Manual bsico de instalao MK-AUTH V 4.80 para HOT!

OT
Por Leandro Cesar Souza
E-mail: keepburn@hotmail.com
Usurio do Mk-auth desde a ers!o ".#
Embora eu n!o se$a muito participatio no %&rum. 'e$o muitos companheiros com problemas
corri(ueiros e (ue $ tem in)meros t&picos reelando o assunto* eu resoli criar a(ui um passo a passo
bem simples. + tutorial , lire para modi%ica-!o e distribui-!o* contanto (ue mantenham os deidos
cr,ditos incluindo todo trecho acima.
Antes de mais nada, bom que voc tenha uma noo de TCP/IP, no precisa ser um expert, pq eu mesmo
no sou e conheo um ou dois nos !rums da vida que so" #m pouco de noo de roteamento tambm seria de
$rande a%uda" Administrar uma rede sem io exi$e tais conhecimentos" &mbora o intuito de eu ter criado esse
tutoria' se%a a%udar aque'es que no tem conhecimento o suiciente, quero deixar c'aro que montar e co'ocar
(i)roti) e ()*auth para uncionar %untos pereitamente no o suiciente para manter uma rede est+ve' e se$ura"
Proissiona'mente a'ando, h+ muitas outras coisas a serem eitas que o ()*auth no pode e a,er por voc e nem o
(i)roti) so,inhos podero a,er por voc"-
Procure usar se poss.el* as %ai/as de 0P1s propostas abai/o* para %acilitar o entendimento desse tutorial.
Caso oc2 encontre d)idas poste no %&rum. Como todos sabem* sua d)ida por ser a d)ida dos
outros. 3ntes procure saber se sua d)ida $ n!o %oi solucionada em t&picos anteriores. 'amos eitar
poluir o %&rum para %acilitar a nossa pr&pria ida.
3 primeira coisa (ue temos de ter em mente (uando amos colocar o Mk-auth em %uncionamento , a
topolo4ia da rede.
Primeiramente* estarei colocando os 0P1s de cada inter%ace. Leia com aten-!o para n!o ter d)idas.
Mikrotik E5:
Mikrotik EthClientes: 6.#.#."78# 9onde 8# , uma mascara com um ran4e inlida com :#;< 0P=s>
Mikrotik EthMkauth: "?8.@".866."7@# 9"?8.@".866."7866.866.866.868>
Mikrotik EthPro/A: "?8.@#.866."7@# 9"?8.@#.866."7866.866.866.868>B
Mikrotik Eth0nternet: 3. ai de proedor para proedor* al4uns usam discador pppoe no pr&prio
mikrotik* outros usam modem roteado. Ent!o a(ui cada caso , um caso.
Cote (ue para esta topolo4ia seu Mikrotik dee ter no m.nimo : Ethernets. Es(ue-a 4ambiarras e
adapta-Des. Pois se n!o* esse tutorial de nada se aler. Salo se oc2 realmente souber o (ue est
%azendo.
Mk-auth E/:
Mk-auth eth#: "?8.866.@".87866.866.866.868
B Cote (ue a rede do Mk-3uth e do Pro/A s!o di%erentes.
3bai/o se4ue um e/emplo de topolo4ia correta de se usar o Mk-auth E Mikrotik E Pro/A. Caso n!o use
pro/A* apenas o i4nore.
3 partir de a4ora amos tratar apenas re4ras por re4ras no Mikrotik. Lo4o em se4uida a e/plica-!o.
3 primeira coisa (ue amos %azer , criar , dar nomes as nossas Ethers. Esse passo , um dos mais
importantes* pois se oc2 der um nome errado a Ether ou li4-la em dispositios di%erentes ao
re%erenciado pelo nome* n!o ir %uncionar corretamente.
Considere a tabela abai/o:
ether": Sa.da para a 0nternet* ter o nome de Eth0nternet
ether8: Sa.da para o Mk-aurh* ter o nome de EthMkauth
ether@: Sa.da para o Pro/A* ter o nome de EthPro/A
ether:: Sa.da para hotspot para os clientes. Fer o nome de EthClientes.
'amos adicionar as re4ras no terminal. Guando eu me re%erir H terminal ou me re%erir como abai/o:
Cole ou di4ite essas re4ras no terminal:
7inter%ace set ether" nameIEth0nternet
7inter%ace set ether8 nameIEthMkauth
7inter%ace set ether@ nameIEthPro/A
7inter%ace set ether: nameIEthClientes
Com essas (uatro re4rinhas acima* renomeamos as inter%aces para seus deidos nomes.
34ora amos dar nome ao seu Mikrotik.
Coamente no terminal amos colar ou di4itar a re4ra abai/o:
7sAstem identi%A set nameIJ+FSP+F
Com isso seu Mikrotik passar a se identi%icar por J+FSP+F.
34ora daremos 0P1s as deidas inter%aces renomeadas.
Co terminal di4ite ou cole:
7ip address add addressI6.#.#."78# broadcastI6.#."6.866 netKorkI6.#.#.# inter%aceIEthClientes
Ca re4ra acima demos um 0P H inter%ace dos clientes* com a deida ran4e de 0P1s.
34ora daremos 0P a Ethernet do Mk-auth. Co terminal di4ite ou cole:
7ip address add addressI"?8.@".866."7@# broadcastI"?8.@".866.@ netKorkI"?8.@".866.#
inter%aceIEthMkauth
Ca re4ra acima demos um 0P H inter%ace do Mk-auth.
'amos se4uir com aten-!o* a4ora daremos 0P a inter%ace do Pro/A* no terminal di4ite ou cole:
7ip address add addressI"?8.@#.866."7@# broadcastI"?8.@#.866.@ netKorkI"?8.@#.866.#
inter%aceIEthMkauth
Ca re4ra acima demos 0P ao Pro/A* embora se$a parecido com 0P do Mk-auth* ele est em rede di%erente.
3 di%eren-a est no @# e @" di%erenciando a rede:
"?8.@".866.8 I Mk-auth
"?8.@#.866.8 I Pro/A
3. oc2 me per4unta* e o Ethernet da 0nternetL
Em cada proedor , di%erente* uns usam pppoe no pr&prio Mikrotik* outros usam modem roteado
%azendo o pr&prio modem discar* outros usam rdio* outros dedicados e etc... Ent!o %ica di%.cil discutir
a(ui uma %orma correta de (ual tipo de cone/!o com a 0nternet deo colocar a(ui. Sendo (ue este
tutorial sere apenas para rede interna entre Mikotik* Mk-auth* Pro/A e Clientes.
E se oc2 pretende ter ou $ tem um proedor* con%i4urar uma cone/!o com a 0nternet n!o dee e n!o
pode ser problemas para oc2 M>.
N de%inimos 0P1s para todas as inter%aces necessrias e demos um nome ao seu Mikrotik:
34ora criaremos o J+FSP+F:
Co terminal di4ite ou cole:
7ip hotspot setup
Ele ir per4untar a inter%ace onde dese$a atiar o Jotspot:
Oi4ite:
hotspot inter%ace: EthClientes
Oepois ele ir per4untar o 0P para o hotspot* caso oc2 tenha di4itado na etapa correto ele preencher
automaticamente como abai/o:
local address o% netKork: 6.#.#."78#
Cesse caso basta pressionar o PEnterQ.
Ele a4ora per4untar se oc2 pretende usar o mas(uerade e por padr!o colocar PAesQ* mas n!o amos
usar esse mas(uerade* ent!o responda PnoQ:
mas(uerade netKork: no
34ora ele per4untar sobre a ran4e de 0P1s (ue o hotspot usar. Como o hotspot con%i4ura
automaticamente o OJCP* amos ent!o de%inir uma ran4e de 0P1s para a rede dos clientes:
address pool o% netKork: 6.#.#.:#-6.#.#."6.86:
Colo(uei ai come-ando pelo :#* pois antes do :#* oc2 pode dedicar os 0P1s de 6.#.#.8 H 6.#.#.@; H
dispositios de rede* como 3P1s* RS1s e etc* %acilitando ent!o assim o encontrar seus dispositios na sua
rede.
34ora ele per4untar sobre o certi%icado SSL* apa4ue o Pimport-other-certi%icadeQ e responda PnoneQ:
select certi%icate: none
34ora ele per4unta sobre o endere-o 0P do seridor SMFP* responda P#.#.#.#Q:
ip address o% smtp serer: #.#.#.#
34ora ele per4untar sobre os seridores de OCS* amos colocar teu Mikrotik como seridor OCS de
teus clientes* e lo4o mais a %rente iremos con%i4urar o OCS do mikrotik para aceitar solicita-Des e/ternas
e tamb,m saber por(u2 estaremos usando o Mikrotik como OCS da rede:
dns serers: 6.#.#."
34ora ele per4untar um nome para o dom.nio local do hotspot. 3ten-!o* n!o use (ual(uer endere-o*
pois a(ui oc2 precisa usar realmente um endere-o inlido ou (ue se$a improel (ue e/ista* ou se$a
%uturamente criado: use endere-os (ue termine com P.radioQ* P.mkQ como nos e/emplos:
auth.radio T meuproedor.radio T meuproedor.mk e assim por diante:
Pois se oc2 usar o nome de dom.nio e/istente na 0nternet* seus clientes perder!o acesso a ele* in,s de
acessarem o site correto ir!o acessar seu hotspot de dentro da sua rede* ent!o , de suma importUncia (ue
o nome de dom.nio se$a inlido para a 0nternet. 3 n!o ser (ue oc2 tenha um dom.nio pr&prio e saiba
con%i4ura-lo corretamente para o uso na sua rede ou desperdice ele usando apenas na sua rede interna.
Colo(ue como e/emplo abai/o:
dns name: auth.radio
34ora ele per4untar sobre um usurio padr!o e local para o hotspot* , ital (ue oc2 con%i4ure um:
name o% local hotspot user: admin
Lo4o em se4uida per4untar sobre a senha:
passKord %or the user: senha
ProntoV Com isso seu hotspot $ est criado.
C!o recomendo usar um pool para o hotspot* por motios de se4uran-a e %acilidade para o uso com o
Mk-auth* no terminal di4ite ou cole:
7ip hotspot set hotspot" address-poolInone
Con%i4urando o hotspot para trabalhar o Mk-auth 9%reeradius>* no terminal di4ite ou cole:
7ip hotspot pro%ile set use-radiusIAes radius-interim-updateI##:#@:## radius-accountin4IAes nas-port-
tApeIKireless-W#8.""
Famb,m amos adicionar o Mk-auth no Xalled Yarden do Mikrotik para (ue seus clientes tenham
acesso a central do assinante mesmo estando com o cadastro blo(ueado:
7ip hotspot Kalled-4arden add actionIalloK dst-hostI"?8.@".866.8 dst-portIW#
34ora iremos con%i4urar o OCS:
Co terminal di4ite ou cole:
7ip dns set primarA-dnsI8#W.<?.888.888 secondarA-dnsI8#W.<?.88#.88# alloK-remote-re(uestsIAes cache-
sizeIW";8 ma/-udp-packet-sizeI6"8
Ca re4ra acima de%inimos o seridor de OCS P+penOCSQ* eu particularmente uso ele por n!o ter tido
problemas com ele* mas oc2 pode usar um de sua escolha. Cote (ue tamb,m aumentamos o tamanho
do cache de OCS e con%i4uramo-lo para receber solicita-Des remotas.
34ora amos con%i4urar o cliente CFP do seu Mikrotik. Co terminal di4ite ou cole:
7sAstem ntp client set primarA-ntpI8##."<#.#.W secondarA-ntpI8##."W;.:#.W enabledIAes modeIunicast
34ora amos de%inir um %uso horrio* no terminal di4ite ou cole:
7sAstem clock set time-zone-nameI3merica7SaoZPaulo
Ca re4ra acima colo(uei S!o Paulo por eu estar em S!o Paulo* mas oc2 pode colocar sua localidade ou a
mais pr&/ima de oc2.
Lo4o em se4uida iremos con%i4urar o cliente radius do mikrotik* no terminal di4ite ou cole:
7radius add addressI"?8.@".866.8 authentication-portI"W"8 accountin4-portI"W"@
sericeIhotspot*Kireless secretI"8@:6<
34ora amos criar as re4ras para p4ina de corte* no terminal di4ite ou cole:
7ip %ireKall nat add actionIdst-nat chainIdstnat commentI[PY C+RFE[ disabledIno protocolItcp src-
address-listIp4corte to-addressesI"?8.@".866.8 to-portsIW6 src-portI#-<66@6
'amos a4ora con%i4urar o Mas(uerade no C3F* no terminal di4ite ou cole:
7ip %ireKall nat add actionImas(uerade chainIsrcnat out-inter%aceIEth0nternet
Ca re4ra acima criamos um mas(uerade de %orma (ue o Mk-auth e Pro/A recebam o 0P dos clientes ao
in,s de receberem apenas do Mikrotik. Cote (ue a inter%ace usada para o mas(uerade , a inter%ace da
0nternet PEth0nternetQ. Co caso se oc2 usa pppoe* tro(ue Eth0nternet pela sua inter%ace pppoe.
34ora criaremos o dst-nat para o Pro/A:
7ip %ireKall nat add actionIdst-nat chainIdstnat commentI[REO0RECF PR+5\[ disabledIno dst-
address-listIVsemZpro/A dst-portIW# protocolItcp src-address-listIpro/A ]
to-addressesI"?8.@".866.@ to-portsI@"8W
Cote (ue di%erente do padr!o do Mk-auth* ao in,s de redirecionar apenas um %ai/a de 0P1s* eu colo(uei
para redirecionar em listas* incluindo tamb,m uma lista de sites 0P1s (ue n!o redirecionados para o
Pro/A marcados como PsemZpro/AQ. E os endere-os de ori4em marcados como Ppro/AQ.
3cima elas s!o de%inidas como scr-nat 9ori4em> e dst-nat 9destino>* e (uando se utiliza o PVQ dizemos (ue
tais endere-os de destino 9dst-nat> constados na lista PsemZpro/AQ n!o ser!o redirecionados para o
pro/A.
Para de%inirmos (uais 0P1s de clientes 9listados como Ppro/AQ> (ue !o ser redirecionados para o pro/A
di4itamos ou colamos no terminal:
7ip %ireKall address-list add addressI6.#.#.#78# commentI[Clientes[ disabledIno listIpro/A
Ca re4ra acima a de%inimos (ue toda a %ai/a "#.#.#.#78# ir passar para o Pro/A.
Oi4ite ou cole no terminal:
7ip %ireKall address-list add addressI"?8.@".866.8 commentI[M^-3UFJ[ disabledIno listIsemZpro/A
Ca lista eitamos (ue o site do Mk-auth se$a redirecionado para o Pro/A. Pois ele consta como sendo um
endere-o de destino na nossa lista PsemZpro/AQ.
0sso , interessante* pois se oc2 atia o Pro/A* os lo4s de acessos ao sistema do Mk-auth* ir!o constar o 0P
da m(uina (ue o acessou e n!o do pr&prio Mk-auth.
0remos tamb,m inserir o Kebsite do pro/A caso o mesmo tenha como e/ce-!o na nossa lista:
7ip %ireKall address-list add addressI"?8.@#.866.8 commentI[Pro/A[ disabledIno listIsemZpro/A
Falez al4u,m possa ter d)idas nessa parte* pe-o (ue as tire no %&rum.
Estamos (uase no %im da nossa bree con%i4ura-!o bsica do Mk-authEmikrotikEpro/A.
34ora adicionaremos a chae SSJ para o %uncionamento do mesmo entre o Mk-auth e o Mikrotik.
+ primeiro passo , criar o usurio PmkauthQ 9sem tra-os> e uma senha %orte de sua escolha para o
mesmo. C!o con%unda o secret do radius com a senha do usurio mkauth para SSJ.
Co terminal di4ite ou cole:
7user add nameImkauth passKordIsenha 4roupI%ull
34ora iremos adicionar uma chae SSJ para o mesmo.
3bra seu nae4ador e di4ite o 0P do Mk-auth "?8.@".866.8
Ca aba op-Des no submenu (ue aparecer cli(ue em Pchae para sshQ:
Cli(ue em bai/ar chae SSJ* bai/e e sale a chae em um local de sua escolha. Sale com o nome
padr!o* ou se$a: chae.pub:
Supondo (ue oc2 tenha salo a chae nos PMeus documentosQ* copie a chae:
Com a chae copiada* abra seu Xinbo/* conecte no Mikrotik re%erente ao J+FSP+F (ue acabamos de
con%i4urar* cli(ue no meu lateral %iles e cli(ue em PpasteQ con%orme a %i4ura:
34ora iremos importar a chae SSJ para o usurio mkauth preiamente criado.
'oltando no terminal* di4ite ou cole:
7user ssh-keAs import %ileIchae.pub userImkauth
34ora iremos cadastrar nosso seridor no Mk-auth para o %uncionamento do mesmo com o Mikrotik*
tanto SSJ como o Radius.
Co Mk-auth pelo nae4ador* no menu proedor e no submenu seridores mikrotik* con%i4ure como a
ima4em abai/o:
'amos %azer um teste para saber se sua importa-!o ocorreu corretamente* no Mk-auth no menu
proedor e no submenu seridor mikrotik. Co mesmo menu no mk-auth* iremos clicar em isualizar*
deer aparecer al4o como a ima4em abai/o* as in%orma-Des ariam de acordo com as con%i4ura-Des do
PC ou RS (ue o mikrotik %oi instalado:
Caso as in%orma-Des n!o apare-am* al4uma coisa saiu errada* ree$a os passos noamente. Pois sem isso
o SSJ n!o %uncionar. Caso o erro persista* pe-a a$uda no %&rum* mas antes procure saber se n!o h
t&picos $ tratando desse assunto usando a busca.
Co mais , isso.
Seu Mk-auth e seu Mikrotik est!o deidamente con%i4urados para %uncionarem $untos.
Cota:
Como $ dito acima* poste suas d)idas no %&rum* antes procure saber se n!o e/iste um t&pico re%erente a
sua d)ida usando a busca.
3o pedir a$uda no %&rum* procure escreer de %orma clara e simples* eite erros 4ramticos e
orto4r%icos. Procure e/por sua d)ida de %orma clara e ob$etia. Se$a educado e sempre a4rade-a
mesmo a solu-!o proposta n!o tendo dado certo* pois no %&rum* assim como esse tutorial* o (ue ale , a
inten-!o de te a$udar.
Se tier al4um erro nesse tutorial ou por descuido %altou al4uma coisa* pe-o encarecidamente (ue os
ami4os me corri$am e me apontem as %alhas ou %altas. Em bree estarei %arendo um _3G para as
per4untas e respostas mais comuns e estarei atualizando nesse mesmo tutorial.
3bra-os a todos e at, a pr&/ima.