Jump to content

Авторизация пользователей на микротике

shturvalin

By shturvalin
in Mikrotik Wireless

 Share

Recommended Posts

shturvalin

shturvalin

Posted
Posted

Добрый день всем. Вопрос в следующем, имеется тик, к которому подключена сеть с юзерами, адреса раздаются либо по дхцп либо статика, нужно сделать так, что бы пользователям по конкретным ip можно было сделать ограничение на скорость. Какими средствами это можно сделать в микротике? Или какие еще есть варианты ограничения скорости и создание правил пользователям?

shturvalin

shturvalin

Posted
  • Author
Posted

В simple queues можно так сделать.

 

Вот в queues добавил айпишники и завел пользователей, там же ограничил скорость, есть вопрос, как сделать что бы остальным айпишникам не был доступ в инет, если например ктото руками забъет адрес их того же диапазона?

 

Лучше поднять pppoe сервер и клиентов перевести

 

Чем пппое вариант лучше чем просто статические адреса? И сколько 921 роутер сможет по пппое потянуть пользователей? И кстати так же пппоешным пользователям можно ставить ограничение за загрузку?

divxl

divxl

Posted
Posted (edited)

Вот в queues добавил айпишники и завел пользователей, там же ограничил скорость, есть вопрос, как сделать что бы остальным айпишникам не был доступ в инет, если например ктото руками забъет адрес их того же диапазона?

Можно к примеру последнее правило в quesues создать со сротью 64кб на всю подсеть, т.е. в конце IP адреса поставить префикс x.x.x.0/24 к примеру.

Либо через файрволл как то разрулить.

Edited by divxl
Sergeylo

Sergeylo

Posted
Posted

Когда заказчик шабашки сказал "Хочу именно так!", и схема работы клиентских устройств была схожая, делал запрет forward'а /24 в конце фаервола, в фаерволе же разрешались address-list'ы всех хостов, на них вешались (по необходимости) прокси-редиректы и индивидуальные simple queue.

Но это кривая схема, которая не исключает ручное назначение заведомо разрешённого ip - против таких нужно городить static arp, что ещё злее, и тоже не гарантирует.

Как говорилось - куда проще делать доступ наружу поверх pppoe (доступ к внутренним ресурсам по адресации из dhcp, pppoe - другая адресация, уже с индивидуальными лимитами и пр.)

Вопрос тут будет разве что в количестве машин в сети. До двадцати, скажем, покатит. Больше - уже хаотично и дико.

shturvalin

shturvalin

Posted
  • Author
Posted

Когда заказчик шабашки сказал "Хочу именно так!", и схема работы клиентских устройств была схожая, делал запрет forward'а /24 в конце фаервола, в фаерволе же разрешались address-list'ы всех хостов, на них вешались (по необходимости) прокси-редиректы и индивидуальные simple queue.

Но это кривая схема, которая не исключает ручное назначение заведомо разрешённого ip - против таких нужно городить static arp, что ещё злее, и тоже не гарантирует.

Как говорилось - куда проще делать доступ наружу поверх pppoe (доступ к внутренним ресурсам по адресации из dhcp, pppoe - другая адресация, уже с индивидуальными лимитами и пр.)

Вопрос тут будет разве что в количестве машин в сети. До двадцати, скажем, покатит. Больше - уже хаотично и дико.

 

Т.е все же рассмотреть вариант поднять пппое?

pandel

pandel

Posted
Posted

В simple queues можно так сделать.

 

Вот в queues добавил айпишники и завел пользователей, там же ограничил скорость, есть вопрос, как сделать что бы остальным айпишникам не был доступ в инет, если например ктото руками забъет адрес их того же диапазона?

 

Лучше поднять pppoe сервер и клиентов перевести

 

Чем пппое вариант лучше чем просто статические адреса? И сколько 921 роутер сможет по пппое потянуть пользователей? И кстати так же пппоешным пользователям можно ставить ограничение за загрузку?

 

Ну для меня удобен тем, что на каждый логин, очень легко привязывается тарифный план. Настроили несколько тарифов, а при создании учетной записи, просто выбираете нужный.

Не нужно париться с адресами, один раз прописал и забыл. Отпадает необходимость вручную прописывать очереди и возиться с акцес листами.

Удобно мониторить активных абонентов, кто сколько качает, соответствует ли скорость ТП

Легче выявлять проблемы, когда видите в логах сколько времени абонент был активен, как часто рвутся сессии и т.п

 

Вот хорошая статья, вроде Саабовская, http://www.lanmart.ru/blogs/how-to-become-isp

shturvalin

shturvalin

Posted
  • Author
Posted (edited)

В simple queues можно так сделать.

 

Вот в queues добавил айпишники и завел пользователей, там же ограничил скорость, есть вопрос, как сделать что бы остальным айпишникам не был доступ в инет, если например ктото руками забъет адрес их того же диапазона?

 

Лучше поднять pppoe сервер и клиентов перевести

 

Чем пппое вариант лучше чем просто статические адреса? И сколько 921 роутер сможет по пппое потянуть пользователей? И кстати так же пппоешным пользователям можно ставить ограничение за загрузку?

 

Ну для меня удобен тем, что на каждый логин, очень легко привязывается тарифный план. Настроили несколько тарифов, а при создании учетной записи, просто выбираете нужный.

Не нужно париться с адресами, один раз прописал и забыл. Отпадает необходимость вручную прописывать очереди и возиться с акцес листами.

Удобно мониторить активных абонентов, кто сколько качает, соответствует ли скорость ТП

Легче выявлять проблемы, когда видите в логах сколько времени абонент был активен, как часто рвутся сессии и т.п

 

Вот хорошая статья, вроде Саабовская, http://www.lanmart.ru/blogs/how-to-become-isp

какое оборудование у вас отвечает за пппое? на чем можно крутить до 20 клиентов? 951 роутер потянет?

за статейку спасибо, хорошая развернутая инструкция!

Edited by shturvalin
Night_Snake

Night_Snake

Posted
Posted

Вопрос, имхо лежит в плоскости назначения.

Это энтерпрайз или провайдер? Если провайдер - однозначно PPPoE/L2TP. Если энтерпрайз (и есть возможность административного воздействия на любителей менять адреса), то хватит и обычной ip-схемы с queues на ip.

shturvalin

shturvalin

Posted
  • Author
Posted

У меня rb450. Но и ваш без проблем потянет

Вопрос, имхо лежит в плоскости назначения.

Это энтерпрайз или провайдер? Если провайдер - однозначно PPPoE/L2TP. Если энтерпрайз (и есть возможность административного воздействия на любителей менять адреса), то хватит и обычной ip-схемы с queues на ip.

Спасибо! Это хочется сделать хорошо, и правильно, и что бы потом голова не болела, ну в разумных пределах конечно на этом оборудовании на сколько это возможно

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.