Community - Forum - Servidor de autenticação e site (Resolvido)

Servidor de autenticação e site (Resolvido)

Mostrando 1 a 10 de 14 registros

2011-05-19 09:04:40
Izaufernandes

Reply Post

Bom dia. Tenho um servidor com debian lenny, nele roda um servidor de autenticação com radius, pagina do provedor com alguns arquivos para download etc. Gostaria de saber se não teria como os arquivos deste servidor de autenticação não passar pelo proxy speedr. Depois que redirecionei para o proxy os logs de autenticação dos clientes ficaram todos com o ip do proxy. Desde já parabenizo o pessoal do desenvolvimento, é um produto excelente.

Minhas regras de nat e config ip

Mikrotik Rede Clientes 192.168.7.5 192.168.1.5 10.0.1.5 Mikrotik Rede Speedr 192.168.50.1 Mikrotik Rede Autenticação 172.31.255.1 Servidor Speedr 192.168.50.2 Servidor Autenticação 172.31.255.2

add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes

add action=dst-nat chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85

add action=dst-nat chain=dstnat comment=AVISO connection-limit=!1,32 disabled=yes dst-address=!172.31.255.2 dst-port=80 protocol=tcp src-address-list=pgaviso to-addresses=172.31.255.2 to-ports=88

add action=dst-nat chain=dstnat comment=#PgManutencao disabled=yes dst-port=80 protocol=tcp to-addresses=172.31.255.2 to-ports=89

add action=dst-nat chain=dstnat comment="Dns Para o Link" disabled=no dst-port=53 protocol=udp to-addresses=200.223.111.194 to-ports=53

add action=masquerade chain=srcnat comment="Nat - Hotspot" disabled=no hotspot=auth out-interface=Clientes

add action=masquerade chain=srcnat comment="Nat - Modem XX" disabled=no out-interface="PPPoe - Modem XX"

add action=masquerade chain=srcnat comment="Nat - Modem XY" disabled=no out-interface="PPPoe - Modem XY"

add action=masquerade chain=srcnat comment="Nat - Link Dedicado" disabled=no out-interface=ether3

add action=dst-nat chain=dstnat comment=speedr disabled=no dst-port=80 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.50.2 to-ports=3128

add action=dst-nat chain=dstnat comment=speedr disabled=no dst-port=80 protocol=tcp src-address=10.0.1.0/24 to-addresses=192.168.50.2 to-ports=3128

add action=dst-nat chain=dstnat comment=speedr disabled=no dst-port=80 protocol=tcp src-address=192.168.7.0/24 to-addresses=192.168.50.2 to-ports=3128

2011-05-19 09:49:26
Fernando Softov
Cliente

Izau,

Poste a topologia de sua rede para podermos lhe ajudar.

Abraços.

2011-05-19 10:18:30
Henrique Fernandes Silveira
Developer
License Level: 8

Izau, o Speedr deve estar a frente do autenticador senão vai pegar o IP do Speedr mesmo.

O Speedr deve ser colocado em paralelo com seu mikrotik.

Abraços

2011-05-19 11:21:05
Izaufernandes

License Level: 3

Tanto o Servidor de Autenticação como o Speedr estão em paralelo

Entra 1 link e 2 adsl pelas interfaces Eth1 Eth2 e Eth3

Uma interface (Proxy) Eth4 vai para o Speedr 192.168.1.50

Outra interface Eth5 (Mk-Auth) vai para o servidor de autenticação 172.31.255.2

E outra (Clientes) Eth6 vai os clientes (hotspot) 10.0.1.5 192.168.1.5 192.168.7.5

Tentei fazer uma figura representando não ficou muito boa não más dá pra ter uma noção

2011-05-19 11:50:46
Izaufernandes

License Level: 3

Eu acredito que o que preciso fazer é uma regra de nat que diga para o Mikrotik que as requisições vindas dos clientes pela porta 80 com destino ao ip do servidor de autenticação (172.31.255.2) sejam redirecionadas para o mesmo sem passar pelo proxy

2011-05-19 13:40:34
Izaufernandes

License Level: 3

Resolvido

Resumindo, tenho 3 placas de entrada 2 placas uma para o speedr e outra para servidor de autenticação ambos em paralelo e uma sexta para os clientes.

No servidor de autenticação tem um site com arquivos que os clientes baixam e log de acessos, o que acontecia é que o tráfego dele passava pelo speedr fazendo cache de arquivos sem necessidade, gerando logs de acesso e outros com o ip do proxy quando o certo seria o ip dos clientes.

Criei uma address list com o ip do servidor de autenticação e adicionei uma excessão na regra de nat do speedr, da mesma forma aproveitando a regra dá para tirar um ou vários clientes do proxy caso queira segue a regra

Esta regra serve para tirar algum site ou endereço do proxy (meu servidor de autenticação e web)

192.168.1.0/24 é a classe de ips dos clientes

ip firewall nat

add action=dst-nat chain=dstnat comment=speedr disabled=no dst-address-list=!semproxy dst-port=80 in-interface=Clientes protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.50.2 to-ports=3128

Para tirar algum cliente do proxy

ip firewall nat

add action=dst-nat chain=dstnat comment=speedr disabled=no src-address-list=!cliente_semproxy dst-port=80 in-interface=Clientes protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.50.2 to-ports=3128

2011-05-19 13:42:57
Henrique Fernandes Silveira
Developer
License Level: 8

Na regra de redirecionamento do cache coloque para negar o ip do autenticador, abra a regra de redicionamento no mirkotik e marque a caixinha do lado em Dst. Address deve ficar ! na caixinha, e insira o ip do servidor de autenticação.

2011-05-19 13:48:00
Izaufernandes

License Level: 3

A dica seria para adicionar ou da forma que esta tem algum problema? se não me engano já tinha testado assim...

2011-05-19 13:52:10
Henrique Fernandes Silveira
Developer
License Level: 8

Da forma que fez esta corretíssimo também izau. Só quis colocar uma forma simples pra alguem que ler entender que pode ser feito.,

Abraços.

2024-03-20 05:46:02
BrByte

Edit Remove Reply

synthroid order

2024-03-20 14:21:01
BrByte

Edit Remove Reply

synthroid 025 mg

Mostrando 1 a 10 de 14 registros

To reply this post or create new ones you must login

*emphasis **more emphasis**

(4 spaces)code

> quote

* List item
* Another list item

1. Ordered list item
2. Other ordered list item

# Fist level title (##, ###, ####)

[Link's Text](http://address.com)