Перейти к содержимому
Калькуляторы

Донастройка BRAS BRAS на Микротике

Подскажите решение проблемы.

 

Есть следующие исходные данне:

1. Локальный BRAS на Микротике для PPPoE клиентов, котороый общаеться по RADIUS с централизованным сервером биллинга на UTM.

2. Клиент с положительным баланосом при авторизации получает "белый адресс" (например 1.1.1.1) из IP-пула локального BRAS. Если у клиента нулевой или отрицательный баланс - "серый адресс" (например 2.2.2.2) из централизованного пула адресов.

 

Необходимо реализовать для клиентов с "серыми адрессами" (2.2.2.2) доступ только к сайту личного кабинета (www.1) и двум платежным системам (www.2 и www.3).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите решение проблемы.

 

Есть следующие исходные данне:

1. Локальный BRAS на Микротике для PPPoE клиентов, котороый общаеться по RADIUS с централизованным сервером биллинга на UTM.

2. Клиент с положительным баланосом при авторизации получает "белый адресс" (например 1.1.1.1) из IP-пула локального BRAS. Если у клиента нулевой или отрицательный баланс - "серый адресс" (например 2.2.2.2) из централизованного пула адресов.

 

Необходимо реализовать для клиентов с "серыми адрессами" (2.2.2.2) доступ только к сайту личного кабинета (www.1) и двум платежным системам (www.2 и www.3).

В ядре поднимаете DNS с split-view и для абонентов с серыми адресами для www1, www2, www3 отдаете серые адреса, соотв. абонентов с серыми адресами никуда не натите и в инет не пускаете

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Платежные системы в интернете, а не собсвтенные ТС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Платежные системы в интернете, а не собсвтенные ТС.

Да www.2 и www.3 платежные системы в интернете.

 

Фаервол то понятно, пробовал менить трафик, но потом не выходит его перенаправить.

Изменено пользователем M@k$

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да www.2 и www.3 платежные системы в интернете.

Фаервол то понятно, пробовал менить трафик, но потом не выходит его перенаправить.

С этим вопросом Вам надо к Saab'у)

 

А если по теории, то можно на сетку разрешить только доступ к определенным URL на определенной скорости.

Изменено пользователем irihorn95

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня такая же схема. биллинг правда другой.

Я собираюсь для этого рядом поставить еще 1 микротик для того, что б делать NAT серых подсетей (для захода на платежные системы).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все делается просто:

например адрес www2= xxxx, адрес www3= yyyy

IP FIREWALL добавляем в adress list "platej" xxxx и yyyy

разрешаем юзерам с негативным IP адресом ходить на adress-list "platej"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что нельзя сделать кнопку обещанный платеж или кредит? Тогда люди сами нажмут ее и получат доступ не только к платежным сервисам, но и перестанут выносить мозг провайдеру.

 

Например вот правила, первое разрешает доступ абоненту на порт 433 с ограничением на количество пакетов, аналогично можно сделать и по другим портам и т.п. Второе разрешает доступ по внутренним адресам.

 

/ip firewall filter

add chain=forward dst-limit=50,50,src-address dst-port=443 protocol=tcp src-address-list=list_balance_negative

add action=drop chain=forward dst-address=!10.0.0.0/8 src-address-list=list_balance_negative

 

 

Это перенаправление всех должников на веб страничку с сообщением.

 

/ip firewall nat

add action=redirect chain=dstnat dst-address=!10.0.0.0/8 dst-port=80 protocol=tcp src-address-list=list_balance_negative to-ports=8123

 

/ip proxy

set enabled=yes port=8123

/ip proxy access

add action=deny disabled=no dst-port="" redirect-to=10.0.0.10/balance/index.html

 

Соответственно когда нет средств абонент может либо сразу на сайт платежной системы попасть, либо нажать кнопку в личном кабинете, тогда и делать ничего не нужно.

platej.png

 

Вот и получается, сначала выберут кривой и не удобный биллинг, который ничего не умеет, потом мучаются с настройками оборудования, когда надо идти совсем с другой стороны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все делается просто:

например адрес www2= xxxx, адрес www3= yyyy

IP FIREWALL добавляем в adress list "platej" xxxx и yyyy

разрешаем юзерам с негативным IP адресом ходить на adress-list "platej"

 

Не просто. Нужно создать правило фильтра на уровне L7, где в поле content указать название нужного сайта без www, например yandex.ru и разрешить доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.