terça-feira, 23 de fevereiro de 2016

Mikrotik - dicas de configuração

http://wiki.radius.net.br/index.php?title=Par%C3%A2metros_do_Radius

Parâmetros do Radius

Tabela de conteúdo

[esconder]

Consultar NAS

Utilize o menu para consultar os NAS cadastrados. Você pode modificar os dados do NAS listado clicando no local correspondente.
São oferecidas, ainda, as seguintes opções:
Item Descrição
Imprimir (botão) Gera um PDF com o resultado da consulta. Opção mostrada somente em caso de consulta com NAS encontrados.
Cadastrar Novo NAS (botão) Vai para a tela de cadastro de NAS.
Icon-note.png
Dica: A coluna pode ser ordenada clicando-se na seta correspondente ao lado do título.




Cadastrar NAS

Introdução

NAS significa Network Access Server. É o servidor onde o usuário se conectará para navegar na internet. O Mikrotik é um NAS. Os rádios da Ubiquiti, a partir da versão 5.5.2 também podem ser NAS.
Icon-note.png
Dica: Uma forma fácil de determinar qual equipamento é um NAS é verificar onde as queues dos usuários são criadas. Todo lugar onde há queue é um NAS. Routerboards em bridge, sem queues, provavelmente não serão NAS.


Icon-note.png
Dica: Todo NAS é automaticamente monitorado pelo RadiusGraph!


O NAS, antes de liberar a navegação ao usuário, irá verificar junto ao RadiusNET se a navegação pode ser liberada.

Leia atentamente essa seção para aprender a configurar seu NAS corretamente e utilizar todos os recursos que o RadiusNET oferece.

Configuração do Mikrotik

Antes de configurar o RadiusNET é preciso configurar corretamente o Mikrotik.
Icon-warn2.png
ATENÇÃO: Não pule esta etapa. Leia com muita atenção toda a explicação abaixo.


Icon-youtube.png
Vídeo: Após ler as instruções abaixo, veja em detalhes como configurar um NAS Mikrotik aqui


Deverão ser configurados os seguintes itens:
  • Timezone
  • Relógio
  • SNTP
  • SSH
  • API
  • SNMP
  • Radius

Acertando o Timezone

O horário propriamente dito será acertado no próximo passo. Nesse momento deverá ser acertado o "timezone", ou seja, a região do provedor.
Acesse o New Terminal do Winbox e digite:
 /system clock set time-zone-name=America/Sao_Paulo
Icon-note.png
Dica: Digite /system clock set time-zone-name=America/ e depois tecle TAB para ver todas as regiões disponíveis.


Acertando o Relógio

Utilize servidores externos para manter o correto horário de seu Mikrotik. Manter o relógio certo é de extrema importância para o correto funcionamento dos Logs e outras funcionalidades.
Para acertar o Mikrotik para utilizar os servidores a.ntp.br e b.ntp.br acesse o New Terminal do Winbox e digite:
/system ntp client set enabled=yes mode=unicast primary-ntp=200.160.0.8 secondary-ntp=200.189.40.8

Protegendo seu sistema

Desabilite o acesso por TELNET, FTP e WWW e WWW-SSL:
/ip service disable telnet ; /ip service disable ftp ; /ip service disable www ; /ip service disable www-ssl
Icon-note.png
Dica: Caso queira deixar o www habilitado remova do comando acima a parte referente ao www.


Habilitando o SSH

O RadiusNET utiliza comandos SSH para algumas funções. Para isso é necessário fornecer nome de usuário e senha para acesso ao Winbox.
Para habilitar o acesso por SSH na porta 22 somente para a máquina do RadiusNET com IP 192.168.0.100, siga o procedimento abaixo no New Terminal:
/ip service set ssh disabled=no address=192.168.0.100 port=22
Icon-warn2.png
ATENÇÃO: Recomendamos que seja SEMPRE colocado o IP do RadiusNET no campo address, para evitar ataques ao SSH de pessoas não autorizadas.


Habilitando o API

O RadiusNET utiliza comandos API para algumas funções. Para isso é necessário fornecer nome de usuário e senha para acesso ao Winbox.
Para habilitar o acesso por API na porta 8728 somente para a máquina do RadiusNET com IP 192.168.0.100, siga o procedimento abaixo no New Terminal:
/ip service set api disabled=no address=192.168.0.100 port=8728
Icon-warn2.png
ATENÇÃO: Recomendamos que seja SEMPRE colocado o IP do RadiusNET no campo address, para evitar ataques ao API de pessoas não autorizadas.


Icon-warn2.png
ATENÇÃO: JAMAIS TROQUE A PORTA DO API.


Habilitando o SNMP

O SNMP é indispensável para o correto funcionamento do protocolo Radius, principalmente para que nenhum login fique "travado" sem o cliente estar online.
Para habilitar o SNMP no Mikrotik, para receber comandos somente do RadiusNET no IP 192.168.0.100, digite no New Terminal:
/snmp community add name=public address=192.168.0.100 security=none read-access=yes write-access=yes ; /snmp set enabled=yes trap-target=0.0.0.0 trap-community=public trap-version=1
Caso o comando acima retorne o erro "failure: comunity with the same name already exists!" execute o seguinte comando:
/snmp community set public address=192.168.0.100 security=none read-access=yes write-access=yes ; /snmp set enabled=yes trap-target=0.0.0.0 trap-community=public trap-version=1
Icon-warn2.png
ATENÇÃO: Verifique no menu SNMP. Deve haver APENAS UMA LINHA COM O NAME PUBLIC. Caso haja duas linhas, removas as duas e repita o comando.


Icon-warn2.png
ATENÇÃO: Recomendamos que seja SEMPRE colocado o IP do RadiusNET no campo address, para evitar ataques SNMP de pessoas não autorizadas.


Habilitando a Routerboard para o protocolo Radius

Os procedimentos abaixo habilitarão a Routerboard para trabalhar com o protocolo Radius.
Para habilitar o serviço para o servidor do RadiusNET no IP 192.168.0.100 com a chave secret "frasesecreta" digite o comando abaixo no New Terminal:
/radius incoming set accept=yes port=3799 ; /radius add service=dhcp,hotspot,ppp,wireless address=192.168.0.100 secret=frasesecreta authentication-port=1812 accounting-port=1813 timeout=600ms
Icon-warn2.png
ATENÇÃO: JAMAIS MUDE O authentication-port=1812 e accounting-port=1813.


Icon-warn2.png
ATENÇÃO: Verifique no menu RADIUS. Deve haver APENAS UMA LINHA. Caso haja duas linhas, removas as duas e repita o comando.


Icon-warn2.png
ATENÇÃO: Na opção secret coloque APENAS letras e números. Não coloque espaços, acentos ou cedilha (ç). Secret é a senha que o NAS utiliza para autenticar-se no RadiusNET.


Icon-note.png
Dica: Em service deixe todas as opções acima mesmo que não vá utilizar todas, uma vez que na configuração do serviço em si (PPPoE, Hotspot, etc) ainda é necessário habilitar o Radius.


Configurando um Usuário para o RadiusNET

O RadiusNET necessita de um usuário com acesso total a routerboard via API e SSH. Para isso crie um usuário e senha específico para o servidor do RadiusNET. Para criar um usuário e senha numa RB com seu RadiusNET no IP 192.168.0.100 digite o seguinte no New Terminal:
/user add name=radiususer password=radius332299 group=full address=192.168.0.100 comment="Usuario RadiusNET - Nao apagar"
A Regra acima cria o usuário "radiususer" com a senha "radius332299" com acesso "full" mas limitando seu login do IP 192.168.0.100, no caso, o servidor do RadiusNET, evitando acesso não autorizado com esse nome de usuário e senha de outros IPs. Você pode mudar o usuário e senha para o que você quiser.
Icon-warn2.png
ATENÇÃO: Algumas versões do MK possuem um bug: aceitam a regra acima mas criam o usuário com senha em branco. Nesse caso o RadiusNET dará um "erro de API" na hora de cadastrar um NAS. Se isso ocorrer coloque a senha manualmente pelo Winbox através do menu System >> Users.


Configuração Ubiquiti

Vá na aba SERVICES e habilite o SNMP Agent. Deixe o campo "SNMP Community" com a palavra "public" (sem aspas). Os campos "Contact" e "Location" podem ficar em branco.
Ainda na aba SERVICES habilite o SSH. No campo "Server Port" você pode escolher qualquer porta (irá precisar dessa informação adiante). Deixe marcado o campo "Password Authentication".
Clique em "Change" e depois em "Apply" para salvar as mudanças feitas na aba SERVICES.
Para configurar a aba WIRELESS corretamente, siga os procedimentos aqui.

Configuração Ubiquiti - EdgeMAX

Para saber como configurar seu EdgeMAX/EdgeRouter para funcionamento com o RadiusNET siga os passos do vídeo abaixo.
Icon-youtube.png
Vídeo: Clique aqui


Configuração do RadiusNET

Após configuradas todas as opções na(s) Routerboard(s) e/ou Ubiquiti, basta entrar com os dados no RadiusNET.
São oferecidas as seguintes opções:


Item Descrição
IP do NAS (numérico e obrigatório) Coloque o IP do seu roteador que irá fazer as requisições ao RadiusNET.
Nome do NAS (alfanumérico e obrigatório) Coloque um nome amigável para seu NAS. Coloque APENAS letras e números. Não coloque acentos ou cedilha (ç).
Type (combo e obrigatório) Selecione qual o tipo do NAS. Se o seu NAS for Mikrotik SEMPRE escolha a opção "Mikrotik". Se for Ubiquiti SEMPRE escolha a opção Ubiquiti.
Palavra Secreta (alfanumérico e obrigatório) Coloque aqui o "secret" configurado na Routerboard/Ubiquiti. Coloque APENAS letras e números. Não coloque espaços, acentos ou cedilha (ç).
Descrição (alfanumérico e obrigatório) Coloque um nome amigável para seu NAS. Coloque APENAS letras e números. Não coloque acentos ou cedilha (ç).
Incoming Port (numérico e obrigatório) Número da porta que o RADIUSNET irá utilizar para avisar ao roteador que o usuário deverá ser desconectado. Assim, para poder desconectar usuários diretamente através do RadiusNET esse parâmetro deverá ser habilitado. Caso tenham sido seguidas corretamente as instruções de configuração passadas será a porta 3799.
Usuário (alfanumérico e obrigatório) Cadastre o nome do usuário para acesso remoto via SSH no Mikrotik ou Ubiquiti. Pode ser utilizado o usuário "admin" ou se preferir crie um usuário específico. Este campo é case sensitive, ou seja, "Admin" é diferente de "admin", que é diferente de "ADMIN", etc.
Senha do Usuário (alfanumérico e obrigatório) Cadastre a senha do usuário remoto do SSH do Mikrotik/Ubiquiti colocado no campo anterior. Este campo é case sensitive, ou seja, "Senha" é diferente de "senha", que é diferente de "SENHA", etc.
Porta SSH (numérico e obrigatório) Coloque a porta do "service" SSH da Routerboard ou na aba SERVICES da Ubiquiti.
Hotspot para Status Avisado (combo e obrigatório) Coloque "sim" SOMENTE se esse NAS for responsável por mostrar o aviso para usuários DHCP ou PPPoE que estiverem com status avisado. Na dúvida deixe em "NÃO"! Ubiquiti é SEMPRE "não".
Icon-warn2.png
ATENÇÃO: Para o correto controle de conexões simultâneas e para obter gráficos de sinal de cliente, velocidade, etc, o parâmetro TYPE deve ser configurado corretamente.


Monitoramento de Rede - Somente Mikrotik

Ao clicar em GRAVAR, se tudo foi configurado corretamente, o RadiusNET irá conectar-se ao NAS e pegar a quantidade de interfaces ether, bridge e wlan. Serão mostradas as seguintes opções:
Item Descrição
Monitorar Nível de Sinal e Valor (-dBm) (combo, numérico e obrigatório) Selecione "Sim" e complete o valor numérico para utilizar essa função. Ao habilitar essa função o RadiusNET irá monitorar o sinal de todos os clientes conectados na Routerboard. Caso o sinal fique com valor inferior ao aqui colocado, o RadiusNET irá abrir uma Ordem de Serviço informando o ocorrido. No campo "Valor (-dBm)" não há necessidade de colocar o sinal de menos (Ex. Valor (-dBm) 70). Se o sinal de algum usuário ficar entre -71 em diante será aberta uma Ordem de Serviço automaticamente. Lembre-se sinal -71 é PIOR que sinal -70.
Monitorar CPU e Valor (%) (combo, numérico e obrigatório) Selecione "Sim" e complete o valor numérico para utilizar essa função. Ao habilitar essa função o RadiusNET irá monitorar o nível da CPU da Routerboard. Caso o valor fique acima do indicado será aberta uma Ordem de Serviço automaticamente informando o ocorrido.
Monitorar Memória e Valor (%) (combo, numérico e obrigatório) Selecione "Sim" e complete o valor numérico para utilizar essa função. Ao habilitar essa função o RadiusNET irá monitorar a utilização de memória da Routerboard. Caso o valor fique acima do indicado será aberta uma Ordem de Serviço automaticamente informando o ocorrido.
Monitorar HD e Valor (%) (combo, numérico e obrigatório) Selecione "Sim" e complete o valor numérico para utilizar essa função. Ao habilitar essa função o RadiusNET irá monitorar a utilização do HD da Routerboard. Caso o valor fique acima do indicado será aberta uma Ordem de Serviço automaticamente informando o ocorrido.
Monitorar (ether, bridge ou wlan), Input e Output (combo, numérico e obrigatório) Selecione "Sim" e complete o valor numérico em megabytes para utilizar essa função. Ao habilitar essa função o RadiusNET irá monitorar o tráfego na interface (throughput). Caso o valor fique acima do colocado será aberta uma Ordem de Serviço automaticamente informando o ocorrido.
Icon-note.png
Dica: Utilize o monitoramento da Routerboard para alertar em caso de alta utilização da CPU. Utilize o monitoramento de interface para alertar em caso de alta utilização das interfaces o que pode gerar pontos de lentidão na rede ou indicar ser necessário adquirir mais link.

0 comentários: