Odmine Posted January 19, 2016 (edited) · Report post Нужно 192.168.1.3 запустить через шейпер микротика, при том что, geteway микротик берет через тот же единственный eth1 WAN порт, через который он и должен раздать интернет. Склоняюсь к такой мысли: меняю на модеме айпи на 192.168.2.1 создаю на микротике vlan с любым ID, влану даю бывший айпи модема 192.168.1.1 (чтобы клиенту не менять настройки), на микротике меняю подсеть wan порта (на рисунке ошибочно обозначен как LAN), чтобы смотрел на новый айпи модема. Дальше, открываю firewall, вкладка NAT, add, chain=srcnat, Ount interface=vlan, вкладка Action=masquerade, + шейпер по вкусу. Все? Боюсь что не будет через один и тот же кабель брать интернет, как ван интерфейс и раздавать через него же влан как шлюз. Или будет? Может чего еще забыл, напишите пошагово, а то абоненту нельзя сильно вредить длительными перебоями с интернет+через вай фай администрирую, не дай бог еще доступ потерять. Edited January 19, 2016 by Odmine Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Odmine Posted January 21, 2016 (edited) · Report post Отвечу на свой вопрос сам. vlan по описанным мною действиями даже не пингуется с 192.168.1.3, все делается очень просто. В адрес лист добавляется еще один айпи (например старый айпи модема, а новый засекречивается) любой подсети на тот интерфейс который смотрит на модем. Все! Можно брать его как шлюз и днс, в микротике апи которые смотрят на этот шлюз загонять в шейпер и все работает как надо. Мне вот интересно, а в микротике об этом знают? Судя по гуглу, думаю что нет, никто даже не задумывался о такой конструкции, максимум роутер дополнительный пихают. Edited January 21, 2016 by Odmine Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dronis3 Posted January 21, 2016 (edited) · Report post А где такое применимо? Например на x86 RouterOS где на компе один сетевой порт гигабитный? Так все равно свитч нужен управляемый между провайдером и wan портом маршрутизатора? Или по идее обычного неуправляемого хватит? Edited January 21, 2016 by dronis3 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted January 21, 2016 · Report post Обычный router on a stick, схема из времен, когда роутеры были очень дорогие, а портов очень мало. Odmine, "засекречивание" адреса модема не решение вопроса, раз на PHY/L2 изолировать от остальной сети эту связку не можете - хотя бы вынесите адреса между модемом и МТ в отдельную подсеть /30. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Odmine Posted January 22, 2016 · Report post А где такое применимо? Например на x86 RouterOS где на компе один сетевой порт гигабитный? Так все равно свитч нужен управляемый между провайдером и wan портом маршрутизатора? Или по идее обычного неуправляемого хватит? Ну например применимо там: есть доступ в интернет у Василия, а Петр договорился с василием бруть у него интернет и по вай фай решил его раздавать себе, своим близким.., с помощью типичногой железки микротика, которая имеет всего два физичиских порта, вай фай и лан. Вася разрешил Петру сунуть свой кабель в его свитч или хаб или модем многопортовый... Петр пользуется интернетом, нарезает своим близким скорость, только вот Васе он нарезать не может и Вася временями сильно качает и пожимает плечами, мол не хватает знаний как этим управлять. Вася использует DHCP настройки модема или Вася прописал их статически. Петр в свою очередь если он уполномочен админить модем, меняет айпи на модеме, а на микротике выставляет дополнительный айпи (старый айпи модема) на том же интерфейсе который ему разрешили сунуть в свитч, Васин трафик начал бегать через роутер и Васю не беспокоили, он этого даже не заметил. Или если Вася использует DHCP и Петр не уполномочен админить модем, то Петр сунув свой роутер в лан порт, модема, подымает на своем лан интрефейсе DHCP сервер указав в настройках свой дополнительный айпи интерфейса, таким образом будет 2 DHCP сервера, иногда DHCP сервер микротика будет успевать выдать свои настройки на всю Васину сеть и завернуть трафик через себя. Или еще вариант: сгорел у вас радиомодуль, а лан работает, железку на выброс? Нет, суньте кончик кабеля последнего рабочего интерфейса в тупую локальную сеть хоть на хабах и используйте всю силу роутера микротик. Лихо? Но в нашем случае еще нестандартней, Вася не уполномочен администрировать модем, только Петр:) Обычный router on a stick, схема из времен, когда роутеры были очень дорогие, а портов очень мало Пусть даже бесплатные роутеры нынче, вы бы в моем случае использовали схему+1 роутер и+1 блок питания? Чем мой вариант хуже? Только тем что физически не можешь отделить Васю от модема. Хотя вероятно есть вариант поднять на микротике pppoe с модемом и в модеме выключить бридж? Odmine, "засекречивание" адреса модема не решение вопроса, раз на PHY/L2 изолировать от остальной сети эту связку не можете - хотя бы вынесите адреса между модемом и МТ в отдельную подсеть /30. Ну в моем случае решение, так как даже если Вася вычислит айпи реального шлюза, в моем случае я вправе попросить его этого не делать, оплачиваем ведь вместе. Что даст вынос адресов в подсеть /30 и как это спасет от обнаружения айпи не совсем понимаю. Он ведь может просто запустить трасировку и айпи реального шлюза там покажет traceroute ya.ru или сканировать все диапазоны локальных айпи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted January 22, 2016 · Report post Чем мой вариант хуже? Ваш вариант вполне рабочий, никто про "хуже" не говорил. Что даст вынос адресов в подсеть /30 и как это спасет от обнаружения айпи не совсем понимаю. Дело не в обнаружении, на /30 (если модем умеет - то /31) даже если Вася захочет, то не сможет пустить трафик мимо вас, напрямую в модем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dronis3 Posted January 22, 2016 · Report post Круто конечно, круто. Мне пока рано такое понять сразу, но учту! А с защитой сети ARP или в ручную прописать, а в шейпере всем не привязанным выдать скорость 1кб или сменить на интерфейсе на reply-only и занести всех участников сети в список, что самое подходящие) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Odmine Posted January 22, 2016 · Report post Дело не в обнаружении, на /30 (если модем умеет - то /31) даже если Вася захочет, то не сможет пустить трафик мимо вас, напрямую в модем. Ну да, данный совет просто великолепен! Так и сделаю, если он посмеет брать напрямую. А если получится только маска 30, там ведь остается два айпи, один будет роутера другой он возьмет или роутером занять и другой? А с защитой сети ARP или в ручную прописать, а в шейпере всем не привязанным выдать скорость 1кб или сменить на интерфейсе на reply-only и занести всех участников сети в список, что самое подходящие) Имеете ввиду в микротике сделать связку айпи+мак и только им давать скорость? Это не решит проблему, поможет только тогда, когда у него нет возможности брать траф напрямую и чтобы он не выбирал себе непошейпенный айпи методом выбора свободного айпи, а в данном случае он просто возьмет шлюз с модема напрямую и знать он не хотел роутер. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted January 23, 2016 · Report post А если получится только маска 30, там ведь остается два айпи, один будет роутера другой он возьмет или роутером занять и другой? Ничего занимать не надо, если модем умеет только /30, то работает в классической адресации и трафик с адресов сети и броадкаста никуда машрутизировать не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 24, 2016 · Report post Еще можно PPPoE настроить и пусть абоненты работают через него. Тогда никто в интернет не попадет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...