Cómo Suspender Usuarios Morosos y Redirigirlos a Página de Pagos con Mikrotik
Introducción:
Una de las tareas comunes cuando se tienen usuarios de internet a cargo, seas una empresa o persona, es el de la suspensión o corte debido a su falta de pago. Precisamente, este tutorial muestra de forma clara y explicada como suspender un cliente o usuario moroso y además redirigirlo a una página de pagos usando Mikrotik. Básicamente lo que ocurrirá es que cuando el usuario moroso intente entrar a internet a través del navegador se le redigirirá a una página predeterminada por usted donde se le puede indicar que el servicio está suspendido, donde hacer los pagos, etc.
Debe cumplirse que el aparato Mikrotik (probablemente usted tenga una RouterBoard) sea el que administre los usuarios y a éstos se les tenga asignada una dirección IP fija/estática. En el ejemplo, la interfaz a la que están conectados los usuarios se llama bridge-local, pero puede ser cualquiera. Como notarán este método es muy práctico y fácil de aplicar. El tutorial muestra los comandos que puedes ir copiando y pegando en New Terminal o podrás irlo haciendo utilizando las respectivas ventanas del Winbox o vía web.
Paso 1. Configuración de IP -> Firewall - Address List
Estas reglas agrupan las IPs fijas de los usuarios o clientes morosos en la lista morosos. Estas IPs probablemente serán las IPs estáticas de los CPEs. Cada vez que quieras cortar el internet de un cliente, deberás agregar su IP a la lista morosos y ya está.
/ip firewall address-list
add address=192.168.70.100 comment=Test-CORTE list=morosos
add address=192.168.70.73 comment="Nercy Ortiz Cabrera-CORTE" list=morosos
add address=192.168.70.51 comment="Elvira Mosquera Trujillo-CORTE" list=morosos
Paso 2. Configuración de IP -> Web Proxy
El web proxy es el encargado final de denegar el tráfico y mostrar la página de pagos. La redirección global realmente occure así: Tráfico de IPs de morosos (en el NAT, paso 3) -> Web Proxy (Aquí)-> Página de pagos (en el ejemplo es 192.168.80.12:86, pero puede ser cualquier página o IP).
/ip proxy
set enabled=yes port=999
/ip proxy access
add action=deny redirect-to=192.168.80.12:86
Paso 3. Configuración de IP -> Firewall - NAT
Para el tráfico originado por las IPs de la lista morosos, se acepta el intercambio con la IP de la página de pagos - en nuestro caso es un portal de cliente - y de paso (es Opcional) también a algún otra IP(s) que ustedes deseen que aún los morosos puedan entrar (en nuestro caso las de sip.fututel.com y fututel.com). Las IPs pueden ser privadas o públicas. Como no aparece la parte de action en las reglas, ésta es accept (aceptar) por defecto.
/ip firewall nat
add chain=dstnat comment="Manager - Permitir Portal cliente - Morosos1234" \
dst-address=192.168.80.12 src-address-list=morosos
add chain=dstnat comment="Permitir sip.fututel.com" dst-address=198.27.87.87 \
src-address-list=morosos
add chain=dstnat comment="Permitir fututel.com" dst-address=192.99.183.34 \
src-address-list=morosos
Aquí ya se suspende como tal el tráfico TCP y UDP originado por las IPs de los morosos y se redirige al puerto 999, que es el web proxy. También se especifica la interfaz de los usuarios - que es bridge-local, aunque ésto podría no ser necesario pero sí bueno para mejorar el desempeño. Adicionalmente es conveniente NO afectar el tráfico a los puertos del Mikrotik Winbox y/o Web (en nuestro caso sólo se dejó el TCP y UPD 8291) y el de DNS (UDP 53); nótese el ! al principio de los puertos, que indica que NO.
/ip firewall nat
add action=redirect chain=dstnat comment=\
"Manager - Suspension de clientes(TCP)" dst-port=!8291 in-interface=\
bridge-local protocol=tcp src-address-list=morosos to-ports=999
add action=redirect chain=dstnat comment=\
"Manager - Suspension de clientes(UDP)" dst-port=!8291,53 in-interface=\
bridge-local protocol=udp src-address-list=morosos to-ports=999
Listo. Ésto es todo. Fácil, verdad?. Y como ya se dijo, para suspender otro usuario simplemente lo agregas en la lista morosos y ya. Agradezco nos envíen los comentarios abajo. Dios los bendiga!!!
Comentar este artículo en los foros (17 respuestas).
En cuanto Teamviewer, el soporte gratuito es por este medio (el foro). Puedes enviarnos capturas de pantalla y demás para argumentar mejor tu problema. Estaremos atentos para ayudarte. Como notaste nuestro soporte por aquí puede ser bien pronto.
1) Si la IP del cliente está en la lista de MOROSOS.
2) Si el tráfico del cliente realmente ingresa por ether2. Para ello puedes usar la herramienta Tools -> Torch o puedes verificar conexiones con IP -> Firewall -> Connections.
add chain=dstnat comment="Permitir ditelingenieria.co" dst-address=193.85.185.11 src-address-list=MOROSOS
add action=redirect chain=dstnat comment="Manager - Suspension de clientes(TCP)" dst-port=!8291 in-interface= ether2 protocol=tcp src-address-list=MOROSOS to-ports=3128
add action=redirect chain=dstnat comment="Manager - Suspension de clientes(UDP)" dst-port=!8291,53 in-interface= ether2 protocol=udp src-address-list=MOROSOS to-ports=3128
/ip proxy
set enabled=yes port=3128
/ip proxy access
add action=deny redirect-to= www.ditelingenieria.co/servicio-suspendido
estas son las reglas que he implementado pero aun me deja pasar whatsapp
add action=redirect chain=dstnat comment=\
"Manager - Suspension de clientes(TCP)" dst-port=!8291 in-interface=\
bridge-local protocol=tcp src-address-list=morosos to-ports=999
add action=redirect chain=dstnat comment=\
"Manager - Suspension de clientes(UDP)" dst-port=!8291,53 in-interface=\
bridge-local protocol=udp src-address-list=morosos to-ports=999
Estas dos reglas redireccionan el tráfico que entra por la interfaz bridge-local al puerto 999 que es el puerto del Web Proxy, todo el tráfico tanto TCP como UDP, excepto si el puerto de destino es el 8291, que es el puerto por defecto del Winbox, y pues puedes aquí colocar todos los puertos que quieras excluir. Ahora bien, Whastapp necesariamente estaría INCLUIDA/REDIRIGIDA en la regla ya que su tráfico es UDP o TCP y NO el 8291. Y luego de estar redireccionado el tráfico al web-proxy, éste lo deniega/bloquea (DENY), que es la siguiente regla:
add action=deny redirect-to=192.168.80.12:86
Así que finalmente, todo el tráfico UDP y TCP (incluyendo Whatsapp), excepto el del puerto 8291 como puerto de destino estaría bloqueado. Claro, también se exceptuaría el demás tráfico de las reglas de arriba en el tutorial que tienen Accept (por lo que no pasan a las reglas de redirección y no son bloqueadas).
En últimas, parece que hay algún error en tu implementación o configuración. Puede que aquel tráfico de Whatsapp no esté pasando por la interfaz de entrada que pusiste, que hayas aceptado todo el tráfico, etc. Entenderás por la explicación anterior, que las reglas tienen su fundamento real y no son sólo memoria
Cualquier inquietud mantendremos atentos.
como puedo bloquear esto?
1) La IP de la página que pusiste en Web Proxy debe estar permitida en las reglas de Accept, acerca de lo cual ya preguntaste y te respondí.
2) En el tutorial, la redirección se hace sólo después de visitar el puerto 80 de un sitio web, lo cual es sólamente http No https.
3) Asegúrate de escribir bien las reglas de Firewall.
Cualquier cosa, nos escribes por aquí. Estaré atento. Si deseas, puedes enviarnos capturas de pantalla y/o más explicación de tu caso.
Feliz resto de día
/ip firewall nat
add chain=dstnat comment="Manager - Permitir Portal cliente - Morosos1234" \
dst-address=192.168.80.12 src-address-list=morosos
add chain=dstnat comment="Permitir sip.fututel.com" dst-address=198.27.87.87 \
src-address-list=morosos
add chain=dstnat comment="Permitir fututel.com" dst-address=192.99.183.34 \
src-address-list=morosos
