 |
Вітаю Вас, Гість · RSS |
 |
|
Шифрування в Mikrotik
|
| Ковальчук_Олександр |
Дата: Нд, 15.05.2011, 20:28 | Повідомлення № 1 |
|
Ветеран спілкування
Повідомлень: 3705
| В даній темі пропонується поговорити про можливі варіанти організації шифрування в Mikrotik 4.x В чому суть моєї проблеми? Маємо 40 клієнтів, які підключені до 3х різних базових станцій на основі Mikrotik 411AH з встановленою Mikrotik Router OS 4.14. В перспективі розширення до 70 клієнтів. Шифрування відключено, тобто будь-який користувач може підключитись до станції і використовувати інтернет без обмеження швидкості. Але окрім того і існуючі клієнти змінюють ІР-адреси і отримують безлім по швикості, тим самим забираючи трафік на себе. Постала необхідність включити шифрування щоб, по-перше, ніхто лівий не міг підключитись і отримувати інтернет, а по-друге, не балувались існуючі клієнти. Кожному клієнту виділено 2 ІР-адреси: для точки доступу та локальної мережі.
Потрібно зробити щось типу прив’язки мак-адрес - ІР-адрес, щоб при зміні ІР-адреси на модемі і (або) на мережеві платі інтернет пропадав. Ну і щоб ніхто лівий не міг підключитись.
Хто підкаже як зробити такі налаштування або дасть посилання на мануал, буду дуже вдячний.
Як я розумію, шифрування включається тут (див. малюнок), але як його правильно налаштувати і які потрібні налаштування з боку клієнта, не ясно.
|
|
| | |
| НІКОЛЯ |
Дата: Ср, 01.06.2011, 21:50 | Повідомлення № 31 |
|
Знавець вірусів
Повідомлень: 2878
| Quote (volodschool2) Тут десь Ніколя розхвалював наноси і писав, що 5210g "курить в сторонці", то хочу заперечити, я купився на це повідомлення і одному клієнту придбали NanoStation2. Тепер маю мороку через нестабільність роботи цього чуда техніки,
А докладніше можна ! В чому проявляється нестабільність?
Ну і в тему хто робив спроби або хоча б планує використати нейромодулювання для мережі, мо в кого будуть ідеї радо поспілкуюсь на цю тему.
|
|
| | |
| volodschool2 |
Дата: Чт, 02.06.2011, 18:11 | Повідомлення № 32 |
|
Досвідчений учасник
Повідомлень: 1527
| Під нестабільністю мається на увазі тупість роботи інтернету. Виявилось, що пінги між точками в основному проходять за 1-5 мс, але періодично збільшуються до 1000 а то й взагалі видає таймаут. Прямої видимості немає, заважають дерева. Але приблизно в таких умовах працюють два тп-лінки і ніяких проблем, як казали в рекламі - "взула і забула". Звичайно, буду з цим боротись, піднімемо наноса вище на пару метрів, спробую перенести ближче РОЕ-блока живлення, можливо через велику (25 м) довжину кабеля зменшується напруга живлення ТД. Додано (02.06.2011, 18:11)
---------------------------------------------
Quote (Ковальчук_Олександр) прив’язка МАК+ІР через таблицю ARP. Але не можу зрозуміти, з якого дива воно не працює на жодному нашому мікротіку
Сьогодні запустив у роботу новенького MikroTik RB750, прив’язка МАС+ІР працює і на апаратному мікротіку, Ковальчук_Олександр, шукайте причину в настройках своїх мікротіків.
|
|
| | |
| Ковальчук_Олександр |
Дата: Чт, 02.06.2011, 18:58 | Повідомлення № 33 |
|
Ветеран спілкування
Повідомлень: 3705
| Можете детально описати налаштування? По ідеї, якщо включити у властивостях безпровідної карточки чи Ethernet порта значення ARP: reply-only, то інтернет в клієнтів має пропасти? Чи для цього потрібно заповнити (IP - ARP) таблицю? Я зробив висновок що не працює, по тому, що навіть якщо я вписую мак-адресу і ір клієнта, при зміні ір на клієнтському компі інтернет не пропадає.
|
|
| | |
| volodschool2 |
Дата: Чт, 02.06.2011, 19:56 | Повідомлення № 34 |
|
Досвідчений учасник
Повідомлень: 1527
| В ARP List інтерфейсу, по якому роздаєте інтернет зробіть Make Static на кожній парі IP+MAC, потім у властивостях даного інтерфейсу поставте ARP: reply-only . В моємі пості №30 цієї теми на скріншоті видно, що в першому полі буква D не з’являється в записах пар IP+MAC клієнтів, всі інші комбінації мікротік відкидає, відповідно в них немає інтернету.
Не знаю, по якому принципу Ви настроїли роздачу інтернету, але в мене створений в файрволі список клієнтів з ІР, яким я хочу давати інтернет
В NAT вказано, що роздавати інтернет тільки клієнтам з списку
Відредаговано: volodschool2 - Чт, 02.06.2011, 20:02 |
|
| | |
| Ковальчук_Олександр |
Дата: Чт, 02.06.2011, 20:02 | Повідомлення № 35 |
|
Ветеран спілкування
Повідомлень: 3705
| Quote (volodschool2) Не знаю, по якому принципу Ви настроїли роздачу інтернету, але в мене створений в файрволі список клієнтів з ІР, яким я хочу давати інтернет
Чи потрібно прописувати якісь правила у Filter Rules?
|
|
| | |
| volodschool2 |
Дата: Чт, 02.06.2011, 20:08 | Повідомлення № 36 |
|
Досвідчений учасник
Повідомлень: 1527
| Що значить "прописувати якісь правила"? Невже в Filter Rules у Вас немає прописано ніяких правил? Як мінімум одне має бути - давати клієнтам інтернет. Всі інші - при потребі. Чи маєте на увазі правила, що стосуються прив’язки МАС+ІР? Тоді ні, достатньо зробити те, про що я написав раніше.
Відредаговано: volodschool2 - Чт, 02.06.2011, 20:11 |
|
| | |
| Ковальчук_Олександр |
Дата: Чт, 02.06.2011, 21:44 | Повідомлення № 37 |
|
Ветеран спілкування
Повідомлень: 3705
| Quote (volodschool2) Невже в Filter Rules у Вас немає прописано ніяких правил?
Якщо зайти в роутер через веб-інтерфейс і поставити галочки біля firewall та nat, то правила прописуються автоматично для вибраного інтерфейсу. Але суть в тому, що в мене не працює ні чого. Тобто, якщо зробити так, як ви вказали на малюнку
то інтернет буде для всіх ір-адрес, навіть тих, які не в списку.
Спрацьовує фаєрвол тільки у випадку, якщо створити правило, яке дає вихід в інтернет певним ір, а потім забороняє всій підмережі.
Тобто
Forward: accept (для певних ір)
Forward: drop (для 192.168.1.0/24)
Згідно відеоуроку спочатку доступ отримують певні ір, а потім для всіх решти він буде заблокованим.
Але в мене файєрвол поступає очевидно інакше: спочатку дає доступ певним ір, а потім всі забороняє, що говорить про те, що урокам в інтернеті не завжди варто вірити.
Якби така ситуація споглядалась на одному мікротіку, а так на всіх...
Quote (volodschool2) що стосуються прив’язки МАС+ІР? Тоді ні, достатньо зробити те, про що я написав раніше.
Я робив точно так, але безрезультатно.
Таким чином, все, що я міг добитись, це авторизації по мак, а питання заборони зміни ір до цих пір найактуальніше.
|
|
| | |
| Ковальчук_Олександр |
Дата: Сб, 11.06.2011, 19:20 | Повідомлення № 38 |
|
Ветеран спілкування
Повідомлень: 3705
| Незовсім по темі шифрування, але по темі Мікротіка.
Останнім часом постійні розриви PPPoE-клієнта з dsl-модемом. Що ми тільки не робили, розриви продовжуються, інколи раз в пів години, інколи кожну хвилину. Не можу зрозуміти в чому собака зарита.
Раніше таких проблем не спостерігалось. Не можу зрозуміти, чи то укртелеком нас ріже, чи dsl-модем глючить. Така ситуація спостерігається вже 2 добу. Після ре-конекта ір-адрес інтернету змінюється. Буду вдячний за будь-які поради щодо вирішення проблеми.
|
|
| | |
| volodschool2 |
Дата: Сб, 11.06.2011, 20:17 | Повідомлення № 39 |
|
Досвідчений учасник
Повідомлень: 1527
| Quote (Ковальчук_Олександр) постійні розриви PPPoE-клієнта з dsl-модемом
А не простіше настроїти модем в режимі роутера, тоді не потрібен PPPoE-клієнт взагалі. Зараз Ви не можете визначитись з джерелом проблеми - мікротік, модем, Укртелеком з його хреновими поганими лініями. У випадку роботи модема в режимі роутера за зв'язок з провайдером відповідати буде тільки модем, а мікротік буде працювати за своїм основним призначенням - ділити отриманий інтернет-трафік.
Quote (Ковальчук_Олександр) Раніше таких проблем не спостерігалось
Можна припустити, що Укртелеком щось мудрує. А міняти модем не пробували? Я ставив різні модеми і отримував різну швидкість роботи інтернету, добився на ультрі 20мбіт/1Мбіт . Не розумію, чому не працює режим AnnexM, який обіцяє вигрузку до 3 Мбіт/с . Служба підтримки сказало, що у них все увімкнено, повинно працювати, а мій модем пише, що зв'язується в режимі ADSL2+.
Відредаговано: volodschool2 - Сб, 11.06.2011, 20:20 |
|
| | |
| Ковальчук_Олександр |
Дата: Сб, 11.06.2011, 21:03 | Повідомлення № 40 |
|
Ветеран спілкування
Повідомлень: 3705
| В нас модем д-лінк (моделі не пам’ятаю), міняли на такий же - результат той же. Ставили в режим бріджа - спочатку робить, потім рве, при цьому queuess швидкість не ріже.
Quote (volodschool2) Зараз Ви не можете визначитись з джерелом проблеми - мікротік, модем, Укртелеком
тому найбільш ймовірно, що мікротік.
Quote (volodschool2) Можна припустити, що Укртелеком щось мудрує.
я вже й не знаю, що припускати.
Треба мабуть пробувати модеми інших фірм.
|
|
| | |
| НІКОЛЯ |
Дата: Сб, 11.06.2011, 21:18 | Повідомлення № 41 |
|
Знавець вірусів
Повідомлень: 2878
| Quote (Ковальчук_Олександр) Треба мабуть пробувати модеми інших фірм.
Позвонити в укртелеком хай змінять профіль на Анекс М тільки всі інші на модемі ОГО2 ЖДТМ модуляції мусять бути виключені буде робити без ривків
|
|
| | |
| Ковальчук_Олександр |
Дата: Сб, 11.06.2011, 21:20 | Повідомлення № 42 |
|
Ветеран спілкування
Повідомлень: 3705
| Quote (НІКОЛЯ) тільки всі інші на модемі ОГО2 ЖДТМ модуляції мусять бути виключені
А скріншотом можна показати?
Я підозрюю, що тут проблема в мікротіку, оскільки підключав напряму кабель з модема до ноута, створював рррое з’єднання, за 30 хв. роботи торента розривів не спостерігав.
|
|
| | |
| volodschool2 |
Дата: Сб, 11.06.2011, 21:45 | Повідомлення № 43 |
|
Досвідчений учасник
Повідомлень: 1527
| Залишав увімкненим тільки AnnexM, при цьому лампочка DSL засвічується, а Internet - мовчить
 Додано (11.06.2011, 21:45)
---------------------------------------------
Quote (Ковальчук_Олександр) Я підозрюю, що тут проблема в мікротіку
Все може бути, але PPPoE-клієнт мікротіка тільки дає модему команду з'єднатись з провайдером, а далі клієнт тільки слідкує за наявністю конекта і при обриві має знову видати відповідну команду модему. До обривів мікротік не має стосунку. Але, як казав один розумний чоловік, електрика до кінця не вивчена.
Quote (Ковальчук_Олександр) Ставили в режим бріджа - спочатку робить, потім рве, при цьому queuess швидкість не ріже.
Тут щось я не розумію, а зараз в якому режимі він у Вас працює? Може Ви помилково написали "в режимі бріджа"? Може мається на увазі "в режимі роутера"? І чому не ріже швидкість? В мене модем працює в режимі роутера, ніякого РРРоЕ-клієнта я не настроював, мікротік швидкість ріже, раніше використовував програмний мікротік, зараз працює апаратний. Відмінності в роботі не помітив, хіба що тепер на столі лежить маленька коробочка замість старенького системника.
|
|
| | |
| НІКОЛЯ |
Дата: Сб, 11.06.2011, 22:37 | Повідомлення № 44 |
|
Знавець вірусів
Повідомлень: 2878
| профіль Анекс м мусять включити і в укртелекомі тоді буде стабільний синал а так інтернет і негоітиме а щодо розивів можна зателефонувати в уктел і вам скажуть чи рвало лінію чи ні і коли саме о коті одині Спрбуйте виставить ОГО 2+ І ОГО ІНШІ ВИКЛЮЧИТИ І ЛЯНЬТЕ В СТАТИСТИЦІ МОДЕМ А ВОНА НУЛИЦЯ КОЖНІ22 СЕКУНДИ І ПОКАЗУЄ КОНЕКТ ДИСКОНЕКТ
|
|
| | |
| Ковальчук_Олександр |
Дата: Сб, 11.06.2011, 22:44 | Повідомлення № 45 |
|
Ветеран спілкування
Повідомлень: 3705
| Quote (volodschool2) зараз працює апаратний.
Точніше, апаратно-програмний. 
Здається проблема з розривами накінець то вирішена. Зв’язався з одним продвинутим знавцем вай-фай мереж, і зокрема, мікротік router OS. Він порився в налаштуваннях мікротіку і виявив, що рррое-клієнт був прив’язаний до bridge1 і відповідно при розриві вай-фай, брідж змінював мак і рвався рррое-клієнт. Вирішення проблеми: рррое-клієнт прив’язав до ether1, видалив брідж-порти ether1 і wlan1, прив’язав шлюз інтернету до wlan1 + він зробив налаштування nat
|
|
| |
© Форум інформатиків України, 2007-2019.  |
Бонуси!
Корисні сайти
Увійдіть
зареєструйтесь
Правила форуму
Оновлення
Учасники
Пошук
