Jump to content
Калькуляторы

интернет через микротик dns микротик интернет

Reply to this topic

svyaznoy   

svyaznoy
Posted

Добрый вечер форумчане... Есть одна проблемка??? имеются wi-fi роутер tp-link, микротик RB750, и мой комп. Схема инет->tp-link->RB750->комп или тел и т. д.

1)Через tp-link есть доступ в инет (через vpn/pppoe) и он же раздает инет взрослым юзерам по изернет и вайфай по dhcp.

2)Подключил к lan порту тп-линка свой RB750, предварительно настроив dhcp клиент. Таким образом инет на самом RB750 есть.

Но есть проблема - когда настраиваю dhcp сервер на самом RB750, мой комп. по дхцп клиенту получает айпи от него, но в инет не могу выходить, хотя настройку NAT на RB750 тоже настроил.

Хочу настроить инет на tp-link и RB750 c вай-фай раздачей инет по дхцп на обеих железках. Но нужно чтоб на RB750 можно было выходить в инет только через отдельный DNS (для блокировки не желательных сайтов для детей), а первую железку оставить взрослым)).

Надеюсь Вы меня поняли))

Share this post

Link to post
Share on other sites

svyaznoy   

svyaznoy
Posted

показывайте export compact

 

Теперь вместо rb750 стоит микротик hap lite. На нем планирую раздать инет по вайфай и по изернет по дхцп. Вот конфиг:

 

MikroTik] > export compact

# apr/27/2017 09:44:23 by RouterOS 6.38.5

# software id = 3QS-PLYS

#

/interface bridge

add name=bridge_wi-fi

/interface wireless

set [ find default-name=wlan1 ] disabled=no

/interface ethernet

set [ find default-name=ether1 ] mac-address=00:XX:XX:XX:XX:XX

/ip neighbor discovery

set ether1 discover=no

/ip pool

add name=pool_wi-fi ranges=192.168.10.11-192.168.10.200

/ip dhcp-server

add address-pool=pool_wi-fi disabled=no interface=bridge_wi-fi name=server1 \

src-address=192.168.10.1

/interface bridge port

add bridge=bridge_wi-fi interface=ether2

add bridge=bridge_wi-fi interface=ether3

add bridge=bridge_wi-fi interface=ether4

add bridge=bridge_wi-fi interface=wlan1

/ip dhcp-client

add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \

interface=ether1

/ip dhcp-server network

add address=192.168.10.0/24 gateway=192.168.10.1

/ip dns

set allow-remote-requests=yes servers=77.88.8.7

/ip firewall nat

add action=masquerade chain=srcnat

/ip service

set telnet disabled=yes

set ftp disabled=yes

set ssh disabled=yes

set api disabled=yes

set api-ssl disabled=yes

/system clock

set time-zone-name=Europe/Moscow

/tool mac-server

set [ find default=yes ] disabled=yes

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted 

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1

 

Тут еще надо ДНС указать для выдачи клиентам.

 

/tool mac-server
set [ find default=yes ] disabled=yes

 

А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=)

Share this post

Link to post
Share on other sites

svyaznoy   

svyaznoy
Posted 

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1

 

Тут еще надо ДНС указать для выдачи клиентам.

 

/tool mac-server
set [ find default=yes ] disabled=yes

 

А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=)

 

Большое спасибо Saab95, заработал. И еще я сетку, оказывается, не добавил в бридж))

 

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

 

Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=)

Но это заберет много производительности. Да и порты надо указать 80 и 443.

Share this post

Link to post
Share on other sites

doctor_ORZ   

doctor_ORZ
Posted

Да и порты надо указать 80 и 443

И как именно?

L7 по мануалам в инете настроил и вроде как все режет-блокирует. Зачем тогда порты? И как именно?

Share this post

Link to post
Share on other sites

myth   

myth
Posted

Блокировать можно через L7 фильтр

ценой дикой потери в производительности

 

вроде как все режет-блокирует

а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают

Share this post

Link to post
Share on other sites

Nuts   

Nuts
Posted

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

Сейчас актуальный способ - добавлять доменные имена в адрес-лист. На адрес-лист правило с action=reset.

Можно по старинке - с помощью L7 фильтра резать только DNS запросы.

Share this post

Link to post
Share on other sites

doctor_ORZ   

doctor_ORZ
Posted

а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают

В моем случае никаких детей нет, речь про рабочие станции. Где у юзеров права юзеров и юзают они инет через IE. Как они на него фригат натянут-то?

Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае.

Share this post

Link to post
Share on other sites

myth   

myth
Posted

Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае.

вангую, что уже с 10 таких правил он уже и 100 мегабит не даст

Share this post

Link to post
Share on other sites

svyaznoy   

svyaznoy
Posted

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

 

Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=)

Но это заберет много производительности. Да и порты надо указать 80 и 443.

 

Благодарю, попробую сфильтровать))

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted

А не лучше вместо L7 зарубить запросы на любые внешние DNS и все ненужное через статические записи завернуть в localhost? Всем, или по списку (src-address-list=moderated), а-ля:

/ip firewall filter
add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=tcp #src-address-list=moderated
add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=udp #src-address-list=moderated
/ip dns static
add address=127.0.0.1 regexp=ok.ru ttl=0s

Имхо нагрузка поменьше будет.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik коммутаторы и маршрутизаторы