Доброго времени суток!
Купил RB2011UiAS-RM под задачу раздачи интернета в сети конкретным пользователям с авторизацией по IP+MAC с ограничением скорости.
Прошу помощи в настройке. Это первый настраиваемый мною микротик.
Сеть со статической адресацией.
Интернет от провайдера приходит напрямую, имеется реальный (белый) IP - настроен на eth1
В локальной сети адресация статическая. IP сети настроен на маршрутизаторе.
Все пользователи сети получают интернет через прокси, но для определенных машин требуется полный доступ в интернет. Для них и требуется настроить авторизацию.
Авторизация по IP+MAC ограничение скорости для клиентов
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну либо ДХЦП сервер поднимаете с привязкой ИП к МАК
Либо АРП таблицу настраиваете и выставляете read only на интерфейсе который в сеть смотрит
Для ограничения скорости используете /queue simple
Документация - wiki.mikrotik.com
Либо АРП таблицу настраиваете и выставляете read only на интерфейсе который в сеть смотрит
Для ограничения скорости используете /queue simple
Документация - wiki.mikrotik.com
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 22
- Зарегистрирован: 19 ноя 2015, 13:30
vqd писал(а):Либо АРП таблицу настраиваете и выставляете read only на интерфейсе который в сеть смотрит
Сразу прошу понять и простить за возможную тупизну вопросов:
В таблице АРП у меня постоянно меняются адреса в том числе и мой с которого я подключен. Подскажите, пожалуйста, поподробней как его настроить.
Read only не нашел, нашел reply only в разделе ARP, это оно? Нужно выставить на eth5, который у меня смотрит в локальную сеть?
-
- Сообщения: 22
- Зарегистрирован: 19 ноя 2015, 13:30
Настроил как на картинке, нужно чтобы доступ имели 2 пк, с 106 и 115 IP
https://pp.vk.me/c628222/v628222146/208 ... nANwOI.jpg
Настроено верно?
https://pp.vk.me/c628222/v628222146/208 ... nANwOI.jpg
Настроено верно?
-
- Модератор
- Сообщения: 3321
- Зарегистрирован: 01 окт 2012, 14:48
Если 106 и 105 IP никогда не поменяются, то скорее всего верно.
IP адреса клиентов в локальной сети меняются так, как настроен DHCP сервер.
Привязывайте IP адрес к определенному MAC в DHCP Leases, а потом закрепляете в ARP table связку MAC и IP адрес второй раз.
Теперь, если клиент с MAC адресом, который прописан в таблице ARP получит IP другой, не тот который соответствует ему в ARP таблице, то доступа не будет.
Ну или наоборот, доступ будет только для тех, у которых связка MAC и IP будет записана в ARP таблице.
Простой пример. Вы руками настроили IP адреса всем компьютерам. И настроили ограничения им на микротике, всем разные, кому-то можно все, кому-то очень мало. Обязательно найдется умник, который поменяет сам руками IP адрес у себя на компе, в надежде, что все у него получится. Но вы-то в ARP таблице, заблаговременно, предусмотрели ПРАВИЛЬНУЮ связку IP и MAC, и поэтому, как ни меняй IP адрес - ничего не получится. Тут можно много говорить о сетевой безопасности, о правах администратора у обычных пользователей, но суть не в этом, а в том, что микротик имеет отличный арсенал средств в ответ на такие проблемы.
PS. Совет. Не пользуйтесь для настройки микротика веб-интерфейсом. Используйте WinBox.
IP адреса клиентов в локальной сети меняются так, как настроен DHCP сервер.
Привязывайте IP адрес к определенному MAC в DHCP Leases, а потом закрепляете в ARP table связку MAC и IP адрес второй раз.
Теперь, если клиент с MAC адресом, который прописан в таблице ARP получит IP другой, не тот который соответствует ему в ARP таблице, то доступа не будет.
Ну или наоборот, доступ будет только для тех, у которых связка MAC и IP будет записана в ARP таблице.
Простой пример. Вы руками настроили IP адреса всем компьютерам. И настроили ограничения им на микротике, всем разные, кому-то можно все, кому-то очень мало. Обязательно найдется умник, который поменяет сам руками IP адрес у себя на компе, в надежде, что все у него получится. Но вы-то в ARP таблице, заблаговременно, предусмотрели ПРАВИЛЬНУЮ связку IP и MAC, и поэтому, как ни меняй IP адрес - ничего не получится. Тут можно много говорить о сетевой безопасности, о правах администратора у обычных пользователей, но суть не в этом, а в том, что микротик имеет отличный арсенал средств в ответ на такие проблемы.
PS. Совет. Не пользуйтесь для настройки микротика веб-интерфейсом. Используйте WinBox.
-
- Сообщения: 22
- Зарегистрирован: 19 ноя 2015, 13:30
спасибо! сейчас пускает в интернет двух клиентов 115 и 106, других не пускает. На скрине был 106 без указания мака, пока не прописал мак - в инет его не пускало.
Извините, но я не понял: если у меня указана авторизация клиента по связке IP+MAC и если юзер поменяет IP, тогда правило не сработает и его не пустит? DHCP сервера у меня нет.
Извините, но я не понял: если у меня указана авторизация клиента по связке IP+MAC и если юзер поменяет IP, тогда правило не сработает и его не пустит? DHCP сервера у меня нет.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
ну если в АРП таблице нет связки мак + ип то его никуда не пустит
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 22
- Зарегистрирован: 19 ноя 2015, 13:30
Подскажите, пожалуйста, более подробно про "/queue simple"
Это какая то команда?
Это какая то команда?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
вот вам пример на ограничение в 2Мб/с
/queue simple
add max-limit=2M/2M target=192.168.1.222/32
/queue simple
add max-limit=2M/2M target=192.168.1.222/32
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 22
- Зарегистрирован: 19 ноя 2015, 13:30
Спасибо! А вводить команду в New Terminal?