Russian Users MikroTik | Форум пользователей MikroTik

Доброго времени суток!

Купил RB2011UiAS-RM под задачу раздачи интернета в сети конкретным пользователям с авторизацией по IP+MAC с ограничением скорости.

Прошу помощи в настройке. Это первый настраиваемый мною микротик.

Сеть со статической адресацией.
Интернет от провайдера приходит напрямую, имеется реальный (белый) IP - настроен на eth1
В локальной сети адресация статическая. IP сети настроен на маршрутизаторе.
Все пользователи сети получают интернет через прокси, но для определенных машин требуется полный доступ в интернет. Для них и требуется настроить авторизацию.

Ну либо ДХЦП сервер поднимаете с привязкой ИП к МАК
Либо АРП таблицу настраиваете и выставляете read only на интерфейсе который в сеть смотрит

Для ограничения скорости используете /queue simple

Документация - wiki.mikrotik.com

vqd писал(а):Либо АРП таблицу настраиваете и выставляете read only на интерфейсе который в сеть смотрит

Сразу прошу понять и простить за возможную тупизну вопросов:
В таблице АРП у меня постоянно меняются адреса в том числе и мой с которого я подключен. Подскажите, пожалуйста, поподробней как его настроить.

Read only не нашел, нашел reply only в разделе ARP, это оно? Нужно выставить на eth5, который у меня смотрит в локальную сеть?

Настроил как на картинке, нужно чтобы доступ имели 2 пк, с 106 и 115 IP
https://pp.vk.me/c628222/v628222146/208 ... nANwOI.jpg
Настроено верно?

Если 106 и 105 IP никогда не поменяются, то скорее всего верно.

IP адреса клиентов в локальной сети меняются так, как настроен DHCP сервер.

Привязывайте IP адрес к определенному MAC в DHCP Leases, а потом закрепляете в ARP table связку MAC и IP адрес второй раз.

Теперь, если клиент с MAC адресом, который прописан в таблице ARP получит IP другой, не тот который соответствует ему в ARP таблице, то доступа не будет.

Ну или наоборот, доступ будет только для тех, у которых связка MAC и IP будет записана в ARP таблице.

Простой пример. Вы руками настроили IP адреса всем компьютерам. И настроили ограничения им на микротике, всем разные, кому-то можно все, кому-то очень мало. Обязательно найдется умник, который поменяет сам руками IP адрес у себя на компе, в надежде, что все у него получится. Но вы-то в ARP таблице, заблаговременно, предусмотрели ПРАВИЛЬНУЮ связку IP и MAC, и поэтому, как ни меняй IP адрес - ничего не получится. Тут можно много говорить о сетевой безопасности, о правах администратора у обычных пользователей, но суть не в этом, а в том, что микротик имеет отличный арсенал средств в ответ на такие проблемы.



PS. Совет. Не пользуйтесь для настройки микротика веб-интерфейсом. Используйте WinBox.

спасибо! сейчас пускает в интернет двух клиентов 115 и 106, других не пускает. На скрине был 106 без указания мака, пока не прописал мак - в инет его не пускало.

Извините, но я не понял: если у меня указана авторизация клиента по связке IP+MAC и если юзер поменяет IP, тогда правило не сработает и его не пустит? DHCP сервера у меня нет.

ну если в АРП таблице нет связки мак + ип то его никуда не пустит

Подскажите, пожалуйста, более подробно про "/queue simple"
Это какая то команда?

вот вам пример на ограничение в 2Мб/с

/queue simple
add max-limit=2M/2M target=192.168.1.222/32

Спасибо! А вводить команду в New Terminal?