Добрейшего дня.
Дома стоит RouterBOARD 2011UAS-2HnD-IN версия OS последняя. Всем доволен -работает как часы.
Домашние подключаются по WIFI. Через пароль.
Возникло три вопроса.
Первый -как назначить определенному MAC адресу определенный IP.
Второй -как дать определенным MAC адресам доступ в INET (к ребенку приходят друзья-он им дает пароль и все ломятся в инет со своих планшетников)
Третий - в таблице ARP list ,постоянно моячат 2-3 адреса которые приходят из локальной сети провайдера -как их грохнуть на постоянной основе?
Большая просьба если не трудно -все манипуляции с использованием WINBOX.
MAC адрес +IP =INET
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
gagarin74 писал(а):Возникло три вопроса.
Первый -как назначить определенному MAC адресу определенный IP.
Второй -как дать определенным MAC адресам доступ в INET (к ребенку приходят друзья-он им дает пароль и все ломятся в инет со своих планшетников)
Третий - в таблице ARP list ,постоянно моячат 2-3 адреса которые приходят из локальной сети провайдера -как их грохнуть на постоянной основе?
Большая просьба если не трудно -все манипуляции с использованием WINBOX.
1. в IP - ARP создаёте статическую связку IP + MAC
2. в IP - FIREWALL - FILTER RULES создаёте правило доступа по IP адресу (так как у вас выше заданы статические связки, то адрес с чужим MAC не сможет получить доступ), а в конце запретить всё что не разрешено выше.
3. они вам мешают? может быть они нужны вам, а вы об этом не знаете? =)
тут описано сопоставление командной строки: http://slagovskiy.blogspot.ru/2009/06/mikrotik_23.html
там же почитаете о том как ограничивать доступ.
-
gagarin74
- Сообщения: 16
- Зарегистрирован: 07 янв 2013, 10:48
извиняюсь что туплю. по пункту 1
получается что бы добавить нового клиента, мне необходимо у него спросить MAC адрес? это крайне не удобно.
Может есть какая либо волшебная кнопочка типо : в очереди ждет не подтвержденный клиент-внести его в список ?
я понимаю что конкретной кнопки нет
Просто в ASUSe есть фишка где можно посмотреть приконектенных юзеров по вафли и одним движением их зарегистрировать (тобишь привязать IP к MAC и дать разрешение на инет -до этих действий они просто не активны).
В нашем же варианте если я не пропишу заранее MAC адрес я даже не буду иметь возможность посмотреть на попытки конекта (телефон пытается получить IP но безуспешно )
получается что бы добавить нового клиента, мне необходимо у него спросить MAC адрес? это крайне не удобно.
Может есть какая либо волшебная кнопочка типо : в очереди ждет не подтвержденный клиент-внести его в список ?
я понимаю что конкретной кнопки нет
Просто в ASUSe есть фишка где можно посмотреть приконектенных юзеров по вафли и одним движением их зарегистрировать (тобишь привязать IP к MAC и дать разрешение на инет -до этих действий они просто не активны).
В нашем же варианте если я не пропишу заранее MAC адрес я даже не буду иметь возможность посмотреть на попытки конекта (телефон пытается получить IP но безуспешно )
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
почему же? они будут подключаться к вашей вафле.
суть в том, что:
1. вы в фаерволе можете дать разрешение на работу в интернете определенным адресам по списку.
2. чтобы клиент не имел возможности просто сменить адрес из этого списка и получить доступ, делается связка ip + mac + dhcp.
суть в том, что:
1. вы в фаерволе можете дать разрешение на работу в интернете определенным адресам по списку.
2. чтобы клиент не имел возможности просто сменить адрес из этого списка и получить доступ, делается связка ip + mac + dhcp.
-
gagarin74
- Сообщения: 16
- Зарегистрирован: 07 янв 2013, 10:48
так вот я и говорю, что сделал как Вы рекомендуете.
В результате телефон не может подключиться к вафли пока не пропишу его мак адрес в IP - ARP.
или где мне можно посмотреть кто цепляться к вафли ?
В результате телефон не может подключиться к вафли пока не пропишу его мак адрес в IP - ARP.
или где мне можно посмотреть кто цепляться к вафли ?
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
странно, связка в IP - ARP, распространяется только на то, что если там есть запись типа АА:АА:АА:АА:АА:АА = 192.168.0.1, то компьютер с ВВ:ВВ:ВВ:ВВ:ВВ:ВВ не сможет работать с адресом 192.168.0.1
посмотреть список подключенных станций можно в WIRELESS - REGISTRATION
отройте New terminal и сделайте там:
/ip arp export
/interface wireless export
/ip dhcp-server export
и сюда все результаты под тегом
посмотреть список подключенных станций можно в WIRELESS - REGISTRATION
отройте New terminal и сделайте там:
/ip arp export
/interface wireless export
/ip dhcp-server export
и сюда все результаты под тегом
Код: Выделить всё
Code-
gagarin74
- Сообщения: 16
- Зарегистрирован: 07 янв 2013, 10:48
simpl3x писал(а):странно, связка в IP - ARP, распространяется только на то, что если там есть запись типа АА:АА:АА:АА:АА:АА = 192.168.0.1, то компьютер с ВВ:ВВ:ВВ:ВВ:ВВ:ВВ не сможет работать с адресом 192.168.0.1
посмотреть список подключенных станций можно в WIRELESS - REGISTRATION
отройте New terminal и сделайте там:
/ip arp export
/interface wireless export
/ip dhcp-server export
и сюда все результаты под тегомКод: Выделить всё
Code
Код: Выделить всё
/ip arp export # jan/14/2013 16:47:25 by RouterOS 6.0rc6 # software id = YZ-6UC1 # /ip arp add address=192.168.88.100 interface=bridge-local mac-address=\ 78:E4:00:E3:6F:EC add address=192.168.88.10 interface=bridge-local mac-address=\ 00:16:EB:1D:A1:F0 add address=192.168.88.211 interface=bridge-local mac-address=\ 20:54:76:4E:10:65 add address=192.168.88.101 interface=bridge-local mac-address=\ 00:1E:65:D9:3F:54 add address=192.168.88.212 interface=bridge-local mac-address=\ 74:45:8A:4A:76:35Код: Выделить всё
/interface wireless set 0 band=2ghz-b/g/n channel-width=20/40mhz-ht-above disabled=no distance=\ indoors ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk group-ciphers=\ tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm \ wpa-pre-shared-key=wwwwwwww wpa2-pre-shared-key=wwwwwwww /interface wireless access-list add interface=wlan1 mac-address=78:E4:00:E3:6F:EC add interface=wlan1 mac-address=1C:C1:DE:C6:74:31 add interface=wlan1 mac-address=00:16:EB:1D:A1:F0 add interface=wlan1 mac-address=68:9C:5E:B1:C5:D0 add interface=wlan1 mac-address=88:9F:FA:50:1A:94 add interface=wlan1 mac-address=00:1E:65:D9:3F:54 add interface=wlan1 mac-address=00:16:EB:1D:A1:F0 add interface=wlan1 mac-address=1C:C1:DE:C6:74:31 add interface=wlan1 mac-address=00:23:15:42:BB:14 add interface=wlan1 mac-address=74:45:8A:4A:76:35 add interface=wlan1 mac-address=00:1E:65:D9:3F:54 add interface=wlan1 mac-address=00:23:15:42:BB:14 add interface=wlan1 mac-address=00:23:15:42:BB:14Код: Выделить всё
/ip dhcp-server add add-arp=yes always-broadcast=yes disabled=no interface=bridge-local \ lease-time=1w name=default /ip dhcp-server lease add address=192.168.88.100 address-list=noutbuk client-id=1:78:e4:0:e3:6f:ec \ mac-address=78:E4:00:E3:6F:EC server=default add address=192.168.88.104 address-list=noutbuk client-id=1:88:9f:fa:50:1a:94 \ mac-address=88:9F:FA:50:1A:94 server=default add address=192.168.88.101 address-list=noutbuk client-id=1:0:1e:65:d9:3f:54 \ mac-address=00:1E:65:D9:3F:54 server=default add address=192.168.88.6 address-list=printer client-id=printer mac-address=\ 1C:C1:DE:C6:74:31 rate-limit=100 server=default add address=192.168.88.10 address-list=web client-id=1:0:16:eb:1d:a1:f0 \ mac-address=00:16:EB:1D:A1:F0 server=default add address=192.168.88.15 address-list=media client-id=1:f0:7d:68:71:1c:77 \ mac-address=F0:7D:68:71:1C:77 server=default add address=192.168.88.11 address-list=web client-id=1:70:5a:b6:40:f5:4e \ mac-address=70:5A:B6:40:F5:4E server=default add address=192.168.88.212 address-list=telefon client-id=1:74:45:8a:4a:76:35 \ mac-address=74:45:8A:4A:76:35 server=default add address=192.168.88.105 address-list=noutbuk client-id=1:c4:46:19:1c:c8:fa \ mac-address=C4:46:19:1C:C8:FA server=default add address=192.168.88.12 address-list=printer client-id=1:1c:c1:de:7d:9d:58 \ mac-address=1C:C1:DE:7D:9D:58 server=default add address=192.168.88.214 address-list=telefon always-broadcast=yes \ client-id=1:68:96:7b:ad:80:23 mac-address=68:96:7B:AD:80:23 server=\ default add address=192.168.88.14 address-list=media client-id=1:0:8:9b:c9:4b:95 \ mac-address=00:08:9B:C9:4B:95 server=default add address=192.168.88.103 address-list=noutbuk client-id=1:0:23:15:42:bb:14 \ mac-address=00:23:15:42:BB:14 server=default add address=192.168.88.216 address-list=telefon client-id=1:14:10:9f:e4:6b:89 \ mac-address=14:10:9F:E4:6B:89 server=default use-src-mac=yes add address=192.168.88.213 address-list=telefon client-id=\ "\F2\E5\EB\E5\F4\EE\ED MAKC" mac-address=68:9C:5E:B1:C5:D0 server=default \ use-src-mac=yes /ip dhcp-server network add address=192.168.88.0/24 comment="default configuration" dns-server=\ 192.168.88.1 gateway=192.168.88.1 netmask=24 ntp-server=94.242.49.220 add address=192.168.88.1/32 gateway=192.168.88.1 netmask=32-
podarok66
- Модератор
- Сообщения: 4260
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Интересный способ заинтересовать гуру 
Каша та еще. Вы сами-то пробовали в этом сходу сориентироваться?
Это как-то так должно было бы выглядеть, 10 минут дел. А человеку полегче будет в ЧУЖОЙ код вникать.
Каша та еще. Вы сами-то пробовали в этом сходу сориентироваться?Код: Выделить всё
/ip arp export
/ip arp add address=192.168.88.100 interface=bridge-local mac-address=78:E4:00:E3:6F:EC
add address=192.168.88.10 interface=bridge-local mac-address=00:16:EB:1D:A1:F0
add address=192.168.88.211 interface=bridge-local mac-address=20:54:76:4E:10:65
add address=192.168.88.101 interface=bridge-local mac-address=00:1E:65:D9:3F:54
add address=192.168.88.212 interface=bridge-local mac-address=\ 74:45:8A:4A:76:35
/interface wireless export
/interface wireless set 0 band=2ghz-b/g/n channel-width=20/40mhz-ht-above disabled=no
distance=indoors ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk
group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm
wpa-pre-shared-key=wwwwwwww wpa2-pre-shared-key=wwwwwwww
/interface wireless access-list
add interface=wlan1 mac-address=78:E4:00:E3:6F:EC
add interface=wlan1 mac-address=1C:C1:DE:C6:74:31
add interface=wlan1 mac-address=00:16:EB:1D:A1:F0
add interface=wlan1 mac-address=68:9C:5E:B1:C5:D0
add interface=wlan1 mac-address=88:9F:FA:50:1A:94
add interface=wlan1 mac-address=00:1E:65:D9:3F:54
add interface=wlan1 mac-address=00:16:EB:1D:A1:F0
add interface=wlan1 mac-address=1C:C1:DE:C6:74:31
add interface=wlan1 mac-address=00:23:15:42:BB:14
add interface=wlan1 mac-address=74:45:8A:4A:76:35
add interface=wlan1 mac-address=00:1E:65:D9:3F:54
add interface=wlan1 mac-address=00:23:15:42:BB:14
add interface=wlan1 mac-address=00:23:15:42:BB:14
/ip dhcp-server export
/ip dhcp-server add add-arp=yes always-broadcast=yes disabled=no interface=bridge-local
lease-time=1w name=default
/ip dhcp-server lease
add address=192.168.88.100 address-list=noutbuk client-id=1:78:e4:0:e3:6f:ec
mac-address=78:E4:00:E3:6F:EC server=default
add address=192.168.88.104 address-list=noutbuk client-id=1:88:9f:fa:50:1a:94
mac-address=88:9F:FA:50:1A:94 server=default
add address=192.168.88.101 address-list=noutbuk client-id=1:0:1e:65:d9:3f:54
mac-address=00:1E:65:D9:3F:54 server=default
add address=192.168.88.6 address-list=printer client-id=printer
mac-address=1C:C1:DE:C6:74:31 rate-limit=100 server=default
add address=192.168.88.10 address-list=web client-id=1:0:16:eb:1d:a1:f0
mac-address=00:16:EB:1D:A1:F0 server=default
add address=192.168.88.15 address-list=media client-id=1:f0:7d:68:71:1c:77
mac-address=F0:7D:68:71:1C:77 server=default
add address=192.168.88.11 address-list=web client-id=1:70:5a:b6:40:f5:4e
mac-address=70:5A:B6:40:F5:4E server=default
add address=192.168.88.212 address-list=telefon client-id=1:74:45:8a:4a:76:35
mac-address=74:45:8A:4A:76:35 server=default
add address=192.168.88.105 address-list=noutbuk client-id=1:c4:46:19:1c:c8:fa
mac-address=C4:46:19:1C:C8:FA server=default
add address=192.168.88.12 address-list=printer client-id=1:1c:c1:de:7d:9d:58
mac-address=1C:C1:DE:7D:9D:58 server=default
add address=192.168.88.214 address-list=telefon always-broadcast=yes client-id=1:68:96:7b:ad:80:23
mac-address=68:96:7B:AD:80:23 server=default
add address=192.168.88.14 address-list=media client-id=1:0:8:9b:c9:4b:95
mac-address=00:08:9B:C9:4B:95 server=default
add address=192.168.88.103 address-list=noutbuk client-id=1:0:23:15:42:bb:14
mac-address=00:23:15:42:BB:14 server=default
add address=192.168.88.216 address-list=telefon client-id=1:14:10:9f:e4:6b:89
mac-address=14:10:9F:E4:6B:89 server=default use-src-mac=yes
add address=192.168.88.213 address-list=telefon client-id="\F2\E5\EB\E5\F4\EE\ED MAKC"
mac-address=68:9C:5E:B1:C5:D0 server=default use-src-mac=yes
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=192.168.88.1
gateway=192.168.88.1 netmask=24 ntp-server=94.242.49.220
add address=192.168.88.1/32 gateway=192.168.88.1 netmask=32Это как-то так должно было бы выглядеть, 10 минут дел. А человеку полегче будет в ЧУЖОЙ код вникать.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
podarok66, =) спасибо
топик стартеру, вы что то сильно удались тыкать все кнопки по очереди:
1. то что вы пихаете в interface wireless access-list свои беспроводные устройства не имеет смысла, потому что этот инструмент полезен когда вы хотите разнести клиентов по разным wifi интерфейсам например, или хотите уточнить какието параметры его соединения. у вас же просто перечисление каких то там устройств на одном интерфейсе.
2. если хотите ограничить вообще доступ каким либо устройствам к wifi:
а. в WIRELESS - CONECT LIST перечисляете маки устройств
б. в свойствах WIFI интерфейса убираете галку Default Authentificate
я думаю это правильный путь. ибо зачем друзьям вашего сына доступ к вафле без интернета? )
3. но если уж хотите извращений то:
в IP - ARP:
вы добавили адреса, теперь, если кто то "левый", подключится к вашей wifi и сделает статический адрес, например, 192.168.88.100 он будет сильно огорчен.
далее, вы можете сделать в консоле, например так:
то у вас в IP - FIREWALL - ACCESS LIST будет список адресов "svoi"
далее, делаете так:
получите в IP - FIREWALL - FILTER RULES получите два правила. первое в списке будет разрешать форвард клиентам из списка, последнее будет дропать всех остальных.
как то так, что не ясно, спрашивайте.
топик стартеру, вы что то сильно удались тыкать все кнопки по очереди:
1. то что вы пихаете в interface wireless access-list свои беспроводные устройства не имеет смысла, потому что этот инструмент полезен когда вы хотите разнести клиентов по разным wifi интерфейсам например, или хотите уточнить какието параметры его соединения. у вас же просто перечисление каких то там устройств на одном интерфейсе.
2. если хотите ограничить вообще доступ каким либо устройствам к wifi:
а. в WIRELESS - CONECT LIST перечисляете маки устройств
б. в свойствах WIFI интерфейса убираете галку Default Authentificate
я думаю это правильный путь. ибо зачем друзьям вашего сына доступ к вафле без интернета? )
3. но если уж хотите извращений то:
в IP - ARP:
Код: Выделить всё
/ip arp add address=192.168.88.100 interface=bridge-local mac-address=78:E4:00:E3:6F:EC
add address=192.168.88.10 interface=bridge-local mac-address=00:16:EB:1D:A1:F0
add address=192.168.88.211 interface=bridge-local mac-address=20:54:76:4E:10:65
add address=192.168.88.101 interface=bridge-local mac-address=00:1E:65:D9:3F:54
add address=192.168.88.212 interface=bridge-local mac-address=74:45:8A:4A:76:35вы добавили адреса, теперь, если кто то "левый", подключится к вашей wifi и сделает статический адрес, например, 192.168.88.100 он будет сильно огорчен.
далее, вы можете сделать в консоле, например так:
Код: Выделить всё
ip firewall address-list add list=svoi address=192.168.88.100
ip firewall address-list add list=svoi address=192.168.88.10
ip firewall address-list add list=svoi address=192.168.88.211
ip firewall address-list add list=svoi address=192.168.88.101
ip firewall address-list add list=svoi address=192.168.88.212то у вас в IP - FIREWALL - ACCESS LIST будет список адресов "svoi"
далее, делаете так:
Код: Выделить всё
ip firewall filter add place-before=0 chain=forward action=accept src-address-list=svoi
ip firewall filter add chain=forward action=dropполучите в IP - FIREWALL - FILTER RULES получите два правила. первое в списке будет разрешать форвард клиентам из списка, последнее будет дропать всех остальных.
как то так, что не ясно, спрашивайте.
-
gagarin74
- Сообщения: 16
- Зарегистрирован: 07 янв 2013, 10:48
СПАСИБО, МИЛ ЧЕЛОВЕК.
Поклон Вам земной и быстрого провайдера в подъезд.
Поклон Вам земной и быстрого провайдера в подъезд.