svyaznoy Posted April 25, 2017 Добрый вечер форумчане... Есть одна проблемка??? имеются wi-fi роутер tp-link, микротик RB750, и мой комп. Схема инет->tp-link->RB750->комп или тел и т. д. 1)Через tp-link есть доступ в инет (через vpn/pppoe) и он же раздает инет взрослым юзерам по изернет и вайфай по dhcp. 2)Подключил к lan порту тп-линка свой RB750, предварительно настроив dhcp клиент. Таким образом инет на самом RB750 есть. Но есть проблема - когда настраиваю dhcp сервер на самом RB750, мой комп. по дхцп клиенту получает айпи от него, но в инет не могу выходить, хотя настройку NAT на RB750 тоже настроил. Хочу настроить инет на tp-link и RB750 c вай-фай раздачей инет по дхцп на обеих железках. Но нужно чтоб на RB750 можно было выходить в инет только через отдельный DNS (для блокировки не желательных сайтов для детей), а первую железку оставить взрослым)). Надеюсь Вы меня поняли)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted April 25, 2017 ркн укусил? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted April 25, 2017 показывайте export compact Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted April 27, 2017 показывайте export compact Теперь вместо rb750 стоит микротик hap lite. На нем планирую раздать инет по вайфай и по изернет по дхцп. Вот конфиг: MikroTik] > export compact # apr/27/2017 09:44:23 by RouterOS 6.38.5 # software id = 3QS-PLYS # /interface bridge add name=bridge_wi-fi /interface wireless set [ find default-name=wlan1 ] disabled=no /interface ethernet set [ find default-name=ether1 ] mac-address=00:XX:XX:XX:XX:XX /ip neighbor discovery set ether1 discover=no /ip pool add name=pool_wi-fi ranges=192.168.10.11-192.168.10.200 /ip dhcp-server add address-pool=pool_wi-fi disabled=no interface=bridge_wi-fi name=server1 \ src-address=192.168.10.1 /interface bridge port add bridge=bridge_wi-fi interface=ether2 add bridge=bridge_wi-fi interface=ether3 add bridge=bridge_wi-fi interface=ether4 add bridge=bridge_wi-fi interface=wlan1 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \ interface=ether1 /ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 /ip dns set allow-remote-requests=yes servers=77.88.8.7 /ip firewall nat add action=masquerade chain=srcnat /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Moscow /tool mac-server set [ find default=yes ] disabled=yes Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 27, 2017 /ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 Тут еще надо ДНС указать для выдачи клиентам. /tool mac-server set [ find default=yes ] disabled=yes А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted April 27, 2017 /ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 Тут еще надо ДНС указать для выдачи клиентам. /tool mac-server set [ find default=yes ] disabled=yes А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=) Большое спасибо Saab95, заработал. И еще я сетку, оказывается, не добавил в бридж)) Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted April 27, 2017 frigate в браузере решит эту проблему. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 27, 2017 Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени??? Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=) Но это заберет много производительности. Да и порты надо указать 80 и 443. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
doctor_ORZ Posted April 27, 2017 Да и порты надо указать 80 и 443 И как именно? L7 по мануалам в инете настроил и вроде как все режет-блокирует. Зачем тогда порты? И как именно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted April 27, 2017 Блокировать можно через L7 фильтр ценой дикой потери в производительности вроде как все режет-блокирует а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nuts Posted April 28, 2017 Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени??? Сейчас актуальный способ - добавлять доменные имена в адрес-лист. На адрес-лист правило с action=reset. Можно по старинке - с помощью L7 фильтра резать только DNS запросы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
doctor_ORZ Posted April 28, 2017 а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают В моем случае никаких детей нет, речь про рабочие станции. Где у юзеров права юзеров и юзают они инет через IE. Как они на него фригат натянут-то? Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted April 28, 2017 Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае. вангую, что уже с 10 таких правил он уже и 100 мегабит не даст Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted May 1, 2017 Именно по этой причине и следует указывать порты и src адреса, что бы под правило лишний трафик не попадал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
poisons Posted May 2, 2017 L7 вовсе для других целей. https://wiki.mikrotik.com/wiki/Manual:IP/Proxy#Proxy_based_firewall_.E2.80.93_Access_List Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted May 2, 2017 Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени??? Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=) Но это заберет много производительности. Да и порты надо указать 80 и 443. Благодарю, попробую сфильтровать)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted May 2, 2017 А не лучше вместо L7 зарубить запросы на любые внешние DNS и все ненужное через статические записи завернуть в localhost? Всем, или по списку (src-address-list=moderated), а-ля: /ip firewall filter add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=tcp #src-address-list=moderated add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=udp #src-address-list=moderated /ip dns static add address=127.0.0.1 regexp=ok.ru ttl=0s Имхо нагрузка поменьше будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted May 2, 2017 Намного меньше. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...