Mikrotik Router OS и пыонерский Wi-Fi

[AndrX]

Доброго времени суток, отцы-сеткостроители.

 

Наша пыонерская домашняя сеть идет проторенным путем эволюции, как и все остальные городские сети. Сначала кидали кабель по крышам… Теперь вот установили беспроводной мост для радиоклиентов…

 

И сразу же столкнулись со следующей проблемой – базовая точка просто захлебывается от обилия транзитных, широковещательных пакетов.

 

Перелопатив кучу форумов нашел вполне реальное решение этой проблемы, а именно программный роутер Mikrotik собранный на любом старом железе.

 

Мануал к сему девайсу достаточно большой, и в нем трудно разобраться.

 

Может кто уже сталкивался с настройкой роутера для фильтрации нежелательного трафика, летящего из пионерской сети в беспроводной сегмент???

 

Итак мы имеем:

1. Базовая точка доступа 2100bb в режиме p2mp

2. Четыре клиентских точки 2100bb в режиме p2p

3. На всех точках выставлен Matstate 1, то есть точка транслирует мак-адреса, не подменяя их своим маком.

4. На каждой из точек весит по 2-3 компьютера.

5. В пыонерской сети действуют следующие сервисы:

- раздача Интернета с сервера Трафик Инспектор

- сетевой чат КОМФОРТ

- Хаб СТРОНГ DC

- также есть игровые сервера и прочая фигня.

 

Теперь мы планируем собрать роутер с двумя сетевыми картами, и поставить его как шлюз между проводной сетью и базовой радиоточкой.

 

Объясните пожалуйста какие правила и маршруты надо будет прописать для каждого пользователя –радиоклиента чтобы заработала вышеуказанная связка Mikrotik-2100bb.

 

Заранее благодарен за ответ.

 

[hak]

когда его установишь,думаю сам поймешь что надо прописывать.

ip->firewall->connections - тут смотришь все соединения

ip->firewall->filter rules - тут создаешь нужные тебе правила

[AndrX]

А можно поподробней.

Что лучше, делать привязку по IP или по MAC адресам в таблицах файервола???

[RAW]

В настройках 2100 пропиши set eth2wlan disabled, это должно спасти беспроводку от броадкастов.

Edited April 26, 2008 by RAW

[Nick_name]

Зачем такие сложности? когда можно вместо lan сard воткнуть wlan/ и у вас будет полноценная точка доступа. настраиваите на ней QoS firewall/ и пользуйтесь.. у меня именно на mikrotik подняты точки. есть такие, воткнуты две wlan одна как bridge работает другая AP/ получился такой мэш.

[AndrX]

все это понятно что можно защитить точку от бродкастов.

Но вот какую статистику мне дает базовая точка по отправленным и принятым пакетам:

1. активные радиоклиенты имеют соотношение TX 15 000 000 RX 850 000

2 клиенты, временно отключившие компьютеры TX 550 000 RX 123

 

вот в чем и стоит задача, чтобы точка доступа не посылала ненужные пакеты в эфир на отключеных пользователей.

 

И еще, запустил ComView на радиоклиенте и вот что выдала суточная статистика:

посланые пакеты - около 200 000

принятые пакеты - около 400 000

транзитные пакеты - около 600 000

 

Итак, нам надо избавиться от всего лишнего мусора, летящего по радио.

И на сколько я понимаю для этого нам надо поставить шлюз-файервол на базе Микротика между проводной сетью и базовой радиоточкой.

 

Помогите настроить правила фильтрации, маршрутизации и т.д.

[NetViruS]

На MikroTik-е добавь

 

/ ip firewall filter

add chain=forward protocol=tcp dst-port=135-139 action=drop comment="" disabled=no

add chain=forward protocol=udp dst-port=135-139 action=drop comment="" disabled=no

add chain=forward protocol=tcp dst-port=445 action=drop comment="" disabled=no

add chain=forward protocol=udp dst-port=445 action=drop comment="" disabled=no

 

[AndrX]

Настроил МИКРОТИК.

Ввели в опытную эксплуатацию.

 

Настроил следующие правила:

пропускать из внешней сети в беспроводной сегмент на базовую точку 2100ББ только определенные мак-адреса радиоклиентов.

запрещать прохождение сквозь бридж всех остальных пакетов.

 

И все вроде как заработало как часики...

Но есть одно НО...

 

Таблица мак адресов в базовой точке 2100ББ не обновляется.

Вот и получается что периодически надо отключать фильтрацию по макам чтобы обновилась АРП таблица в 2100 точке.

 

Можно ли как-нибудь сделать так, чтобы периодически одновлять мак-адреса в 2100 точке через настроенный фильтр в бридже МИКРОТИКа????

[Bogdan_WIFI]

Если чесно не пойму зачем городить такую лабуду? Поставте в МТ радио карточку и все!

[AndrX]

Если чесно не пойму зачем городить такую лабуду? Поставте в МТ радио карточку и все!

 

Да нет, это не лабуда.

2100BB базовая радиоточка весит на мачте во влагозащищенном корпусе и соединена с антенной пятидесятисантиметровым куском кабеля.

 

Так что разговоры о карточках в этой ветке форума неуместны.

 

В процессе работы через WinBox я заметил что в пункте BRIDGE есть закладка HOSTS где пишутся все активные маки на текущий момент.

Вот и получается что надо брать таблицу активных маков с ether1 и настраивать фильтр по макам в bridge.

 

Но 2100 точка ведет свою таблицу ARP и они друг с другом не согласуются.

 

Может быть есть возможность отключить проверку маков в 2100???

Там есть такие параметры как Bridgelearning, Matstate, Matinfo.

 

Либо же в самом МИКРОТИКЕ есть закладка VirtualAP может это то что надо???

[Bogdan_WIFI]

to AndrX

Сколько у Вас кабеля от антенны к МТ 10 -15 метров? Давайте посчитаем если у вас 15 метров при использовании кабеля Н1000 у вас будет затухание в кабеле 3.5 dB + потери на конекторах и того припустим 5 -6 dB, ничего страшного или возьмите антенну с большим КУ или поставте в МТ карту сенао на 600 Мват.