1. Abaixo iremos dar nomes as nossa interface de rede. Configuração para o MK-AUTH 2. Identificando o seu Mikrotik mude o nome SEU-NOME para o de sua preferência. 3. Agora daremos os adicionaremos os IP's, gateway e o DSN. Primeiro para quem tem link dedicado colocaremos o IP e mascara (lembrando que o abaixo é apenas um exemplo) o que deve ser modificado é o address, interface e o comment conforme sua preferência e necessidade. 4. Agora nosso gateway, so o mesmo estiver errado não será possível a navegar. 5. Agora o DNS, eu utilizo o do google se for de preferência de vocês e so mudar. 6. Agora o ip de sua rede (o que vai sair para os clientes), o IP e mascara fica a clitério. 7. Agora o IP do MK-AUTH, não deve ser mudada se alguém quiser mudar lembrem-se de mudar o html do hotspot 8. Agora o IP do seu proxy, esse pode ser conforme o seu critério so o coloque se vocês vão utilizar o mesmo 9. Vamos agora criar nosso hotspot. hotspot interface: EthClientes local address off network: 179.0.0.1/20 masquerade network: no (não iremos mascara porque faremos isso na interface do link) address pool of network: 179.0.0.2-179.0.3.254 eu mudo e coloco 179.0.0.20-179.0.3.254 select certificate: none ip address of smtp server: 0.0.0.0 dns server: 8.8.8.8,8.8.4.4 dns name: deixe em branco ou coloque o de seu domínio caso o tenha. name of local hotspot: admin password for the user: coloque o de sua preferência Pronto o seu hotspot esta criado. 9. agora colocamos o address-pool como none 10. Iremos agora configurar o hotspot para trabalhar com o MK-AUTH 11. Agora vamos adicionar o Mk-Auth no walled Garden no mikrotik para que seus clientes tenham acesso a central de assinante mesmo estando com o cadastro bloqueado.
12. Agora vamos configurar o cliente NTP do seu Mikrotik para que a hora sempre esteja certa. 13. Se estivermos no horário de verão mude apenas o final para -02:00 14. Agora vamos configurar o cliente radius no mikrotik 15. Pagina de corte para MK-AUTH VERSÃO 4 - BUILD 85 16. Pagina de corte para MK-AUTH VERSÃO 4 - BUILD 86 Não esqueça de marca a função abaixo em radius incoming. 17. Quando o sinal do link cair é de grande importância que seus cliente receba uma mensagem de manutenção na tela para isso basta adicionar as regras abaixo que eles vão receber a mensagem. A regra por padrão fica desabilitada so sendo ativada automaticamente quando o link ficar fora. 18. Abaixo a regra para que seja habilitada automaticamente quando o link cair. 19. Vamos agora configurar a masquerade no NA OBS: Na regra abaixo criamos um masquerade de forma que o Mk-auth e o Proxy recebam o IP dos clientes ao invés de receberem apenas do Mikrotik. Note que a interface usada para o masquerade é a interface da internet "EthInternet". No caso se você usa pppoe, troque EthInternet pela sua interface pppoe. 20. Agora criaremos o dst-nat para o Proxy Note que diferente do padrão do Mk-auth, ao invés de redirecionar apenas uma faixa de IP, eu coloque para redirecionar em listas, incluindo também uma lista de sites IP's que não redirecionados para o proxy marcados como "sem proxy". E os endereços de origem marcados como "proxy". 21. Para definirmos quis IP's do clientes (lintados como "proxy") que vão ser redirecioando para o proxy. Na regra abaixo a definimos que toda a faixa 179.0.0.0/22 ira passar para o proxy. 22. Na lista evitamos que o site do Mk-auth seja redirecionado para o proxy, pois ele consta como sendo um endereço de destino na nossa lista de "sem Proxy". Isso é interessante, pois se você ativa o proxy, os logs de acessos ao sistema do mk-auth irão constar o IP que o acessou e não do próprio Mk-auth.
23. Agora iremos também inserir o website do proxy coso o mesmo tenha como exceção na nossa lista. 24. Criaremos o usuário "mkauth" sem traços e uma senha forte de sua escolha para o mesmo. OBS. não confunda o secret do radius com a senha do usuário mkauth para o SSH. 25. Agora acesse o winbox e mude a senha do usuário mkauth para a de sua escolha. 26. Agora abra o seu internet explore ou o navegador de sua preferência e digite ou clique no link 172.31.255.2/admin entre no mk-auth com a usuário admin e senha padrão 123
27. Vá em opções e chave para ssh conforme figura abaixo. 28. Baixe a chave.pub e salve em um local de sua preferência no seu HD. 29. Eu salvo em minha área de trabalho e bem fácil de achar.
30. Agora entre no winbox e copie a chave.pub para files. 31. Depois segue com a baixo para importar.
32. Acesse novamente o Mk-Auth em 172.31.255.2/admin e em provedor depois em servidor mikrotik e faça com a figura abaixo e clique em enviar. 33. Vai ficar assim.
34. Clique em visualizar e se aparecer a imagem como abaixo e que tudo saiu como o esperado. Agora a regras para o cache. Regras do Thunder (01) Regra para o NAT Regra para o mangle /ip firewall mangle add action=mark-connection chain=forward comment="mk-auth FULL" content="mkauth: FILES" disabled=no new-connection-mark=mkauth-connection passthrough=yes add action=mark-packet chain=forward comment="" connection-mark=mkauth-connection disabled=no new-packet-mark=mkauth-packs passthrough=yes add action=mark-connection chain=postrouting comment="thunder CACHE 3" content="x-cache: HIT from Thunder" disabled=no new-connection-mark=thunder3-connection \ passthrough=yes add action=mark-packet chain=postrouting comment="" connection-mark=thunder3-connection disabled=no new-packet-mark=thunder3-packs passthrough=no add action=mark-connection chain=forward comment="cache FULL TOS" disabled=no dscp=12 new-connection-mark=proxy-hits passthrough=yes add action=mark-packet chain=forward comment="" connection-mark=proxy-hits disabled=no new-packet-mark=cache-tos passthrough=no add action=mark-connection chain=prerouting comment="" disabled=no dscp=12 new-connection-mark=proxy-hits passthrough=yes add action=mark-packet chain=prerouting comment="" connection-mark=proxy-hits disabled=no new-packet-mark=cache-tos passthrough=no
add action=mark-connection chain=forward comment="cache FULL X:HITS" content="x-cache: HIT" disabled=no new-connection-mark=forward-hits passthrough=yes add action=mark-packet chain=forward comment="" connection-mark=forward-hits disabled=no new-packet-mark=cache-hits passthrough=no add action=mark-connection chain=prerouting comment="" content="x-cache: HIT" disabled=no new-connection-mark=forward-hits passthrough=yes add action=mark-packet chain=prerouting comment="" connection-mark=forward-hits disabled=no new-packet-mark=cache-hits passthrough=no Regras do queue types Regras do queue tree /queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=200k name=controle_p2p packet-mark=p2p parent=global-total \ priority=8 queue=default add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=6m name=2thundercache3 packet-mark=thunder3-packs parent=\ global-out priority=8 queue=cache add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=0 name="1cache squid Thunder cache" packet-mark=cache-hits \ parent=global-out priority=2 queue=ethernet-default Regras Thunder (02) Regra para o NAT Regras do mangle /ip firewall mangle add chain=postrouting protocol=tcp src-port=3128 dscp=12 action=mark-connection new-connection-mark=n-cache passthrough=yes \ comment="marca o com e sem TOS" disabled=no /ip firewall mangle add chain=postrouting protocol=tcp src-port=3128 dscp=!12 action=mark-connection new-connection-mark=s-cache \ passthrough=yes comment="" disabled=no /ip firewall mangle add chain=postrouting connection-mark=n-cache action=mark-packet new-packet-mark=cache-packet passthrough=no \ comment="libera cache full" disabled=no Regras do queue types Regras do queue tree Regras para SpeedR Bom primeiramente você deve redirecionar o tráfego para o Speedr na porta 3128. Segue as regras para o firewall no mikrotik, substitua 192.168.1.2 pelo ip do seu webcache na sua rede: MANGLE NAT ADDRESS-LIST MANGLE QUEUE TREE
Pronto espero que seja de grande ajuda para todos.