[Constantin]

6 часов назад, LostSoul сказал:

Достаточно режим station-bridge поставить чтоб не транслировал

да ладно?  в этой роли  у вас lan & wlan собраны в бридж,  теже яйца что и wds только в профиль

 

 

[LostSoul]

4 часа назад, Constantin сказал:

да ладно?  в этой роли  у вас lan & wlan собраны в бридж,

Бриджи я строю потом сам как хочу в других секциях конфига

 

wds  это кое что поболее, чем отсутсвие трасляции маков

[divxl]

15 часов назад, Saab95 сказал:

По сути вам нужно вынести терминацию сразу на микротик после ПОНа, то есть на нем приземлить все абонентские вланы, и уже подать в центр по IP. Либо поднять на нем PPPoE сервер, и терминировать абонентов, пуская их в центр по IP. Ограничения скорости, что бы не загружать оборудование периферии, можно вынести так же в центр. Это самая лучшая и отказоустойчивая схема, полностью убирает все проблемы L2, такие как флуд, коллизии маков, кольца, LACP и т.п.

Нет такой возможности, нужно L2 в центр гнать. Как я понял с EoIP будет проблема с MTU у меня. 

[fractal]

4 часа назад, divxl сказал:

Нет такой возможности, нужно L2 в центр гнать. Как я понял с EoIP будет проблема с MTU у меня. 

eoip похрен на mtu, он будет работать на том что есть, ну соответственно снизится скорость

[x-rayd]

В 09.07.2020 в 20:20, Saab95 сказал:

Вот такое правило заблокирует весь трафик. Тут bridge_5GHz это бридж, куда добавляются клиенты по радио при подключении к базовой станции, eoip-tunnel1 это туннель в центр сети, где расположен PPPoE сервер, вместо него можно влан указать, если привыкли к ним. Суть в том, что IP управления и вообще всему другому нечего делать в абонентской части сети.

 

Кроме этого правила в бридж нужно добавить еще 3 по направлению в сторону выходного интерфейса - разрешить pppoe-session и pppoe-discovery, а после все остальное дропать. Тем самым вы оградите и центр от неведомых глюков.

@Saab95 А как будет выглядеть правило если нет eoip и vlan, а есть только PPPoE-сервер? Нужно разрешить только PPPoE-сервер, а клиентов между собой заблокировать.

[Saab95]

В 24.07.2020 в 16:30, x-rayd сказал:

А как будет выглядеть правило если нет eoip и vlan, а есть только PPPoE-сервер? Нужно разрешить только PPPoE-сервер, а клиентов между собой заблокировать.

То есть PPPoE сервер расположен сразу на бридже? Тогда создаете одно правило где указываете in-bridge = ваш бридж, out-bridge = ваш бридж и действие дроп.

[x-rayd]

Если я так делаю то PPPoE сервер становится не видным!
 

[Saab95]

Почему? Ведь правило четко работает, что если пакет пришел на бридж через один из портов, и направляется в другой его порт то пакет будет отброшен. А если он пришел на бридж и адресат сам бридж, то пакет отброшен не будет.

[x-rayd]

Напишите пожалуйста команду!

[Saab95]

/interface bridge filter
add action=drop chain=forward in-bridge=bridge_1 out-bridge=bridge_1

Вот так. И работает это только на проходящий трафик. Что бы запретить доступ на сам роутер надо chain делать input.

[x-rayd]

А если PPPoE-сервер не на бридже а в сети через еther1 порт приходит?

[Saab95]

Тогда надо сделать исключение для этого сетевого порта, добавив что входящий порт не ether1 и исходящий порт не ether1.

[x-rayd]

В 09.07.2020 в 20:20, Saab95 сказал:

/interface bridge filter
add action=drop chain=forward in-bridge=bridge_5GHz in-interface=!eoip-tunnel1 out-bridge=bridge_5GHz out-interface=!eoip-tunnel1

Вот такое правило заблокирует весь трафик. Тут bridge_5GHz это бридж, куда добавляются клиенты по радио при подключении к базовой станции, eoip-tunnel1 это туннель в центр сети, где расположен PPPoE сервер, вместо него можно влан указать, если привыкли к ним. Суть в том, что IP управления и вообще всему другому нечего делать в абонентской части сети.

 

Кроме этого правила в бридж нужно добавить еще 3 по направлению в сторону выходного интерфейса - разрешить pppoe-session и pppoe-discovery, а после все остальное дропать. Тем самым вы оградите и центр от неведомых глюков.

@Saab95 Подскажите пожалуйста как будут выглядеть все 4 правила вместе.
Если у нас каждая антенна клиента получает IP адрес по DHCP от базы, желательно разрешить доступ по IP на антенну.