Russian Users MikroTik | Форум пользователей MikroTik

Есть микротик rb941-2nd нужно на одном из портов настроить ограничение работы по времени в определенные дни недели а если нет то просто в определенное время , интернет вкл/выкл. Либо сделать ограничение для пользователей в связке IP+MAC фильтрация просто по мак не проходит в виду того что клиент его меняет рандомно.

Добрый день.
А кто мешает отключить по маку сам порт? Ведь каждый порт имеет свой мак.

По Ip и так ограничиваю но скачки со стороны клиента MAC адреса заставляет DHCP серверу выдавать привязанные но в данный момент не активный адреса действующих клиентов. Думаю каждый задумаеться столкнувшийся с хитросделанным клиентом который меняет овер 300 раз свой мак в течении 12 часов.

Задача поставлена слишком размыто:
то клиента отсекать или порт, а клиент не против что Вы будете резко так его "отключать"

Пока такие мысли (с учётом того что Вы уже ответили) у меня пришли:
(можно их ещё перемешать с другими нюансами)

1) выделить порт-клиента в отдельный бридж и с отдельной сетью (скажем сеть 192.168.13.0/24)

2) на бридж отдельный поставить адресацию (192.168.13.1/24) и сделать отдельный DHCP сервер
так мы получим что клиент и его 200 устройств или 200 маков в любом случаи у нас
будут грубо говоря в нашем знакомом "карантине". То есть в отдельной сети у нас будет только он (клиент)
(то есть все его маки, адреса у нас будут под 192.168.13.ххх).
2.1) если хотите, можете защиту и/или привязку IP+MAK сделать, но всё по ситуации.

3) ну а дальше просто, НЕ надо запрещать отдачу DHCP на порту, и сам порт отключать НЕ НАДО,
а так как у нас целая сеть отдана этому клиенту, то просто запрещаете целую отдельную сеть
в файрволе в нужное время. ТО бишь с 01-00 до 06-00 доступ в Интернет запретить для всей сети 192.168.13.0/24,
при этом сеть, получение адресации будет работать, что со стороны клиента будет свидетельствовать
что сам роутер и сеть в рамках физики = исправны.

Пока такие грубые идеи....

P.S.
Так как клиент по вышеописанным лекалам у нас в виде отдельной сети идёт,
можно также сеть 192.168.13.0/24 ограничить по скорости, что вообще будет
даже приятно Вам, отключать не придётся, и клиент на связи и качает
в меру разрешённого.

На микротике можно много изврата наделать

Не праздный вопрос. А вообще клиентов в сети много?

Отвечаю клиентов 10-15 и на одном из портов физических сидит мерцающий клиент , чтоб его не отключали он и меняет постоянно мак, поэтому отключаб по IP но при его действиях он сбивает и реальных но не активных в данный момент юзеров.
Нужно отключать порт физически для отключения клиента но хочу настроить это же програмно.

mol писал(а): ↑26 апр 2020, 20:27 Отвечаю клиентов 10-15 и на одном из портов физических сидит мерцающий клиент , чтоб его не отключали он и меняет постоянно мак, поэтому отключаб по IP но при его действиях он сбивает и реальных но не активных в данный момент юзеров.
Нужно отключать порт физически для отключения клиента но хочу настроить это же програмно.

Всё равно мало что понимаю (и Ваш подход и логику).

Если надо отключать "мерцающего" клиента, его надо всё равно физически найти,
отделить от всех, воткнуть в нужный (отдельный) порт и подписать что этот порт - для этого клиента.
И уже с этим портом и работать тогда.

И разве нельзя с этим клиентом как-то договориться?
Мне было бы (будь я клиентом, каждый день генерировать МАКи), а со стороны админа
его искать, щупать и блокировать.

Делайте как провайдеры, клиент - это отдельный вилан и отдельный порт (в Вашем случаи),
и давать такому клиенту отдельную сеть проще и правильнее, да и порт его
давно надо отделить, даже возможно явно виланом, чтобы он не подставлял других клиентов.

Борьба с ветреными мельницами...

Vlad-2 писал(а): ↑26 апр 2020, 20:37

mol писал(а): ↑26 апр 2020, 20:27 Отвечаю клиентов 10-15 и на одном из портов физических сидит мерцающий клиент , чтоб его не отключали он и меняет постоянно мак, поэтому отключаб по IP но при его действиях он сбивает и реальных но не активных в данный момент юзеров.
Нужно отключать порт физически для отключения клиента но хочу настроить это же програмно.

Всё равно мало что понимаю (и Ваш подход и логику).

Если надо отключать "мерцающего" клиента, его надо всё равно физически найти,
отделить от всех, воткнуть в нужный (отдельный) порт и подписать что этот порт - для этого клиента.
И уже с этим портом и работать тогда.

И разве нельзя с этим клиентом как-то договориться?
Мне было бы (будь я клиентом, каждый день генерировать МАКи), а со стороны админа
его искать, щупать и блокировать.

Делайте как провайдеры, клиент - это отдельный вилан и отдельный порт (в Вашем случаи),
и давать такому клиенту отдельную сеть проще и правильнее, да и порт его
давно надо отделить, даже возможно явно виланом, чтобы он не подставлял других клиентов.

Борьба с ветреными мельницами...

Найти найден , клиент школьник , Вы пробовали договориться со школьниками которые считают себя кулхацкерами, он сидит на одном порту физическом , отключение или выдергивание провода помогает , я хочу автоматизировать этот процесс но роутер не совсем то что есть в описании для микотика многих функций не хватает для настройки.

mol писал(а): ↑26 апр 2020, 20:59 Найти найден , клиент школьник , Вы пробовали договориться со школьниками которые считают себя кулхацкерами, он сидит на одном порту физическом , отключение или выдергивание провода помогает , я хочу автоматизировать этот процесс но роутер не совсем то что есть в описании для микотика многих функций не хватает для настройки.

Ну если заниматься провайдерством, то и техника должна быть соответствующая.
Например свитч умный (управляемый) с функцией защиты, изоляции и прочее.
Сделать привязку что на порту может у этого "школьника" быть 1 или 2-3 мака и всё.
Ну и ряд других есть моментов того или иного ограничения.

ИЛИ поменять ему тип работы на порту, пусть порт для него это рррое подключение,
одна сессия, один поток данных.
Вариантов много, НО РБ941 - это именно точка доступа (как её называет разработчик)
и она не расчитана для много, опять же, для защиты порта, и ряд других действий,
которых Вам не хватает, нужен умный (профессионально-начальный) свитч.

В любом случаи, ряд советов Вам дано, в микротике есть шедулер, порт(ы) можно по
времени отключать/включать (скриптом), в файрволе любое правила можно уже в самом правиле
добавить временные диапазоны и правила уже сами (без шедулера) будут включаться
или выключаться.
И такова "хакера" я бы изолировал, как я выше писал, отдельной сетью, виланом и что-то
в этом роде.

Vlad-2 писал(а): ↑26 апр 2020, 21:21

mol писал(а): ↑26 апр 2020, 20:59 Найти найден , клиент школьник , Вы пробовали договориться со школьниками которые считают себя кулхацкерами, он сидит на одном порту физическом , отключение или выдергивание провода помогает , я хочу автоматизировать этот процесс но роутер не совсем то что есть в описании для микотика многих функций не хватает для настройки.

Ну если заниматься провайдерством, то и техника должна быть соответствующая.
Например свитч умный (управляемый) с функцией защиты, изоляции и прочее.
Сделать привязку что на порту может у этого "школьника" быть 1 или 2-3 мака и всё.
Ну и ряд других есть моментов того или иного ограничения.

ИЛИ поменять ему тип работы на порту, пусть порт для него это рррое подключение,
одна сессия, один поток данных.
Вариантов много, НО РБ941 - это именно точка доступа (как её называет разработчик)
и она не расчитана для много, опять же, для защиты порта, и ряд других действий,
которых Вам не хватает, нужен умный (профессионально-начальный) свитч.

В любом случаи, ряд советов Вам дано, в микротике есть шедулер, порт(ы) можно по
времени отключать/включать (скриптом), в файрволе любое правила можно уже в самом правиле
добавить временные диапазоны и правила уже сами (без шедулера) будут включаться
или выключаться.
И такова "хакера" я бы изолировал, как я выше писал, отдельной сетью, виланом и что-то
в этом роде.

Спасибо буду курить в сторону шелдура, виланом не могу не сториться подсеть в дешевом роутере на отдельном порту.