Перейти к содержимому
Калькуляторы

Микротик для кафе

42 минуты назад, Andrei сказал:

/ip dhcp-server add address-pool=dhcp disabled=no interface="bridge - LAN" lease-time=30m name="my dhcp" relay=192.168.88.1

relay уберите

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, jffulcrum сказал:

relay уберите

Убрал, заработало. Почему надо было убрать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Потому что релей - это совсем другое.

В одном широковещательном домене он не нужен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Рано радовался. В качестве DNS клиенту выдается ip микротика, а он ничего не ресолвит.

Если на микротике указать - выдавай в качестве DNS гуловый или яндексовский, то разумеется все работает. Но сам-то микротик тоже должен это уметь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так нужно это разрешить — включить опцию "Принимать DNS-запросы".

Только перед этим на файрволе заблокировать все лишнее, чтобы dns-амплификацию не словить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
10 минут назад, alibek сказал:

Так нужно это разрешить — включить опцию "Принимать DNS-запросы".

Включил. Заработало.

 

10 минут назад, alibek сказал:

Только перед этим на файрволе заблокировать все лишнее, чтобы dns-амплификацию не словить.

Это хз где. IP - Firewall это понятно, но что там и как...

Что такое dns-амплификация знаю.

 

8 минут назад, floop сказал:

/ip dns set allow-remote-requests=yes

Я все как-то больше через WinBox, не через терминальный режим

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 hours ago, Andrei said:

IP - Firewall это понятно, но что там и как...

Принцип нормально-закрытого файрвола везде одинаков - открыть нужное, закрыть все остальное.

 

Вот стандартный микротиковский конфиг firewall filter:

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN log-prefix="INPUT DROP"
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

10 правил всего, из них 4 - для трафика на сам роутер(chain=input), 6 - для транзитного трафика(chain forward).

Кроме того, должны быть два интерфейс листа - LAN и WAN, какие интерфейсы туда включить понятно.

 

Изнутри отрыто все везде.

Снаружи:

Для input: разрешен  ICMP(пинг) на все интерфейсы. Все остальное закрыто со всех интерфейсов, кроме включенных в LAN интерфейс лист. Т.е. DNS запросы снаружи дропнутся, winbox/ssh доступа снаружи тоже нет.

Разрешающие правила, нужные вам, добавляете после drop invalid(2-е правило). Желательно иметь white list с разрешенными IP для них.

 

Для forward: правила 5-6 разрешают IPsec трафик по активным политикам, если IPsec в любых вариантах не используется, можно отключить/убрать; снаружи все закрыто (с WAN), кроме портов/протоколов, для которых созданы правила dst-nat.

Аналогично как в input, разрешающие правила добавляйте после drop invalid(правило 9).

 

Правила accept established, related, untracked в обеих цепочках разрешают ответный(только на инициированный изнутри) входящий трафик по тем же портам/протоколам, что и исходящий (established), или связанным портам(related), или IP/портам/протоколам, помеченным как "no track" (untracked) в Firewall/Raw. 

 

 

 

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

3 часа назад, Andrei сказал:
3 часа назад, jffulcrum сказал:

relay уберите

Убрал, заработало. Почему надо было убрать?

Потому, что это настройка на работу с релеем. У Вас же клиенты сами запросы формируют.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 02.12.2018 в 18:46, Saab95 сказал:

Да, на микротике можно сделать виртуальную точку доступа со своим отдельным SSID и шифрованием (таких точек можно сделать много), на каждую выдаете свои адреса, добавляете в свой бридж и всего делов.

Если микротик двух-диапазонный (2,4 и 5 ГГц), то в обоих диапазонах можно создать по несколько сетей с разными SSID?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Применительно к теме топика:

1й SSID в 2,4 ГГц - для посетителей с авторизацией через СМС (по закону),

2й SSID в 2,4 ГГц - для своих сотрудников со служебным паролем

3й SSID в 5 ГГц - для ТВ-приставки для IP-TV.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно все сделать. Только лучше установить несколько микротиков, т.к. клиенты повиснут на точке со слабыми сигналами и работа сети для сотрудников ухудшится. Можно взять самые дешевые микротики и их использовать, вместо одного многодиапазонного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас