Белый IP для клиента, по-взрослому

Обсуждение оборудования и его настройки
olegs
Сообщения: 26
Зарегистрирован: 12 дек 2014, 15:08
Откуда: Коломна

/ip firewall address-list
###Адрес лист для офиса
add address=172.16.0.0/24 list=Office
###Адрес лист для комутеров и тд.
add address=172.16.10.0/24 list=SYS
###Адрес лист для прошедших авторизацию
add address=10.0.2.58 comment=10.0.2.58_accept list=accept_list
add address=(БЕЛЫЙ IP) comment=(БЕЛЫЙ IP)_accept list=accept_list

/ip firewall filter
###Спасет от флуд пинга
add action=drop chain=forward connection-state=invalid
add action=drop chain=input connection-state=invalid
###Разрешает DNS запросы только для своих... (СПАСАЕТ ОТ КАЗАХОВ И КИТАЙЦЕВ)
add chain=input dst-port=53 protocol=udp src-address-list=SYS
add chain=input dst-port=53 protocol=udp src-address-list=Office
add chain=input dst-port=53 protocol=udp src-address-list=accept_list
add action=drop chain=input dst-port=53 protocol=udp
###Разрешаем доступ доверенным сетям
add chain=forward src-address-list=Office
add chain=forward dst-address-list=Office
add chain=forward src-address-list=accept_list
add chain=forward dst-address-list=accept_list
add action=drop chain=forward

/ip firewall nat
###Натим все кроме белых IP
add action=masquerade chain=srcnat comment=abonents_nat_ACCEPT src-address=!(Белые IP/префикс сети)/24 src-address-list=accept_list
###Натим офис (отдельный адрес лист)
add action=masquerade chain=srcnat comment=Office src-address=!(Белые IP/префикс сети)/24 src-address-list=Office


CCR1036-12G-4S + RB2011UiAS
olegs
Сообщения: 26
Зарегистрирован: 12 дек 2014, 15:08
Откуда: Коломна

Felix писал(а):
olegs писал(а):все очень легко ))) , сами же просили по взрослому :du_ma_et:
есть ли вариант PPtP или PPPoE ?? использовать??


Сорри! Я Вас очень прошу про PPtP/PPPoE объяснить... Я пользую РРРоЕ
для NASов. Для меня это может оказаться именно тем, чего хотелось малой кровью..
(не надо будет отдельный радиомост кидать..) :-):


если радиус то в биллинге выдавать по одному, если в тике то Х.Х.Х.Х/32

к вышестоящему сообщению добавить профиль PPP если авторизация разрешена исключительно при положительном балансе...

/ppp profile add address-list=accept_list dns-server=8.8.8.8,8.8.4.4 local-address=10.20.30.1 name=profile1 use-compression=no use-encryption=no use-ipv6=no use-mpls=no use-vj-compression=no
Последний раз редактировалось olegs 15 дек 2014, 17:26, всего редактировалось 2 раза.


CCR1036-12G-4S + RB2011UiAS
olegs
Сообщения: 26
Зарегистрирован: 12 дек 2014, 15:08
Откуда: Коломна

nurikzaripov писал(а):Да уж, если интересно то расскажу как у меня настроено

Интересно так что расскажи )))


CCR1036-12G-4S + RB2011UiAS
Felix
Сообщения: 9
Зарегистрирован: 26 ноя 2014, 21:03

olegs писал(а):
Felix писал(а):
olegs писал(а):все очень легко ))) , сами же просили по взрослому :du_ma_et:
есть ли вариант PPtP или PPPoE ?? использовать??


Сорри! Я Вас очень прошу про PPtP/PPPoE объяснить... Я пользую РРРоЕ
для NASов. Для меня это может оказаться именно тем, чего хотелось малой кровью..
(не надо будет отдельный радиомост кидать..) :-):


если радиус то в биллинге выдавать по одному, если в тике то Х.Х.Х.Х/32

к вышестоящему сообщению добавить профиль PPP если авторизация разрешена исключительно при положительном балансе...

/ppp profile add address-list=accept_list dns-server=8.8.8.8,8.8.4.4 local-address=10.20.30.1 name=profile1 use-compression=no use-encryption=no use-ipv6=no use-mpls=no use-vj-compression=no


Вот! Наверное вот это главное (для меня):
/ppp profile add local-address="Белый-IP"
И это будет работать? Без всякого шаманства?


olegs
Сообщения: 26
Зарегистрирован: 12 дек 2014, 15:08
Откуда: Коломна

если радиус то в биллинге выдавать по одному, если в тике то Х.Х.Х.Х/32

к вышестоящему сообщению добавить профиль PPP если авторизация разрешена исключительно при положительном балансе...

/ppp profile add address-list=accept_list dns-server=8.8.8.8,8.8.4.4 local-address=10.20.30.1 name=profile1 use-compression=no use-encryption=no use-ipv6=no use-mpls=no use-vj-compression=no


Вот! Наверное вот это главное (для меня):
/ppp profile add local-address="Белый-IP"
И это будет работать? Без всякого шаманства?[/quote]

да если назначешь тупо ip клиенту и вот так еще
/ip firewall nat add action=masquerade chain=srcnat src-address=!(твой блок ip "95.185.145.0/24")

короче натить все кроме белых !!! либо на всяких спидтестах он свой адрес не увидит


CCR1036-12G-4S + RB2011UiAS
nurikzaripov
Сообщения: 35
Зарегистрирован: 18 ноя 2013, 11:29
Контактная информация:

У меня стоит UTM5 в настройках тарифа прописан пул который выдается. Со стороны микротика PPPOE профиле
name="default" local-address=172.30.0.3 use-mpls=no use-compression=no
use-vj-compression=no use-encryption=no only-one=default
change-tcp-mss=default queue-type=default-small address-list=""
dns-server=здесь мои днс

Remote address не указан его передает биллинг при подключении абонента.


olegs
Сообщения: 26
Зарегистрирован: 12 дек 2014, 15:08
Откуда: Коломна

nurikzaripov писал(а):У меня стоит UTM5 в настройках тарифа прописан пул который выдается. Со стороны микротика PPPOE профиле
name="default" local-address=172.30.0.3 use-mpls=no use-compression=no
use-vj-compression=no use-encryption=no only-one=default
change-tcp-mss=default queue-type=default-small address-list=""
dns-server=здесь мои днс

Remote address не указан его передает биллинг при подключении абонента.


Все верно. А что с роутингом и фаерволом?


CCR1036-12G-4S + RB2011UiAS
nurikzaripov
Сообщения: 35
Зарегистрирован: 18 ноя 2013, 11:29
Контактная информация:

Поднят ospf и bgp. Между микротиками маршруты по ospf гуляют


Felix
Сообщения: 9
Зарегистрирован: 26 ноя 2014, 21:03

nurikzaripov писал(а):Поднят ospf и bgp. Между микротиками маршруты по ospf гуляют


В личку зайди, плз.. Пообщаться есть нужда. Спасибо.


olegs
Сообщения: 26
Зарегистрирован: 12 дек 2014, 15:08
Откуда: Коломна

nurikzaripov писал(а):Поднят ospf и bgp. Между микротиками маршруты по ospf гуляют

Тоесть у тебя серой адресации для пользователей нет!! ???


CCR1036-12G-4S + RB2011UiAS
Ответить