INSTALACAO

A maioria dos micros vem configurados para dar boot preferencialmente

atravs do CD-ROM, neste caso basta deixar o CD do MK-AUTH na bandeja e
voc j cai na tela de boas vindas do cd de instalao, Se no for o seu caso,
pressione a tecla DEL durante o teste de memria para entrar no setup.
Procure pela seo boot e coloque o CD-ROM como dispositivo primrio.
Tudo, pronto, agora s salvar a configurao acessando o menu exit e
escolhendo a opo "Save & Exit setup".
Ao reiniciar o micro sem o CD no drive o micro volta a carregar o Windows ou
outro sistema que tiver instalado no HD, esta alterao apenas faz com que ele
passe a procurar primeiro no CD-ROM.
Inicie o computador pelo cd de boot do sistema, irar iniciar o Debian Lenny, ele
o linux do MK-AUTH por ter o maior numero possivel de drivers j
acompanhado o sistema e pela facilidade de uso, tecle enter e espere.

No caso de algum erro durante o boot, abra um tpico aqui no frum com a
descrio do erro para que seja encontrada uma soluo.
O MK-AUTH tem um instalador prprio que aparece aps o boot do cd e suas
telas so as exibidas abaixo:
Um aviso sobre o sistema MK-AUTH.

Depois exibida uma tela com informaes sobre o particionamento com cfdisk
.

Escolha o HD para instalao.

No cfdisk crie a partio swap e do sistema.

Dentro do cfdisk, use as setas para cima e para baixo para selecionar uma
partio ou trecho de espao livre e as setas para a direita e esquerda para
navegar entre as opes, que incluem:
Delete: Deletar uma partio, transformando-a em espao livre. Use esta
opo para deletar parties j existentes no HD para poder criar novas.
Create: Cria uma partio usando um trecho de espao livre. O assistente
perguntar sobre o tamanho da partio, em megabytes. Voc ter ainda a
opo de criar uma partio primria e uma partio extendida.
Voc pode criar no mximo de quatro parties primrias, uma limitao que
vem desde o PC-XT. Mas, por outro lado pode criar at 255 parties
extendidas.
Voc pode criar quantas parties for necessrio e instalar o MK-AUTH em
qual delas preferir.
Maximize: Redimensiona uma partio, para que ela ocupe todo o espao
disponvel no HD. O processo no destrutivo, pois o sistema simplesmente
adiciona o espao adicional no final da partio, sem mexer no que est
gravado, mas de qualquer forma sempre saudvel fazer um backup.
Type: Altera o sistema de arquivos da partio (Linux, FAT, Linux Swap, etc.).
Lembre-se de que voc deve ter no mnimo uma partio Linux e outra Linux
Swap.
Bootable: Esta mais uma opo necessria para parties do Windows ou
DOS, mas no para o Linux. Mas a regra bsica que ao usar vrias parties,
a partio onde o sistema operacional est instalado seja marcada com este
atributo.
Write: Salva as alteraes, digite yes para confirmar.
Quit: Sair do particionador.
Basicamente, ao usar o cfdisk, voc deve criar duas parties, uma maior para
instalar o sistema e outra menor, de 500 MB ou 1 GB para a memria swap. Ao
deletar uma partio antiga voc seleciona o trecho de espao livre e acessa a
opo Create para criar uma partio Linux para a instalao do sistema. Para
criar a partio swap, voc repete o procedimento, criando uma segunda
partio Linux, mas em seguida voc acessa a opo Type e pressiona Enter
duas vezes para que o cfdisk a transforme numa partio swap. Criadas as
duas parties, s salvar e sair.
Escolha agora sua partio swap (memoria virtual).
Escolha a partio do sistema.

Escolha o sistema de arquivos ext4 (Recomendado), XFS e JFS no momento

so as opes.
Cadastre a senha do ROOT.

Cadastre o nome do servidor.

Escolha seu modelo de teclado.

Tela de confirmao das opes escolhidas.

Momento da instalao, este processo pode levar at 10 minutos.

Fim da instalao, vc j pode reiniciar o servidor.

Ateno, aps reiniciar o computador execute o comando mk-auth e escolha

fazer update do sistema para baixar as ultimas atualizaes e correes de
bugs.
CONFIGURACAO REDE E RADIUS

Aps o computador reiniciar execute o comando mk-auth e escolha a

opo configurar rede e configure o sistema com o endereo de IP:

ip 172.31.255.2

mascara: 255.255.255.0

gateway: 172.31.255.1

dns: 8.8.8.8 e 8.8.4.4

Coloque o ip 172.31.255.1/24 na placa de rede de seu MikroTik que irar se

comunicar com o seu mk-auth e o ip 10.3.0.1/22 na placa de comunicao dos
clientes.

/ip address

add address=172.31.255.1/24 broadcast=172.31.255.3 comment="MK-AUTH"

disabled=no network=172.31.255.0

add address=10.3.0.1/22 broadcast=10.3.3.255 comment="PG CORTE"

disabled=no network=10.3.0.0

cuidado para no fazer controle de banda nesta placa pois ela quem se
comunica com mikrotik:
Para configurar no mikrotik clique na opo radius no winbox depois clique no
boto + e marque service hotspot, wireless e ppp, address coloque
172.31.255.2 e secret 123456 em ports coloque 1812 e 1813:
Depois clique no boto incoming e ative a opo accept e coloque o valor 3799
em port:
Depois clique em IP/SNMP e configure as opes de snmp de seu mikrotik:

Ateno: cuidado para com regras em seu mikrotik que bloqueiam a

comunicao entre o mikrotik e o mk-auth e tambm ao cria regras de iptables
para bloqueio por conta prpria no mk-auth que tambm atrapalham na
comunicao.
CONFIGURAR SSH

No terminal digite o comando mk-auth e escolha a opo gerar chave ssh.

No webadmin, clique em provedor, configuraes irar aparecer o link para vc

fazer o download de sua chave SSH.
Aps o download abra o winbox e em files import sua chave.
Depois em users crie um usurio chamado mkauth com nivel full de acesso:

Ateno, crie uma senha para o usurio mkauth e coloque o ip do mk-

auth em
allowed address para evitar acesso indevido.
Depois clique na aba SSH Keys escolha o usuario mkauth e escolha o key file
chave.pub e import.
 importante que o SSH funcione corretamente, pois alguns recursos como
paginas de aviso e corte e log de sinal somente iram funcionar com SSH ativo,
aps exportar a chave em mikrotik clique em detalhes no mikrotik e depois no
boto teste SSH, uma regra desabilitada enviada para o filter do mikrotik com
o comentrio seguinte:

TESTE DO MK-AUTH PARA USO COM SSH.

Ao bloquear um cliente se o ip do mesmo no estiver configurado no cadastro

no sistema e o ramal que o cliente usa tambem no for o correto o sistema no
irar enviar o comando por SSH para que seja incluido o ip na address-list do
MikroTik para ser exibida a pagina de corte e irar bloquear o cliente diretamente
no servidor radius.

DHCP
Pode-se configurar o cliente tool fetch do MikroTik para controlar o DHCP, pois
a melhor forma agora para enviar os ips do DHCP ao MikroTik.

Usando o script do link abaixo, primeiro faa um update do sistema, ento

preciso que seus clientes tenham o IP e MAC definidos no cadastro deles. esse
script do link vc cola no terminal do MikroTik, no codigo dele vc altera se for
preciso ip do mk-auth 172.31.255.2 e a altera key_apique vc pega na pagina
de dados do provedor no webadmin.

www.mk-auth.com.br/tool_fetch/dhcp.txt

O script todo automatico, ele coloca e remove os ips do DHCP sozinho a

cada 45 minutos.
Radius com PPPoE

Primeiro em IP/POOL o pool Local-1 para seu servidor com endereos entre
10.1.0.1-10.1.5.254, depois crie outro pool chamado Remoto-1 para seus
clientes com endereos entre 10.2.0.1-10.2.5.254.

Depois em PPP profiles crie um profile padro, coloque o nome pppoe,

Local Address escolha o pool Local-1,

Remote Address escolha Remoto-1,

DNS server coloque o ip do seu mikrotik, as outra opes deixe como abaixo:
Para criar o servidor PPPoE, Abra PPP clique em PPPoE Server, clique no no
sinal de + e coloque em Services Name: servidor-pppoe, Intafaces escolha sua
placa de conexo com seu clientes, MAX MTU/MRU coloque 1488, Keepalive
Timeout coloque o valor, Default Profile escolha o que acabamos de cria pppoe,
marque One Session Per Host e em Authentication marque chap.
Por ultimo para que seus clientes possa se conectar pelos dados no MK-AUTH
clique em secrets, boto AAA e marque Use Radius e Accounting em Interim
Update coloque 00:05:00.
Exibir pagina de corte usando Radius LIST ou SSH:

/ip firewall filter

add action=drop chain=forward dst-port=!53 protocol=udp comment="CORTE"
src-address-list=pgcorte
add action=drop chain=forward dst-port=!80 protocol=tcp comment="CORTE"
src-address-list=pgcorte
add action=drop chain=forward dst-port=!85 protocol=tcp comment="CORTE"
src-address-list=pgcorte

/ip firewall nat

add action=dst-nat dst-address=!172.31.255.2 chain=dstnat
comment="CORTE" dst-port=80 protocol=tcp src-address-list=pgcorte to-
addresses=172.31.255.2 to-ports=85
Exibir pagina de corte usando Radius Pool:

/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.254

/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0
interface=Placa do clientes

/ip firewall filter

add action=drop chain=forward dst-port=!53 protocol=udp comment="CORTE"
src-address=10.3.0.2-10.3.3.254
add action=drop chain=forward dst-port=!80 protocol=tcp comment="CORTE"
src-address=10.3.0.2-10.3.3.254
add action=drop chain=forward dst-port=!85 protocol=tcp comment="CORTE"
src-address=10.3.0.2-10.3.3.254

/ip firewall nat

add action=dst-nat dst-address=!172.31.255.2 chain=dstnat
comment="CORTE" dst-port=80 protocol=tcp src-address=10.3.0.2-10.3.3.254
to-addresses=172.31.255.2 to-ports=85

Radius com Access-List

Nas configuraes da sua placa sem fio, desative o Default Authenticate e

selecione o Security Profile que voce configurou com o radius:
No Security Profile usado pelo seu sistema altere na guia RADIUS para que
funcione autenticao do MAC com servidor radius:
Caso deseje usar criptografia WEP por a mesma exigir menos processamento
em seu provedor coloque a guia general do Security Profile:
Caso deseje usar criptografia WPA que mais forte mais exige mais
processamento em seu provedor coloque a guia general do Security Profile:
Ateno no cadastro do cliente preciso marca a opo usar access-list como
sim e que o MAC seja cadastrado para liberar a conexo e caso use uma das
duas formas de criptografia preciso definir qual delas irar usar e colocar a
chave.

Obs: chaves wep tem que ter 5 ou 13 caracteres e chaves wpa preciso que
no minimo seja 8 carecteres.

Radius com HOTSPOT

Clique em IP depois em HOTSPOT na aba servers clique em profiles e
preencha como abaixo:

Depois clique na aba RADIUS, marque a opo use RADIUS, marque

Accounting, em Interim Update
coloque 00:05:00 e NAS Port Type use ethernet.
Os clientes do radius usam o user profile default do hotspot, por isso alguns
configuraes para os mesmo tem que ser feitas nesse profile, como para
evitar login simultaneos com hotspot coloque na opo Shared Users o valor 1
e se no for usar o proxy do prprio MikroTik desmarque a opo Transparent
Proxy.
O sistema tem paginas personalizadas para o hotspot que j tem a
configurao necessria para exibir as paginas de aviso de atraso e titulos que
esto prximos de vencer clique aqui para baixar.
Para que seus clientes possam acessar sistema mesmo sem conexo crie esta
regra em Walled Garden:
clique em adicionar, deixe allow marcado e em Dst. host. coloque 172.31.255.2
e em Dst. Port coloque 80 e tambem adicione para porta 85.

Ateno abra somente este ip e portas por risco de conexo no autorizada.

Seus clientes poderam fazer a prpria assinatura e acessar a central mesmo
aps bloqueados para retirar 2 via de boletos emitidos.

Exibir pagina de corte usando Radius LIST ou SSH:

/ip firewall filter

add action=drop chain=forward dst-port=!53 protocol=udp comment="CORTE"
src-address-list=pgcorte
add action=drop chain=forward dst-port=!80 protocol=tcp comment="CORTE"
src-address-list=pgcorte
add action=drop chain=forward dst-port=!85 protocol=tcp comment="CORTE"
src-address-list=pgcorte
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat
comment="CORTE" dst-port=80 protocol=tcp src-address-list=pgcorte to-
addresses=172.31.255.2 to-ports=85

Exibir pagina de corte usando Radius Pool:

/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.254

/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0
interface=Placa do clientes

/ip firewall filter

add action=drop chain=forward dst-port=!53 protocol=udp comment="CORTE"
src-address=10.3.0.2-10.3.3.254
add action=drop chain=forward dst-port=!80 protocol=tcp comment="CORTE"
src-address=10.3.0.2-10.3.3.254
add action=drop chain=forward dst-port=!85 protocol=tcp comment="CORTE"
src-address=10.3.0.2-10.3.3.254

/ip firewall nat

add action=dst-nat dst-address=!172.31.255.2 chain=dstnat
comment="CORTE" dst-port=80 protocol=tcp src-address=10.3.0.2-10.3.3.254
to-addresses=172.31.255.2 to-ports=85

webadmin

Aps instalar vc pode comear a configurao usando o navegador acessando

a url http://172.31.255.2/admin

Use o Login: admin e a senha:123

Abaixo a pagina inicial, para comear a usar o sistema primeiro criei um plano
de acesso, escolhendo o menu provedor e o item planos, depois cadastre
clientes escolhendo o menu cliente e o item inserir clientes.

Configuraes do boleto bancrio, aps incluir uma conta caso ainda no tenha
o modulo de cobrana ativo em seu banco clique no link carta de homologao
para gerar uma carta para o banco com 20 boletos junto para analise bancaria.
Ferramentas do sistema e controle do servidor, aqui possivel ver graficos de
uso da memoria ram, processador, processos, conexes, trafego de rede e
carga do disco. Tambm tem os icones para reiniciar o servidor, desliga-lo e
reparar as tabelas do banco de dados.
Grafico com o uso da memoria RAM, mostrar o uso diario, uso semanal, uso
mensal e uso anual.
Comando mk-auth

Para utilizar o menu do MK-AUTH com as configuraes basicas do sistema.

faa login com o usuario: root e a senha: que foi colocado durante a
instalao do sistema.
abaixo um descrio de cada funo:

1 - Mostrar informaes sobre o uso do disco rigido.

2 - Reseta a senha do webadmin em caso de esquecimento.

3 - Gerar nova chave SSH para enviar ao mikrotik.

4 - Faz um backup de emergencia e envia por e-mail.

5 - Gera todos os titulos do clientes do sistema.

6 - Atualiza o sistema para a verso mais atual.

7 - Regrava no banco de dados os registros dos clientes.

8 - Configura o IP do servidor na placa de rede escolhida.

Central do Assinante
O cliente conta com uma central de acesso unica, com opo de alterao de
dados cadastrais, troca de senha, 2 via de boleto, financeiro, relatrios de
acessos e suporte por chamados...

Pagina principal da central do assinante:

Alterao da senha de acesso no provedor:
os servios abaixo esto disponiveis ao assinante na central:
Informaes de cadastro
Disco Virtual
Alterao dos dados cadastrais
Alterao de senha de acesso
Segunda via de boletos
Mensagens de aviso
Histrico de chamados
Abertura de chamados tcnico
Histrico de conexes
Velocimentro de conexo

FAQ
1 - O sistema roda em outra distro linux ou OpenSolaris e FreeBSD ?
Pode at rodar mais no h suporte para isso por conta prpria.
2 - Posso eu mesmo fazer a instalao do servidor?
Com toda a certeza, mais se precisar de ajuda contrate uma pessoa para
ajudar, no link abaixo tem a relao de pessoas que se disponibilizaram para
isso por estados:
www.mk-auth.com.br/page/mestres-1
3 - Quais os modos de Autenticao suportados pelo sistema
Hotspot, PPPoE e Access-List.
4 - O sistema MK-AUTH seguro?
At o momento no foi registrada nenhum falha grave de segurana no
sistema.
5 - Posso gerenciar vrios mikrotiks pelo mesmo sistema?
Sim, basta apenas cadastrar eles no sistema e ele em seus mikrotiks como
servidor Radius.
6 - O sistema faz balanceamento de Link?
No, o sistema no faz balanceamento de link, este recurso do mikrotik.
7 - Posso hospedar meu site no MK-AUTH?
Sim, na pasta /var/www do linux pode usar o winscp o usurio o mesmo do
sistema linux.
8 - Meu servidor enviar mensagens de email e sms?
Sim, mais preciso configurar seu servidor de smtp no webadmin com os
dados de sua conta de email e um gateway de sms.
9 - O sistema facil de usar?
Sim, Por esta em uma distro linux baseada no debian, o sistema operacional
muito facil de se usar e configurar, na internet voc encontra vrios tutorias
sobre debian e distros filhas que podem ajuda com respeito ao sistema
operacional.
10 - Posso piratear o sistema?
No, o sistema tem todas as atas notorias registradas em cartrio, por isso
cpias no autorizadas do sistema podem gerar processos futuros.
11 - Porque cadastro no MK-AUTH e no aparece no MikroTik?
Diferente de outros sistemas o MK-AUTH usa o RADIUS que tem suporte
100% pelo MikroTik, o mesmo como um banco de dados para o MikroTik
sempre que necessrio ele irar busca os dados no MK-AUTH no amazenando
nada localmente.
12 - Quais as regras do frum?
1 - no permitido links para sites de sistemas concorrentes.
2 - escolha um ttulo para o seu tpico que realmente tenha ligao com
a pergunta.
3 - pesquise bem antes de abrir um novo tpico.
4 - muito respeito com os outros membros.
5 - sempre colocar tags em tpicos que abre para ajudar em futuras
buscas.
13 - Para que serve o SSH do MikroTik no MK-AUTH?
Para mudar velocidade no turbo, plano night e enviar ip para address-list corte.
14 - Para que serve o FTP do MikroTik no MK-AUTH?
Para exibir paginas de aviso, atualizar o leases do DHCP e exportar clientes
para MikroTik....
15 - Somente tenho suporte se comprar o sistema?
Todos os e-mail de perguntas ao suporte so respondidos em fila pela ordem
de chegada sem haver seleo de clientes.
16 - Desejo a ajuda de uma pessoa?
Caso voc deseje ajuda de algum para fazer a configurao de seu servidor
MK-AUTH ou MikroTik, clique aqui e veja as pessoas que se
disponibilizaram para isso em seu estado.
17 - Ao colocar a licena o sistema vai trabalhar normal ele vai me dar
acesso a tudo?
Ele irar liberar para aceitar mais de 5 cadastros de clientes.
18 - A licena expira?
Ela no expira e funciona para sempre, mesmo depois de lanar uma novo
update para a verso voc pode continuar usando a mesma licena sem
problemas.
19 - Tem limitao depois do registro?
Depois do registro no, antes somente aceita o cadastro de 5 clientes.
20 - Ao fazer atualizao eu perco a minha licena?
Somente quando muda de verso, seu serial da verso 4 serve para todos os
updates 4.XX no dia que lana a verso 5 preciso um novo serial que irar
servir em todas as 5.XX.
21 - Posso colocar outros servios tipo o samba e etc no sistema que ele
vai gerenciar esse outro servio ?
Pode-se adicionar sim outros servios, mais no havera garantias para seu
sistema pois o mesmo com outros servios instalados pode se tornar inseguro
se for mal configurado e o sistema no gerencia outros servidores somente o
servidor radius que usado no controle do provedor.
22 - Como emitir notas ficais no sistema?.
Selecione o titulo e clique em processar NF-E que abre uma janela para
colocar os dados para a NFE.
23 - Em caso de problema no servidor no HD, eu tendo o backup do
sistema MK-AUTH, eu conseguiria restaurar em outra instalao de um
novo MK-AUTH eu teria que ter outra licena, como seria esse
procedimento ?
Sim possivel restaurar o backup em um novo servidor e me envie o serial
antigo para serial@mk-auth.com.br para ser cancelado e enviaremos um novo
serial.