[Nick_name]

Подскажите куда копать, купил Радиомаршрутизатор RB/5APH не могу понять как сделать мост с wap-4033. Подскажите как настивать куда лезть. Или хотя бы краткую инструкцию. Зарание спасибо.

ps если не потянет придется покупать второй Радиомаршрутизатор RB/5APH. Просто сначало хочетьяс понять как он один работать, и как его настраивать.

WDS bridge

[sova_sergey]

Подскажите куда копать, купил Радиомаршрутизатор RB/5APH не могу понять как сделать мост с wap-4033. Подскажите как настивать куда лезть. Или хотя бы краткую инструкцию. Зарание спасибо.

ps если не потянет придется покупать второй Радиомаршрутизатор RB/5APH. Просто сначало хочетьяс понять как он один работать, и как его настраивать.

WDS bridge

И больше не каких настроек на микротике делать не надо ............ присвоение ip на wi-fi интерфейс ?

[SSD]

Подскажите куда копать, купил Радиомаршрутизатор RB/5APH не могу понять как сделать мост с wap-4033. Подскажите как настивать куда лезть. Или хотя бы краткую инструкцию. Зарание спасибо.

ps если не потянет придется покупать второй Радиомаршрутизатор RB/5APH. Просто сначало хочетьяс понять как он один работать, и как его настраивать.

http://wiki.mikrotik.com/wiki/Transparentl...ge_two_Networks это между микротиками.

[Nick_name]

А не между, настройки на mikrotik те же а на 4033 вбиваеш mac mikrotik в настройках wds

[wifinet]

Добрый день всем.

 

Хотелось бы повторить вопрос по поводу "жесткой" привязки IP-адреса к его МАС-адресу в Микротике , т.е. , чтобы клиент с данным МАС-адресом получал конкретный IP-адресс и при этом , если у себя на компе в ручную он поставил IP-адрес отличный от присвоенного ему в Микротике , то в этом случае система "отпинывла" бы его. Пока получилось только установить статическую привязку IP-MAC , но вот если клиент меняет себе IP-шник на "соседовский" и тот в это время не работает , то данный клиент подключается и работатет нормальною А вот этого-то , как раз и не хотелось бы. Если у кого есть опыт такой прописки , поделитесь пожалуйста.

 

С уважением ...

 

[wifinet]

Неужели не укого не используется жесткая привязка MAC-IP ?

А как же например тогда применят раздел "Queues" ежели там привязка к IP идет ?

Клиент сменил себе сам ручками и нахрен все ограничения ?

 

 

Да забыл сказать , я пытаю версию 2.9.27. Может в версии дело ?

 

[Nick_name]

ARP

[wifinet]

Так вот в том -то и дело , что сделал следующее :

Для "экскриментов" :-) собрал следующее :

ПК С Микротиком версии 2.9.27 , карта Ethernet и карта Wlan.

По Ethernet-у смторю своим компом , по Wlan-y - ноут.

На Wlane естественно поднял таблицу Access List.

Поднял бридж , присвоил ему IP , ( у карт (Ethernet и Wlan ) IP-шники не ставил ) , бриджом объединил Wlan & Ethernet.

На бридж включил DHCP со статическим назначением адресов. В DHCP прописал сеть и в Leases завел IP & MAC ноутбука.

В ARP-List прописал IP и МАС адреса ПК включенного в Ethernet и ноутбука.

Далее пробовал устанавливать в replay-only ARP у всех интерфейсов ( первый раз ставил на Wlan ) , как по одному , так и у всех сразу, и в таблице ARP-List тоже ставил интерфейс и Wlan и Bridge. Но все блин до пи... ( Пардон , но нервы не выдержали ).

Ноутбук , как подключался с IP-шником выставленным на нем ручками и не таким , как указан в ARP-List и DHCP , так и подключается , и намано работает :-) , т.е. пингуется гад.

 

В чем проблема-то , мужики ???

Сапасибо , всем кто может чем-нить помочь !

 

[Nick_name]

а шлюз какой у тебя на клиенте?

[wifinet]

Пробовал и без указания шлюза , по-барабану.

[Nick_name]

У тебя чтоб все нормально работало нужно чтоб mikrotik был шлюзом и он будет откидывать не угодных.

[wifinet]

А что именно поставить шлюзом , Ethernet-карту , WiLan-карту , Bridge ? И тогда придется поднимать PPPoE , для Инета , сейчас у меня этим ADSL-модем занимается , он и шлюз , а коли Микротик шлюзом тады и ему Инетом править.

 

[L-ZiX]

А что именно поставить шлюзом , Ethernet-карту , WiLan-карту , Bridge ? И тогда придется поднимать PPPoE , для Инета , сейчас у меня этим ADSL-модем занимается , он и шлюз , а коли Микротик шлюзом тады и ему Инетом править.

Bridge.

Поднимите на МТ нат.

[wifinet]

Это не поможет , да и при чем здесь шлюз ??? Клиента должно "отваливать" на стадии подключения , если его связка IP+MAC не соответсвует прописанной в ARP. Т.е. еще до того , как с ним начнет работать DHCP-сервер и назначит ему и шлюз и DNS.

[wireless_man]

Добрый день всем.

Вам нужно снять галочку "default authenticate" в меню wireless на нужном вам беспроводном интерфейсе ... после снятия галочки и Apply ассоциироваться смогут только те кто в списке access list ...

 

Далее идем interface bridge filter:

 

[] /interface bridge filter> add

creates new item with specified property values.

 

802.3-sap --

802.3-type --

action -- Action to undertake if the packet matches the rule

arp-dst-address -- ARP destination address

arp-dst-mac-address -- ARP destination MAC address

arp-hardware-type -- The hardware type

arp-opcode -- The ARP opcode

arp-packet-type -- ARP packet type

arp-src-address -- ARP source address

arp-src-mac-address -- ARP source MAC address

chain -- Chain name

comment -- Set comment for items

copy-from -- Item number

disabled -- Defines whether MAC Telnet Server is disabled or not

dst-address -- Destination address

dst-mac-address -- Destination MAC address

dst-port -- Destination port

in-bridge -- Bridge interface the packet is coming in

in-bridge -- Bridge interface the packet is coming in

in-interface -- Interface name packets are coming into the bridge

ip-protocol -- IP protocol name

jump-target -- if action=jump, then jump destination should be set here

limit -- Restricts packet match rate to a given limit

log-prefix -- Defines the prefix to be printed before the logging information

mac-protocol -- Protocol name or number

new-packet-mark --

new-priority --

out-bridge -- Bridge interface the packet is going out

out-interface -- Interface name packets are leaving the bridge

packet-mark --

packet-type -- Packet type

passthrough --

place-before -- Item number

src-address -- Source address

src-mac-address -- Source MAC address

src-port -- Source port

stp-flags -- BPDU flags

stp-forward-delay -- Forward delay timer

stp-hello-time -- STP hello packets time

stp-max-age -- STP maximum age

stp-msg-age -- STP message age

stp-port -- STP port identifier

stp-root-address -- Root bridge MAC address

stp-root-cost -- Root bridge cost

stp-root-priority -- Root bridge priority

stp-sender-address -- STP message sender MAC address

stp-sender-priority -- Sender priority

stp-type -- Bridge Protocol Data Unit (BPDU) type

vlan-encap -- The encapsulated Ethernet type

vlan-id -- VLAN identifier field

vlan-priority -- The user priority field

 

[] /interface bridge filter>

 

ну тут по вкусу уже .. типа mac такойто с ip таким то forward input output - accept ;) ну по усмотрению короче ...

 

Изменено 5 сентября, 2008 пользователем wireless_man

[wifinet]

Спасибо за совет но ПРИЧЕМ ЗДЕСЬ Access List ??? Access List настроен и работает нормально ! Не работает ARP-таблица ! Т.е. Если клиент сменил у себя IP-адресс вручную в свойствах TCP-IP и данный адрес в сети свободен на данный момент , то он спокойно подключается и работает.

У меня же DHCP-сервер назначает статические IP-адреса клиенту и в таблице ARP ручками расписано соответствие IP-MAC. Вот и хотелось бы , чтобы если он сменил свой IP-шник на "чужой" то его его бы сисетма "отваливала". Аналог работы в ТД D-Link 2100AP , там есть таблица фильтр , куда прописываются MAC-адреса клиентов разрешенный для подключения к ТД ( в Микротике это Access List ) и таблица жесткой привязки IP-MAC статического DHCP-сервера, т.е. если клиент захотел не динамически а ручками назначить себе адрес IP .то пожалуйста , если свой - работать будет , "чужой" - отвалите. Вот последнюю таблицу мне и надо реализовать на Микротике.

 

P.S. Расшифровку сокрашений приводить не надо - это есть в описании , вы пример если знаете приведите хотя бы для одного клиента, зачем форум забивать.

 

 

[wireless_man]

Спасибо за совет но ПРИЧЕМ ЗДЕСЬ Access List ??? Access List настроен и работает нормально ! Не работает ARP-таблица ! Т.е. Если клиент сменил у себя IP-адресс вручную в свойствах TCP-IP и данный адрес в сети свободен на данный момент , то он спокойно подключается и работает.

У меня же DHCP-сервер назначает статические IP-адреса клиенту и в таблице ARP ручками расписано соответствие IP-MAC. Вот и хотелось бы , чтобы если он сменил свой IP-шник на "чужой" то его его бы сисетма "отваливала". Аналог работы в ТД D-Link 2100AP , там есть таблица фильтр , куда прописываются MAC-адреса клиентов разрешенный для подключения к ТД ( в Микротике это Access List ) и таблица жесткой привязки IP-MAC статического DHCP-сервера, т.е. если клиент захотел не динамически а ручками назначить себе адрес IP .то пожалуйста , если свой - работать будет , "чужой" - отвалите. Вот последнюю таблицу мне и надо реализовать на Микротике.

 

P.S. Расшифровку сокрашений приводить не надо - это есть в описании , вы пример если знаете приведите хотя бы для одного клиента, зачем форум забивать.

Блин .. Да про access list я на всякий написал, вдруг забыли .. Вы до конца смотрели ? Для вашей задачи необходимо >interface bridge filter так как по условию вашей задачи вы завели все на бридж ... в фильтре можно создать правила которые будет пропускать только определенные связки ip-mac а остальное дропать .. Лезть в мануал и смотреть синтаксис как правильно написать правило за Вас никто не будет ...просто хотел подсказать куда копать ...

 

http://www.mikrotik.com/testdocs/ros/2.9/i...face/bridge.php

 

примерно так (по памяти не проверяя) :

interface bridge filter add chain=input,output,forward arp-src-mac-address=00:00:00:00:00:00 action=drop (т.е. дропать все)

interface bridge filter add chain=input,output,forward arp-src-address=192.168.1.1/24 arp-src-mac-address=00:01:02:03:04:05 action=accept (пропускать 192.168.1.1/24 c маком 00:01:02:03:04:05)

Изменено 6 сентября, 2008 пользователем wireless_man

[wifinet]

Огромное спасибо за совет !!! Завтра попробую !

 

Но немного непонятно , получается , что на уровне ARP-таблицы , данная функция в Микротике не реализована ?

>>"так как по условию вашей задачи вы завели все на бридж ... "

 

А как же без бриджа-то ? Мне необходимо объединить три платы Wlan , плату Ethernet и два Микротика между собой при помощи WDS. Или есть другой более простой способ ?

 

Изменено 8 сентября, 2008 пользователем wifinet

[Astranet]

Так вот в том -то и дело , что сделал следующее :

Для "экскриментов" :-) собрал следующее :

ПК С Микротиком версии 2.9.27 , карта Ethernet и карта Wlan.

По Ethernet-у смторю своим компом , по Wlan-y - ноут.

На Wlane естественно поднял таблицу Access List.

Поднял бридж , присвоил ему IP , ( у карт (Ethernet и Wlan ) IP-шники не ставил ) , бриджом объединил Wlan & Ethernet.

На бридж включил DHCP со статическим назначением адресов. В DHCP прописал сеть и в Leases завел IP & MAC ноутбука.

В ARP-List прописал IP и МАС адреса ПК включенного в Ethernet и ноутбука.

Далее пробовал устанавливать в replay-only ARP у всех интерфейсов ( первый раз ставил на Wlan ) , как по одному , так и у всех сразу, и в таблице ARP-List тоже ставил интерфейс и Wlan и Bridge. Но все блин до пи... ( Пардон , но нервы не выдержали ).

Ноутбук , как подключался с IP-шником выставленным на нем ручками и не таким , как указан в ARP-List и DHCP , так и подключается , и намано работает :-) , т.е. пингуется гад.

 

В чем проблема-то , мужики ???

Сапасибо , всем кто может чем-нить помочь !

Значит, как оганизовывал IP + МАС я, рассмотрим мой способ на Вашем примере:

1. Выставляем и на ПК и на ноуте получать ip с DHCP,

2. На MT настраиваем ethernet и wlan,

3. Затем создаем bridge и в его портах добавляем наши интерфейсы: ether1 и wlan1,

4. В настройках бриджа ставим параметр arp в значение reply-only,

5. Создаем DHCP и в его настройках указываем в параметре address-pool значение static-only и интерфейс выбираем bridge. Это позволит нам самим выдавать ip с DHCP,

6. В DHCP - Leases прописываем ПК и ноут,

7. Заходим в arp и создаем 2 записи: одна на ноут, вторая на ПК, только обязательно накладываем их на bridge,

8. Теперь на ПК и на ноуте мы должны получить ip с dhcp.

9. Теперь пробуем пингануть наш микротик в таком варианте и после смены ip. В первом варианте пинг пройдет, а во втором нет.

 

И еще что самое главное нужно помнить и знать, что arp поднятое на Микротике отвечает лишь только за маршруты до этого Микротика, то есть, если клиент прописал у сея другой Ip то на Микротик он не попадет, а на другие железки за Микротиков вполне может. Такие моменты контроллируются файерволлом.

 

P.S. еслил, что могу скинуть реальный конфиг.

[wireless_man]

Так вот в том -то и дело , что сделал следующее :

если клиент прописал у сея другой Ip то на Микротик он не попадет, а на другие железки за Микротиков вполне может. Такие моменты контроллируются файерволлом.

 

По условию задачи не подходит ;) Фаервол бриджа и есть interface bridge filter :)

[wireless_man]

Огромное спасибо за совет !!! Завтра попробую !

 

Но немного непонятно , получается , что на уровне ARP-таблицы , данная функция в Микротике не реализована ?

>>"так как по условию вашей задачи вы завели все на бридж ... "

 

А как же без бриджа-то ? Мне необходимо объединить три платы Wlan , плату Ethernet и два Микротика между собой при помощи WDS. Или есть другой более простой способ ?

фунция то реализована ..но из за того что все заведено на бридж она не будет работать так как вам нужно ... Все три wlan добавьте в бридж без всяких wds (если клиенты не МТ) ...

 

 

[wifinet]

To Astranet : Спасибо за совет , но ... именно так я и делал и точно такой же результат получил. :-((( ( см. выше )

А хотел бы , чтобы когда клиент прописывает у себя "чужой" IP его бы "отваливало".

В принципе , уже стало понятно , что ARP-таблица Микротика этого не делает , а хотелось бы малой кровью.

>>"нужно помнить и знать, что arp поднятое на Микротике..."

Согласен , но вот где бы это самое "знать" взять-то , чтобы почитать , ибо то куцее описание , что есть в helpe-у Микротика , лишь общее описание параметров , а вот как они себя ведут в совокупности ( ну например в фильтре того же бриджа ) непонятно.

 

To : wireles_man :

"фунция то реализована ..но из за того что все заведено на бридж она не будет работать так как вам нужно ... Все три wlan добавьте в бридж без всяких wds (если клиенты не МТ) ... "

 

Вы думаете я так не экспериментировал ?! И не только так - вообще без бриджа. То есть садил клиентов на одну Wlan-карту, включал replay-only , прописывал MAC-IP в ARP-таблицу - все по барабану. Результат точно такой же , клиент работает с чужим IP.

 

Весь сыр бор именно в том , что ADSl-модем стоит "за Микротиком" и является шлюзом в Инет.

Понятно , что можно поднять PPPoE на Микротике , модем бриджом в Инет , назначить логин -пароль каждому пользователю , но ... Еще раз подчеркиваю - в моем случае это заморочки с клиентами. У них должна быть одна настройка - "автоматически" :-)))

 

Вообще-то , в Микротике хреново работает DHCP-сервер , по идее , если я статически назначил IP-адрес и привязал его к МАС-адресу , то получив "внешний" IP от клиента и не совпадащий с тем , что у него прописано в Leases-таблице в DHCP он должен "послать клиента куда подальше" , а DHCP преспокойненько пропускает его мимо себя.

Я вот пояснял - хорошо в D-Linkе 2100AP сделано , включил статический DHCP-сервер, прописал таблицу соответствия IP-МАС и все. Подключиться с левым IP он не дает.

 

Спасибо всем за советы , буду ковыряться дальше , может чего и накопаю ...

 

[martini]

переводишь эзернет в режим reply-only, в настройках ДХЦП сервера ставишь галку ADD ARP FOR LEASES и все работает, и никого не пускает )

Так что не нада наговаривать на мктик ))

[Astranet]

переводишь эзернет в режим reply-only, в настройках ДХЦП сервера ставишь галку ADD ARP FOR LEASES и все работает, и никого не пускает )

Так что не нада наговаривать на мктик ))

Работать не будет, так как для организации IP + MAС необходимы статические записи в arp, а при add arp for leases они получаются динамические.

[martini]

ну и пусть себе будут динамические, главное что они будут, смысл тут в режиме reply-only