Авторизация по IP+MAC ограничение скорости для клиентов

Обсуждение ПО и его настройки
Varrax
Сообщения: 22
Зарегистрирован: 19 ноя 2015, 13:30

Доброго времени суток!

Купил RB2011UiAS-RM под задачу раздачи интернета в сети конкретным пользователям с авторизацией по IP+MAC с ограничением скорости.

Прошу помощи в настройке. Это первый настраиваемый мною микротик.

Сеть со статической адресацией.
Интернет от провайдера приходит напрямую, имеется реальный (белый) IP - настроен на eth1
В локальной сети адресация статическая. IP сети настроен на маршрутизаторе.
Все пользователи сети получают интернет через прокси, но для определенных машин требуется полный доступ в интернет. Для них и требуется настроить авторизацию.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну либо ДХЦП сервер поднимаете с привязкой ИП к МАК
Либо АРП таблицу настраиваете и выставляете read only на интерфейсе который в сеть смотрит

Для ограничения скорости используете /queue simple

Документация - wiki.mikrotik.com


Есть интересная задача и бюджет? http://mikrotik.site
Varrax
Сообщения: 22
Зарегистрирован: 19 ноя 2015, 13:30

vqd писал(а):Либо АРП таблицу настраиваете и выставляете read only на интерфейсе который в сеть смотрит


Сразу прошу понять и простить за возможную тупизну вопросов:
В таблице АРП у меня постоянно меняются адреса в том числе и мой с которого я подключен. Подскажите, пожалуйста, поподробней как его настроить.

Read only не нашел, нашел reply only в разделе ARP, это оно? Нужно выставить на eth5, который у меня смотрит в локальную сеть?


Varrax
Сообщения: 22
Зарегистрирован: 19 ноя 2015, 13:30

Настроил как на картинке, нужно чтобы доступ имели 2 пк, с 106 и 115 IP
https://pp.vk.me/c628222/v628222146/208 ... nANwOI.jpg
Настроено верно?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Если 106 и 105 IP никогда не поменяются, то скорее всего верно.

IP адреса клиентов в локальной сети меняются так, как настроен DHCP сервер.

Привязывайте IP адрес к определенному MAC в DHCP Leases, а потом закрепляете в ARP table связку MAC и IP адрес второй раз. :-):

Теперь, если клиент с MAC адресом, который прописан в таблице ARP получит IP другой, не тот который соответствует ему в ARP таблице, то доступа не будет.

Ну или наоборот, доступ будет только для тех, у которых связка MAC и IP будет записана в ARP таблице.

Простой пример. Вы руками настроили IP адреса всем компьютерам. И настроили ограничения им на микротике, всем разные, кому-то можно все, кому-то очень мало. Обязательно найдется умник, который поменяет сам руками IP адрес у себя на компе, в надежде, что все у него получится. Но вы-то в ARP таблице, заблаговременно, предусмотрели ПРАВИЛЬНУЮ связку IP и MAC, и поэтому, как ни меняй IP адрес - ничего не получится. Тут можно много говорить о сетевой безопасности, о правах администратора у обычных пользователей, но суть не в этом, а в том, что микротик имеет отличный арсенал средств в ответ на такие проблемы.



PS. Совет. Не пользуйтесь для настройки микротика веб-интерфейсом. Используйте WinBox.


Varrax
Сообщения: 22
Зарегистрирован: 19 ноя 2015, 13:30

спасибо! сейчас пускает в интернет двух клиентов 115 и 106, других не пускает. На скрине был 106 без указания мака, пока не прописал мак - в инет его не пускало.

Извините, но я не понял: если у меня указана авторизация клиента по связке IP+MAC и если юзер поменяет IP, тогда правило не сработает и его не пустит? DHCP сервера у меня нет.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну если в АРП таблице нет связки мак + ип то его никуда не пустит


Есть интересная задача и бюджет? http://mikrotik.site
Varrax
Сообщения: 22
Зарегистрирован: 19 ноя 2015, 13:30

Подскажите, пожалуйста, более подробно про "/queue simple"
Это какая то команда?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

вот вам пример на ограничение в 2Мб/с

/queue simple
add max-limit=2M/2M target=192.168.1.222/32


Есть интересная задача и бюджет? http://mikrotik.site
Varrax
Сообщения: 22
Зарегистрирован: 19 ноя 2015, 13:30

Спасибо! А вводить команду в New Terminal?


Ответить