Перейти к содержимому
Калькуляторы

Вопросы по MikroTik RB450G

Доброго времени суток!

Приобрел на днях RB450G, уже заколебался.. никак не могу настроить правильно DHCP Server (пытался этим способом). Единственное что удалось - создать PPPoE сервер, и то по мануалам.

В общем, цели у меня с этой платой такие:

1. Требуется на каждый порт создать отдельные подсети (DHCP)

1-й порт: питается интернетом
2-й порт: 192.168.1.0/24
3-й порт: 192.168.2.0/24
4-й порт: 192.168.3.0/24
5-й порт: 192.168.4.0/24

2. Нет желание создавать PPPoE сервер и т.п. методы подключения юзверей (во избежании путаницы среди абонентов с настройками сети). Нужно чтобы IP клиента был привязан к его MAC адресу.

3. Возможность ограничивать абонентам скорость индивидуально (1 Мбит/с, 2 Мбит/с и т.д.)

4. Все кто подключен к сети, но не привязан по MAC адресу к IP - не имели доступа в интернет.

5. Отсутствие возможности видеть (загружать, пересылать и т.п.) локальные ресурсы.

 

Задача имеет решение?

Выражаю глубочайшую благодарность всем, кто поможет/обратит внимание! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я с такой баловался - первое на что обрати внимание - выключи бриджинг между интерфейсами. А то он по умолчанию притворяется ещё и свитчем между всеми кроме eth0-gateway

Изменено пользователем SergKz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это можно сделать так:

 

/interface ethernet

set 2 master-port=none

set 3 master-port=none

set 4 master-port=none

 

что бы повесить адреса:

/ip address

add address=192.168.1.1/24 broadcast=192.168.1.255 disabled=no interface=ether2-local-master network=192.168.1.0

add address=192.168.2.1/24 broadcast=192.168.2.255 disabled=no interface=ether3-local-slave network=192.168.2.0

add address=192.168.3.1/24 broadcast=192.168.3.255 disabled=no interface=ether4-local-slave network=192.168.3.0

add address=192.168.4.1/24 broadcast=192.168.4.255 disabled=no interface=ether5-local-slave network=192.168.4.0

 

DHCP настрой через winbox

ip >> DHCP-server >> DHCP >> DHCP-setup

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ограничить скорость по ip

 

/queue simple

add burst-limit=0/0 \

burst-threshold=0/0 \

burst-time=0s/0s \

direction=both \

disabled=no \

dst-address=0.0.0.0/0 \

interface=all \

limit-at=0/0 \

max-limit=1M/1M \

name=192.168.1.2 \

parent=none \

priority=8 \

queue=default-small/default-small \

target-addresses=192.168.1.2/32 \

total-queue=default-small

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

rmika, спасибо, получилось.

Но не все проблемы решены)

Осталось:

2. Нет желание создавать PPPoE сервер и т.п. методы подключения юзверей (во избежании путаницы среди абонентов с настройками сети). Нужно чтобы IP клиента был привязан к его MAC адресу.

4. Все кто подключен к сети, но не привязан по MAC адресу к IP - не имели доступа в интернет.

5. Отсутствие возможности видеть (загружать, пересылать и т.п.) локальные ресурсы.

 

хм.. может привязку сделать через IP > DHCP Server > Leases ?

> Создал правило в firewall для всех своих подсетей 192.168.0.0/16, чтобы дропал тех, кто не занесен в accept. Как можно сделать, чтобы еще и одновременно перенаправлял на страницу, к примеру, с надписью "Пополните баланс.", которая бы находилась на одном из моих серверов (ex. 192.168.3.6).

Изменено пользователем zn-game

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как то так может быть?

/ip firewall nat

add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway src-address=192.168.0.0/16

add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether2-local-master protocol=tcp src-address-list=no_money to-addresses=192.168.3.6 to-ports=80

add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether3-local-slave protocol=tcp src-address-list=no_money to-addresses=192.168.3.6 to-ports=80

add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether4-local-slave protocol=tcp src-address-list=no_money to-addresses=192.168.3.6 to-ports=80

add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether5-local-slave protocol=tcp src-address-list=no_money to-addresses=192.168.3.6 to-ports=80

 

/ip firewall fil

add action=accept chain=input disabled=no in-interface=ether2-local-master src-address=192.168.1.2 src-mac-address=00:00:00:00:00:00

add action=accept chain=input disabled=no in-interface=ether3-local-slave src-address=192.168.2.2 src-mac-address=00:00:00:00:00:00

add action=accept chain=input disabled=no in-interface=ether4-local-slave src-address=192.168.3.2 src-mac-address=00:00:00:00:00:00

add action=accept chain=input disabled=no in-interface=ether5-local-slave src-address=192.168.4.2 src-mac-address=00:00:00:00:00:00

add action=drop dst-port=!80 chain=input disabled=no in-interface=ether2-local-master src-address=192.168.1.0/24

add action=drop dst-port=!80 chain=input disabled=no in-interface=ether3-local-slave src-address=192.168.2.0/24

add action=drop dst-port=!80 chain=input disabled=no in-interface=ether4-local-slave src-address=192.168.3.0/24

add action=drop dst-port=!80 chain=input disabled=no in-interface=ether5-local-slave src-address=192.168.4.0/24

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кучка новых вопросов:

1. Допустим, подключаем любого абонента к сети, а ему DHCP сервер адрес дарит и сеть открывает. Как можно сделать чтобы адрес не выдавался, либо трафик от абонента дропался к черту? PS: метод "авторизации" абонентов IP+MAC

2. Фильтровать доступ юзеров через что лучше: Firewall или Bridge+привязка MAC к порту?

3. Как вариант разрешающий проблему 1-го и 2-го вопроса: делаем так - подойдет?

Изменено пользователем zn-game

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

=)

 

Нужно все 4 порта объединить в бридж. Настроить фильтр на бридже так, чтобы данные между портами не ходили.

 

Вешаете на этот бридж адрес 192.168.0.1/24. Настраиваете DHCP сервер на раздачу этих адресов клиентам 192.168.0.2-254. Создаете в файрволе правило, которое на любые запросы с этих адресов будет перенаправлять на 80 порт вашего сервера с биллингом, который будет писать клиенту инструкцию по получения доступа в сеть.

 

Вешаете на этот бридж адрес 192.168.1.1/24. Создаете в leases привязку с маком и адресом из подсетки 192.168.1.х По этим адресам и будут работать клиенты, имеющие доступ в интернет.

 

Так же есть вариант блокировать клиентов в бридже, там тоже есть фильтр по мак адресам.

 

По L2 клиенты из разных портов бриджа общаться не смогут. Чтобы они не могли общаться ни с кем, минуя сервер, следует раздавать клиентам маску /32. А на сервере вы общение друг с другом можете зафильтровать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как и где можно создать правило, которое бы запрещало юзать торренты?

 

Нужно все 4 порта объединить в бридж. Настроить фильтр на бридже так, чтобы данные между портами не ходили.

Решил без бриджа, т.к. нужно 4 подсети разных. Выглядит так: eth2: 192.168.1.0/24, eth3: 192.168.2.0/24, eth4: 192.168.3.0/24, eth5: 192.168.4.0/24.

 

Создаете в leases привязку с маком и адресом из подсетки 192.168.1.х По этим адресам и будут работать клиенты, имеющие доступ в интернет.

Да да, именно так)

Еще создал правило в Firewall'е "drop 192.168.0.0/16" (не подскажите как добавить опцию чтобы кидало на сервер с html страничкой?). Но считаю тут неразумно, т.к. постоянно придется добавлять юзеров в белый список.

Чтобы они не могли общаться ни с кем, минуя сервер, следует раздавать клиентам маску /32. А на сервере вы общение друг с другом можете зафильтровать

Тут немного не понял. Как это реализовать? =)

 

PS: Все в основном нормально сделал? =D

Изменено пользователем zn-game

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как и где можно создать правило, которое бы запрещало юзать торренты?

Ищем: http://www.google.ru/search?q=mikrotik+block+p2p

Находим: http://forum.mikrotik.com/viewtopic.php?t=21178

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter -- искать слово "torrent"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как и где можно создать правило, которое бы запрещало юзать торренты?

Ищем: http://www.google.ru/search?q=mikrotik+block+p2p

Находим: http://forum.mikrotik.com/viewtopic.php?t=21178

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter -- искать слово "torrent"

вопрос торрентов уже давненько решил, но все равно спасибо!

Остальные вопросы остаются актуальными..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Реально ли подключить DIR-320 к RB450G как запасной источник интернета? Сейчас всё поясню:

Выключали как то электричество в доме (проводка горела в щитке в одном из подъездом), а у меня ИБП на длительный период хватает - все под контролем. Не тут то было, провайдер стоящий выше подключает меня по технологии FTTB, так его оборудование без ИБП на чердаке. Сеть у меня Wi-Fi на небольшое кол-во абонентов. Сидеть им в "аське и грузить страницы" хватит и 5 мбит/с на всех при таких случаях. Хочу подрубить usb-модем в DIR-320 и как резервный источник подключить его к микротику. Вопросы, на которые требуются ответы:

1. Плавный переход с одного источника на другой (без обрывов) - возможно?

2. Прошивка на DIR-320 DD-WRT - поднимет usb-свисток?

3. Как все это организовать?

Изменено пользователем zn-game

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1.Без обрывов переход никак не сделать.

2.Не в курсе, я бы использовал микротик с 3g модемом.

3.Если при выключении света отключается сетевой порт устройства, смотрящий к провайдеру, то переход на резерв можно обеспечить просто указав еще один маршрут 0.0.0.0/0 на сеть за модемом с более высокой метрикой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.