Перейти к содержимому
Калькуляторы

Авторизация пользователей на микротике

Добрый день всем. Вопрос в следующем, имеется тик, к которому подключена сеть с юзерами, адреса раздаются либо по дхцп либо статика, нужно сделать так, что бы пользователям по конкретным ip можно было сделать ограничение на скорость. Какими средствами это можно сделать в микротике? Или какие еще есть варианты ограничения скорости и создание правил пользователям?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В simple queues можно так сделать.

Изменено пользователем divxl

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В simple queues можно так сделать.

 

Вот в queues добавил айпишники и завел пользователей, там же ограничил скорость, есть вопрос, как сделать что бы остальным айпишникам не был доступ в инет, если например ктото руками забъет адрес их того же диапазона?

 

Лучше поднять pppoe сервер и клиентов перевести

 

Чем пппое вариант лучше чем просто статические адреса? И сколько 921 роутер сможет по пппое потянуть пользователей? И кстати так же пппоешным пользователям можно ставить ограничение за загрузку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот в queues добавил айпишники и завел пользователей, там же ограничил скорость, есть вопрос, как сделать что бы остальным айпишникам не был доступ в инет, если например ктото руками забъет адрес их того же диапазона?

Можно к примеру последнее правило в quesues создать со сротью 64кб на всю подсеть, т.е. в конце IP адреса поставить префикс x.x.x.0/24 к примеру.

Либо через файрволл как то разрулить.

Изменено пользователем divxl

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Когда заказчик шабашки сказал "Хочу именно так!", и схема работы клиентских устройств была схожая, делал запрет forward'а /24 в конце фаервола, в фаерволе же разрешались address-list'ы всех хостов, на них вешались (по необходимости) прокси-редиректы и индивидуальные simple queue.

Но это кривая схема, которая не исключает ручное назначение заведомо разрешённого ip - против таких нужно городить static arp, что ещё злее, и тоже не гарантирует.

Как говорилось - куда проще делать доступ наружу поверх pppoe (доступ к внутренним ресурсам по адресации из dhcp, pppoe - другая адресация, уже с индивидуальными лимитами и пр.)

Вопрос тут будет разве что в количестве машин в сети. До двадцати, скажем, покатит. Больше - уже хаотично и дико.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Когда заказчик шабашки сказал "Хочу именно так!", и схема работы клиентских устройств была схожая, делал запрет forward'а /24 в конце фаервола, в фаерволе же разрешались address-list'ы всех хостов, на них вешались (по необходимости) прокси-редиректы и индивидуальные simple queue.

Но это кривая схема, которая не исключает ручное назначение заведомо разрешённого ip - против таких нужно городить static arp, что ещё злее, и тоже не гарантирует.

Как говорилось - куда проще делать доступ наружу поверх pppoe (доступ к внутренним ресурсам по адресации из dhcp, pppoe - другая адресация, уже с индивидуальными лимитами и пр.)

Вопрос тут будет разве что в количестве машин в сети. До двадцати, скажем, покатит. Больше - уже хаотично и дико.

 

Т.е все же рассмотреть вариант поднять пппое?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В simple queues можно так сделать.

 

Вот в queues добавил айпишники и завел пользователей, там же ограничил скорость, есть вопрос, как сделать что бы остальным айпишникам не был доступ в инет, если например ктото руками забъет адрес их того же диапазона?

 

Лучше поднять pppoe сервер и клиентов перевести

 

Чем пппое вариант лучше чем просто статические адреса? И сколько 921 роутер сможет по пппое потянуть пользователей? И кстати так же пппоешным пользователям можно ставить ограничение за загрузку?

 

Ну для меня удобен тем, что на каждый логин, очень легко привязывается тарифный план. Настроили несколько тарифов, а при создании учетной записи, просто выбираете нужный.

Не нужно париться с адресами, один раз прописал и забыл. Отпадает необходимость вручную прописывать очереди и возиться с акцес листами.

Удобно мониторить активных абонентов, кто сколько качает, соответствует ли скорость ТП

Легче выявлять проблемы, когда видите в логах сколько времени абонент был активен, как часто рвутся сессии и т.п

 

Вот хорошая статья, вроде Саабовская, http://www.lanmart.ru/blogs/how-to-become-isp

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В simple queues можно так сделать.

 

Вот в queues добавил айпишники и завел пользователей, там же ограничил скорость, есть вопрос, как сделать что бы остальным айпишникам не был доступ в инет, если например ктото руками забъет адрес их того же диапазона?

 

Лучше поднять pppoe сервер и клиентов перевести

 

Чем пппое вариант лучше чем просто статические адреса? И сколько 921 роутер сможет по пппое потянуть пользователей? И кстати так же пппоешным пользователям можно ставить ограничение за загрузку?

 

Ну для меня удобен тем, что на каждый логин, очень легко привязывается тарифный план. Настроили несколько тарифов, а при создании учетной записи, просто выбираете нужный.

Не нужно париться с адресами, один раз прописал и забыл. Отпадает необходимость вручную прописывать очереди и возиться с акцес листами.

Удобно мониторить активных абонентов, кто сколько качает, соответствует ли скорость ТП

Легче выявлять проблемы, когда видите в логах сколько времени абонент был активен, как часто рвутся сессии и т.п

 

Вот хорошая статья, вроде Саабовская, http://www.lanmart.ru/blogs/how-to-become-isp

какое оборудование у вас отвечает за пппое? на чем можно крутить до 20 клиентов? 951 роутер потянет?

за статейку спасибо, хорошая развернутая инструкция!

Изменено пользователем shturvalin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос, имхо лежит в плоскости назначения.

Это энтерпрайз или провайдер? Если провайдер - однозначно PPPoE/L2TP. Если энтерпрайз (и есть возможность административного воздействия на любителей менять адреса), то хватит и обычной ip-схемы с queues на ip.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня rb450. Но и ваш без проблем потянет

Вопрос, имхо лежит в плоскости назначения.

Это энтерпрайз или провайдер? Если провайдер - однозначно PPPoE/L2TP. Если энтерпрайз (и есть возможность административного воздействия на любителей менять адреса), то хватит и обычной ip-схемы с queues на ip.

Спасибо! Это хочется сделать хорошо, и правильно, и что бы потом голова не болела, ну в разумных пределах конечно на этом оборудовании на сколько это возможно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.