Jump to content
Калькуляторы

интернет через микротик dns микротик интернет

Добрый вечер форумчане... Есть одна проблемка??? имеются wi-fi роутер tp-link, микротик RB750, и мой комп. Схема инет->tp-link->RB750->комп или тел и т. д.

1)Через tp-link есть доступ в инет (через vpn/pppoe) и он же раздает инет взрослым юзерам по изернет и вайфай по dhcp.

2)Подключил к lan порту тп-линка свой RB750, предварительно настроив dhcp клиент. Таким образом инет на самом RB750 есть.

Но есть проблема - когда настраиваю dhcp сервер на самом RB750, мой комп. по дхцп клиенту получает айпи от него, но в инет не могу выходить, хотя настройку NAT на RB750 тоже настроил.

Хочу настроить инет на tp-link и RB750 c вай-фай раздачей инет по дхцп на обеих железках. Но нужно чтоб на RB750 можно было выходить в инет только через отдельный DNS (для блокировки не желательных сайтов для детей), а первую железку оставить взрослым)).

Надеюсь Вы меня поняли))

Share this post


Link to post
Share on other sites

показывайте export compact

 

Теперь вместо rb750 стоит микротик hap lite. На нем планирую раздать инет по вайфай и по изернет по дхцп. Вот конфиг:

 

MikroTik] > export compact

# apr/27/2017 09:44:23 by RouterOS 6.38.5

# software id = 3QS-PLYS

#

/interface bridge

add name=bridge_wi-fi

/interface wireless

set [ find default-name=wlan1 ] disabled=no

/interface ethernet

set [ find default-name=ether1 ] mac-address=00:XX:XX:XX:XX:XX

/ip neighbor discovery

set ether1 discover=no

/ip pool

add name=pool_wi-fi ranges=192.168.10.11-192.168.10.200

/ip dhcp-server

add address-pool=pool_wi-fi disabled=no interface=bridge_wi-fi name=server1 \

src-address=192.168.10.1

/interface bridge port

add bridge=bridge_wi-fi interface=ether2

add bridge=bridge_wi-fi interface=ether3

add bridge=bridge_wi-fi interface=ether4

add bridge=bridge_wi-fi interface=wlan1

/ip dhcp-client

add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \

interface=ether1

/ip dhcp-server network

add address=192.168.10.0/24 gateway=192.168.10.1

/ip dns

set allow-remote-requests=yes servers=77.88.8.7

/ip firewall nat

add action=masquerade chain=srcnat

/ip service

set telnet disabled=yes

set ftp disabled=yes

set ssh disabled=yes

set api disabled=yes

set api-ssl disabled=yes

/system clock

set time-zone-name=Europe/Moscow

/tool mac-server

set [ find default=yes ] disabled=yes

Share this post


Link to post
Share on other sites

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1

 

Тут еще надо ДНС указать для выдачи клиентам.

 

/tool mac-server
set [ find default=yes ] disabled=yes 						 						

 

А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=)

Share this post


Link to post
Share on other sites

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1

 

Тут еще надо ДНС указать для выдачи клиентам.

 

/tool mac-server
set [ find default=yes ] disabled=yes 						 						

 

А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=)

 

Большое спасибо Saab95, заработал. И еще я сетку, оказывается, не добавил в бридж))

 

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

Share this post


Link to post
Share on other sites

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

 

Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=)

Но это заберет много производительности. Да и порты надо указать 80 и 443.

Share this post


Link to post
Share on other sites

Да и порты надо указать 80 и 443

И как именно?

L7 по мануалам в инете настроил и вроде как все режет-блокирует. Зачем тогда порты? И как именно?

Share this post


Link to post
Share on other sites

Блокировать можно через L7 фильтр

ценой дикой потери в производительности

 

вроде как все режет-блокирует

а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают

Share this post


Link to post
Share on other sites

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

Сейчас актуальный способ - добавлять доменные имена в адрес-лист. На адрес-лист правило с action=reset.

Можно по старинке - с помощью L7 фильтра резать только DNS запросы.

Share this post


Link to post
Share on other sites

а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают

В моем случае никаких детей нет, речь про рабочие станции. Где у юзеров права юзеров и юзают они инет через IE. Как они на него фригат натянут-то?

Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае.

Share this post


Link to post
Share on other sites

Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае.

вангую, что уже с 10 таких правил он уже и 100 мегабит не даст

Share this post


Link to post
Share on other sites

Именно по этой причине и следует указывать порты и src адреса, что бы под правило лишний трафик не попадал.

Share this post


Link to post
Share on other sites

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

 

Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=)

Но это заберет много производительности. Да и порты надо указать 80 и 443.

 

Благодарю, попробую сфильтровать))

Share this post


Link to post
Share on other sites

А не лучше вместо L7 зарубить запросы на любые внешние DNS и все ненужное через статические записи завернуть в localhost? Всем, или по списку (src-address-list=moderated), а-ля:

/ip firewall filter
add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=tcp #src-address-list=moderated
add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=udp #src-address-list=moderated
/ip dns static
add address=127.0.0.1 regexp=ok.ru ttl=0s

Имхо нагрузка поменьше будет.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this