Перейти к содержимому
Калькуляторы

интернет через микротик dns микротик интернет

Добрый вечер форумчане... Есть одна проблемка??? имеются wi-fi роутер tp-link, микротик RB750, и мой комп. Схема инет->tp-link->RB750->комп или тел и т. д.

1)Через tp-link есть доступ в инет (через vpn/pppoe) и он же раздает инет взрослым юзерам по изернет и вайфай по dhcp.

2)Подключил к lan порту тп-линка свой RB750, предварительно настроив dhcp клиент. Таким образом инет на самом RB750 есть.

Но есть проблема - когда настраиваю dhcp сервер на самом RB750, мой комп. по дхцп клиенту получает айпи от него, но в инет не могу выходить, хотя настройку NAT на RB750 тоже настроил.

Хочу настроить инет на tp-link и RB750 c вай-фай раздачей инет по дхцп на обеих железках. Но нужно чтоб на RB750 можно было выходить в инет только через отдельный DNS (для блокировки не желательных сайтов для детей), а первую железку оставить взрослым)).

Надеюсь Вы меня поняли))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

показывайте export compact

 

Теперь вместо rb750 стоит микротик hap lite. На нем планирую раздать инет по вайфай и по изернет по дхцп. Вот конфиг:

 

MikroTik] > export compact

# apr/27/2017 09:44:23 by RouterOS 6.38.5

# software id = 3QS-PLYS

#

/interface bridge

add name=bridge_wi-fi

/interface wireless

set [ find default-name=wlan1 ] disabled=no

/interface ethernet

set [ find default-name=ether1 ] mac-address=00:XX:XX:XX:XX:XX

/ip neighbor discovery

set ether1 discover=no

/ip pool

add name=pool_wi-fi ranges=192.168.10.11-192.168.10.200

/ip dhcp-server

add address-pool=pool_wi-fi disabled=no interface=bridge_wi-fi name=server1 \

src-address=192.168.10.1

/interface bridge port

add bridge=bridge_wi-fi interface=ether2

add bridge=bridge_wi-fi interface=ether3

add bridge=bridge_wi-fi interface=ether4

add bridge=bridge_wi-fi interface=wlan1

/ip dhcp-client

add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \

interface=ether1

/ip dhcp-server network

add address=192.168.10.0/24 gateway=192.168.10.1

/ip dns

set allow-remote-requests=yes servers=77.88.8.7

/ip firewall nat

add action=masquerade chain=srcnat

/ip service

set telnet disabled=yes

set ftp disabled=yes

set ssh disabled=yes

set api disabled=yes

set api-ssl disabled=yes

/system clock

set time-zone-name=Europe/Moscow

/tool mac-server

set [ find default=yes ] disabled=yes

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1

 

Тут еще надо ДНС указать для выдачи клиентам.

 

/tool mac-server
set [ find default=yes ] disabled=yes 						 						

 

А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1

 

Тут еще надо ДНС указать для выдачи клиентам.

 

/tool mac-server
set [ find default=yes ] disabled=yes 						 						

 

А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=)

 

Большое спасибо Saab95, заработал. И еще я сетку, оказывается, не добавил в бридж))

 

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

 

Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=)

Но это заберет много производительности. Да и порты надо указать 80 и 443.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да и порты надо указать 80 и 443

И как именно?

L7 по мануалам в инете настроил и вроде как все режет-блокирует. Зачем тогда порты? И как именно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блокировать можно через L7 фильтр

ценой дикой потери в производительности

 

вроде как все режет-блокирует

а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

Сейчас актуальный способ - добавлять доменные имена в адрес-лист. На адрес-лист правило с action=reset.

Можно по старинке - с помощью L7 фильтра резать только DNS запросы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают

В моем случае никаких детей нет, речь про рабочие станции. Где у юзеров права юзеров и юзают они инет через IE. Как они на него фригат натянут-то?

Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае.

вангую, что уже с 10 таких правил он уже и 100 мегабит не даст

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Именно по этой причине и следует указывать порты и src адреса, что бы под правило лишний трафик не попадал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

 

Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=)

Но это заберет много производительности. Да и порты надо указать 80 и 443.

 

Благодарю, попробую сфильтровать))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не лучше вместо L7 зарубить запросы на любые внешние DNS и все ненужное через статические записи завернуть в localhost? Всем, или по списку (src-address-list=moderated), а-ля:

/ip firewall filter
add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=tcp #src-address-list=moderated
add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=udp #src-address-list=moderated
/ip dns static
add address=127.0.0.1 regexp=ok.ru ttl=0s

Имхо нагрузка поменьше будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.