Constantin Опубликовано 10 июля, 2020 · Жалоба 6 часов назад, LostSoul сказал: Достаточно режим station-bridge поставить чтоб не транслировал да ладно? в этой роли у вас lan & wlan собраны в бридж, теже яйца что и wds только в профиль Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 10 июля, 2020 · Жалоба 4 часа назад, Constantin сказал: да ладно? в этой роли у вас lan & wlan собраны в бридж, Бриджи я строю потом сам как хочу в других секциях конфига wds это кое что поболее, чем отсутсвие трасляции маков Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 10 июля, 2020 · Жалоба 15 часов назад, Saab95 сказал: По сути вам нужно вынести терминацию сразу на микротик после ПОНа, то есть на нем приземлить все абонентские вланы, и уже подать в центр по IP. Либо поднять на нем PPPoE сервер, и терминировать абонентов, пуская их в центр по IP. Ограничения скорости, что бы не загружать оборудование периферии, можно вынести так же в центр. Это самая лучшая и отказоустойчивая схема, полностью убирает все проблемы L2, такие как флуд, коллизии маков, кольца, LACP и т.п. Нет такой возможности, нужно L2 в центр гнать. Как я понял с EoIP будет проблема с MTU у меня. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 10 июля, 2020 · Жалоба 4 часа назад, divxl сказал: Нет такой возможности, нужно L2 в центр гнать. Как я понял с EoIP будет проблема с MTU у меня. eoip похрен на mtu, он будет работать на том что есть, ну соответственно снизится скорость Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x-rayd Опубликовано 24 июля, 2020 · Жалоба В 09.07.2020 в 20:20, Saab95 сказал: Вот такое правило заблокирует весь трафик. Тут bridge_5GHz это бридж, куда добавляются клиенты по радио при подключении к базовой станции, eoip-tunnel1 это туннель в центр сети, где расположен PPPoE сервер, вместо него можно влан указать, если привыкли к ним. Суть в том, что IP управления и вообще всему другому нечего делать в абонентской части сети. Кроме этого правила в бридж нужно добавить еще 3 по направлению в сторону выходного интерфейса - разрешить pppoe-session и pppoe-discovery, а после все остальное дропать. Тем самым вы оградите и центр от неведомых глюков. @Saab95 А как будет выглядеть правило если нет eoip и vlan, а есть только PPPoE-сервер? Нужно разрешить только PPPoE-сервер, а клиентов между собой заблокировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 июля, 2020 · Жалоба В 24.07.2020 в 16:30, x-rayd сказал: А как будет выглядеть правило если нет eoip и vlan, а есть только PPPoE-сервер? Нужно разрешить только PPPoE-сервер, а клиентов между собой заблокировать. То есть PPPoE сервер расположен сразу на бридже? Тогда создаете одно правило где указываете in-bridge = ваш бридж, out-bridge = ваш бридж и действие дроп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x-rayd Опубликовано 26 июля, 2020 · Жалоба Если я так делаю то PPPoE сервер становится не видным! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 июля, 2020 · Жалоба Почему? Ведь правило четко работает, что если пакет пришел на бридж через один из портов, и направляется в другой его порт то пакет будет отброшен. А если он пришел на бридж и адресат сам бридж, то пакет отброшен не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x-rayd Опубликовано 27 июля, 2020 · Жалоба Напишите пожалуйста команду! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 июля, 2020 · Жалоба /interface bridge filter add action=drop chain=forward in-bridge=bridge_1 out-bridge=bridge_1 Вот так. И работает это только на проходящий трафик. Что бы запретить доступ на сам роутер надо chain делать input. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x-rayd Опубликовано 28 июля, 2020 · Жалоба А если PPPoE-сервер не на бридже а в сети через еther1 порт приходит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 июля, 2020 · Жалоба Тогда надо сделать исключение для этого сетевого порта, добавив что входящий порт не ether1 и исходящий порт не ether1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x-rayd Опубликовано 3 июня, 2021 · Жалоба В 09.07.2020 в 20:20, Saab95 сказал: /interface bridge filter add action=drop chain=forward in-bridge=bridge_5GHz in-interface=!eoip-tunnel1 out-bridge=bridge_5GHz out-interface=!eoip-tunnel1 Вот такое правило заблокирует весь трафик. Тут bridge_5GHz это бридж, куда добавляются клиенты по радио при подключении к базовой станции, eoip-tunnel1 это туннель в центр сети, где расположен PPPoE сервер, вместо него можно влан указать, если привыкли к ним. Суть в том, что IP управления и вообще всему другому нечего делать в абонентской части сети. Кроме этого правила в бридж нужно добавить еще 3 по направлению в сторону выходного интерфейса - разрешить pppoe-session и pppoe-discovery, а после все остальное дропать. Тем самым вы оградите и центр от неведомых глюков. @Saab95 Подскажите пожалуйста как будут выглядеть все 4 правила вместе. Если у нас каждая антенна клиента получает IP адрес по DHCP от базы, желательно разрешить доступ по IP на антенну. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...