohibited
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
disabled=no src-address=10.0.0.0/16 to-addresses=0.0.0.0fi
/ip firewall nat print dynamic
Flags: X - disabled, I - invalid, D - dynamic
0 D chain=dstnat action=jump jump-target=hotspot hotspot=from-client
1 I chain=hotspot action=jump jump-target=pre-hotspot
2 D chain=hotspot action=redirect to-ports=64872 protocol=udp dst-port=53
3 D chain=hotspot action=redirect to-ports=64872 protocol=tcp dst-port=53
4 D chain=hotspot action=redirect to-ports=64873 protocol=tcp hotspot=local-dst
dst-port=80
5 D chain=hotspot action=redirect to-ports=64875 protocol=tcp hotspot=local-dst
dst-port=443
6 D chain=hotspot action=jump jump-target=hs-unauth protocol=tcp hotspot=!auth
7 D chain=hotspot action=jump jump-target=hs-auth protocol=tcp hotspot=auth
8 D chain=hs-unauth action=redirect to-ports=64874 protocol=tcp dst-port=80
9 D chain=hs-unauth action=redirect to-ports=64874 protocol=tcp dst-port=3128
в правилах фаервола и ната ещё куча джампов, сделанных мастером настройки хоспота.
dhcp сервер на микротике потушен
убрал прокси порт в настройках профиля хотспот сервера. (ошибочно указал)
в голове пока не сложилась картина мира микротика , логику организации прав доступа пользователей хотспота...
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
Схему рисуйте, с указанием айпишников и подсетей, где что висит
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
doker
- Сообщения: 14
- Зарегистрирован: 18 янв 2013, 09:11
почему-то всё время перекидывает на страничку статуса после авторизации..
есть у кого идеи как побороть?
есть у кого идеи как побороть?
-
doker
- Сообщения: 14
- Зарегистрирован: 18 янв 2013, 09:11
при обращении к http://r.mail.ru/cln5666/games.mail.ru/?partner=opera
перекидывает на
http://hs.mydomain.ru/cln5666/games.mail.ru/status
перекидывает на
http://hs.mydomain.ru/cln5666/games.mail.ru/status
-
doker
- Сообщения: 14
- Зарегистрирован: 18 янв 2013, 09:11
-
doker
- Сообщения: 14
- Зарегистрирован: 18 янв 2013, 09:11
обновил софт, всё сбросил, натсроил без мастера, - авторизует редиректит но в инет не пускает, короче вернулся на исходные (
-
doker
- Сообщения: 14
- Зарегистрирован: 18 янв 2013, 09:11
пакеты уходят в инет, возвращаются , но не отдаются клиенту..
