Jump to content
Калькуляторы

Авторизация пользователей на микротике

Добрый день всем. Вопрос в следующем, имеется тик, к которому подключена сеть с юзерами, адреса раздаются либо по дхцп либо статика, нужно сделать так, что бы пользователям по конкретным ip можно было сделать ограничение на скорость. Какими средствами это можно сделать в микротике? Или какие еще есть варианты ограничения скорости и создание правил пользователям?

Share this post


Link to post
Share on other sites

В simple queues можно так сделать.

Edited by divxl

Share this post


Link to post
Share on other sites

Лучше поднять pppoe сервер и клиентов перевести

Share this post


Link to post
Share on other sites

В simple queues можно так сделать.

 

Вот в queues добавил айпишники и завел пользователей, там же ограничил скорость, есть вопрос, как сделать что бы остальным айпишникам не был доступ в инет, если например ктото руками забъет адрес их того же диапазона?

 

Лучше поднять pppoe сервер и клиентов перевести

 

Чем пппое вариант лучше чем просто статические адреса? И сколько 921 роутер сможет по пппое потянуть пользователей? И кстати так же пппоешным пользователям можно ставить ограничение за загрузку?

Share this post


Link to post
Share on other sites

Вот в queues добавил айпишники и завел пользователей, там же ограничил скорость, есть вопрос, как сделать что бы остальным айпишникам не был доступ в инет, если например ктото руками забъет адрес их того же диапазона?

Можно к примеру последнее правило в quesues создать со сротью 64кб на всю подсеть, т.е. в конце IP адреса поставить префикс x.x.x.0/24 к примеру.

Либо через файрволл как то разрулить.

Edited by divxl

Share this post


Link to post
Share on other sites

Когда заказчик шабашки сказал "Хочу именно так!", и схема работы клиентских устройств была схожая, делал запрет forward'а /24 в конце фаервола, в фаерволе же разрешались address-list'ы всех хостов, на них вешались (по необходимости) прокси-редиректы и индивидуальные simple queue.

Но это кривая схема, которая не исключает ручное назначение заведомо разрешённого ip - против таких нужно городить static arp, что ещё злее, и тоже не гарантирует.

Как говорилось - куда проще делать доступ наружу поверх pppoe (доступ к внутренним ресурсам по адресации из dhcp, pppoe - другая адресация, уже с индивидуальными лимитами и пр.)

Вопрос тут будет разве что в количестве машин в сети. До двадцати, скажем, покатит. Больше - уже хаотично и дико.

Share this post


Link to post
Share on other sites

Когда заказчик шабашки сказал "Хочу именно так!", и схема работы клиентских устройств была схожая, делал запрет forward'а /24 в конце фаервола, в фаерволе же разрешались address-list'ы всех хостов, на них вешались (по необходимости) прокси-редиректы и индивидуальные simple queue.

Но это кривая схема, которая не исключает ручное назначение заведомо разрешённого ip - против таких нужно городить static arp, что ещё злее, и тоже не гарантирует.

Как говорилось - куда проще делать доступ наружу поверх pppoe (доступ к внутренним ресурсам по адресации из dhcp, pppoe - другая адресация, уже с индивидуальными лимитами и пр.)

Вопрос тут будет разве что в количестве машин в сети. До двадцати, скажем, покатит. Больше - уже хаотично и дико.

 

Т.е все же рассмотреть вариант поднять пппое?

Share this post


Link to post
Share on other sites

В simple queues можно так сделать.

 

Вот в queues добавил айпишники и завел пользователей, там же ограничил скорость, есть вопрос, как сделать что бы остальным айпишникам не был доступ в инет, если например ктото руками забъет адрес их того же диапазона?

 

Лучше поднять pppoe сервер и клиентов перевести

 

Чем пппое вариант лучше чем просто статические адреса? И сколько 921 роутер сможет по пппое потянуть пользователей? И кстати так же пппоешным пользователям можно ставить ограничение за загрузку?

 

Ну для меня удобен тем, что на каждый логин, очень легко привязывается тарифный план. Настроили несколько тарифов, а при создании учетной записи, просто выбираете нужный.

Не нужно париться с адресами, один раз прописал и забыл. Отпадает необходимость вручную прописывать очереди и возиться с акцес листами.

Удобно мониторить активных абонентов, кто сколько качает, соответствует ли скорость ТП

Легче выявлять проблемы, когда видите в логах сколько времени абонент был активен, как часто рвутся сессии и т.п

 

Вот хорошая статья, вроде Саабовская, http://www.lanmart.ru/blogs/how-to-become-isp

Share this post


Link to post
Share on other sites

В simple queues можно так сделать.

 

Вот в queues добавил айпишники и завел пользователей, там же ограничил скорость, есть вопрос, как сделать что бы остальным айпишникам не был доступ в инет, если например ктото руками забъет адрес их того же диапазона?

 

Лучше поднять pppoe сервер и клиентов перевести

 

Чем пппое вариант лучше чем просто статические адреса? И сколько 921 роутер сможет по пппое потянуть пользователей? И кстати так же пппоешным пользователям можно ставить ограничение за загрузку?

 

Ну для меня удобен тем, что на каждый логин, очень легко привязывается тарифный план. Настроили несколько тарифов, а при создании учетной записи, просто выбираете нужный.

Не нужно париться с адресами, один раз прописал и забыл. Отпадает необходимость вручную прописывать очереди и возиться с акцес листами.

Удобно мониторить активных абонентов, кто сколько качает, соответствует ли скорость ТП

Легче выявлять проблемы, когда видите в логах сколько времени абонент был активен, как часто рвутся сессии и т.п

 

Вот хорошая статья, вроде Саабовская, http://www.lanmart.ru/blogs/how-to-become-isp

какое оборудование у вас отвечает за пппое? на чем можно крутить до 20 клиентов? 951 роутер потянет?

за статейку спасибо, хорошая развернутая инструкция!

Edited by shturvalin

Share this post


Link to post
Share on other sites

Вопрос, имхо лежит в плоскости назначения.

Это энтерпрайз или провайдер? Если провайдер - однозначно PPPoE/L2TP. Если энтерпрайз (и есть возможность административного воздействия на любителей менять адреса), то хватит и обычной ip-схемы с queues на ip.

Share this post


Link to post
Share on other sites

У меня rb450. Но и ваш без проблем потянет

Вопрос, имхо лежит в плоскости назначения.

Это энтерпрайз или провайдер? Если провайдер - однозначно PPPoE/L2TP. Если энтерпрайз (и есть возможность административного воздействия на любителей менять адреса), то хватит и обычной ip-схемы с queues на ip.

Спасибо! Это хочется сделать хорошо, и правильно, и что бы потом голова не болела, ну в разумных пределах конечно на этом оборудовании на сколько это возможно

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this