Сообщений в теме: 28

[Ukrainec]

У зв"язку з потребою у великих швидВсе більше людей, стають володарями таких цікавих роутерів, як: mikrotik rb 750/750G. От і я став
А ось тепер з ходу сам не можу розібратися з його налаштуваннями під інтернет "Київстар"

Цікавить покроковий мануал з його налаштуваннями через WINBOX. Або посилання на дані налаштування.

[Tum@n]

Скріни робити довго.
Взагалі більшість мануалів по mikrotik орієнтована на роботу в консолі.

- встановлюємо саму нову версію ROS - 5.2
- піднімаємо DHCP на мережевій білайна
- створюємо l2tp client
- додаємо nat masquarade для l2tp інтерфейсу
- в налаштуваннях DNS примусово вказуємо використання внутрішніх DNS 10.10.13.2 і 10.10.13.18


Оновлення версіі процедура бажана, але не обо'язкова.
Працює і на 3,1.

[Ukrainec]

в моєму здається версія ROS - 4.1

А можливо викладеш правила для консолі з їх роз"ясненням? так буде постіше і їхати нікому ні докого не прийдеться?

Сообщение отредактировал Ukrainec: 07 травня 2011 - 22:50

[ThinkMaster]

Tum@n (07 травня 2011 - 22:33) писал:

Скріни робити довго.
Взагалі більшість мануалів по mikrotik орієнтована на роботу в консолі.

- встановлюємо саму нову версію ROS - 5.2
- піднімаємо DHCP на мережевій білайна
- створюємо l2tp client
- додаємо nat masquarade для l2tp інтерфейсу
- в налаштуваннях DNS примусово вказуємо використання внутрішніх DNS 10.10.13.2 і 10.10.13.18


Оновлення версіі процедура бажана, але не обо'язкова.
Працює і на 3,1.

Питання: ROS - 5.2 дозволяє піднімати l2tp сесію по імені (tp.kyivstar.ua), а не по IP ?

[ThinkMaster]

Ukrainec (07 травня 2011 - 22:09) писал:

У зв"язку з потребою у великих швидВсе більше людей, стають володарями таких цікавих роутерів, як: mikrotik rb 750/750G. От і я став
А ось тепер з ходу сам не можу розібратися з його налаштуваннями під інтернет "Київстар"

Цікавить покроковий мануал з його налаштуваннями через WINBOX. Або посилання на дані налаштування.

Тримай

Прикрепленные файлы

•  Инструкция-по-конфигурированию-Mikrotik-RouterOS-для-работы-в-сети-интернет-провайдера-Корбина-Телеком-Билайн-20.10.2010.pdf   155,41К   231 Количество загрузок:

[Tum@n]

ThinkMaster (08 травня 2011 - 09:35) писал:

Питання: ROS - 5.2 дозволяє піднімати l2tp сесію по імені (tp.kyivstar.ua), а не по IP ?

Ні.
Можна застосовуючи Netwatch пінгувати кожні 5 хвилин DNS сервер провайдера і при певному таймауті відповіді виконував скрипт, який би змінював ІР адресу серверу в підключенні та проводив реконект.

[Banzai]

насчет апдейта версии лучше поосторожнее ибо в продаже микротики бывают с ключами до версий 4,х ..
а разницы практически не наблюдатся..

[4iter]

підними DHCP і напиши мені IP.... зайду настрою

[Tum@n]

Banzai (08 травня 2011 - 12:38) писал:

насчет апдейта версии лучше поосторожнее ибо в продаже микротики бывают с ключами до версий 4,х ..
а разницы практически не наблюдатся..

Останні, які продавав мали на борту v4 з можливістю апдейту до 5.х.
Оновив до 5, тепер каже про можливість апдейту до 6.х

[Ukrainec]

Дякуючи Tum@nу даний роутер було налаштовано!

Пізніше для усіх бажачих зроблю мануал в скрінах налаштування під інтернет "Київстар".

P.S.
Можу лише сказати, що це "космічний зореліт", якщо порівннювати з усілякими ASUSAMи, ДЛ і ТП - лінками класу SOHO за близько-рівну ціну ! Там стільки усіляких налаштувань що голова йде обертом, сьогодні 5 Год присвятив усіляким їх конфігураціям. Сподобалася функція відновлення налаштувань, за допомогою якої можливо в лічені секунди їх відновити. Звісно залишилася маса запитань на які я б хотів отримати ще відповіді
Наприклад такі: де створюється правило - "блокувати усі мак адреси окрім заданих", потрібна фільтрація по макадресі?

У порівнянні з попереднім роутером TP-R460 (13$), який видавав максимум 31-34 Мбіти, то з роутером mikrotik rb 750 (55$) я впереше побачив швидкість в торенті близьку до 100 Мбіт (11-12 Мб).

Сообщение отредактировал Ukrainec: 14 травня 2011 - 21:42

[Ukrainec]

ThinkMaster (08 травня 2011 - 09:35) писал:

Питання: ROS - 5.2 дозволяє піднімати l2tp сесію по імені (tp.kyivstar.ua), а не по IP ?

ні не дозволяє.

[mix_forever]

Двно користуюсь простим компом в якості роутера. Нещодавно переліз з ПфСенс на МікроТІк. Багато цікавого і нового, но шейпер то шось особливе З 5 хвилин настроїв і він тепер динамічно розподіляє канал в 30 мегабіт між 20-ма користувачами (хотя, нафіга, то хз, бо враховуючи наявність ретрекерів, то з шейпера толку мало... і так ніхто не загружає канал більш наж на 20-30%)

[Ukrainec]

Наразі добігає кінця 3 доба тестуванн роутера в режимі 24/7. Використовується в якості розпвсюджувача 30 Мбіт на 9 користувачів. Шейпера взагалі не налаштовував, при цьому народ одночасно качає торенти, дивляться фільми в онлайні, грають ігри в онлайні (при цьому пінг, що з одним підєднаним кабелем, що з паралельною закачкою торентів одночасно на двох машинах практично не змінний - перевірено!) серфить в інтернеті, без будь-якого дискомфорту для кожного!

Роутер просто чудово розподіляє трафік, але при цьому є кілька але...

[ThinkMaster]

mix_forever (19 травня 2011 - 20:40) писал:

За 5 хвилин настроїв і він тепер динамічно розподіляє канал в 30 мегабіт між 20-ма користувачами

Можна глянути на кусок конфігу, що робить це?

[Ukrainec]

Поговоримо?

[Tum@n]

Скоро прибуває партія RB751U-2HnD
5 LAN/WAN 100 мегабітних портів + одноватний Wi-Fi N з можливістю підключення додаткової антени.
Роутер має 400MHz процесор та 32 мегабайти оперативної пам'яті.
Ціна ~$78

Також анонсовано RB751G-2HnD, від попередника його відрізняє гігабітність і подвоєна кількість ОЗУ.

15-16 березня у Варшаві пройде масштабний MUM (MikroTik User Meeting)

Актуальною версією RouterOS на сьогодні є 5.12
Додано функцію QuickSet, яка дозволяє швидко налаштувати точку доступу для роботи в різних режимах.

[Ukrainec]

Хороше джерело інформації по базових налаштуваннях RouterOS під основні домашні потреби і не тільки: http://aitec.md/support.php?id=4

[4iter]

Tum@n (08 травня 2011 - 11:42) писал:

ThinkMaster (08 травня 2011 - 09:35) писал:

Питання: ROS - 5.2 дозволяє піднімати l2tp сесію по імені (tp.kyivstar.ua), а не по IP ?

Ні.
Можна застосовуючи Netwatch пінгувати кожні 5 хвилин DNS сервер провайдера і при певному таймауті відповіді виконував скрипт, який би змінював ІР адресу серверу в підключенні та проводив реконект.

в мене для цього є скрипт, запускається раз на добу

:local ipnew [:resolve tp.kyivstar.ua]
:local ipold [ /interface l2tp-client  get kyivstar_l2tp connect-to ]
:log info ("Old VPN Server is $ipold, new VPN Server is $ipnew ")
:if ($ipnew != $ipold) do	{
:log warning ("Changing VPN Server to $ipnew and reconnecting!!")			
/interface l2tp-client set kyivstar_l2tp connect-to=$ipnew
}

[Ukrainec]

А ось питання: як надати доступ до інтернету певним МАС адресам, не створюючи купу правил у фаєрволі? Як це згрупувати саме по мас, не використовуючи засоби дшсп.

[Tum@n]

Ukrainec (06 лютого 2012 - 12:43) писал:

А ось питання: як надати доступ до інтернету певним МАС адресам, не створюючи купу правил у фаєрволі? Як це згрупувати саме по мас, не використовуючи засоби дшсп.

В IP->ARP вносиму усі пари IP+MAC, які будуть мати доступ.
На інтерфейсі виставляємо ARP: reply-only

[Ukrainec]

Tum@n (06 лютого 2012 - 14:06) писал:

Ukrainec (06 лютого 2012 - 12:43) писал:

А ось питання: як надати доступ до інтернету певним МАС адресам, не створюючи купу правил у фаєрволі? Як це згрупувати саме по мас, не використовуючи засоби дшсп.

В IP->ARP вносиму усі пари IP+MAC, які будуть мати доступ.
На інтерфейсі виставляємо ARP: reply-only

Забув додати: доступ ЛИШЕ певним МАС адресам.
Бо якщо небажаний юзвер прописує ручками ІР то уся концепція з використанням "ARP: reply-only" не забезпечує перебоїв з постачанням йому інтернет трафіку.

По ІР зрозуміло і працює за допомогою ДШСП, а от як по МАС це зробити.

[Tum@n]

Все я правильно написав.
Якщо у користувача пара ІР+МАС не співбадає введеній в статичній таблиці - доступу він не отримає.
Співпадання одного з пераметрів недостатньо.

[4iter]

Tum@n (06 лютого 2012 - 15:23) писал:

Все я правильно написав.
Якщо у користувача пара ІР+МАС не співбадає введеній в статичній таблиці - доступу він не отримає.
Співпадання одного з пераметрів недостатньо.

наскільки я розумію алгоритм наступний
1) виставляєш параметри АРП, так як туман написав
2) створюєш список аіпішників, яким дозволено доступ, всім іншим доступ закриваєш (одне правило в фаєрволі)
3) айпішники прив"язуєш до маків в статичній таблиці

все, юзер отримає доступ, тільки

Цитата

Якщо у користувача пара ІР+МАС співбадає

і якщо він буде в аксес лісті. У всіх інших випадках доступу нема

[Tum@n]

4iter (06 лютого 2012 - 16:08) писал:

2) створюєш список аіпішників, яким дозволено доступ, всім іншим доступ закриваєш (одне правило в фаєрволі)

Можна не робити.
Якщо користувач не пройшов ARP до фаєрвола він просто не дійде.

Якщо ж такого методу авторизації мало, бо як відомо МАС змінити не набагато важче ніж ІР, тоді треба піднімать на Мікротіку PPPoE, або L2TP сервер і авторизовувати користувачів через логін і пароль.
Правда ресурсів RB750 на великі швидкості в тунелях не вистачить.

[Ukrainec]

Tum@n (06 лютого 2012 - 16:12) писал:

4iter (06 лютого 2012 - 16:08) писал:

2) створюєш список аіпішників, яким дозволено доступ, всім іншим доступ закриваєш (одне правило в фаєрволі)

Можна не робити.
Якщо користувач не пройшов ARP до фаєрвола він просто не дійде.

Якщо ж такого методу авторизації мало, бо як відомо МАС змінити не набагато важче ніж ІР, тоді треба піднімать на Мікротіку PPPoE, або L2TP сервер і авторизовувати користувачів через логін і пароль.
Правда ресурсів RB750 на великі швидкості в тунелях не вистачить.

Та все зрозуміло (про АРП). Ніби таке вже кілька раз пробував прив"язати через статични арп, але сьогодні ще раз все перевірю.

Зараз вже юзаю RB450G ,то думаю, що його ресурсів на це повинно вистачити.
В приорітеті PPPoE використати, але його налаштування з боку кінцевого користувача може викликати у нього деякий дискомфорт, та нагальної потреби поки що в цьому немає.

А до речі в мене роутерер RB450G прийшов з 5.6 версією ОС, а на оф.сайті лише 5.12 остання!?

Сообщение отредактировал Ukrainec: 06 лютого 2012 - 17:14

[Tum@n]

Ukrainec (06 лютого 2012 - 17:09) писал:

А до речі в мене роутерер RB450G прийшов з 5.6 версією ОС, а на оф.сайті лише 5.12 остання!?

5.6 старіша за 5.12

5.12 (2012-Jan-19 14:31)
5.6 (2011-Aug-02 14:45)

http://www.mikrotik....oad/CHANGELOG_5

[4iter]

Tum@n (06 лютого 2012 - 16:12) писал:

4iter (06 лютого 2012 - 16:08) писал:

2) створюєш список аіпішників, яким дозволено доступ, всім іншим доступ закриваєш (одне правило в фаєрволі)

Можна не робити.
Якщо користувач не пройшов ARP до фаєрвола він просто не дійде.

Якщо ж такого методу авторизації мало, бо як відомо МАС змінити не набагато важче ніж ІР, тоді треба піднімать на Мікротіку PPPoE, або L2TP сервер і авторизовувати користувачів через логін і пароль.
Правда ресурсів RB750 на великі швидкості в тунелях не вистачить.

якщо користувач пропише собі руцями такий айпішник, як в таблиці арп до його маку - доступ він отримає, правильно? для того і правила з фаєрволом. Чи я десь помиляюся?

[Tum@n]

Якщо на інтерфейсі arp reply-only і статичний arp запис певного користувача просто відключити то доступ він не отримає.
Фаєрвол працює тільки для тих, кого пропустив arp.

[Ukrainec]

Спробував!
Бляха-муха, а ключик розвязки був так близько в налаштуваннях з"єдняння, а саме змінити відношення до arp: з enabled на reply-only, я так і знав що обмежувати юзверів можна і без фаєрвола!

Tum@n дякую за підказку!

Прикрепленные изображения

• 

Сообщение отредактировал Ukrainec: 06 лютого 2012 - 22:50