Вопросы по MikroTik RB450G

[zn-game]

Доброго времени суток!

Приобрел на днях RB450G, уже заколебался.. никак не могу настроить правильно DHCP Server (пытался этим способом). Единственное что удалось - создать PPPoE сервер, и то по мануалам.

В общем, цели у меня с этой платой такие:

1. Требуется на каждый порт создать отдельные подсети (DHCP)

1-й порт: питается интернетом
2-й порт: 192.168.1.0/24
3-й порт: 192.168.2.0/24
4-й порт: 192.168.3.0/24
5-й порт: 192.168.4.0/24

2. Нет желание создавать PPPoE сервер и т.п. методы подключения юзверей (во избежании путаницы среди абонентов с настройками сети). Нужно чтобы IP клиента был привязан к его MAC адресу.

3. Возможность ограничивать абонентам скорость индивидуально (1 Мбит/с, 2 Мбит/с и т.д.)

4. Все кто подключен к сети, но не привязан по MAC адресу к IP - не имели доступа в интернет.

5. Отсутствие возможности видеть (загружать, пересылать и т.п.) локальные ресурсы.

 

Задача имеет решение?

Выражаю глубочайшую благодарность всем, кто поможет/обратит внимание! ;)

[SergKz]

Я с такой баловался - первое на что обрати внимание - выключи бриджинг между интерфейсами. А то он по умолчанию притворяется ещё и свитчем между всеми кроме eth0-gateway

Edited August 28, 2011 by SergKz

[rmika]

это можно сделать так:

 

/interface ethernet

set 2 master-port=none

set 3 master-port=none

set 4 master-port=none

 

что бы повесить адреса:

/ip address

add address=192.168.1.1/24 broadcast=192.168.1.255 disabled=no interface=ether2-local-master network=192.168.1.0

add address=192.168.2.1/24 broadcast=192.168.2.255 disabled=no interface=ether3-local-slave network=192.168.2.0

add address=192.168.3.1/24 broadcast=192.168.3.255 disabled=no interface=ether4-local-slave network=192.168.3.0

add address=192.168.4.1/24 broadcast=192.168.4.255 disabled=no interface=ether5-local-slave network=192.168.4.0

 

DHCP настрой через winbox

ip >> DHCP-server >> DHCP >> DHCP-setup

[rmika]

Ограничить скорость по ip

 

/queue simple

add burst-limit=0/0 \

burst-threshold=0/0 \

burst-time=0s/0s \

direction=both \

disabled=no \

dst-address=0.0.0.0/0 \

interface=all \

limit-at=0/0 \

max-limit=1M/1M \

name=192.168.1.2 \

parent=none \

priority=8 \

queue=default-small/default-small \

target-addresses=192.168.1.2/32 \

total-queue=default-small

[zn-game]

rmika, спасибо, получилось.

Но не все проблемы решены)

Осталось:

2. Нет желание создавать PPPoE сервер и т.п. методы подключения юзверей (во избежании путаницы среди абонентов с настройками сети). Нужно чтобы IP клиента был привязан к его MAC адресу.

4. Все кто подключен к сети, но не привязан по MAC адресу к IP - не имели доступа в интернет.

5. Отсутствие возможности видеть (загружать, пересылать и т.п.) локальные ресурсы.

 

хм.. может привязку сделать через IP > DHCP Server > Leases ?

> Создал правило в firewall для всех своих подсетей 192.168.0.0/16, чтобы дропал тех, кто не занесен в accept. Как можно сделать, чтобы еще и одновременно перенаправлял на страницу, к примеру, с надписью "Пополните баланс.", которая бы находилась на одном из моих серверов (ex. 192.168.3.6).

Edited August 28, 2011 by zn-game

[rmika]

Как то так может быть?

/ip firewall nat

add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway src-address=192.168.0.0/16

add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether2-local-master protocol=tcp src-address-list=no_money to-addresses=192.168.3.6 to-ports=80

add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether3-local-slave protocol=tcp src-address-list=no_money to-addresses=192.168.3.6 to-ports=80

add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether4-local-slave protocol=tcp src-address-list=no_money to-addresses=192.168.3.6 to-ports=80

add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether5-local-slave protocol=tcp src-address-list=no_money to-addresses=192.168.3.6 to-ports=80

 

/ip firewall fil

add action=accept chain=input disabled=no in-interface=ether2-local-master src-address=192.168.1.2 src-mac-address=00:00:00:00:00:00

add action=accept chain=input disabled=no in-interface=ether3-local-slave src-address=192.168.2.2 src-mac-address=00:00:00:00:00:00

add action=accept chain=input disabled=no in-interface=ether4-local-slave src-address=192.168.3.2 src-mac-address=00:00:00:00:00:00

add action=accept chain=input disabled=no in-interface=ether5-local-slave src-address=192.168.4.2 src-mac-address=00:00:00:00:00:00

add action=drop dst-port=!80 chain=input disabled=no in-interface=ether2-local-master src-address=192.168.1.0/24

add action=drop dst-port=!80 chain=input disabled=no in-interface=ether3-local-slave src-address=192.168.2.0/24

add action=drop dst-port=!80 chain=input disabled=no in-interface=ether4-local-slave src-address=192.168.3.0/24

add action=drop dst-port=!80 chain=input disabled=no in-interface=ether5-local-slave src-address=192.168.4.0/24

[zn-game]

Кучка новых вопросов:

1. Допустим, подключаем любого абонента к сети, а ему DHCP сервер адрес дарит и сеть открывает. Как можно сделать чтобы адрес не выдавался, либо трафик от абонента дропался к черту? PS: метод "авторизации" абонентов IP+MAC

2. Фильтровать доступ юзеров через что лучше: Firewall или Bridge+привязка MAC к порту?

3. Как вариант разрешающий проблему 1-го и 2-го вопроса: делаем так - подойдет?

Edited October 3, 2011 by zn-game

[Saab95]

=)

 

Нужно все 4 порта объединить в бридж. Настроить фильтр на бридже так, чтобы данные между портами не ходили.

 

Вешаете на этот бридж адрес 192.168.0.1/24. Настраиваете DHCP сервер на раздачу этих адресов клиентам 192.168.0.2-254. Создаете в файрволе правило, которое на любые запросы с этих адресов будет перенаправлять на 80 порт вашего сервера с биллингом, который будет писать клиенту инструкцию по получения доступа в сеть.

 

Вешаете на этот бридж адрес 192.168.1.1/24. Создаете в leases привязку с маком и адресом из подсетки 192.168.1.х По этим адресам и будут работать клиенты, имеющие доступ в интернет.

 

Так же есть вариант блокировать клиентов в бридже, там тоже есть фильтр по мак адресам.

 

По L2 клиенты из разных портов бриджа общаться не смогут. Чтобы они не могли общаться ни с кем, минуя сервер, следует раздавать клиентам маску /32. А на сервере вы общение друг с другом можете зафильтровать.

[zn-game]

Как и где можно создать правило, которое бы запрещало юзать торренты?

 

Нужно все 4 порта объединить в бридж. Настроить фильтр на бридже так, чтобы данные между портами не ходили.

Решил без бриджа, т.к. нужно 4 подсети разных. Выглядит так: eth2: 192.168.1.0/24, eth3: 192.168.2.0/24, eth4: 192.168.3.0/24, eth5: 192.168.4.0/24.

 

Создаете в leases привязку с маком и адресом из подсетки 192.168.1.х По этим адресам и будут работать клиенты, имеющие доступ в интернет.

Да да, именно так)

Еще создал правило в Firewall'е "drop 192.168.0.0/16" (не подскажите как добавить опцию чтобы кидало на сервер с html страничкой?). Но считаю тут неразумно, т.к. постоянно придется добавлять юзеров в белый список.

Чтобы они не могли общаться ни с кем, минуя сервер, следует раздавать клиентам маску /32. А на сервере вы общение друг с другом можете зафильтровать

Тут немного не понял. Как это реализовать? =)

 

PS: Все в основном нормально сделал? =D

Edited October 3, 2011 by zn-game

[Ilya Evseev]

Как и где можно создать правило, которое бы запрещало юзать торренты?

Ищем: http://www.google.ru/search?q=mikrotik+block+p2p

Находим: http://forum.mikrotik.com/viewtopic.php?t=21178

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter -- искать слово "torrent"

[zn-game]

Как и где можно создать правило, которое бы запрещало юзать торренты?

Ищем: http://www.google.ru/search?q=mikrotik+block+p2p

Находим: http://forum.mikrotik.com/viewtopic.php?t=21178

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter -- искать слово "torrent"

вопрос торрентов уже давненько решил, но все равно спасибо!

Остальные вопросы остаются актуальными..

[zn-game]

Реально ли подключить DIR-320 к RB450G как запасной источник интернета? Сейчас всё поясню:

Выключали как то электричество в доме (проводка горела в щитке в одном из подъездом), а у меня ИБП на длительный период хватает - все под контролем. Не тут то было, провайдер стоящий выше подключает меня по технологии FTTB, так его оборудование без ИБП на чердаке. Сеть у меня Wi-Fi на небольшое кол-во абонентов. Сидеть им в "аське и грузить страницы" хватит и 5 мбит/с на всех при таких случаях. Хочу подрубить usb-модем в DIR-320 и как резервный источник подключить его к микротику. Вопросы, на которые требуются ответы:

1. Плавный переход с одного источника на другой (без обрывов) - возможно?

2. Прошивка на DIR-320 DD-WRT - поднимет usb-свисток?

3. Как все это организовать?

Edited November 1, 2011 by zn-game

[Saab95]

1.Без обрывов переход никак не сделать.

2.Не в курсе, я бы использовал микротик с 3g модемом.

3.Если при выключении света отключается сетевой порт устройства, смотрящий к провайдеру, то переход на резерв можно обеспечить просто указав еще один маршрут 0.0.0.0/0 на сеть за модемом с более высокой метрикой.