Ограничение скорости только wifi клиентам

Обсуждение оборудования и его настройки
DmNuts
Сообщения: 121
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Re: Ограничение скорости только wifi клиентам

Сообщение DmNuts » 09 янв 2017, 16:45

Serafimko писал(а):в PPP Secret VPN Клиентув поле Routes пишу подсеть микротика 192.168.1.0/24 , ничего не изменяется
Как сделать на стороне микротика чтобы у L2TP\Ipsec Клиента была видна подсеть 192.168.1.0/24 и в интернет он выходил не через VPN.

Параметр Routes в PPP Secret нужен для другого - в нём указывается подсеть "за клиентом". При подключении клиента на Микротике-сервере автоматом создаётся маршрут в эту подсеть через PPP интерфейс.

Скопировал с боевого роутера настройки, касающиеся L2TP:

Код: Выделить всё

/interface l2tp-server server
set authentication=mschap2 default-profile=vpn enabled=yes ipsec-secret=\
    secret max-mru=1460 max-mtu=1460 use-ipsec=yes
/ppp profile
add bridge=bridge-local local-address=192.168.0.1 name=vpn remote-address=vpn-pool \
    use-encryption=yes
/ppp secret
add name=user password=pass profile=vpn
/interface bridge
add arp=proxy-arp auto-mac=no name=bridge-local
/interface bridge port
add bridge=bridge-local interface=ether2
/ip firewall filter
add chain=input comment="Allow L2TP/IPSec" connection-state=new in-interface=\
    pppoe-out1 protocol=udp dst-port=1701,500,4500

Подключаюсь, отключая параметр "Использовать основной шлюз в удаленной сети". Вижу удалённую подсеть прекрасно; имена хостов вижу, если указать адрес DNS сервера.
Последний раз редактировалось DmNuts 09 янв 2017, 16:56, всего редактировалось 1 раз.
Аватара пользователя
Vlad-2
Сообщения: 400
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Камчатка
Контактная информация:

Re: Ограничение скорости только wifi клиентам

Сообщение Vlad-2 » 09 янв 2017, 16:47

Serafimko писал(а):в PPP Secret VPN Клиентув поле Routes пишу подсеть микротика 192.168.1.0/24 , ничего не изменяется

Вот ссылка на Wiki: http://wiki.mikrotik.com/wiki/Manual:PPP_AAA
А ссылку даю чтобы Вы прочитали о формате записи в поле Routes в свойствах юзера, там не просто сеть надо указывать,
а существует правильный формат записи есть, попробуйте привести к норме и возможно всё и заработает.
На работе(ах): CCR1016-12G, RB2011UAS-2HnD-IN и hAP lite
Дома: CCR1016-12G
Для тестов: hAP lite и что-то ещё по мелочи
MTCNA
MTCRE
gmx
Сообщения: 2172
Зарегистрирован: 01 окт 2012, 14:48

Re: Ограничение скорости только wifi клиентам

Сообщение gmx » 09 янв 2017, 17:47

Я же вам все написал, что самое простое - команда route.
А чуть выше я написал, что есть специальная утилита CMAK.

Это то, что проверено в работе.
Serafimko
Сообщения: 20
Зарегистрирован: 09 янв 2017, 11:39

Re: Ограничение скорости только wifi клиентам

Сообщение Serafimko » 10 янв 2017, 07:25

DmNuts писал(а):
/interface l2tp-server server
set authentication=mschap2 default-profile=vpn enabled=yes ipsec-secret=\
secret max-mru=1460 max-mtu=1460 use-ipsec=yes
/ppp profile
add bridge=bridge-local local-address=192.168.0.1 name=vpn remote-address=vpn-pool \
use-encryption=yes

/ppp secret
add name=user password=pass profile=vpn
/interface bridge
add arp=proxy-arp auto-mac=no name=bridge-local
/interface bridge port
add bridge=bridge-local interface=ether2

/ip firewall filter
add chain=input comment="Allow L2TP/IPSec" connection-state=new in-interface=\
pppoe-out1 protocol=udp dst-port=1701,500,4500

Я правильно понял, что вы bridge создаете с L2TP и на bridge-local ставите proxy-arp?
у меня уже есть один bridge с wlan1 и ether2
ether2 -внутренняя сеть
wlan1- wifi
DmNuts
Сообщения: 121
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Re: Ограничение скорости только wifi клиентам

Сообщение DmNuts » 10 янв 2017, 07:53

От перестановки параметров результат не меняется ;)

Код: Выделить всё

/ppp profile
add name=vpn local-address=192.168.0.1 bridge=bridge-local remote-address=vpn-pool use-encryption=yes

Бридж уже есть, в нём также ether2 и wlan1.
Serafimko
Сообщения: 20
Зарегистрирован: 09 янв 2017, 11:39

Re: Ограничение скорости только wifi клиентам

Сообщение Serafimko » 10 янв 2017, 08:09

DmNuts писал(а):От перестановки параметров результат не меняется ;)

Код: Выделить всё

/ppp profile
add name=vpn local-address=192.168.0.1 bridge=bridge-local remote-address=vpn-pool use-encryption=yes

Бридж уже есть, в нём также ether2 и wlan1.

у меня стоит на бридже arp proxy-arp
как показать вам мои настройки бриджа как вы делаете?
DmNuts
Сообщения: 121
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Re: Ограничение скорости только wifi клиентам

Сообщение DmNuts » 10 янв 2017, 08:12

Serafimko писал(а):
DmNuts писал(а):От перестановки параметров результат не меняется ;)
как показать вам мои настройки бриджа как вы делаете?

/interface bridge export
А ещё лучше полный export.
Serafimko
Сообщения: 20
Зарегистрирован: 09 янв 2017, 11:39

Re: Ограничение скорости только wifi клиентам

Сообщение Serafimko » 10 янв 2017, 08:14

Код: Выделить всё

/interface bridge
add admin-mac=6C:3B:1B:0C:F6:C6 arp=proxy-arp auto-mac=no comment=defconf name=\
    bridge
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
/interface bridge settings
set use-ip-firewall=yes


/ppp profile
add change-tcp-mss=yes local-address=192.168.2.1 name=L2TP-server \
    remote-address=l2tp-pool use-compression=no use-encryption=yes use-mpls=yes

/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related disabled=yes
add action=accept chain=input in-interface=pppoe-out1 log=yes port=\
    1701,500,4500 protocol=udp
add action=accept chain=input in-interface=pppoe-out1 protocol=ipsec-esp
add action=drop chain=input protocol=icmp
add action=drop chain=input in-interface=pppoe-out1
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
    pppoe-out1
/ip firewall service-port
set ftp disabled=yes
set sip disabled=yes
set pptp disabled=yes


Несколько вопросов про CMAK :
1) будет ли он работать на клиенте с win10
2) в настройках нет l2tp\ipsec есть только l2tp

Так же нашел вот такой маршрут ADD 192.168.1.0 MASK 255.255.255.0 default METRIC default IF default
add -p чтобы было постоянно необходимо прописать?
что будет если у клиента такая же подсеть как у меня ?
gmx
Сообщения: 2172
Зарегистрирован: 01 окт 2012, 14:48

Re: Ограничение скорости только wifi клиентам

Сообщение gmx » 10 янв 2017, 10:48

1. Да, на win 10 не пробовал. Скорее всего не будет работать. В win 10 все по другому.
2. Выбирать l2tp.

Подсети дома придется менять, если они пересекаются с вашими. Тут без вариантов.


Есть вот такой вариант:
пишется bat файл, предварительно у клиента создается VPN подключение

rasdial.exe connection_name username password /domain:domainname
route ADD 192.168.100.0 MASK 255.255.255.0 192.168.100.1

Пользователь, который хочет подключиться к VPN запускает этот бат файл. Происходит подключение к VPN и добавляется новый маршрут.

Для отключения пишется другой бат файл:

rasdial.exe connection_name username /DISCONNECT
route DELETE 192.168.100.0 MASK 255.255.255.0 192.168.100.1

Клиентам объясняется, как этим нужно пользоваться.
Serafimko
Сообщения: 20
Зарегистрирован: 09 янв 2017, 11:39

Re: Ограничение скорости только wifi клиентам

Сообщение Serafimko » 10 янв 2017, 10:54

gmx писал(а):1. Да, на win 10 не пробовал. Скорее всего не будет работать. В win 10 все по другому.
2. Выбирать l2tp.

Подсети дома придется менять, если они пересекаются с вашими. Тут без вариантов.


Есть вот такой вариант:
пишется bat файл, предварительно у клиента создается VPN подключение

rasdial.exe connection_name username password /domain:domainname
route ADD 192.168.100.0 MASK 255.255.255.0 192.168.100.1

Пользователь, который хочет подключиться к VPN запускает этот бат файл. Происходит подключение к VPN и добавляется новый маршрут.

Для отключения пишется другой бат файл:

rasdial.exe connection_name username /DISCONNECT
route DELETE 192.168.100.0 MASK 255.255.255.0 192.168.100.1

Клиентам объясняется, как этим нужно пользоваться.


у меня к команде route ADD понадобилось еще прописать метрику ниже чем у 0.0.0.0

Вернуться в «MikroTik RouterBOARD»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя