Jump to content
Калькуляторы

Донастройка BRAS BRAS на Микротике

Подскажите решение проблемы.

 

Есть следующие исходные данне:

1. Локальный BRAS на Микротике для PPPoE клиентов, котороый общаеться по RADIUS с централизованным сервером биллинга на UTM.

2. Клиент с положительным баланосом при авторизации получает "белый адресс" (например 1.1.1.1) из IP-пула локального BRAS. Если у клиента нулевой или отрицательный баланс - "серый адресс" (например 2.2.2.2) из централизованного пула адресов.

 

Необходимо реализовать для клиентов с "серыми адрессами" (2.2.2.2) доступ только к сайту личного кабинета (www.1) и двум платежным системам (www.2 и www.3).

Share this post


Link to post
Share on other sites

Подскажите решение проблемы.

 

Есть следующие исходные данне:

1. Локальный BRAS на Микротике для PPPoE клиентов, котороый общаеться по RADIUS с централизованным сервером биллинга на UTM.

2. Клиент с положительным баланосом при авторизации получает "белый адресс" (например 1.1.1.1) из IP-пула локального BRAS. Если у клиента нулевой или отрицательный баланс - "серый адресс" (например 2.2.2.2) из централизованного пула адресов.

 

Необходимо реализовать для клиентов с "серыми адрессами" (2.2.2.2) доступ только к сайту личного кабинета (www.1) и двум платежным системам (www.2 и www.3).

В ядре поднимаете DNS с split-view и для абонентов с серыми адресами для www1, www2, www3 отдаете серые адреса, соотв. абонентов с серыми адресами никуда не натите и в инет не пускаете

Share this post


Link to post
Share on other sites

Платежные системы в интернете, а не собсвтенные ТС.

Да www.2 и www.3 платежные системы в интернете.

 

Фаервол то понятно, пробовал менить трафик, но потом не выходит его перенаправить.

Edited by M@k$

Share this post


Link to post
Share on other sites

Да www.2 и www.3 платежные системы в интернете.

Фаервол то понятно, пробовал менить трафик, но потом не выходит его перенаправить.

С этим вопросом Вам надо к Saab'у)

 

А если по теории, то можно на сетку разрешить только доступ к определенным URL на определенной скорости.

Edited by irihorn95

Share this post


Link to post
Share on other sites

У меня такая же схема. биллинг правда другой.

Я собираюсь для этого рядом поставить еще 1 микротик для того, что б делать NAT серых подсетей (для захода на платежные системы).

Share this post


Link to post
Share on other sites

все делается просто:

например адрес www2= xxxx, адрес www3= yyyy

IP FIREWALL добавляем в adress list "platej" xxxx и yyyy

разрешаем юзерам с негативным IP адресом ходить на adress-list "platej"

Share this post


Link to post
Share on other sites

А что нельзя сделать кнопку обещанный платеж или кредит? Тогда люди сами нажмут ее и получат доступ не только к платежным сервисам, но и перестанут выносить мозг провайдеру.

 

Например вот правила, первое разрешает доступ абоненту на порт 433 с ограничением на количество пакетов, аналогично можно сделать и по другим портам и т.п. Второе разрешает доступ по внутренним адресам.

 

/ip firewall filter

add chain=forward dst-limit=50,50,src-address dst-port=443 protocol=tcp src-address-list=list_balance_negative

add action=drop chain=forward dst-address=!10.0.0.0/8 src-address-list=list_balance_negative

 

 

Это перенаправление всех должников на веб страничку с сообщением.

 

/ip firewall nat

add action=redirect chain=dstnat dst-address=!10.0.0.0/8 dst-port=80 protocol=tcp src-address-list=list_balance_negative to-ports=8123

 

/ip proxy

set enabled=yes port=8123

/ip proxy access

add action=deny disabled=no dst-port="" redirect-to=10.0.0.10/balance/index.html

 

Соответственно когда нет средств абонент может либо сразу на сайт платежной системы попасть, либо нажать кнопку в личном кабинете, тогда и делать ничего не нужно.

platej.png

 

Вот и получается, сначала выберут кривой и не удобный биллинг, который ничего не умеет, потом мучаются с настройками оборудования, когда надо идти совсем с другой стороны.

Share this post


Link to post
Share on other sites

все делается просто:

например адрес www2= xxxx, адрес www3= yyyy

IP FIREWALL добавляем в adress list "platej" xxxx и yyyy

разрешаем юзерам с негативным IP адресом ходить на adress-list "platej"

 

Не просто. Нужно создать правило фильтра на уровне L7, где в поле content указать название нужного сайта без www, например yandex.ru и разрешить доступ.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.