svyaznoy Опубликовано 25 апреля, 2017 · Жалоба Добрый вечер форумчане... Есть одна проблемка??? имеются wi-fi роутер tp-link, микротик RB750, и мой комп. Схема инет->tp-link->RB750->комп или тел и т. д. 1)Через tp-link есть доступ в инет (через vpn/pppoe) и он же раздает инет взрослым юзерам по изернет и вайфай по dhcp. 2)Подключил к lan порту тп-линка свой RB750, предварительно настроив dhcp клиент. Таким образом инет на самом RB750 есть. Но есть проблема - когда настраиваю dhcp сервер на самом RB750, мой комп. по дхцп клиенту получает айпи от него, но в инет не могу выходить, хотя настройку NAT на RB750 тоже настроил. Хочу настроить инет на tp-link и RB750 c вай-фай раздачей инет по дхцп на обеих железках. Но нужно чтоб на RB750 можно было выходить в инет только через отдельный DNS (для блокировки не желательных сайтов для детей), а первую железку оставить взрослым)). Надеюсь Вы меня поняли)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 25 апреля, 2017 · Жалоба ркн укусил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 25 апреля, 2017 · Жалоба показывайте export compact Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 27 апреля, 2017 · Жалоба показывайте export compact Теперь вместо rb750 стоит микротик hap lite. На нем планирую раздать инет по вайфай и по изернет по дхцп. Вот конфиг: MikroTik] > export compact # apr/27/2017 09:44:23 by RouterOS 6.38.5 # software id = 3QS-PLYS # /interface bridge add name=bridge_wi-fi /interface wireless set [ find default-name=wlan1 ] disabled=no /interface ethernet set [ find default-name=ether1 ] mac-address=00:XX:XX:XX:XX:XX /ip neighbor discovery set ether1 discover=no /ip pool add name=pool_wi-fi ranges=192.168.10.11-192.168.10.200 /ip dhcp-server add address-pool=pool_wi-fi disabled=no interface=bridge_wi-fi name=server1 \ src-address=192.168.10.1 /interface bridge port add bridge=bridge_wi-fi interface=ether2 add bridge=bridge_wi-fi interface=ether3 add bridge=bridge_wi-fi interface=ether4 add bridge=bridge_wi-fi interface=wlan1 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \ interface=ether1 /ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 /ip dns set allow-remote-requests=yes servers=77.88.8.7 /ip firewall nat add action=masquerade chain=srcnat /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Moscow /tool mac-server set [ find default=yes ] disabled=yes Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 апреля, 2017 · Жалоба /ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 Тут еще надо ДНС указать для выдачи клиентам. /tool mac-server set [ find default=yes ] disabled=yes А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 27 апреля, 2017 · Жалоба /ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 Тут еще надо ДНС указать для выдачи клиентам. /tool mac-server set [ find default=yes ] disabled=yes А это делать не надо, отключите, случайно, IP адрес, и придется делать сброс и настройку по новой=) Большое спасибо Saab95, заработал. И еще я сетку, оказывается, не добавил в бридж)) Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 27 апреля, 2017 · Жалоба frigate в браузере решит эту проблему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 апреля, 2017 · Жалоба Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени??? Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=) Но это заберет много производительности. Да и порты надо указать 80 и 443. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
doctor_ORZ Опубликовано 27 апреля, 2017 · Жалоба Да и порты надо указать 80 и 443 И как именно? L7 по мануалам в инете настроил и вроде как все режет-блокирует. Зачем тогда порты? И как именно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 27 апреля, 2017 · Жалоба Блокировать можно через L7 фильтр ценой дикой потери в производительности вроде как все режет-блокирует а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nuts Опубликовано 28 апреля, 2017 · Жалоба Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени??? Сейчас актуальный способ - добавлять доменные имена в адрес-лист. На адрес-лист правило с action=reset. Можно по старинке - с помощью L7 фильтра резать только DNS запросы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
doctor_ORZ Опубликовано 28 апреля, 2017 · Жалоба а теперь поставь frigate, удивись. Если дети не дураки, они об этом знают В моем случае никаких детей нет, речь про рабочие станции. Где у юзеров права юзеров и юзают они инет через IE. Как они на него фригат натянут-то? Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 28 апреля, 2017 · Жалоба Да и CCR-1009 как то позволяет не думать о производительности в данном конкретном случае. вангую, что уже с 10 таких правил он уже и 100 мегабит не даст Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 мая, 2017 · Жалоба Именно по этой причине и следует указывать порты и src адреса, что бы под правило лишний трафик не попадал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
poisons Опубликовано 2 мая, 2017 · Жалоба L7 вовсе для других целей. https://wiki.mikrotik.com/wiki/Manual:IP/Proxy#Proxy_based_firewall_.E2.80.93_Access_List Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 2 мая, 2017 · Жалоба Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени??? Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=) Но это заберет много производительности. Да и порты надо указать 80 и 443. Благодарю, попробую сфильтровать)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 2 мая, 2017 · Жалоба А не лучше вместо L7 зарубить запросы на любые внешние DNS и все ненужное через статические записи завернуть в localhost? Всем, или по списку (src-address-list=moderated), а-ля: /ip firewall filter add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=tcp #src-address-list=moderated add action=drop chain=forward dst-address=!192.168.88.1 dst-port=53 protocol=udp #src-address-list=moderated /ip dns static add address=127.0.0.1 regexp=ok.ru ttl=0s Имхо нагрузка поменьше будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 2 мая, 2017 · Жалоба Намного меньше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...