Russian Users MikroTik | Форум пользователей MikroTik

В наличии только 951 железки.
Изначально для покрытия зоны в офисах использовал несколько 951 железок и объединял их в Mesh(WDS).
В дальнейшем было необходимо соединить все офисы в сеть (так чтобы клиенты видели друг друга в сети(netbios)). Реализовал это с помощью PPTP+EoIP.
Все работает.
Столкнулся с проблемой DHCP выдачи адресов. Никак не могу отфильтровать их на mesh интерфейсе, просто нет данной функции. Находясь в одном офисе я могу получать подсеть других офисов. В Bridge интерфейсе есть фильтрация, где можно разрешить выдачу адресов только от совего dhcp сервера. Но изначально точки работают через Mesh. Можно конечно перевести все офисы с mesh на bridge, но это проблематично.
Кто знает как решить данную проблему?

А фильтры разве не выцепляют пакеты ДХЦП на выходе или входе?

В Bridge есть отдельная вкладка Filters где можно указать. В Mesh такой вкладки нет.
Нашел тему на офф сайте (.com) там никто не ответил. Больше инфы не нашел.

Я про фильтр в фаерволе

Тут я и прошу помощи. По мануалу в бридже это делается вот так:

Код: Выделить всё

/interface bridge filter add action=drop chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip disabled=no comment="Drop all DHCP requests over EoIP bridge"

Пытался в фаерволе прописать подобное, но не фильтрует.

/ip firewall filter

vqd писал(а):/ip firewall filter

Прописывал по разному. Что не так делаю? Где найти mac protocol?

Код: Выделить всё

chain=forward action=drop protocol=udp in-interface=eoip-tunnel dst-port=67

вы же WDS применяете.
А вообще для понимания сути воспользуйтесь торчем на интерфейсах и тогда вы увидите чего у вас куда бежит и откуда

vqd писал(а):вы же WDS применяете.
А вообще для понимания сути воспользуйтесь торчем на интерфейсах и тогда вы увидите чего у вас куда бежит и откуда

При чем тут WDS? У меня все крутится в Mesh и порты и wds. tunnel там просто как вариант написано.

В мануале описано, что фильтровать можно только если совместить с bridge, но это опять же нужно ковырять через bridge, а такой возможности нет. Вы уверены что через фаервол это можно сделать? Использовал торч, толку то? Я написал вам, что уже ходил в фаервол, зачем переписывать то, что уже и так написано? Я попросил помоч с правилом, значит где то что то упускаю. Я не за 5 минут все это делал и не побежал сразу на форум просить сделать за меня, сижу уже не первый день. По существу ничего.

Код: Выделить всё

Q. How to control or filter mesh traffic?

A. At the moment the only way is to use bridge firewall. Create a bridge interface, put the WDS interfaces and/or Ethernets in that bridge, and put that bridge in a mesh interface. Then configure bridge firewall rules.

To match MAC protocol used for mesh traffic encapsulation, use MAC protocol number 0x9AAA, and to mathc mesh routing tafffic, use MAC protocol number 0x9AAB. Example:

interface bridge settings set use-ip-firewall=yes
interface bridge filter add chain=input action=log mac-protocol=0x9aaa
interface bridge filter add chain=input action=log mac-protocol=0x9aab
Note that it is perfectly possible to create mixed mesh/bridge setups that will not work (e.g. Problematic example 1 with bridge instead of switch). The recommended fail-safe way that will always work is to create a separate bridge interface per each physical interfaces; then add all these bridge interfaces as mesh ports.

У меня нет под руков ВДС что бы опробовать фильтрацию трафика, в теории работать должно на практике надо смотреть торч.

Если вы вычитали где то что фильтрами фаервола это сделать не возможно, а в бридж добавить нет возможности так чего вы от нас хотите?

Russian Users MikroTik | Форум пользователей MikroTik

Mikrotik 951 mesh filters

Mikrotik 951 mesh filters

Re: Mikrotik 951 mesh filters

Re: Mikrotik 951 mesh filters

Re: Mikrotik 951 mesh filters

Re: Mikrotik 951 mesh filters

Re: Mikrotik 951 mesh filters

Re: Mikrotik 951 mesh filters

Re: Mikrotik 951 mesh filters

Re: Mikrotik 951 mesh filters

Re: Mikrotik 951 mesh filters