[Inclusão Digital]RES: RES: RES: Duvidas Radius+Hotspot
Flavio Karoleski
flavio em viaguaiba.com.br
Terça Agosto 17 12:08:01 BRT 2010
Aproveitando o post, Não seria melhor manter o HotSpot no POP (na router) ao
inves de centralizar? Se autenticando no Mk-Auth via Radius, mas ja com
trafego controlado na ponta, QOS.
SE manter centralizado, a RB na ponta trabalha folgada, mas o trafego da
rede, virus?
Flavio Karoleski
--------------------------------------------------
From: "Jociano Araújo - Infoweb Banda Larga"
<jociano em infowebbandalarga.com.br>
Sent: Tuesday, August 17, 2010 11:54 AM
To: "'Associados da ANID'" <inclusaodigital em anid.com.br>
Subject: [Inclusão Digital]RES: RES: RES: Duvidas Radius+Hotspot
> Não, Não!
>
> Você nesse cenário terá que ter 3(três) maquinas, sendo elas:
>
> 1ª Maquina - Mikrotik PPPoE ou Hotspot
>
> 2ª Maquina - Mk-Auth Gerenciamento, Radius e etc... (Essa você não ativa o
> Thunder)
>
> 3ª Maquina - Mk-Auth com Thunder para o cachê (Essa não necessita de
> licenciamento!)
>
> Segue em anexo um diagrama para você entender melhor.
>
> Abraços!
>
> Jociano Araújo
> Diretor Tecnico
> Infoweb - Internet Banda Larga
> Av. Duque de Caxias, 5158 - Água Mineral
> 64006-220 - Teresina - PI
> Tel: (86) 3214-4225
> E-mail: jociano em infowebbandalarga.com.br
> Site: www.infowebbandalarga.com.br
>
>
> -----Mensagem original-----
> De: inclusaodigital-bounces em anid.com.br
> [mailto:inclusaodigital-bounces em anid.com.br] Em nome de Carlos
> Enviada em: terça-feira, 17 de agosto de 2010 11:16
> Para: Associados da ANID
> Assunto: Re: [Inclusão Digital]RES: RES: Duvidas Radius+Hotspot
>
> Jociano, o mk-auth está numa máquina e o mikrotik em outra.
>
> Voce diz para usar uma terceira máquina com o mk+thunder e deixar a atual
> só com o mk-auth para gerenciamento?
> Carlos
>
> Em 17 de agosto de 2010 10:58, Jociano Araújo - Infoweb Banda Larga <
> jociano em infowebbandalarga.com.br> escreveu:
>
>> Carlos,
>>
>> Realmente é complicado utilizar os 2 (dois) na mesma maquina, isso é uma
>> dor
>> de cabeça tremenda, aconselho e instalar o Mk-auth com o Thunder em uma
>> maquina separada para essa finalidade (proxy), pois o Mk-Auth com o
> Thunder
>> não precisa de licença, só será preciso licenciar caso queira utilizar as
>> demais funções, mas se for somente para usar o Thunder não precisa
>> licenciar.
>>
>> Abraços!
>>
>> Jociano Araújo
>> Diretor Tecnico
>> Infoweb - Internet Banda Larga
>> Av. Duque de Caxias, 5158 - Água Mineral
>> 64006-220 - Teresina - PI
>> Tel: (86) 3214-4225
>> E-mail: jociano em infowebbandalarga.com.br
>> Site: www.infowebbandalarga.com.br
>>
>> -----Mensagem original-----
>> De: inclusaodigital-bounces em anid.com.br
>> [mailto:inclusaodigital-bounces em anid.com.br] Em nome de Carlos
>> Enviada em: terça-feira, 17 de agosto de 2010 10:51
>> Para: Associados da ANID
>> Assunto: Re: [Inclusão Digital]RES: Duvidas Radius+Hotspot
>>
>> Valeu, Jociano.
>> Quanto ao proxy, sim uso.
>> O real motivo de instalar o MK-auth foi pelo fato dele ter o
>> thundercache.
>> Se desativar ele, daí vou perder uma das funcionalidades mais
>> interessantes.
>> A parte financeira é necessária, mas essa a gente contorna. Sem thunder é
>> que é ruim.
>>
>> Mas vou tentar um downgrade para ver como fica.
>> Carlos
>>
>> Em 17 de agosto de 2010 10:13, Jociano Araújo - Infoweb Banda Larga <
>> jociano em infowebbandalarga.com.br> escreveu:
>>
>> > Só você ir em opções/configuração geral e lá dentro vai ter várias
>> funções
>> > para habilitar ou desabilitar e uma delas é de update automático.
>> >
>> > Jociano Araújo
>> > Diretor Tecnico
>> > Infoweb - Internet Banda Larga
>> > Av. Duque de Caxias, 5158 - Água Mineral
>> > 64006-220 - Teresina - PI
>> > Tel: (86) 3214-4225
>> > E-mail: jociano em infowebbandalarga.com.br
>> > Site: www.infowebbandalarga.com.br
>> >
>> > -----Mensagem original-----
>> > De: inclusaodigital-bounces em anid.com.br
>> > [mailto:inclusaodigital-bounces em anid.com.br] Em nome de Carlos
>> > Enviada em: terça-feira, 17 de agosto de 2010 09:54
>> > Para: Associados da ANID
>> > Assunto: Re: [Inclusão Digital]Duvidas Radius+Hotspot
>> >
>> > Obrigado Jociano, vamos providenciar.
>> > Uma coisa que eu observei agora.
>> > Ontem eu estava com a 4.78 e agora apareceu a 4.79 . Ele atualizou
>> sozinho.
>> > Tem onde desativar alguma coisa para não atualizar automático?
>> >
>> > Carlos
>> >
>> > Em 17 de agosto de 2010 00:41, Jociano Araújo <
>> > jociano em infowebbandalarga.com.br> escreveu:
>> >
>> > > Carlos,
>> > >
>> > > Utilizo o Mk-Auth com sucesso aqui no meu provedor, sugiro que façao
>> > > downgrade para versão 4.77e assim permaneça até que seja encontrada a
>> > > solução para essa versão que, até o momento, o Pedro não conseguiu
>> > > encontrar.
>> > >
>> > > Abraços!
>> > >
>> > > Em 16 de agosto de 2010 23:56, Carlos <j1929 em ibest.com.br> escreveu:
>> > >
>> > > > Flávio, apesar de eu ter elogiado o MK-auth, eu estou usando ele
>> > > > faz
>> > duas
>> > > > semanas. Tive alguns problemas iniciais mais por conta das
>> > configurações.
>> > > > Mas hoje a coisa ficou meio confusa. Vários clientes reclamando de
>> > > > lentidão.
>> > > > Já reiniciei ele 3 x hoje. E alguns tem dificuldade de logar,
>> > > > dando
>> > > > mensagem de que o radius não permitiu. Mas estes clientes estão com
>> > login
>> > > e
>> > > > senha gravados no navegador. Então não é erro de digitação.
>> > > > A versão é a 4.78. Mas já li vários relatos de dificuldades com
>> > > > esta
>> > > > versão.
>> > > >
>> > > > Qual a versão que tu está usando? Já lancei algumas perguntas no
>> forum
>> > do
>> > > > mk-auth para ver se encontro a solução.
>> > > > Carlos
>> > > >
>> > > > Em 16 de agosto de 2010 08:43, Flavio Karoleski
>> > > > <flavio em viaguaiba.com.br>escreveu:
>> > > >
>> > > > > Uso o MK-Auth de forma muito SATISFATORIA, tenho muitas torres
>> > > > espalhadas,
>> > > > > tudo com HOTSPOT e o controle fica tudo centralizado no Radius do
>> > > > Mk-auth.
>> > > > >
>> > > > > No POP o Access List é via Mk-Auth (radius), após o cliente
>> conecta,
>> > o
>> > > > > hotspot da RB ja vai tambem se autenticar via Radius. Ficando o
>> > Hotspot
>> > > > na
>> > > > > torre, isolado do resto da rede, mas controlado pelo Mk-auth.
>> > > > >
>> > > > >
>> > > > > Sem contar na tranquilidade dos "cortes", que o mk-auth faz
>> > > > automaticamente
>> > > > > aos inadimplentes, e reabilita quando pago.
>> > > > >
>> > > > > Flavio Karoleski
>> > > > > Viaguaiba
>> > > > >
>> > > > > --------------------------------------------------
>> > > > >
>> > > > > From: "Carlos" <j1929 em ibest.com.br>
>> > > > > Sent: Monday, August 16, 2010 12:32 AM
>> > > > >
>> > > > > To: "Associados da ANID" <inclusaodigital em anid.com.br>
>> > > > > Subject: Re: [Inclusão Digital]Duvidas Radius+Hotspot
>> > > > >
>> > > > > Andrio, agora me llembrei que o MK-Auth dá para controlar vários
>> > > > hotspots.
>> > > > >> Mas não sei a questão remota via wireless, mas com cabo vai
>> > tranquilo.
>> > > > >> Cada
>> > > > >> conexão entre o MK-auth e o hotspot tem uma chave SSH.
>> > > > >> Entra no forum do mk-auth e pergunta, pois lá tem gente que usa
>> > > > >> o
>> mk
>> > > > auth
>> > > > >> em
>> > > > >> vários cenários.
>> > > > >> Você usa o Webmikrotik, né?
>> > > > >> Mas os princípios de funcionamento devem ser semelhantes.
>> > > > >> Ele tem também servidor radius?
>> > > > >> Carlos
>> > > > >>
>> > > > >> Em 16 de agosto de 2010 00:05, Andrio Prestes Jasper
>> > > > >> <mascaraapj em gmail.com>escreveu:
>> > > > >>
>> > > > >> a questao nao é somente essa de broadcast, virus.
>> > > > >>> a questao é isolacao de problemas.
>> > > > >>>
>> > > > >>> se acontecer algum ataque interno ou algum outro problema...
> esse
>> > > > >>> problema
>> > > > >>> ficara somente ali naquela regiao atendida por determinado
>> server.
>> > > > >>> nao gerando problema e/ou parando o restante da rede...
>> > > > >>>
>> > > > >>> Em 15 de agosto de 2010 23:55, Rubens Kuhl <rubensk em gmail.com>
>> > > > escreveu:
>> > > > >>>
>> > > > >>> > Dá para filtrar broadcast e virus em bridging, e isso é
>> > importante
>> > > de
>> > > > >>> > se fazer de forma distribuída quer se use WDS, EoIP, VPLS
>> > > > >>> > para
>> > > > >>> > transporte e quer se use PPPoE, DHCP ou Hotspot para
>> > > > >>> > controle.
>> > > > >>> >
>> > > > >>> >
>> > > > >>> > Rubens
>> > > > >>> >
>> > > > >>> >
>> > > > >>> > 2010/8/15 Patrick Brandão <listas em tmsoft.com.br>:
>> > > > >>> > > Carlos,
>> > > > >>> > >
>> > > > >>> > > de uma lida em alguns powerpoints meus,
>> > > > www.tmsoft.com.br/arquivos/
>> > > > >>> > >
>> > > > >>> > > o unico problema de centralizar o hotspot é o broadcast do
>> > > > ms-windows
>> > > > >>> > > e
>> > > > >>> > > virus, que podem causar
>> > > > >>> > > uma tempestade, isolando a comunicação entre os braços da
>> rede
>> > > sana
>> > > > >>> esse
>> > > > >>> > > risco.
>> > > > >>> > >
>> > > > >>> > > Att,
>> > > > >>> > > Patrick
>> > > > >>> > >
>> > > > >>> > > ----- Original Message ----- From: "Carlos" <
>> > j1929 em ibest.com.br>
>> > > > >>> > > To: "Associados da ANID" <inclusaodigital em anid.com.br>
>> > > > >>> > > Sent: Sunday, August 15, 2010 11:01 PM
>> > > > >>> > > Subject: Re: [Inclusão Digital][Inclusão Digital] Duvidas
>> > > > >>> Radius+Hotspot
>> > > > >>> > >
>> > > > >>> > >
>> > > > >>> > > Algum tempo atrás surgiu uma polêmica sobre o hotspot, que
>> > daria
>> > > > >>> latência
>> > > > >>> > a
>> > > > >>> > > medida que aumentasse o número do usuários.
>> > > > >>> > > Daí escrevi para o Wardner Maia.
>> > > > >>> > > No retorno entre outras coisas ele me disse que tem
>> servidores
>> > >
>> > > >
>> > > > >>> hotspot
>> > > > >>> > com
>> > > > >>> > > 1000 usuários rodando sem problemas.
>> > > > >>> > > Daí que não esquentei mais a cabeça com isso não. Está tudo
>> > > > >>> centralizado.
>> > > > >>> > > Logicamente não tenho um número tão elevado mas continuo
>> > > crescendo
>> > > > e
>> > > > >>> > espero
>> > > > >>> > > que o hotspot continue atendendo bem.
>> > > > >>> > > Andrio, qual seria a vantagem desta descentralização?
>> > > > >>> > >
>> > > > >>> > > E quanto a WPA2 eu uso aqui Liandro. Mas não é individual.
> Já
>> > > > tentei
>> > > > >>> > > entender como é isso mas até agora não consegui.
>> > > > >>> > > Os Nanos tem WPA2 TKIP ou WPA2 AES. Onde eu iria configurar
>> > para
>> > > > >>> > individual.
>> > > > >>> > > Nunca encontrei uma descrição mais detalhada de como
>> implantar
>> > > > chave
>> > > > >>> > > individual.
>> > > > >>> > > Fico curioso para saber como é isso.
>> > > > >>> > > Carlos
>> > > > >>> > >
>> > > > >>> > >
>> > > > >>> > > Em 15 de agosto de 2010 21:57, Liandro Paulo Carniel <
>> > > > >>> > > liandro em medianeira.com.br> escreveu:
>> > > > >>> > >
>> > > > >>> > >>
>> > > > >>> > >>
>> > > > >>> > >> Caro Andrio
>> > > > >>> > >>
>> > > > >>> > >> Há cerca de 1 ano realizamos
>> > > > >>> > >> alteração na estrutura semelhante a sua.
>> > > > >>> > >> Centralizando
>> > > > >>> > >> a autenticação através de Radius num servidor, e as
>> > > > >>> > >> AP´s mais próximas aos clientes buscam os dados para
>> > > > >>> > >> autenticar nesse server.
>> > > > >>> > >>
>> > > > >>> > >> Hoje, temos esse problema em
>> > > > >>> > >> relação aos Ip´s válidos (termos que quebrar em
>> > > > >>> > >> várias partes), mas estamos estudando a alteração
>> > > > >>> > >> disso, paralelo a implantação do BGP com nossa
>> > > > >>> > >> própria faixa de IP.
>> > > > >>> > >>
>> > > > >>> > >> Temos um servidor cache em paralelo
>> > > > >>> > >> como demonstra seu mapa também.
>> > > > >>> > >> Fizemos o redirecionamento dos
>> > > > >>> > >> clientes para o cache, la na AP mais próxima ao cliente, o
>> que
>> > > nos
>> > > > >>> > >> permite retirar clientes especificos, negando a eles
>> > > > >>> > >> passar
>> > pelo
>> > > > >>> cache.
>> > > > >>> > >>
>> > > > >>> > >> Quanto ao cadastro do cliente, creio que a melhor maneira
>> > > > >>> > >> seja ter uma máquina com todos os dados do cliente, (em
>> banco
>> > de
>> > > > >>> > >> dados), e dai nos AP´s que atendem os clientes, você
>> configura
>> > > > >>> > >> para buscar no radius que tem esses dados.
>> > > > >>> > >> Incluisive aconselho a
>> > > > >>> > >> já pensar em fazer o cadastro com chave WPA2 individual
> para
>> > > cada
>> > > > >>> > >> cliente. Já que vai mudar sua estrutura, já pense nisso.
>> > > > >>> > >> Tudo fazendo na AP perto do cliente, que busca na máquina
>> > > > >>> > >> centralizadora.
>> > > > >>> > >>
>> > > > >>> > >> ------------------------------------------------------
>> > > > >>> > >> Liandro
>> > > > >>> > >> Paulo Carniel - msn: liandrocarniel em hotmail.com
>> > > > >>> > >> Portal Medianeira -
>> > > > >>> > >> (45) 3264-6107
>> > > > >>> > >> Jornal Nossa FOLHA - (45) 3264-5269
>> > > > >>> > >> www.medianeira.com.br
>> > > > >>> > >> www.tudomedianeira.com.br
>> > > > >>> > >>
>> > > > >>> > >> Gente
>> > > > >>> > >>
>> > > > >>> > >> Estou querendo modificar a estrutura da minha rede.
>> > > > >>> > >> Tenho uma
>> > > > >>> > >> rede Hotspot funcionando.
>> > > > >>> > >> Devido ao crescimento e por querer colocar
>> > > > >>> > >> "servidor" o mais proximo do
>> > > > >>> > >> cliente...
>> > > > >>> > >> Pretendo
>> > > > >>> > >> colocar um server radius (MASTER MK SERVER) centralizado e
>> > > varios
>> > > > >>> > >> hotspot (MK SERVER) distribuidos para gerenciar os
> clientes.
>> > > > >>> > >>
>> > > > >>> > >> assim, a autenticacao de cada cliente sera verificado na
>> > > > central...
>> > > > >>> > >> porem,
>> > > > >>> > >> o
>> > > > >>> > >> mesmo sera gerenciado na torre mais proxima.
>> > > > >>> > >> evitando alguns trafegos desnecessarios no enlace.
>> > > > >>> > >> exemplo de como
>> > > > >>> > >> quero deixar a rede:
>> > > > >>> > >>
>> > > > >>> > >>
>> > > > >>> > >>
>> > > > >>> >
>> > > > >>>
>> > > > >>>
>> > > >
>> > >
>> >
>> >
>>
>>
> http://under-linux.org/attachments/f143/13680-radius-hotspot-rede-aut-centra
>> >
>> lizada-jpg<
>> http://under-linux.org/attachments/f143/13680-radius-hotspot-rede
>>
> -aut-centra%0Alizada-jpg<http://under-linux.org/attachments/f143/13680-radiu
> s-hotspot-rede%0A-aut-centra%0Alizada-jpg>
>> >
>> > > > >>> > >>
>> > > > >>> > >>
>> > > > >>> > >> mas tenho algumas duvidas:
>> > > > >>> > >> - no caso de usar IPs
>> > > > >>> > >> validos, como ficaria a configuracao de IPs?
>> > > > >>> > >> digo, terei que quebrar
>> > > > >>> > >> a faixa em pequenos grupos e configurar um grupo
>> > > > >>> > >> em
>> > > > >>> > >> cada
>> > > > >>> > >> "MK SERVER"... ou os IPs validos seriam configurados no
>> server
>> > > > >>> > >> radius
>> > > > >>> > >> (MASTER MK SERVER) centralizado, e esse que faria o
>> > > > >>> > >> gerenciamento dos ips
>> > > > >>> > >> dos clientes?
>> > > > >>> > >>
>> > > > >>> > >> - no server radius
>> > > > >>> > >> (MASTER MK SERVER) centralizado, teria como colocar um
>> > > > >>> > >> servidor
>> > > > >>> > >> cache em paralelo? ou qual seria a melhor forma de colocar
>> um
>> > > > >>> > >> servidor cache central?
>> > > > >>> > >> pretendo colocar o thunder cache 4
>> > > > >>> > >>
>> > > > >>> > >> - ao cadastrar o cliente, devo cadastra-lo no servidor
>> radius
>> > > > >>> > >> central
>> > > > >>> > >> (MASTER MK SERVER) ou no hotspot (MK SERVER)... ou em
> ambos?
>> > > > >>> > >>
>> > > > >>> > >>
>> > > > >>> > >> Desde ja, obrigado.
>> > > > >>> > >> --
>> > > > >>> > >> Andrio Prestes Jasper
>> > > > >>> > >> LGM Tecnologia em Informatica
>> > > > >>> > >> Celular: (65)8403-1469
>> > > > >>> > >> email:
>> > > > >>> > >> andrio.jasper em lgmtecnologia.com.br
>> > > > >>> > >> msn: mascara_apj em hotmail.com
>> > > > >>> > >> _______________________________________________
>> > > > >>> > >> Inclusaodigital
>> > > > >>> > >> mailing list
>> > > > >>> > >> Inclusaodigital em anid.com.br
>> > > > >>> > >> http://anid.com.br/mailman/listinfo/inclusaodigital
>> > > > >>> > >>
>> > > > >>> > >>
>> > > > >>> > >> _______________________________________________
>> > > > >>> > >> Inclusaodigital mailing list
>> > > > >>> > >> Inclusaodigital em anid.com.br
>> > > > >>> > >> http://anid.com.br/mailman/listinfo/inclusaodigital
>> > > > >>> > >>
>> > > > >>> > > _______________________________________________
>> > > > >>> > > Inclusaodigital mailing list
>> > > > >>> > > Inclusaodigital em anid.com.br
>> > > > >>> > > http://anid.com.br/mailman/listinfo/inclusaodigital
>> > > > >>> > > _______________________________________________
>> > > > >>> > > Inclusaodigital mailing list
>> > > > >>> > > Inclusaodigital em anid.com.br
>> > > > >>> > > http://anid.com.br/mailman/listinfo/inclusaodigital
>> > > > >>> > >
>> > > > >>> > _______________________________________________
>> > > > >>> > Inclusaodigital mailing list
>> > > > >>> > Inclusaodigital em anid.com.br
>> > > > >>> > http://anid.com.br/mailman/listinfo/inclusaodigital
>> > > > >>> >
>> > > > >>>
>> > > > >>>
>> > > > >>>
>> > > > >>> --
>> > > > >>> Andrio Prestes Jasper
>> > > > >>> LGM Tecnologia em Informatica
>> > > > >>> Celular: (65)8403-1469
>> > > > >>> email: andrio.jasper em lgmtecnologia.com.br
>> > > > >>> msn: mascara_apj em hotmail.com
>> > > > >>> _______________________________________________
>> > > > >>> Inclusaodigital mailing list
>> > > > >>> Inclusaodigital em anid.com.br
>> > > > >>> http://anid.com.br/mailman/listinfo/inclusaodigital
>> > > > >>>
>> > > > >>> _______________________________________________
>> > > > >> Inclusaodigital mailing list
>> > > > >> Inclusaodigital em anid.com.br
>> > > > >> http://anid.com.br/mailman/listinfo/inclusaodigital
>> > > > >>
>> > > > >
>> > > > > _______________________________________________
>> > > > > Inclusaodigital mailing list
>> > > > > Inclusaodigital em anid.com.br
>> > > > > http://anid.com.br/mailman/listinfo/inclusaodigital
>> > > > >
>> > > > _______________________________________________
>> > > > Inclusaodigital mailing list
>> > > > Inclusaodigital em anid.com.br
>> > > > http://anid.com.br/mailman/listinfo/inclusaodigital
>> > > >
>> > >
>> > >
>> > >
>> > > --
>> > > Jociano Araújo - Diretor Técnico
>> > > Infoweb - Internet Banda Larga
>> > > www.infowebbandalarga.com.br
>> > > + 55 (86) 9411-7597
>> > > 3214-4225
>> > > _______________________________________________
>> > > Inclusaodigital mailing list
>> > > Inclusaodigital em anid.com.br
>> > > http://anid.com.br/mailman/listinfo/inclusaodigital
>> > >
>> > _______________________________________________
>> > Inclusaodigital mailing list
>> > Inclusaodigital em anid.com.br
>> > http://anid.com.br/mailman/listinfo/inclusaodigital
>> >
>> > _______________________________________________
>> > Inclusaodigital mailing list
>> > Inclusaodigital em anid.com.br
>> > http://anid.com.br/mailman/listinfo/inclusaodigital
>> >
>> _______________________________________________
>> Inclusaodigital mailing list
>> Inclusaodigital em anid.com.br
>> http://anid.com.br/mailman/listinfo/inclusaodigital
>>
>> _______________________________________________
>> Inclusaodigital mailing list
>> Inclusaodigital em anid.com.br
>> http://anid.com.br/mailman/listinfo/inclusaodigital
>>
> _______________________________________________
> Inclusaodigital mailing list
> Inclusaodigital em anid.com.br
> http://anid.com.br/mailman/listinfo/inclusaodigital
>
> _______________________________________________
> Inclusaodigital mailing list
> Inclusaodigital em anid.com.br
> http://anid.com.br/mailman/listinfo/inclusaodigital
Mais detalhes sobre a lista de discussão Inclusaodigital