MAC адрес +IP =INET

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
gagarin74
Сообщения: 16
Зарегистрирован: 07 янв 2013, 10:48

Добрейшего дня.
Дома стоит RouterBOARD 2011UAS-2HnD-IN версия OS последняя. Всем доволен -работает как часы.
Домашние подключаются по WIFI. Через пароль.
Возникло три вопроса.
Первый -как назначить определенному MAC адресу определенный IP.
Второй -как дать определенным MAC адресам доступ в INET (к ребенку приходят друзья-он им дает пароль и все ломятся в инет со своих планшетников)
Третий - в таблице ARP list ,постоянно моячат 2-3 адреса которые приходят из локальной сети провайдера -как их грохнуть на постоянной основе?
Большая просьба если не трудно -все манипуляции с использованием WINBOX.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

gagarin74 писал(а):Возникло три вопроса.
Первый -как назначить определенному MAC адресу определенный IP.
Второй -как дать определенным MAC адресам доступ в INET (к ребенку приходят друзья-он им дает пароль и все ломятся в инет со своих планшетников)
Третий - в таблице ARP list ,постоянно моячат 2-3 адреса которые приходят из локальной сети провайдера -как их грохнуть на постоянной основе?
Большая просьба если не трудно -все манипуляции с использованием WINBOX.

1. в IP - ARP создаёте статическую связку IP + MAC
2. в IP - FIREWALL - FILTER RULES создаёте правило доступа по IP адресу (так как у вас выше заданы статические связки, то адрес с чужим MAC не сможет получить доступ), а в конце запретить всё что не разрешено выше.
3. они вам мешают? может быть они нужны вам, а вы об этом не знаете? =)

тут описано сопоставление командной строки: http://slagovskiy.blogspot.ru/2009/06/mikrotik_23.html
там же почитаете о том как ограничивать доступ.


gagarin74
Сообщения: 16
Зарегистрирован: 07 янв 2013, 10:48

извиняюсь что туплю. по пункту 1
получается что бы добавить нового клиента, мне необходимо у него спросить MAC адрес? это крайне не удобно.
Может есть какая либо волшебная кнопочка типо : в очереди ждет не подтвержденный клиент-внести его в список ?
я понимаю что конкретной кнопки нет :)
Просто в ASUSe есть фишка где можно посмотреть приконектенных юзеров по вафли и одним движением их зарегистрировать (тобишь привязать IP к MAC и дать разрешение на инет -до этих действий они просто не активны).
В нашем же варианте если я не пропишу заранее MAC адрес я даже не буду иметь возможность посмотреть на попытки конекта (телефон пытается получить IP но безуспешно )


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

почему же? они будут подключаться к вашей вафле.
суть в том, что:
1. вы в фаерволе можете дать разрешение на работу в интернете определенным адресам по списку.
2. чтобы клиент не имел возможности просто сменить адрес из этого списка и получить доступ, делается связка ip + mac + dhcp.


gagarin74
Сообщения: 16
Зарегистрирован: 07 янв 2013, 10:48

так вот я и говорю, что сделал как Вы рекомендуете.
В результате телефон не может подключиться к вафли пока не пропишу его мак адрес в IP - ARP.
или где мне можно посмотреть кто цепляться к вафли ?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

странно, связка в IP - ARP, распространяется только на то, что если там есть запись типа АА:АА:АА:АА:АА:АА = 192.168.0.1, то компьютер с ВВ:ВВ:ВВ:ВВ:ВВ:ВВ не сможет работать с адресом 192.168.0.1

посмотреть список подключенных станций можно в WIRELESS - REGISTRATION

отройте New terminal и сделайте там:
/ip arp export
/interface wireless export
/ip dhcp-server export

и сюда все результаты под тегом


gagarin74
Сообщения: 16
Зарегистрирован: 07 янв 2013, 10:48

simpl3x писал(а):странно, связка в IP - ARP, распространяется только на то, что если там есть запись типа АА:АА:АА:АА:АА:АА = 192.168.0.1, то компьютер с ВВ:ВВ:ВВ:ВВ:ВВ:ВВ не сможет работать с адресом 192.168.0.1

посмотреть список подключенных станций можно в WIRELESS - REGISTRATION

отройте New terminal и сделайте там:
/ip arp export
/interface wireless export
/ip dhcp-server export

и сюда все результаты под тегом

Код: Выделить всё

/ip arp export # jan/14/2013 16:47:25 by RouterOS 6.0rc6 # software id = YZ-6UC1 # /ip arp add address=192.168.88.100 interface=bridge-local mac-address=\ 78:E4:00:E3:6F:EC add address=192.168.88.10 interface=bridge-local mac-address=\ 00:16:EB:1D:A1:F0 add address=192.168.88.211 interface=bridge-local mac-address=\ 20:54:76:4E:10:65 add address=192.168.88.101 interface=bridge-local mac-address=\ 00:1E:65:D9:3F:54 add address=192.168.88.212 interface=bridge-local mac-address=\ 74:45:8A:4A:76:35


Код: Выделить всё

 /interface wireless set 0 band=2ghz-b/g/n channel-width=20/40mhz-ht-above disabled=no distance=\ indoors ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk group-ciphers=\ tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm \ wpa-pre-shared-key=wwwwwwww wpa2-pre-shared-key=wwwwwwww /interface wireless access-list add interface=wlan1 mac-address=78:E4:00:E3:6F:EC add interface=wlan1 mac-address=1C:C1:DE:C6:74:31 add interface=wlan1 mac-address=00:16:EB:1D:A1:F0 add interface=wlan1 mac-address=68:9C:5E:B1:C5:D0 add interface=wlan1 mac-address=88:9F:FA:50:1A:94 add interface=wlan1 mac-address=00:1E:65:D9:3F:54 add interface=wlan1 mac-address=00:16:EB:1D:A1:F0 add interface=wlan1 mac-address=1C:C1:DE:C6:74:31 add interface=wlan1 mac-address=00:23:15:42:BB:14 add interface=wlan1 mac-address=74:45:8A:4A:76:35 add interface=wlan1 mac-address=00:1E:65:D9:3F:54 add interface=wlan1 mac-address=00:23:15:42:BB:14 add interface=wlan1 mac-address=00:23:15:42:BB:14


Код: Выделить всё

 /ip dhcp-server add add-arp=yes always-broadcast=yes disabled=no interface=bridge-local \ lease-time=1w name=default /ip dhcp-server lease add address=192.168.88.100 address-list=noutbuk client-id=1:78:e4:0:e3:6f:ec \ mac-address=78:E4:00:E3:6F:EC server=default add address=192.168.88.104 address-list=noutbuk client-id=1:88:9f:fa:50:1a:94 \ mac-address=88:9F:FA:50:1A:94 server=default add address=192.168.88.101 address-list=noutbuk client-id=1:0:1e:65:d9:3f:54 \ mac-address=00:1E:65:D9:3F:54 server=default add address=192.168.88.6 address-list=printer client-id=printer mac-address=\ 1C:C1:DE:C6:74:31 rate-limit=100 server=default add address=192.168.88.10 address-list=web client-id=1:0:16:eb:1d:a1:f0 \ mac-address=00:16:EB:1D:A1:F0 server=default add address=192.168.88.15 address-list=media client-id=1:f0:7d:68:71:1c:77 \ mac-address=F0:7D:68:71:1C:77 server=default add address=192.168.88.11 address-list=web client-id=1:70:5a:b6:40:f5:4e \ mac-address=70:5A:B6:40:F5:4E server=default add address=192.168.88.212 address-list=telefon client-id=1:74:45:8a:4a:76:35 \ mac-address=74:45:8A:4A:76:35 server=default add address=192.168.88.105 address-list=noutbuk client-id=1:c4:46:19:1c:c8:fa \ mac-address=C4:46:19:1C:C8:FA server=default add address=192.168.88.12 address-list=printer client-id=1:1c:c1:de:7d:9d:58 \ mac-address=1C:C1:DE:7D:9D:58 server=default add address=192.168.88.214 address-list=telefon always-broadcast=yes \ client-id=1:68:96:7b:ad:80:23 mac-address=68:96:7B:AD:80:23 server=\ default add address=192.168.88.14 address-list=media client-id=1:0:8:9b:c9:4b:95 \ mac-address=00:08:9B:C9:4B:95 server=default add address=192.168.88.103 address-list=noutbuk client-id=1:0:23:15:42:bb:14 \ mac-address=00:23:15:42:BB:14 server=default add address=192.168.88.216 address-list=telefon client-id=1:14:10:9f:e4:6b:89 \ mac-address=14:10:9F:E4:6B:89 server=default use-src-mac=yes add address=192.168.88.213 address-list=telefon client-id=\ "\F2\E5\EB\E5\F4\EE\ED MAKC" mac-address=68:9C:5E:B1:C5:D0 server=default \ use-src-mac=yes /ip dhcp-server network add address=192.168.88.0/24 comment="default configuration" dns-server=\ 192.168.88.1 gateway=192.168.88.1 netmask=24 ntp-server=94.242.49.220 add address=192.168.88.1/32 gateway=192.168.88.1 netmask=32


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Интересный способ заинтересовать гуру :lol: Каша та еще. Вы сами-то пробовали в этом сходу сориентироваться?

Код: Выделить всё

/ip arp export  
/ip arp add address=192.168.88.100 interface=bridge-local mac-address=78:E4:00:E3:6F:EC
        add address=192.168.88.10 interface=bridge-local mac-address=00:16:EB:1D:A1:F0
        add address=192.168.88.211 interface=bridge-local mac-address=20:54:76:4E:10:65
        add address=192.168.88.101 interface=bridge-local mac-address=00:1E:65:D9:3F:54
        add address=192.168.88.212 interface=bridge-local mac-address=\ 74:45:8A:4A:76:35
       
       
/interface wireless export       
/interface wireless set 0 band=2ghz-b/g/n channel-width=20/40mhz-ht-above disabled=no
           distance=indoors ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk
           group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm
           wpa-pre-shared-key=wwwwwwww wpa2-pre-shared-key=wwwwwwww
/interface wireless access-list
        add interface=wlan1 mac-address=78:E4:00:E3:6F:EC
        add interface=wlan1 mac-address=1C:C1:DE:C6:74:31
        add interface=wlan1 mac-address=00:16:EB:1D:A1:F0
        add interface=wlan1 mac-address=68:9C:5E:B1:C5:D0
        add interface=wlan1 mac-address=88:9F:FA:50:1A:94
        add interface=wlan1 mac-address=00:1E:65:D9:3F:54
        add interface=wlan1 mac-address=00:16:EB:1D:A1:F0
        add interface=wlan1 mac-address=1C:C1:DE:C6:74:31
        add interface=wlan1 mac-address=00:23:15:42:BB:14
        add interface=wlan1 mac-address=74:45:8A:4A:76:35
        add interface=wlan1 mac-address=00:1E:65:D9:3F:54
        add interface=wlan1 mac-address=00:23:15:42:BB:14
        add interface=wlan1 mac-address=00:23:15:42:BB:14


/ip dhcp-server export
/ip dhcp-server add add-arp=yes always-broadcast=yes disabled=no interface=bridge-local
           lease-time=1w name=default
/ip dhcp-server lease
        add address=192.168.88.100 address-list=noutbuk client-id=1:78:e4:0:e3:6f:ec
           mac-address=78:E4:00:E3:6F:EC server=default
        add address=192.168.88.104 address-list=noutbuk client-id=1:88:9f:fa:50:1a:94
           mac-address=88:9F:FA:50:1A:94 server=default
        add address=192.168.88.101 address-list=noutbuk client-id=1:0:1e:65:d9:3f:54
           mac-address=00:1E:65:D9:3F:54 server=default
        add address=192.168.88.6 address-list=printer client-id=printer
           mac-address=1C:C1:DE:C6:74:31 rate-limit=100 server=default
        add address=192.168.88.10 address-list=web client-id=1:0:16:eb:1d:a1:f0
           mac-address=00:16:EB:1D:A1:F0 server=default
        add address=192.168.88.15 address-list=media client-id=1:f0:7d:68:71:1c:77
           mac-address=F0:7D:68:71:1C:77 server=default
        add address=192.168.88.11 address-list=web client-id=1:70:5a:b6:40:f5:4e
           mac-address=70:5A:B6:40:F5:4E server=default
        add address=192.168.88.212 address-list=telefon client-id=1:74:45:8a:4a:76:35
           mac-address=74:45:8A:4A:76:35 server=default
        add address=192.168.88.105 address-list=noutbuk client-id=1:c4:46:19:1c:c8:fa
           mac-address=C4:46:19:1C:C8:FA server=default
        add address=192.168.88.12 address-list=printer client-id=1:1c:c1:de:7d:9d:58
           mac-address=1C:C1:DE:7D:9D:58 server=default
        add address=192.168.88.214 address-list=telefon always-broadcast=yes client-id=1:68:96:7b:ad:80:23
           mac-address=68:96:7B:AD:80:23 server=default
        add address=192.168.88.14 address-list=media client-id=1:0:8:9b:c9:4b:95
           mac-address=00:08:9B:C9:4B:95 server=default
        add address=192.168.88.103 address-list=noutbuk client-id=1:0:23:15:42:bb:14
           mac-address=00:23:15:42:BB:14 server=default
        add address=192.168.88.216 address-list=telefon client-id=1:14:10:9f:e4:6b:89
           mac-address=14:10:9F:E4:6B:89 server=default use-src-mac=yes
        add address=192.168.88.213 address-list=telefon client-id="\F2\E5\EB\E5\F4\EE\ED MAKC"
           mac-address=68:9C:5E:B1:C5:D0 server=default use-src-mac=yes
/ip dhcp-server network
        add address=192.168.88.0/24 comment="default configuration" dns-server=192.168.88.1
           gateway=192.168.88.1 netmask=24 ntp-server=94.242.49.220
        add address=192.168.88.1/32 gateway=192.168.88.1 netmask=32


Это как-то так должно было бы выглядеть, 10 минут дел. А человеку полегче будет в ЧУЖОЙ код вникать.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

podarok66, =) спасибо

топик стартеру, вы что то сильно удались тыкать все кнопки по очереди:
1. то что вы пихаете в interface wireless access-list свои беспроводные устройства не имеет смысла, потому что этот инструмент полезен когда вы хотите разнести клиентов по разным wifi интерфейсам например, или хотите уточнить какието параметры его соединения. у вас же просто перечисление каких то там устройств на одном интерфейсе.
2. если хотите ограничить вообще доступ каким либо устройствам к wifi:
а. в WIRELESS - CONECT LIST перечисляете маки устройств
б. в свойствах WIFI интерфейса убираете галку Default Authentificate

я думаю это правильный путь. ибо зачем друзьям вашего сына доступ к вафле без интернета? )

3. но если уж хотите извращений то:
в IP - ARP:

Код: Выделить всё

/ip arp add address=192.168.88.100 interface=bridge-local mac-address=78:E4:00:E3:6F:EC 
        add address=192.168.88.10 interface=bridge-local mac-address=00:16:EB:1D:A1:F0
        add address=192.168.88.211 interface=bridge-local mac-address=20:54:76:4E:10:65
        add address=192.168.88.101 interface=bridge-local mac-address=00:1E:65:D9:3F:54
        add address=192.168.88.212 interface=bridge-local mac-address=74:45:8A:4A:76:35

вы добавили адреса, теперь, если кто то "левый", подключится к вашей wifi и сделает статический адрес, например, 192.168.88.100 он будет сильно огорчен.

далее, вы можете сделать в консоле, например так:

Код: Выделить всё

ip firewall address-list add list=svoi address=192.168.88.100
ip firewall address-list add list=svoi address=192.168.88.10
ip firewall address-list add list=svoi address=192.168.88.211
ip firewall address-list add list=svoi address=192.168.88.101
ip firewall address-list add list=svoi address=192.168.88.212

то у вас в IP - FIREWALL - ACCESS LIST будет список адресов "svoi"
далее, делаете так:

Код: Выделить всё

ip firewall filter add place-before=0 chain=forward action=accept src-address-list=svoi
ip firewall filter add chain=forward action=drop

получите в IP - FIREWALL - FILTER RULES получите два правила. первое в списке будет разрешать форвард клиентам из списка, последнее будет дропать всех остальных.

как то так, что не ясно, спрашивайте.


gagarin74
Сообщения: 16
Зарегистрирован: 07 янв 2013, 10:48

СПАСИБО, МИЛ ЧЕЛОВЕК.
Поклон Вам земной и быстрого провайдера в подъезд.


Ответить