svyaznoy Posted April 25, 2017 · Report post Добрый вечер форумчане... Есть одна проблемка??? имеются wi-fi роутер tp-link, микротик RB750, и мой комп. Схема инет->tp-link->RB750->комп или тел и т. д. 1)Через tp-link есть доступ в инет (через vpn/pppoe) и он же раздает инет взрослым юзерам по изернет и вайфай по dhcp. 2)Подключил к lan порту тп-линка свой RB750, предварительно настроив dhcp клиент. Таким образом инет на самом RB750 есть. Но есть проблема - когда настраиваю dhcp сервер на самом RB750, мой комп. по дхцп клиенту получает айпи от него, но в инет не могу выходить, хотя настройку NAT на RB750 тоже настроил. Хочу настроить инет на tp-link и RB750 c вай-фай раздачей инет по дхцп на обеих железках. Но нужно чтоб на RB750 можно было выходить в инет только через отдельный DNS (для блокировки не желательных сайтов для детей), а первую железку оставить взрослым)). Надеюсь Вы меня поняли)) Share this post Link to post Share on other sites
myth Posted April 25, 2017 · Report post ркн укусил? Share this post Link to post Share on other sites
.None Posted April 25, 2017 · Report post показывайте export compact Share this post Link to post Share on other sites
svyaznoy Posted April 27, 2017 · Report post показывайте export compact Теперь вместо rb750 стоит микротик hap lite. На нем планирую раздать инет по вайфай и по изернет по дхцп. Вот конфиг: MikroTik] > export compact # apr/27/2017 09:44:23 by RouterOS 6.38.5 # software id = 3QS-PLYS # /interface bridge add name=bridge_wi-fi /interface wireless set [ find default-name=wlan1 ] disabled=no /interface ethernet set [ find default-name=ether1 ] mac-address=00:XX:XX:XX:XX:XX /ip neighbor discovery set ether1 discover=no /ip pool add name=pool_wi-fi ranges=192.168.10.11-192.168.10.200 /ip dhcp-server add address-pool=pool_wi-fi disabled=no interface=bridge_wi-fi name=server1 \ src-address=192.168.10.1 /interface bridge port add bridge=bridge_wi-fi interface=ether2 add bridge=bridge_wi-fi interface=ether3 add bridge=bridge_wi-fi interface=ether4 add bridge=bridge_wi-fi interface=wlan1 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \ interface=ether1 /ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 /ip dns set allow-remote-requests=yes servers=77.88.8.7 /ip firewall nat add action=masquerade chain=srcnat /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Moscow /tool mac-server set [ find default=yes ] disabled=yes Share this post Link to post Share on other sites
Saab95 Posted April 27, 2017 · Report post /ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 Тут еще надо ДНС указать для выдачи клиентам. /tool mac-server set [ find default=yes ] disabled=yes А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=) Share this post Link to post Share on other sites
svyaznoy Posted April 27, 2017 · Report post /ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 Тут еще надо ДНС указать для выдачи клиентам. /tool mac-server set [ find default=yes ] disabled=yes А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=) Большое спасибо Saab95, заработал. И еще я сетку, оказывается, не добавил в бридж)) Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени??? Share this post Link to post Share on other sites
myth Posted April 27, 2017 · Report post frigate в браузере решит эту проблему. Share this post Link to post Share on other sites
Saab95 Posted April 27, 2017 · Report post Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени??? Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=) Но это заберет много производительности. Да и порты надо указать 80 и 443. Share this post Link to post Share on other sites
doctor_ORZ Posted April 27, 2017 · Report post Да и порты надо указать 80 и 443 И как именно? L7 по мануалам в инете настроил и вроде как все режет-блокирует. Зачем тогда порты? И как именно? Share this post Link to post Share on other sites
myth Posted April 27, 2017 · Report post Блокировать можно через L7 фильтр ценой дикой потери в производительности вроде как все режет-блокирует а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают Share this post Link to post Share on other sites
Nuts Posted April 28, 2017 · Report post Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени??? Сейчас актуальный способ - добавлять доменные имена в адрес-лист. На адрес-лист правило с action=reset. Можно по старинке - с помощью L7 фильтра резать только DNS запросы. Share this post Link to post Share on other sites
doctor_ORZ Posted April 28, 2017 · Report post а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают В моем случае никаких детей нет, речь про рабочие станции. Где у юзеров права юзеров и юзают они инет через IE. Как они на него фригат натянут-то? Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае. Share this post Link to post Share on other sites
myth Posted April 28, 2017 · Report post Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае. вангую, что уже с 10 таких правил он уже и 100 мегабит не даст Share this post Link to post Share on other sites
Saab95 Posted May 1, 2017 · Report post Именно по этой причине и следует указывать порты и src адреса, что бы под правило лишний трафик не попадал. Share this post Link to post Share on other sites
poisons Posted May 2, 2017 · Report post L7 вовсе для других целей. https://wiki.mikrotik.com/wiki/Manual:IP/Proxy#Proxy_based_firewall_.E2.80.93_Access_List Share this post Link to post Share on other sites
svyaznoy Posted May 2, 2017 · Report post Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени??? Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=) Но это заберет много производительности. Да и порты надо указать 80 и 443. Благодарю, попробую сфильтровать)) Share this post Link to post Share on other sites
DRiVen Posted May 2, 2017 · Report post А не лучше вместо L7 зарубить запросы на любые внешние DNS и все ненужное через статические записи завернуть в localhost? Всем, или по списку (src-address-list=moderated), а-ля: /ip firewall filter add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=tcp #src-address-list=moderated add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=udp #src-address-list=moderated /ip dns static add address=127.0.0.1 regexp=ok.ru ttl=0s Имхо нагрузка поменьше будет. Share this post Link to post Share on other sites
myth Posted May 2, 2017 · Report post Намного меньше. Share this post Link to post Share on other sites
