Jump to content
Калькуляторы

Донастройка BRAS BRAS на Микротике

Подскажите решение проблемы.

 

Есть следующие исходные данне:

1. Локальный BRAS на Микротике для PPPoE клиентов, котороый общаеться по RADIUS с централизованным сервером биллинга на UTM.

2. Клиент с положительным баланосом при авторизации получает "белый адресс" (например 1.1.1.1) из IP-пула локального BRAS. Если у клиента нулевой или отрицательный баланс - "серый адресс" (например 2.2.2.2) из централизованного пула адресов.

 

Необходимо реализовать для клиентов с "серыми адрессами" (2.2.2.2) доступ только к сайту личного кабинета (www.1) и двум платежным системам (www.2 и www.3).

Share this post


Link to post
Share on other sites

Подскажите решение проблемы.

 

Есть следующие исходные данне:

1. Локальный BRAS на Микротике для PPPoE клиентов, котороый общаеться по RADIUS с централизованным сервером биллинга на UTM.

2. Клиент с положительным баланосом при авторизации получает "белый адресс" (например 1.1.1.1) из IP-пула локального BRAS. Если у клиента нулевой или отрицательный баланс - "серый адресс" (например 2.2.2.2) из централизованного пула адресов.

 

Необходимо реализовать для клиентов с "серыми адрессами" (2.2.2.2) доступ только к сайту личного кабинета (www.1) и двум платежным системам (www.2 и www.3).

В ядре поднимаете DNS с split-view и для абонентов с серыми адресами для www1, www2, www3 отдаете серые адреса, соотв. абонентов с серыми адресами никуда не натите и в инет не пускаете

Share this post


Link to post
Share on other sites

Платежные системы в интернете, а не собсвтенные ТС.

Share this post


Link to post
Share on other sites

Платежные системы в интернете, а не собсвтенные ТС.

Да www.2 и www.3 платежные системы в интернете.

 

Фаервол то понятно, пробовал менить трафик, но потом не выходит его перенаправить.

Edited by M@k$

Share this post


Link to post
Share on other sites

Да www.2 и www.3 платежные системы в интернете.

Фаервол то понятно, пробовал менить трафик, но потом не выходит его перенаправить.

С этим вопросом Вам надо к Saab'у)

 

А если по теории, то можно на сетку разрешить только доступ к определенным URL на определенной скорости.

Edited by irihorn95

Share this post


Link to post
Share on other sites

У меня такая же схема. биллинг правда другой.

Я собираюсь для этого рядом поставить еще 1 микротик для того, что б делать NAT серых подсетей (для захода на платежные системы).

Share this post


Link to post
Share on other sites

все делается просто:

например адрес www2= xxxx, адрес www3= yyyy

IP FIREWALL добавляем в adress list "platej" xxxx и yyyy

разрешаем юзерам с негативным IP адресом ходить на adress-list "platej"

Share this post


Link to post
Share on other sites

А что нельзя сделать кнопку обещанный платеж или кредит? Тогда люди сами нажмут ее и получат доступ не только к платежным сервисам, но и перестанут выносить мозг провайдеру.

 

Например вот правила, первое разрешает доступ абоненту на порт 433 с ограничением на количество пакетов, аналогично можно сделать и по другим портам и т.п. Второе разрешает доступ по внутренним адресам.

 

/ip firewall filter

add chain=forward dst-limit=50,50,src-address dst-port=443 protocol=tcp src-address-list=list_balance_negative

add action=drop chain=forward dst-address=!10.0.0.0/8 src-address-list=list_balance_negative

 

 

Это перенаправление всех должников на веб страничку с сообщением.

 

/ip firewall nat

add action=redirect chain=dstnat dst-address=!10.0.0.0/8 dst-port=80 protocol=tcp src-address-list=list_balance_negative to-ports=8123

 

/ip proxy

set enabled=yes port=8123

/ip proxy access

add action=deny disabled=no dst-port="" redirect-to=10.0.0.10/balance/index.html

 

Соответственно когда нет средств абонент может либо сразу на сайт платежной системы попасть, либо нажать кнопку в личном кабинете, тогда и делать ничего не нужно.

platej.png

 

Вот и получается, сначала выберут кривой и не удобный биллинг, который ничего не умеет, потом мучаются с настройками оборудования, когда надо идти совсем с другой стороны.

Share this post


Link to post
Share on other sites

все делается просто:

например адрес www2= xxxx, адрес www3= yyyy

IP FIREWALL добавляем в adress list "platej" xxxx и yyyy

разрешаем юзерам с негативным IP адресом ходить на adress-list "platej"

 

Не просто. Нужно создать правило фильтра на уровне L7, где в поле content указать название нужного сайта без www, например yandex.ru и разрешить доступ.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this