[svyaznoy]

Добрый вечер форумчане... Есть одна проблемка??? имеются wi-fi роутер tp-link, микротик RB750, и мой комп. Схема инет->tp-link->RB750->комп или тел и т. д.

1)Через tp-link есть доступ в инет (через vpn/pppoe) и он же раздает инет взрослым юзерам по изернет и вайфай по dhcp.

2)Подключил к lan порту тп-линка свой RB750, предварительно настроив dhcp клиент. Таким образом инет на самом RB750 есть.

Но есть проблема - когда настраиваю dhcp сервер на самом RB750, мой комп. по дхцп клиенту получает айпи от него, но в инет не могу выходить, хотя настройку NAT на RB750 тоже настроил.

Хочу настроить инет на tp-link и RB750 c вай-фай раздачей инет по дхцп на обеих железках. Но нужно чтоб на RB750 можно было выходить в инет только через отдельный DNS (для блокировки не желательных сайтов для детей), а первую железку оставить взрослым)).

Надеюсь Вы меня поняли))

[myth]

ркн укусил?

[.None]

показывайте export compact

[svyaznoy]

показывайте export compact

 

Теперь вместо rb750 стоит микротик hap lite. На нем планирую раздать инет по вайфай и по изернет по дхцп. Вот конфиг:

 

MikroTik] > export compact

# apr/27/2017 09:44:23 by RouterOS 6.38.5

# software id = 3QS-PLYS

#

/interface bridge

add name=bridge_wi-fi

/interface wireless

set [ find default-name=wlan1 ] disabled=no

/interface ethernet

set [ find default-name=ether1 ] mac-address=00:XX:XX:XX:XX:XX

/ip neighbor discovery

set ether1 discover=no

/ip pool

add name=pool_wi-fi ranges=192.168.10.11-192.168.10.200

/ip dhcp-server

add address-pool=pool_wi-fi disabled=no interface=bridge_wi-fi name=server1 \

src-address=192.168.10.1

/interface bridge port

add bridge=bridge_wi-fi interface=ether2

add bridge=bridge_wi-fi interface=ether3

add bridge=bridge_wi-fi interface=ether4

add bridge=bridge_wi-fi interface=wlan1

/ip dhcp-client

add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \

interface=ether1

/ip dhcp-server network

add address=192.168.10.0/24 gateway=192.168.10.1

/ip dns

set allow-remote-requests=yes servers=77.88.8.7

/ip firewall nat

add action=masquerade chain=srcnat

/ip service

set telnet disabled=yes

set ftp disabled=yes

set ssh disabled=yes

set api disabled=yes

set api-ssl disabled=yes

/system clock

set time-zone-name=Europe/Moscow

/tool mac-server

set [ find default=yes ] disabled=yes

[Saab95]

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1

 

Тут еще надо ДНС указать для выдачи клиентам.

 

/tool mac-server
set [ find default=yes ] disabled=yes 						 						

 

А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=)

[svyaznoy]

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1

 

Тут еще надо ДНС указать для выдачи клиентам.

 

/tool mac-server
set [ find default=yes ] disabled=yes 						 						

 

А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=)

 

Большое спасибо Saab95, заработал. И еще я сетку, оказывается, не добавил в бридж))

 

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

[myth]

frigate в браузере решит эту проблему.

[Saab95]

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

 

Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=)

Но это заберет много производительности. Да и порты надо указать 80 и 443.

[doctor_ORZ]

Да и порты надо указать 80 и 443

И как именно?

L7 по мануалам в инете настроил и вроде как все режет-блокирует. Зачем тогда порты? И как именно?

[myth]

Блокировать можно через L7 фильтр

ценой дикой потери в производительности

 

вроде как все режет-блокирует

а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают

[Nuts]

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

Сейчас актуальный способ - добавлять доменные имена в адрес-лист. На адрес-лист правило с action=reset.

Можно по старинке - с помощью L7 фильтра резать только DNS запросы.

[doctor_ORZ]

а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают

В моем случае никаких детей нет, речь про рабочие станции. Где у юзеров права юзеров и юзают они инет через IE. Как они на него фригат натянут-то?

Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае.

[myth]

Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае.

вангую, что уже с 10 таких правил он уже и 100 мегабит не даст

[Saab95]

Именно по этой причине и следует указывать порты и src адреса, что бы под правило лишний трафик не попадал.

[poisons]

L7 вовсе для других целей.

https://wiki.mikrotik.com/wiki/Manual:IP/Proxy#Proxy_based_firewall_.E2.80.93_Access_List

[svyaznoy]

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

 

Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=)

Но это заберет много производительности. Да и порты надо указать 80 и 443.

 

Благодарю, попробую сфильтровать))

[DRiVen]

А не лучше вместо L7 зарубить запросы на любые внешние DNS и все ненужное через статические записи завернуть в localhost? Всем, или по списку (src-address-list=moderated), а-ля:

/ip firewall filter
add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=tcp #src-address-list=moderated
add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=udp #src-address-list=moderated
/ip dns static
add address=127.0.0.1 regexp=ok.ru ttl=0s

Имхо нагрузка поменьше будет.

[myth]

Намного меньше.