Mikrotik 951 mesh filters

Обсуждение ПО и его настройки
Vlagilen
Сообщения: 21
Зарегистрирован: 10 фев 2013, 01:53

В наличии только 951 железки.
Изначально для покрытия зоны в офисах использовал несколько 951 железок и объединял их в Mesh(WDS).
В дальнейшем было необходимо соединить все офисы в сеть (так чтобы клиенты видели друг друга в сети(netbios)). Реализовал это с помощью PPTP+EoIP.
Все работает.
Столкнулся с проблемой DHCP выдачи адресов. Никак не могу отфильтровать их на mesh интерфейсе, просто нет данной функции. Находясь в одном офисе я могу получать подсеть других офисов. В Bridge интерфейсе есть фильтрация, где можно разрешить выдачу адресов только от совего dhcp сервера. Но изначально точки работают через Mesh. Можно конечно перевести все офисы с mesh на bridge, но это проблематично.
Кто знает как решить данную проблему?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

А фильтры разве не выцепляют пакеты ДХЦП на выходе или входе?


Есть интересная задача и бюджет? http://mikrotik.site
Vlagilen
Сообщения: 21
Зарегистрирован: 10 фев 2013, 01:53

В Bridge есть отдельная вкладка Filters где можно указать. В Mesh такой вкладки нет.
Нашел тему на офф сайте (.com) там никто не ответил. Больше инфы не нашел.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Я про фильтр в фаерволе


Есть интересная задача и бюджет? http://mikrotik.site
Vlagilen
Сообщения: 21
Зарегистрирован: 10 фев 2013, 01:53

Тут я и прошу помощи. По мануалу в бридже это делается вот так:

Код: Выделить всё

/interface bridge filter add action=drop chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip disabled=no comment="Drop all DHCP requests over EoIP bridge"


Пытался в фаерволе прописать подобное, но не фильтрует.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

/ip firewall filter


Есть интересная задача и бюджет? http://mikrotik.site
Vlagilen
Сообщения: 21
Зарегистрирован: 10 фев 2013, 01:53

vqd писал(а):/ip firewall filter

Прописывал по разному. Что не так делаю? Где найти mac protocol?

Код: Выделить всё

chain=forward action=drop protocol=udp in-interface=eoip-tunnel dst-port=67


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

вы же WDS применяете.
А вообще для понимания сути воспользуйтесь торчем на интерфейсах и тогда вы увидите чего у вас куда бежит и откуда


Есть интересная задача и бюджет? http://mikrotik.site
Vlagilen
Сообщения: 21
Зарегистрирован: 10 фев 2013, 01:53

vqd писал(а):вы же WDS применяете.
А вообще для понимания сути воспользуйтесь торчем на интерфейсах и тогда вы увидите чего у вас куда бежит и откуда


При чем тут WDS? У меня все крутится в Mesh и порты и wds. tunnel там просто как вариант написано.

В мануале описано, что фильтровать можно только если совместить с bridge, но это опять же нужно ковырять через bridge, а такой возможности нет. Вы уверены что через фаервол это можно сделать? Использовал торч, толку то? Я написал вам, что уже ходил в фаервол, зачем переписывать то, что уже и так написано? Я попросил помоч с правилом, значит где то что то упускаю. Я не за 5 минут все это делал и не побежал сразу на форум просить сделать за меня, сижу уже не первый день. По существу ничего.

Код: Выделить всё

Q. How to control or filter mesh traffic?

A. At the moment the only way is to use bridge firewall. Create a bridge interface, put the WDS interfaces and/or Ethernets in that bridge, and put that bridge in a mesh interface. Then configure bridge firewall rules.

To match MAC protocol used for mesh traffic encapsulation, use MAC protocol number 0x9AAA, and to mathc mesh routing tafffic, use MAC protocol number 0x9AAB. Example:

interface bridge settings set use-ip-firewall=yes
interface bridge filter add chain=input action=log mac-protocol=0x9aaa
interface bridge filter add chain=input action=log mac-protocol=0x9aab
Note that it is perfectly possible to create mixed mesh/bridge setups that will not work (e.g. Problematic example 1 with bridge instead of switch). The recommended fail-safe way that will always work is to create a separate bridge interface per each physical interfaces; then add all these bridge interfaces as mesh ports.
Последний раз редактировалось Vlagilen 29 окт 2013, 10:36, всего редактировалось 1 раз.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

У меня нет под руков ВДС что бы опробовать фильтрацию трафика, в теории работать должно на практике надо смотреть торч.

Если вы вычитали где то что фильтрами фаервола это сделать не возможно, а в бридж добавить нет возможности так чего вы от нас хотите?


Есть интересная задача и бюджет? http://mikrotik.site
Ответить