Ingresar  \/ 
x
 Use Facebook account  Use Google account  Use Microsoft account  Use LinkedIn account
o
Registrarse  \/ 
x
 Use Facebook account  Use Google account  Use Microsoft account  Use LinkedIn account
o

Cómo Suspender Usuarios Morosos y Redirigirlos a Página de Pagos con Mikrotik

como suspender usuarios morosos y redirigirlos a pagina de pagos con mikrotik

Introducción:

Una de las tareas comunes cuando se tienen usuarios de internet a cargo, seas una empresa o persona, es el de la suspensión o corte debido a su falta de pago. Precisamente, este tutorial muestra de forma clara y explicada como suspender un cliente o usuario moroso y además redirigirlo a una página de pagos usando Mikrotik. Básicamente lo que ocurrirá es que cuando el usuario moroso intente entrar a internet a través del navegador se le redigirirá a una página predeterminada por usted donde se le puede indicar que el servicio está suspendido, donde hacer los pagos, etc.

Debe cumplirse que el aparato Mikrotik (probablemente usted tenga una RouterBoard) sea el que administre los usuarios y a éstos se les tenga asignada una dirección IP fija/estática. En el ejemplo, la interfaz a la que están conectados los usuarios se llama bridge-local, pero puede ser cualquiera. Como notarán este método es muy práctico y fácil de aplicar. El tutorial muestra los comandos que puedes ir copiando y pegando en New Terminal o podrás irlo haciendo utilizando las respectivas ventanas del Winbox o vía web. 

Paso 1. Configuración de IP -> Firewall - Address List

Estas reglas agrupan las IPs fijas de los usuarios o clientes morosos en la lista morosos. Estas IPs probablemente serán las IPs estáticas de los CPEs. Cada vez que quieras cortar el internet de un cliente, deberás agregar su IP a la lista morosos y ya está.

/ip firewall address-list
add address=192.168.70.100 comment=Test-CORTE list=morosos
add address=192.168.70.73 comment="Nercy Ortiz Cabrera-CORTE" list=morosos
add address=192.168.70.51 comment="Elvira Mosquera Trujillo-CORTE" list=morosos

como suspender usuarios morosos y redirigirlos a pagina de pagos con mikrotik firewall addresslist paso1

Paso 2. Configuración de IP -> Web Proxy

El web proxy es el encargado final de denegar el tráfico y mostrar la página de pagos. La redirección global realmente occure así: Tráfico de IPs de morosos (en el NAT, paso 3) -> Web Proxy (Aquí)-> Página de pagos (en el ejemplo es 192.168.80.12:86, pero puede ser cualquier página o IP).

/ip proxy
set enabled=yes port=999
/ip proxy access
add action=deny redirect-to=192.168.80.12:86

como suspender usuarios morosos y redirigirlos a pagina de pagos con mikrotik webproxy paso2

Paso 3. Configuración de IP -> Firewall - NAT

Para el tráfico originado por las IPs de la lista morosos, se acepta el intercambio con la IP de la página de pagos - en nuestro caso es un portal de cliente - y de paso (es Opcional) también a algún otra IP(s) que ustedes deseen que aún los morosos puedan entrar (en nuestro caso las de sip.fututel.com y fututel.com). Las IPs pueden ser privadas o públicas. Como no aparece la parte de action en las reglas, ésta es accept (aceptar) por defecto.

/ip firewall nat
add chain=dstnat comment="Manager - Permitir Portal cliente - Morosos1234" \
    dst-address=192.168.80.12 src-address-list=morosos
add chain=dstnat comment="Permitir sip.fututel.com" dst-address=198.27.87.87 \
    src-address-list=morosos
add chain=dstnat comment="Permitir fututel.com" dst-address=192.99.183.34 \
    src-address-list=morosos

Aquí ya se suspende como tal el tráfico TCP y UDP originado por las IPs de los morosos y se redirige al puerto 999, que es el web proxy. También se especifica la interfaz de los usuarios - que es bridge-local, aunque ésto podría no ser necesario pero sí bueno para mejorar el desempeño. Adicionalmente es conveniente NO afectar el tráfico a los puertos del Mikrotik Winbox y/o Web (en nuestro caso sólo se dejó el TCP y UPD 8291) y el de DNS (UDP 53); nótese el ! al principio de los puertos, que indica que NO.

/ip firewall nat
add action=redirect chain=dstnat comment=\
    "Manager - Suspension de clientes(TCP)" dst-port=!8291 in-interface=\
    bridge-local protocol=tcp src-address-list=morosos to-ports=999
add action=redirect chain=dstnat comment=\
    "Manager - Suspension de clientes(UDP)" dst-port=!8291,53 in-interface=\
    bridge-local protocol=udp src-address-list=morosos to-ports=999

como suspender usuarios morosos y redirigirlos a pagina de pagos con mikrotik firewall nat paso3

Listo. Ésto es todo. Fácil, verdad?. Y como ya se dijo, para suspender otro usuario simplemente lo agregas en la lista morosos y ya. Agradezco nos envíen los comentarios abajo. Dios los bendiga!!!

Sobre el Autor
Adesh Johnson
Author: Adesh Johnson
Soy muy creyente en Dios. Ésto no me ha impedido un gran interés por la ciencia y la tecnología, y antes bien Dios me ha servido como guía e inspiración. Soy colombiano y tengo un grado en ingeniería. Busco ser no sólo espectador sino también creador en lo referente a la industria del internet. Específicamente, trabajo en el tema de telecomunicaciones bajo Protocolo de Internet IP. Me gusta la optimización de recursos y me considero perfeccionista. También me gusta el cine reflexivo.

ImprimirCorreo electrónico


Comentar este artículo en los foros (13 respuestas).
Publicado: 2 semanas 4 días ago por Fututel #375
Avatar de Fututel
Puedes trazar las conexiones de Whatsapp, algunas son por el puerto 5226, para ver si están saliendo por el Mikrotik.
Publicado: 2 semanas 4 días ago por Fututel #374
Avatar de Fututel
Si deseas podemos programar un soporte remoto por TeamViewer para echarle un ojo a la configuración. nos puedes escribir por chat al respecto. Realmente esta configuración nosotros mismos la usamos y es 100% efectiva.
Publicado: 2 semanas 4 días ago por Diego Graffe #373
Avatar de Diego Graffe
tengo todo bien, mi puerto LAN es el ether2 y WAN el ether1
Publicado: 2 semanas 4 días ago por Fututel #372
Avatar de Fututel
Hola. Pues hasta allí parece todo OK. Te sugiero revisar:

1) Si la IP del cliente está en la lista de MOROSOS.
2) Si el tráfico del cliente realmente ingresa por ether2. Para ello puedes usar la herramienta Tools -> Torch o puedes verificar conexiones con IP -> Firewall -> Connections.
Publicado: 2 semanas 4 días ago por Diego Graffe #371
Avatar de Diego Graffe
/ip firewall nat
add chain=dstnat comment="Permitir ditelingenieria.co" dst-address=193.85.185.11 src-address-list=MOROSOS
add action=redirect chain=dstnat comment="Manager - Suspension de clientes(TCP)" dst-port=!8291 in-interface= ether2 protocol=tcp src-address-list=MOROSOS to-ports=3128
add action=redirect chain=dstnat comment="Manager - Suspension de clientes(UDP)" dst-port=!8291,53 in-interface= ether2 protocol=udp src-address-list=MOROSOS to-ports=3128

/ip proxy
set enabled=yes port=3128
/ip proxy access
add action=deny redirect-to= www.ditelingenieria.co/servicio-suspendido

estas son las reglas que he implementado pero aun me deja pasar whatsapp
Publicado: 2 semanas 4 días ago por Fututel #370
Avatar de Fututel
Hola Diego. Si no te está bloqueando Whatsapp algo estás haciendo mal, ya que sí debería bloquearlo. Ponle especial atención a estas reglas que aparecen en el tutorial:
/ip firewall nat
add action=redirect chain=dstnat comment=\
"Manager - Suspension de clientes(TCP)" dst-port=!8291 in-interface=\
bridge-local protocol=tcp src-address-list=morosos to-ports=999
add action=redirect chain=dstnat comment=\
"Manager - Suspension de clientes(UDP)" dst-port=!8291,53 in-interface=\
bridge-local protocol=udp src-address-list=morosos to-ports=999

Estas dos reglas redireccionan el tráfico que entra por la interfaz bridge-local al puerto 999 que es el puerto del Web Proxy, todo el tráfico tanto TCP como UDP, excepto si el puerto de destino es el 8291, que es el puerto por defecto del Winbox, y pues puedes aquí colocar todos los puertos que quieras excluir. Ahora bien, Whastapp necesariamente estaría INCLUIDA/REDIRIGIDA en la regla ya que su tráfico es UDP o TCP y NO el 8291. Y luego de estar redireccionado el tráfico al web-proxy, éste lo deniega/bloquea (DENY), que es la siguiente regla:
/ip proxy access
add action=deny redirect-to=192.168.80.12:86

Así que finalmente, todo el tráfico UDP y TCP (incluyendo Whatsapp), excepto el del puerto 8291 como puerto de destino estaría bloqueado. Claro, también se exceptuaría el demás tráfico de las reglas de arriba en el tutorial que tienen Accept (por lo que no pasan a las reglas de redirección y no son bloqueadas).

En últimas, parece que hay algún error en tu implementación o configuración. Puede que aquel tráfico de Whatsapp no esté pasando por la interfaz de entrada que pusiste, que hayas aceptado todo el tráfico, etc. Entenderás por la explicación anterior, que las reglas tienen su fundamento real y no son sólo memoria :)

Cualquier inquietud mantendremos atentos.
Publicado: 2 semanas 4 días ago por Diego Graffe #369
Avatar de Diego Graffe
Me bloquea las paginas web bien pero si un teléfono se conecta por wifi si permite el envío y recepción de mensajes de whatsapp
como puedo bloquear esto?
Publicado: 1 año 3 días ago por Forum - Fututel #203
Avatar de Forum - Fututel
Debes tener en cuenta que:
1) La IP de la página que pusiste en Web Proxy debe estar permitida en las reglas de Accept, acerca de lo cual ya preguntaste y te respondí.
2) En el tutorial, la redirección se hace sólo después de visitar el puerto 80 de un sitio web, lo cual es sólamente http No https.
3) Asegúrate de escribir bien las reglas de Firewall.
Cualquier cosa, nos escribes por aquí. Estaré atento. Si deseas, puedes enviarnos capturas de pantalla y/o más explicación de tu caso.

Feliz resto de día :)
Publicado: 1 año 3 días ago por Forum - Fututel #202
Avatar de Forum - Fututel
Aquí debes poner la(s) IP(s) de la página web que contiene el mensaje de suspendido además de las páginas de las cuales obtiene recursos como imágenes, javascript, css, etc - en caso de que sean externos. También puedes poner cualquier otra IP que por alguna razón desees que el usuario moroso siga teniendo acceso; en el ejemplo se coloca la IP de sip.fututel.com para permitir que los usuarios puedan seguir usando el servicio de llamadas de Fututel el cual se hace a través de aquella IP.
Publicado: 1 año 3 días ago por Luis R Julio #201
Avatar de Luis R Julio
estas reglas son opionales ??

/ip firewall nat
add chain=dstnat comment="Manager - Permitir Portal cliente - Morosos1234" \
dst-address=192.168.80.12 src-address-list=morosos
add chain=dstnat comment="Permitir sip.fututel.com" dst-address=198.27.87.87 \
src-address-list=morosos
add chain=dstnat comment="Permitir fututel.com" dst-address=192.99.183.34 \
src-address-list=morosos
Publicado: 1 año 3 días ago por Luis R Julio #200
Avatar de Luis R Julio
hola buenas noche me suspende el servicio pero no me direcciona a la pagina q puse en web proxy
Publicado: 1 año 4 meses ago por Forum - Fututel #188
Avatar de Forum - Fututel
Disculpa que te respondí un poco tarde. Lo raro es que sí tenga hits, es decir, que sí está pasando por allí. Quizás no pusiste la regla para aceptar el tráfico a la IP de la página de redirección. Alguna novedad?
Publicado: 1 año 4 meses ago por Eder Belt #187
Avatar de Eder Belt
Lo hice pero no me redirige solo me corta el internet y si tengo hits