AndrX Опубликовано 25 апреля, 2008 · Жалоба Доброго времени суток, отцы-сеткостроители. Наша пыонерская домашняя сеть идет проторенным путем эволюции, как и все остальные городские сети. Сначала кидали кабель по крышам… Теперь вот установили беспроводной мост для радиоклиентов… И сразу же столкнулись со следующей проблемой – базовая точка просто захлебывается от обилия транзитных, широковещательных пакетов. Перелопатив кучу форумов нашел вполне реальное решение этой проблемы, а именно программный роутер Mikrotik собранный на любом старом железе. Мануал к сему девайсу достаточно большой, и в нем трудно разобраться. Может кто уже сталкивался с настройкой роутера для фильтрации нежелательного трафика, летящего из пионерской сети в беспроводной сегмент??? Итак мы имеем: 1. Базовая точка доступа 2100bb в режиме p2mp 2. Четыре клиентских точки 2100bb в режиме p2p 3. На всех точках выставлен Matstate 1, то есть точка транслирует мак-адреса, не подменяя их своим маком. 4. На каждой из точек весит по 2-3 компьютера. 5. В пыонерской сети действуют следующие сервисы: - раздача Интернета с сервера Трафик Инспектор - сетевой чат КОМФОРТ - Хаб СТРОНГ DC - также есть игровые сервера и прочая фигня. Теперь мы планируем собрать роутер с двумя сетевыми картами, и поставить его как шлюз между проводной сетью и базовой радиоточкой. Объясните пожалуйста какие правила и маршруты надо будет прописать для каждого пользователя –радиоклиента чтобы заработала вышеуказанная связка Mikrotik-2100bb. Заранее благодарен за ответ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hak Опубликовано 26 апреля, 2008 · Жалоба когда его установишь,думаю сам поймешь что надо прописывать. ip->firewall->connections - тут смотришь все соединения ip->firewall->filter rules - тут создаешь нужные тебе правила Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AndrX Опубликовано 26 апреля, 2008 · Жалоба А можно поподробней. Что лучше, делать привязку по IP или по MAC адресам в таблицах файервола??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RAW Опубликовано 26 апреля, 2008 (изменено) · Жалоба В настройках 2100 пропиши set eth2wlan disabled, это должно спасти беспроводку от броадкастов. Изменено 26 апреля, 2008 пользователем RAW Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nick_name Опубликовано 26 апреля, 2008 · Жалоба Зачем такие сложности? когда можно вместо lan сard воткнуть wlan/ и у вас будет полноценная точка доступа. настраиваите на ней QoS firewall/ и пользуйтесь.. у меня именно на mikrotik подняты точки. есть такие, воткнуты две wlan одна как bridge работает другая AP/ получился такой мэш. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AndrX Опубликовано 26 апреля, 2008 · Жалоба все это понятно что можно защитить точку от бродкастов. Но вот какую статистику мне дает базовая точка по отправленным и принятым пакетам: 1. активные радиоклиенты имеют соотношение TX 15 000 000 RX 850 000 2 клиенты, временно отключившие компьютеры TX 550 000 RX 123 вот в чем и стоит задача, чтобы точка доступа не посылала ненужные пакеты в эфир на отключеных пользователей. И еще, запустил ComView на радиоклиенте и вот что выдала суточная статистика: посланые пакеты - около 200 000 принятые пакеты - около 400 000 транзитные пакеты - около 600 000 Итак, нам надо избавиться от всего лишнего мусора, летящего по радио. И на сколько я понимаю для этого нам надо поставить шлюз-файервол на базе Микротика между проводной сетью и базовой радиоточкой. Помогите настроить правила фильтрации, маршрутизации и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NetViruS Опубликовано 6 мая, 2008 · Жалоба На MikroTik-е добавь / ip firewall filter add chain=forward protocol=tcp dst-port=135-139 action=drop comment="" disabled=no add chain=forward protocol=udp dst-port=135-139 action=drop comment="" disabled=no add chain=forward protocol=tcp dst-port=445 action=drop comment="" disabled=no add chain=forward protocol=udp dst-port=445 action=drop comment="" disabled=no Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AndrX Опубликовано 12 мая, 2008 · Жалоба Настроил МИКРОТИК. Ввели в опытную эксплуатацию. Настроил следующие правила: пропускать из внешней сети в беспроводной сегмент на базовую точку 2100ББ только определенные мак-адреса радиоклиентов. запрещать прохождение сквозь бридж всех остальных пакетов. И все вроде как заработало как часики... Но есть одно НО... Таблица мак адресов в базовой точке 2100ББ не обновляется. Вот и получается что периодически надо отключать фильтрацию по макам чтобы обновилась АРП таблица в 2100 точке. Можно ли как-нибудь сделать так, чтобы периодически одновлять мак-адреса в 2100 точке через настроенный фильтр в бридже МИКРОТИКа???? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bogdan_WIFI Опубликовано 14 мая, 2008 · Жалоба Если чесно не пойму зачем городить такую лабуду? Поставте в МТ радио карточку и все! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AndrX Опубликовано 15 мая, 2008 · Жалоба Если чесно не пойму зачем городить такую лабуду? Поставте в МТ радио карточку и все! Да нет, это не лабуда. 2100BB базовая радиоточка весит на мачте во влагозащищенном корпусе и соединена с антенной пятидесятисантиметровым куском кабеля. Так что разговоры о карточках в этой ветке форума неуместны. В процессе работы через WinBox я заметил что в пункте BRIDGE есть закладка HOSTS где пишутся все активные маки на текущий момент. Вот и получается что надо брать таблицу активных маков с ether1 и настраивать фильтр по макам в bridge. Но 2100 точка ведет свою таблицу ARP и они друг с другом не согласуются. Может быть есть возможность отключить проверку маков в 2100??? Там есть такие параметры как Bridgelearning, Matstate, Matinfo. Либо же в самом МИКРОТИКЕ есть закладка VirtualAP может это то что надо??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bogdan_WIFI Опубликовано 15 мая, 2008 · Жалоба to AndrX Сколько у Вас кабеля от антенны к МТ 10 -15 метров? Давайте посчитаем если у вас 15 метров при использовании кабеля Н1000 у вас будет затухание в кабеле 3.5 dB + потери на конекторах и того припустим 5 -6 dB, ничего страшного или возьмите антенну с большим КУ или поставте в МТ карту сенао на 600 Мват. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...