zn-game Опубликовано 27 августа, 2011 · Жалоба Доброго времени суток! Приобрел на днях RB450G, уже заколебался.. никак не могу настроить правильно DHCP Server (пытался этим способом). Единственное что удалось - создать PPPoE сервер, и то по мануалам. В общем, цели у меня с этой платой такие: 1. Требуется на каждый порт создать отдельные подсети (DHCP) 1-й порт: питается интернетом 2-й порт: 192.168.1.0/24 3-й порт: 192.168.2.0/24 4-й порт: 192.168.3.0/24 5-й порт: 192.168.4.0/24 2. Нет желание создавать PPPoE сервер и т.п. методы подключения юзверей (во избежании путаницы среди абонентов с настройками сети). Нужно чтобы IP клиента был привязан к его MAC адресу. 3. Возможность ограничивать абонентам скорость индивидуально (1 Мбит/с, 2 Мбит/с и т.д.) 4. Все кто подключен к сети, но не привязан по MAC адресу к IP - не имели доступа в интернет. 5. Отсутствие возможности видеть (загружать, пересылать и т.п.) локальные ресурсы. Задача имеет решение? Выражаю глубочайшую благодарность всем, кто поможет/обратит внимание! ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergKz Опубликовано 28 августа, 2011 (изменено) · Жалоба Я с такой баловался - первое на что обрати внимание - выключи бриджинг между интерфейсами. А то он по умолчанию притворяется ещё и свитчем между всеми кроме eth0-gateway Изменено 28 августа, 2011 пользователем SergKz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rmika Опубликовано 28 августа, 2011 · Жалоба это можно сделать так: /interface ethernet set 2 master-port=none set 3 master-port=none set 4 master-port=none что бы повесить адреса: /ip address add address=192.168.1.1/24 broadcast=192.168.1.255 disabled=no interface=ether2-local-master network=192.168.1.0 add address=192.168.2.1/24 broadcast=192.168.2.255 disabled=no interface=ether3-local-slave network=192.168.2.0 add address=192.168.3.1/24 broadcast=192.168.3.255 disabled=no interface=ether4-local-slave network=192.168.3.0 add address=192.168.4.1/24 broadcast=192.168.4.255 disabled=no interface=ether5-local-slave network=192.168.4.0 DHCP настрой через winbox ip >> DHCP-server >> DHCP >> DHCP-setup Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rmika Опубликовано 28 августа, 2011 · Жалоба Ограничить скорость по ip /queue simple add burst-limit=0/0 \ burst-threshold=0/0 \ burst-time=0s/0s \ direction=both \ disabled=no \ dst-address=0.0.0.0/0 \ interface=all \ limit-at=0/0 \ max-limit=1M/1M \ name=192.168.1.2 \ parent=none \ priority=8 \ queue=default-small/default-small \ target-addresses=192.168.1.2/32 \ total-queue=default-small Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zn-game Опубликовано 28 августа, 2011 (изменено) · Жалоба rmika, спасибо, получилось. Но не все проблемы решены) Осталось: 2. Нет желание создавать PPPoE сервер и т.п. методы подключения юзверей (во избежании путаницы среди абонентов с настройками сети). Нужно чтобы IP клиента был привязан к его MAC адресу.4. Все кто подключен к сети, но не привязан по MAC адресу к IP - не имели доступа в интернет. 5. Отсутствие возможности видеть (загружать, пересылать и т.п.) локальные ресурсы. хм.. может привязку сделать через IP > DHCP Server > Leases ? > Создал правило в firewall для всех своих подсетей 192.168.0.0/16, чтобы дропал тех, кто не занесен в accept. Как можно сделать, чтобы еще и одновременно перенаправлял на страницу, к примеру, с надписью "Пополните баланс.", которая бы находилась на одном из моих серверов (ex. 192.168.3.6). Изменено 28 августа, 2011 пользователем zn-game Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rmika Опубликовано 29 августа, 2011 · Жалоба Как то так может быть? /ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway src-address=192.168.0.0/16 add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether2-local-master protocol=tcp src-address-list=no_money to-addresses=192.168.3.6 to-ports=80 add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether3-local-slave protocol=tcp src-address-list=no_money to-addresses=192.168.3.6 to-ports=80 add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether4-local-slave protocol=tcp src-address-list=no_money to-addresses=192.168.3.6 to-ports=80 add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether5-local-slave protocol=tcp src-address-list=no_money to-addresses=192.168.3.6 to-ports=80 /ip firewall fil add action=accept chain=input disabled=no in-interface=ether2-local-master src-address=192.168.1.2 src-mac-address=00:00:00:00:00:00 add action=accept chain=input disabled=no in-interface=ether3-local-slave src-address=192.168.2.2 src-mac-address=00:00:00:00:00:00 add action=accept chain=input disabled=no in-interface=ether4-local-slave src-address=192.168.3.2 src-mac-address=00:00:00:00:00:00 add action=accept chain=input disabled=no in-interface=ether5-local-slave src-address=192.168.4.2 src-mac-address=00:00:00:00:00:00 add action=drop dst-port=!80 chain=input disabled=no in-interface=ether2-local-master src-address=192.168.1.0/24 add action=drop dst-port=!80 chain=input disabled=no in-interface=ether3-local-slave src-address=192.168.2.0/24 add action=drop dst-port=!80 chain=input disabled=no in-interface=ether4-local-slave src-address=192.168.3.0/24 add action=drop dst-port=!80 chain=input disabled=no in-interface=ether5-local-slave src-address=192.168.4.0/24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zn-game Опубликовано 3 октября, 2011 (изменено) · Жалоба Кучка новых вопросов: 1. Допустим, подключаем любого абонента к сети, а ему DHCP сервер адрес дарит и сеть открывает. Как можно сделать чтобы адрес не выдавался, либо трафик от абонента дропался к черту? PS: метод "авторизации" абонентов IP+MAC 2. Фильтровать доступ юзеров через что лучше: Firewall или Bridge+привязка MAC к порту? 3. Как вариант разрешающий проблему 1-го и 2-го вопроса: делаем так - подойдет? Изменено 3 октября, 2011 пользователем zn-game Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 октября, 2011 · Жалоба =) Нужно все 4 порта объединить в бридж. Настроить фильтр на бридже так, чтобы данные между портами не ходили. Вешаете на этот бридж адрес 192.168.0.1/24. Настраиваете DHCP сервер на раздачу этих адресов клиентам 192.168.0.2-254. Создаете в файрволе правило, которое на любые запросы с этих адресов будет перенаправлять на 80 порт вашего сервера с биллингом, который будет писать клиенту инструкцию по получения доступа в сеть. Вешаете на этот бридж адрес 192.168.1.1/24. Создаете в leases привязку с маком и адресом из подсетки 192.168.1.х По этим адресам и будут работать клиенты, имеющие доступ в интернет. Так же есть вариант блокировать клиентов в бридже, там тоже есть фильтр по мак адресам. По L2 клиенты из разных портов бриджа общаться не смогут. Чтобы они не могли общаться ни с кем, минуя сервер, следует раздавать клиентам маску /32. А на сервере вы общение друг с другом можете зафильтровать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zn-game Опубликовано 3 октября, 2011 (изменено) · Жалоба Как и где можно создать правило, которое бы запрещало юзать торренты? Нужно все 4 порта объединить в бридж. Настроить фильтр на бридже так, чтобы данные между портами не ходили. Решил без бриджа, т.к. нужно 4 подсети разных. Выглядит так: eth2: 192.168.1.0/24, eth3: 192.168.2.0/24, eth4: 192.168.3.0/24, eth5: 192.168.4.0/24. Создаете в leases привязку с маком и адресом из подсетки 192.168.1.х По этим адресам и будут работать клиенты, имеющие доступ в интернет. Да да, именно так) Еще создал правило в Firewall'е "drop 192.168.0.0/16" (не подскажите как добавить опцию чтобы кидало на сервер с html страничкой?). Но считаю тут неразумно, т.к. постоянно придется добавлять юзеров в белый список. Чтобы они не могли общаться ни с кем, минуя сервер, следует раздавать клиентам маску /32. А на сервере вы общение друг с другом можете зафильтровать Тут немного не понял. Как это реализовать? =) PS: Все в основном нормально сделал? =D Изменено 3 октября, 2011 пользователем zn-game Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 6 октября, 2011 · Жалоба Как и где можно создать правило, которое бы запрещало юзать торренты? Ищем: http://www.google.ru/search?q=mikrotik+block+p2p Находим: http://forum.mikrotik.com/viewtopic.php?t=21178 http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter -- искать слово "torrent" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zn-game Опубликовано 6 октября, 2011 · Жалоба Как и где можно создать правило, которое бы запрещало юзать торренты? Ищем: http://www.google.ru/search?q=mikrotik+block+p2p Находим: http://forum.mikrotik.com/viewtopic.php?t=21178 http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter -- искать слово "torrent" вопрос торрентов уже давненько решил, но все равно спасибо! Остальные вопросы остаются актуальными.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zn-game Опубликовано 1 ноября, 2011 (изменено) · Жалоба Реально ли подключить DIR-320 к RB450G как запасной источник интернета? Сейчас всё поясню: Выключали как то электричество в доме (проводка горела в щитке в одном из подъездом), а у меня ИБП на длительный период хватает - все под контролем. Не тут то было, провайдер стоящий выше подключает меня по технологии FTTB, так его оборудование без ИБП на чердаке. Сеть у меня Wi-Fi на небольшое кол-во абонентов. Сидеть им в "аське и грузить страницы" хватит и 5 мбит/с на всех при таких случаях. Хочу подрубить usb-модем в DIR-320 и как резервный источник подключить его к микротику. Вопросы, на которые требуются ответы: 1. Плавный переход с одного источника на другой (без обрывов) - возможно? 2. Прошивка на DIR-320 DD-WRT - поднимет usb-свисток? 3. Как все это организовать? Изменено 1 ноября, 2011 пользователем zn-game Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 ноября, 2011 · Жалоба 1.Без обрывов переход никак не сделать. 2.Не в курсе, я бы использовал микротик с 3g модемом. 3.Если при выключении света отключается сетевой порт устройства, смотрящий к провайдеру, то переход на резерв можно обеспечить просто указав еще один маршрут 0.0.0.0/0 на сеть за модемом с более высокой метрикой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...