مشکل در هات اسپات و قطع شدن از Winbox و ..

[th95]

سلام
مشکل اینجاست که سیستمها (مثلا سیستم خودم) فقط وقتی به Winbox دسترسی دارند (و کلا به روتر) که بیان تو هات اسپات و با یک یوزر لاگین کنند
اونوقت هستش که هات اسپات پینگ میشه، میشه با وین باکس بهش وصل شد و ...

خوب این خیلی بده
مثلا من میخوام لاگ رو ببینم اما خودم قطع هستم یا یک چیزی رو تنظیم کنم بدون اینکه لازم باشه لاگین کنم

مشکل از اون بدترم به Proxylizer برمیگرده
الان من با محیط لینوکسیش (دبین) اومدم بالا
سیستم های دیگه پینگ میشن اما خود میکروتیک پینگ نمیشه که باز هم همون مشکل بالاست و در نتیجه ارتباط ندارند. بدبختی اینه که حالا از یک دبین که فقط یک محیط متنی هم داره چطوری به یک صفحه وب وصل بشم و یوزر و پس رو بزنم خود صفحه Proxylizer رو هم که از بیرون باز میکنی خیلی شیک فقط زحمت میشکه میگه
It Works - Apache ...

ممنون میشم دوستان راهنمایی بفرمایند

---

موضوعات مشابه:

• مخفی کردن کاربر در Winbox
• مشابه WinBOX برای لینوکس ؟
• مشکل در کانکت شدن به Winbox
• مشکل با winbox
• winbox

---

[SADEGH65]

سلام
مشکل اینجاست که سیستمها (مثلا سیستم خودم) فقط وقتی به Winbox دسترسی دارند (و کلا به روتر) که بیان تو هات اسپات و با یک یوزر لاگین کنند
اونوقت هستش که هات اسپات پینگ میشه، میشه با وین باکس بهش وصل شد و ...

خوب این خیلی بده
مثلا من میخوام لاگ رو ببینم اما خودم قطع هستم یا یک چیزی رو تنظیم کنم بدون اینکه لازم باشه لاگین کنم

مشکل از اون بدترم به Proxylizer برمیگرده
الان من با محیط لینوکسیش (دبین) اومدم بالا
سیستم های دیگه پینگ میشن اما خود میکروتیک پینگ نمیشه که باز هم همون مشکل بالاست و در نتیجه ارتباط ندارند. بدبختی اینه که حالا از یک دبین که فقط یک محیط متنی هم داره چطوری به یک صفحه وب وصل بشم و یوزر و پس رو بزنم خود صفحه Proxylizer رو هم که از بیرون باز میکنی خیلی شیک فقط زحمت میشکه میگه
It Works - Apache ...

ممنون میشم دوستان راهنمایی بفرمایند

ببین محمد جان مشکل در این است که به اصول کاری هات اسپات توجه نکردید .
ببینید در این مورد هات اسپات فقط در یک صورت امکان ارتباط میدهد با رول های فایروالی از نمونه ریدایرکت و ریجکت و ..... آن هم در صورت authenticate شدن در صفحه وب است .
شما اگر بیایید و یک رول به ابتدای رول های فایروالیتان اضافه نمایید و دسترسی مورد نظر را بدهید مشکل حل میشود
مثلا برای دسترسی به محیط وین باکس باید پورت 8291 از نمونه tcp را در chain ورود باز کنید و اولویت این رول را در اول بگزارید تا مشکلتان مرتفع شود .
در مورد پروکسیلایزر هم فکر کنم باید proxylizer را در آخر آدرس خود بزنید یعنی
http://ip/proxylizer

[th95]

ممنون صادق جان ! مثل همیشه عالی بود
فقط یک نکته ای ! یعنی دو نکته ای l
چرا اجازه تعریف چند تا پورت رو توی یک Rule نمیده
باید یکی یکی رول تعریف کنم ! میخوام یه رول باشه توی اون بگم icmp و این چهار تا tcp و ... ! به نظر چیز ساده ای میاد ! چرا من پیداش نمیکنم

بعد من این رو توی Input تعریف کردم
hs-input میشه همون بعد از auth کردن کاربر ؟ Pre hs چیه ؟ و رولهاش (یعنی در واقع اکشن هاش) هم برام عجیبه
لینک خوب داری برای توضیحشون (jump,jump,passthrough,tarpit, ..)

[almas455]

مي توني هر ip رو كه نيازي به لوگين ندارد رو bypass كنيد

[th95]

خیلی جالب شد
رفتم یه IP Binding تعریف کردم
بعد خوب دیگه از یوزر Auth نخواست
بعد پاکش کردم اما هنوز هم صفحه لاگین رو نشون نمیده و همینطوری وصله
به خود روتر هم که میخوام وصل بشم (صفحه لاگین هات اسپات) میگه

ERROR: Gateway Timeout

While trying to retrieve the URL http://192.168.0.1/:

• Connection refused

Your cache administrator is webmaster.

Generated Fri, 19 Nov 2010 11:04:13 GMT by 192.168.0.1 (Mikrotik HttpProxy)

حالا به داد برسید

[SADEGH65]

ممنون صادق جان ! مثل همیشه عالی بود
فقط یک نکته ای ! یعنی دو نکته ای l
چرا اجازه تعریف چند تا پورت رو توی یک Rule نمیده
باید یکی یکی رول تعریف کنم ! میخوام یه رول باشه توی اون بگم icmp و این چهار تا tcp و ... ! به نظر چیز ساده ای میاد ! چرا من پیداش نمیکنم

بعد من این رو توی Input تعریف کردم
hs-input میشه همون بعد از auth کردن کاربر ؟ Pre hs چیه ؟ و رولهاش (یعنی در واقع اکشن هاش) هم برام عجیبه
لینک خوب داری برای توضیحشون (jump,jump,passthrough,tarpit, ..)

تنها مرجعی که هست ( یا بهتر بگم من پیدا کردم )
http://www.mikrotik.com/testdocs/ros...nt.php#7.41.14
ولی در این باره اطلاعات خوبی میدهد ولی معمولا کسی را ندیدم با این رول ها بخواهد کار کند و یا تغییراتی ایحاد کند.

[th95]

شما این دو تا رو به من توضیح بده من خودم تکلیفش رو روشن میکنم


enabled: yes
src-address: 0.0.0.0
port: 8080
parent-proxy: 0.0.0.0
parent-proxy-port: 0
cache-administrator: "webmaster"
max-cache-size: none
cache-on-disk: no
max-client-connections: 600
max-server-connections: 600
max-fresh-time: 3d
serialize-connections: no
always-from-cache: no
cache-hit-dscp: 4
cache-drive: system

ip - firewall nat
add chain=dstnat action=redirect to-ports=8080 protocol=tcp dst-port=80

این رولها دارن بازی در میارن

من Destination Natو این پروکسی رو توی یکروتیک درست متوجه نمیشم

خلاصه این چند خط کانفیگ اینه که پراکسی باید وسط باشه و درخواستها رو به Proxylizer هم لاگ کنه

اون رول Nat رو گذاشتم بالای Source Nat که برای خود ایتنرنت دادن به کلاینتها از طریق هات اسپات استفاده میشه و موقع باز شدن صفحه وب هر دو فعالیت دارند
بنابراین احتمالا درخواست میره به اولی و به Srcnat اصلی Redirect میشه که این Redirect کردن رو من جاهای دیگه زیاد ندیدم (تو فایروال میگیم درخواست رو جواب بده اینجا هم لاگش کن)

الان من اون dst-nat رو نمیفهمم ! حرف حسابش چیه
اتفاقی که میفته باید این باشه که درخواستها بیاد به پورت 8080 میکروتیک اون ضمن لاگ کردن به سمت مقصد اصلی بفرستتشون
این رول و اون تنظیمات پراکسی همین کار رو میکنند ؟ یه ذره در این مورد توضیح بدید

ضمن اینکه ما توی پراکسی های دیگه این قضیه رو به براوزر میگیم اما من نمیفهمم که میکروتیک چطور این قضیه رو مدیریت میکنه
یعنی هات اسپات لاگین میکنه ! درخواست رو به 8080 میکروتیک میفرسته و اون هم لاگ میکنه و بعد میفرسته به NAT Rule اصلی تا بره و مقصدش رو پیدا کنه ؟ یا نه قضیه برعکسه ؟ یعنی درخواست میره جوابش که میاد به پورت 8080 میاد و بعد اون به کلاینت میفرسته ؟
من DNAT رو برای پورت فورواردینگ (قرار دادن یک سرور محلی در اختیار کاربران اینترنتی) قرار دادم اما اینجا برام گنگ شده


درست میگم ؟ اگه درست میگم اون رول رو برای من یه ذره بشکافید و البته نحوه کار میکروتیک در این شرایط رو

[ali55]

ميكروتيك ميتونه براي شما نقش يك proxy server رو بازي كنه.
يعني اينكه به جاي اينكه شما كاربرانتون رو به اينترنت مستقيما nat كنيد ميتونه به اونها دسترسي proxy بديد تا اينترنت رو از طريق اون داشته باشند.
حالا نكته اينجاست كه اگر كاربري پورت proxy رو اشتباها 80 ست كرد يا اينكه از آي پي ميكروتيك شما براي gw خودش استفاده كرد و در اين حين خواست سايتي رو مشاهده كنه در واقع باز داره از پورت 80 استفاده ميكنه كه اون رول dstnat اينجا عمل خواهد كرد و پورت 80 رو به 8080 ريدايركت ميكنه.
كلا اين فرايندي كه توضيح دادم ربطي به proxylizer نداشت و براي برقراري اينترنت كاربران بود.

[th95]

من برای کاربر پراکسی ست نکردم ! با همون هات اسپات کار میکنه
ضمنا من فرآیند رو باز نگرفتم
یعنی کاربر سایت رو میزنه ! درخواستش به 8080 ریدایرکت میشه ! لاگ میشه (توسط پراکسی) و بعد ادامه پیدا میکنه به سمت اینترنت ؟
و بعد جواب دوباره به پراکسی برمیگردده و اونهم میده به کلاینت ؟
اگر اینایی که میگم درسته این رول چطور این فرآیند رو داره میفهمونه

[ali55]

بطور خلاصه ، سرويس HotSpot با تمام امكاناتش (از حيث اكانتينگ و كنترل دسترسي و ...) صرفا دسترسي شما رو به ميكروتيك باز ميكنه (با Authenticate)
مرحله بعد اينترنت گرفتن كاربران شماست كه 2 نوعه:
1. از طريق proxy
2. از طريق gateway

من به شخصه خيلي با proxylizer كار نكردم كه بخوام ادعا كنم براي كاركردنش بايد حتما proxy server فعال باشه.
اما نقش رول dstnat كاملا براي من واضحه كه صرفا چون proxy server روي ميكروتيك شما enable شده (به هر دليلي) حالا براي اينكه transparent براي كاربرانتون فعال بشه يك رول dstnat نوشته ميشه كه اگر كسي سايتي رو زد طبيعتا پورت 80 رو درخواست كرده و چون proxy server داريد بنابراين درخواست بايد به اون ارجاع بشه و اين رول درخواست رو به پورت 8080 ريدايركت ميكنه.
درواقع كلاينت شما بوسيله اين رول مستقيما كانكشن خودش رو به پورت 8080 ميكروتيك ميزنه و جواب رو هم از طريق همين پورت دريافت مي كنه.

[th95]

چون proxy server داريد بنابراين درخواست بايد به اون ارجاع بشه و اين رول درخواست رو به پورت 8080 ريدايركت ميكنه.
درواقع كلاينت شما بوسيله اين رول مستقيما كانكشن خودش رو به پورت 8080 ميكروتيك ميزنه و جواب رو هم از طريق همين پورت دريافت مي كنه.

بسیار عالی ! همین رو میخواستم ! حالا باید نوع تعریف کردن این رولها و نحوه کار این پراکسی میکروتیک دستم بیاد
فقط با این وضعیت ، ftpها، Telnetها، پورتهای دیگه مخصوص سایت ها وسایتهای Https لاگ نمیشن ! باید همین رول رو برای اونها هم تعریف کنیم درسته ؟

[ali55]

تا اونجا كه من اطلاع دارم متأسفانه فقط ماژول web proxy ميكروتيك ميتونه لاگ بندازه
در واقع شما لاگ رو فقط روي http و https داريد. (البته مطمئن نيستم اگر كسي خلاف نظر من رو داره بگه)
البته استثنائا فكر كنم خود سرويس HotSpot ميتونه پروتكل ftp رو براي شما handle كنه

[th95]

من هم لاگ رو روی وب پراکسی میکروتیک راه انداخت
اما شما فرمودید فقط Http , https !!
خوب پس حداقل برای پورت 443 هم باید dst-nat rule رو تعریف کنم
بقیه پورت ها و پروتکلها مثل ftp و .. تعطیل ! لاگ نمیشن ؟

[ali55]

به لحاظ لاگ بله ظاهرا كه امكانش نيست.