Sve se da odraditi sa simple queues, nije nikakav problem. Recimo da ti je lokalna mreza na opsegu 10.0.0.0/8, i recimo da internet hoces da ogranicis na 128k/64k, treba napraviti po dva simple queue pravila za svakog korisnika. Prvo pravilo bi se odnosilo na lokalni saobracaj, i u njemu bi osim target adrese (adresa korisnika na kog se odnosi pravilo), stajala i destination adresa, u ovom slucaju 10.0.0.0/8, i tu ne bi postavljao nikakva ogranicenja. Drugo pravilo bi imalo samo target adresu, i imalo bi max limit na 128k/64k. Prvo pravilo za lokal mora biti iznad pravila za net, i mora biti ukljucen strict ordering. Evo kako to moze da izgleda, ovo je print iz terminala.

Kao sto sam i ocekicao, odgovor sam dobio na pravom mestu. Problem sam resio po uputstvu. Hvala prijatelju veliko. Ako mogu nekako da se oduzim, javi na pm.

POZDRAV

Drago mi je da sam pomogao. Ako naidjem do Valjeva, necu odbiti pivce. :)

i mene zanima ovako nesto, ali ja ne bih da local bude neogranicen. pokusao sam odraditi ovako kako je kolega predlozio, ali ne ide. znaci, mikrotik mi dijeli internet konekciju, radi kao dhcp i proxy server. u pitanju je najobicnija ethernet mrezica, compovi su povezani preko switcheva i to je povezano na jednu od dvije ethernet kartice u tiku. koliko ja vidim, compovi u lanu pricaju medjusobno bez uticaja tika. kako natjerati compove da prvo idu na tik, pa onda dalje (da ne pricaju direktno preko switcha, zaobilazeci tik).

Nikako. Jedino upravljivi switchevi. A i tu treba videti sta koji ima od mogucnosti, koliko para, toliko muzike. Racunari koji su u istoj mrezi, tj na istom interfejsu, ne mogu se ograniciti niti filtrirati mikrotikom.

Ja sam postupio po uputstvu, sve radi kako sam i zamislio... Hvala ljudima na pomoci.

Ako nemas upravljivi switch onda ti je jedino resenje VPN. Tek preko VPN-a ce svaki korisnik videti samo MT isve knekcije, pa i one prema ostalim u LAN-u ce mu ici preko MT-a. Na kabliranom LAN-u to i nije neko resenje, jer korisici uvek mogu da podese IP adrese na LAN adapterima pa da se opet vide direktno preko switch-a.

Doduse, uvek mozes da uzmes onaj Routerboard koji ima veliki broj UTP prikljucaka, pa da njega koristis umesto switch-a. Nije cak ni skup.

Cao svima!
Uzeo sam ADSL 1,5 Mb/s, i hteo bih da se umrezim preko rutera sa 2 drugara iz kraja. Interesuje me da li i kako mogu podesiti i podeliti protok tako da ukoliko je samo 1 komp prikacen na ruter, on povuce svih 1,5 Mb/s, ako je u pitanju 2 kompa koja su istovremeno na ruteru, onda da podele protok, a ako su sva 3 i tako redom, da podele protok koji je srazmeran broju kompova koji se trenutno nalaze prikaceni na ruter? Da li ovo uopste moze da se podesi i kako?
Hvala unapred!

A uvek moze i da u dhcp-u podesi da salje klijentima subnet mask 255.255.255.255 tako da ce se klijenti za sav saobracaj obracati gate-u. Ali, kao sto ti rece, to ne moze nikog da spreci da rucno podesi subnet mask.

Kolins problem ces rijesiti vrlo ludom zamisli bez kupovanja skupe opreme 3xp3 sa po 5 slotova vezes etherom i u svaku po 5 pci ether kartica imas router sa 15 izlaza :) kompletan projekat nije ni 75 euro

Treba navesti da te male compaqice su sa integrisanim etherima i 5 slobodnih pci slotova a njihova cijena je po 15-20 euro :)

Pokusavao sam postupiti po ovim podesavanjima i ne radi mi pa ako mozete recite sta je to strict ordering i kako se ukljucuje.

To je bila moja greska, strict ordering je uvek ukljucen, zanemari ovu recenicu. :) Pomislio sam da se to moze iskljuciti iako nisam nikad probao, pa je zato doslo do greske. A sad zasto ti ne radi, to je vec druga stvar.

Radi, grijesio sam u ovom opsegu za lokalnu mrezu ali sada radi sve.

Kako bi se podesavalo kada bi htio da neki korisnik ima pritup samo lokalnoj mrezi, a da nema internet, i kako kada bi htio da ima internet. a da nema pristup lokalnoj mrezi.

Ja sam nesto pokusavao ali mi nije islo kako treba.

Pozdrav

Pre svega bi vam preporucio da pravite recimo "dinamicka" pravila. Ja na primer u svojoj mrezi imam preko 60 subneta i bilo bi nemoguce podesavati za svaki subnet posebno pravila. Tako sam napravio sebi nacin rada. Pisao sam pravila da vrednosti adresa uzimaju iz address-list. Svaki subnet sam definisao npr u address-list name=mreza. Onda za svaki subnet sam dodao po jos jedno ime u adress listi a to je gw1 gw2 . tako sam pravio i neke liste blokirani dozvoljeni itd. Skontajte nesto malo na taj fazon ;). Ako imate svaki subnet u address-listi mreza onda mozes praviti ovako pravilo:
ip firewall filter add chain=forward src-address-list=npr_dozvoljeni_samo_za_lokalnu_mrezu dst-address-list=!mreza action=drop (mozda ima greski u sintaksi il pravopisu al skontacete sta je pisac teo da kaze) ovim cete pustiti samo korisnika da surfa po lokalnoj mrezi a mozete i obrnuto :)
Takodje ovaj nacin rada mozete iskoristiti za limitiranje itd ima neogranicen broj mogucnosti.

Da li je moguce na Mikrotiku, nekako balansirati saobracaj, tako da kad je recimo pokrentu torrent zauzme maksimalni kapacitet, a kad se pojavi korisinik sa zahtevom da ruter samo obori torrent brzinu i omoguci koriniku pristojan surf? radi se o mrezi sa 10 racunara i 1Mb/s prikljuak za internet preko Mikrotika

Da li je moguce i kako na mikrotiku vezati MAC adresu kartice sa IP brojem i onda na taj nacin vrsiti kontrolu i prava pristupa na mrezu?

podesi staticku arp listu

jel samo to dovoljno? stavim adrese da su staticke i ostaju vezne za MAC dok se ne odluci drugacije? Napominjem da sam iskljucio dinamicko dodeljivanje adresa i rucno je na svakom racuanru podesena adresa i sve ostalo. Da li ce moci prostom promenom IP broja da zaobidje kontrolu preko MAC adrese?

ne kaze se IP BROJ, nego IP ADRESA. ako si podesio ARP tabelu, onda svako ko izmjeni ip adresu ili mac adresu (nasumice ukuca brojeve) nece imati pristup internetu, a ni mikrotiku. mene zanima sljedece: kako da zabranim cloniranje mac adresa i ip adresa? npr. imam dinamicku arp listu, i korisnike ogranicavam preko queue pravila. svaku ip adresu ponaosob. e sad sam primjetio da se na mrezi radi nekakav download, a to detektujem tako sto sam na dno queue tabele postavio jedno pravilo koje ogranicava citav subnet, i ono mi ogranicava net na 32kbps. da li je moguce, da to radi neko ko je clonirao ip adresu i mac adresu od nekog racunara u mrezi? znaci, podesio sebi staticku ip adresu. naravno, taj par postoji u arp tabeli, kad je upaljen racunar kome je dhcp dodjelio ip (staticku) adresu. kako se boriti protiv toga? zapravo, radi se o jednoj mrezi od 40-tak compova u jednoj skoli. posto ucenici ponekad imaju pristup racunarima kod pedagoga, direktora, zbornica (nesto rade profesorima) onda vide i mac i ip, a znaju da je tim racunarima dopustena veca brzina neta, i onda te ip-mac parove mogu postaviti sebi u kabinetu informatike, a da ja to ne znam. zapravo me zanima, kako ce se mikrotik ponasati kad mu pocnu istovremeno pristupati dva compa, sa istim ip adresama i mac adresama, jednom ip dodjeljen od strane dhcp-a a na drugom to rucno podeseno?

ne mogu dva racunara u istoj mrezi da imaju iste ip brojeve (da, savim j eok nazvati to ip brojem).

Kloniranje MAC nemozes da sprecis. tu ti pomaze samo da poptuno iskljucis vezivanje dozvola za racunar korisnika nego da uvedes neki drugi sistem, kao sto je hotspot ili neki VPN. Tada se korsinik loguje sa korisnickim imenom i lozinkom.

Kako da napravim staticku ARP tabelu? Ja sam adrese sve prepravio na staticke, ali ako je recimo diseblujem neku adresu onda se pojavi odmah dinamicka pored nje ista i vezana za isti MAC?

iskljucis dhcp server, popunis ARP tabelu parovima MAC-IP, ukljucis dhcp server, i on ce prilikom dodjele ip adresa konsultovati ARP tabelu, i na taj nacin ce mac adresa dobiti odgovarajucu ip adresu. naravno, na mreznom interfejsu mora biti chekirano ARP: Replay only i u postavkama dhcp servera Add ARP For Leases.

ne treba mi da dobije odgovarajucu IP adresu, vec sam adrese upisao vec rucno, apotrebno mi je da rezervisem te adrese da mogu samo uz taj MAC da idu, i da svaki novi MAC jednostavno bude odbijen i da ne moze da pristupi internetu

da si malo bolje procitao sta sam napisao, ne bih lupetao takve gluposti. pod ODGOVARAJUCIM adresama sam i mislio na te adrese koje ti zelis, tj. prosetas se do svakog compa kome si RUCNO dodjelio ip adresu, sjednes na stolicu ispred compa, na papir zapises njegovu mac adresu i odmah kraj nje ip adresu, i tako za svaki comp. onda odes do mikrotika, i to sa papira prepises u arp tabelu. poslije toga, ako ti ne zelis da dhcp compovima dodjeljuje BAS te ip adrese, koje si napisao na papir, ne moras ukljucivati dhcp server, samo ostavis tako kako je sada, i to je to. pristup mikrotiku ce imati samo te kombinacije macova i ipova koje si zapisao na papir.

Opet mi nije jasno: ARP tabela se formira sama u mikrotiku, ne moram da idem do svakog racunara, vec na tiku vidim mac i IP broj, ali iz toga prizilazi da ako zakacim novi racunar i dodlemi mu IP broj rucno on ce da radi bez problema, a ja to necu. Sta treba da aktiviram na tiku da fiksiram te adrese i da samo one imaju pravo pristupa?

pa cekriano je ali i dalje dozovljava da racunar kog nema u arp tabeli pridje sa svojim mac i ip brojem

Jednostavno mu u arp tabeli dodeli tu njegovu adresu i stavi D pored nje, zajedno sa MAC adresom. Imao sam pre mikrotika neki obican TP link ruter i to je sve bilo jednostavno, stavis u firewall filtriranje MAC adrese i neko ne moze da pristupi ko nema te adrese.

ako ti u arp tabeli pored para ip adresa - mac adresa stoji slovo D, tz. da je tom racunaru DHCP dodjelio adresu, i nisi je ti rucno ukucao. to D znaci Dynamic. kapishi. nego ti papir i olovku u ruke, uradi ono sto sam ti rekao, pogasi sve compove, rebootuj mikrotik, i onda fino to sa papira prenesi u ARP tabelu, pa onda ukljuci sve racunare. naravno, preptostavlja se, da ti je DHCP server onemogucen, i da su na compovima uredno podesene ip adrese koje zelis u ARP tabeli. evo dat cu ti primjer, kako ti kod mene izgleda. kod mene dhcp dodjeljuje ip adrese, ali svaki comp uvijek dobije ISTU. postovat cu dvije slike, gdje se vidi to D u ARP tabeli samo kod compova koji su ukljuceni, i kojima je DHCP dodijelio ip aresu. u ARP tabeli se vidi par STAITCKIH parova ip-mac adresa (nema kraj njih slovo D), i kad compovi sa tim mac adresama startuju, dobit ce (od DHCP servera) UPRAVO TE IP ADRESE IZ ARP TABELE.

Adrese su rucno otkucane, valjda toliko sam svestan, a dhcp je iskljucen, imam i screenshot samo kad bi znao kako ovde da ga okacim.

Na interfejsu na koji ti se kace ti klijenti stavi arp=reply-only, umesto enabled

sve mu je vec receno. ako opet ne radi, neka reinstalira mikrotik, ako opet ne radi, nek' plati nekom da mu to uradi, i to je to

OK, resaio sam to, ipak sam pocetnik sa Mikrotikom, jedan dan svega staza. Sad idemo dalje... mogu li jos neko pitanje da postavim?

Kako da napravim redirekciju na web server u lokalnoj mrezi, uslovno, da po listi u firewall-u neke korisnike propusta na web a neke da redirektuje na lokalnu stranicu. Sve sam kombinacije probao, uputstvo mi nije pomoglo...

Proxy server,ali mozes i ovako:
Napravi pravilo u firewall-u
Primer da je web server na adresi 192.168.1.1
napravi dst-nat pravilo
chain:dstnat
src.address:stavi opseg ip adresa koje zelis redirektovati
protocol:tcp
dst.port:80
in interface:mozes i ne moras da podesis



acction:dst-nat
to address:192.168.1.1
to ports:80

i to je to.

Mislim da sam sve to prbao i da ne radi, jednostavno mikrotik nece da preusmerava u okviru jedne mreze.

Nema tu shta mikrotik da preusmjerava, kad se sve dogadja mimo njega :)

Mikrotik obradjuje saobracjaj koji je upucjen njemu, koji dolazi izvana i koji ide napolje. Komunikacija izmedju klijenata u istoj mrezhi ne prolazi kroz ruter.

Ako mi je racunar koji je web server u lokalnoj mrezi prijavljen na neki dinamicki dns na internetu recimo sa domenom mojserver.ddns.org, kucanjem na bilo kom racunaru u lokalnoj mrezi te adrese, mora da se prodje kroz ruter i kroz dns server. Tu se nesto desava sto ne mogu da obajsnim iako podestim forwardovanje porta 80 na lokalni server to jednostavno ne radi. ako kucam lokalnu adresu web servera radi!

Evo ovako:

Recimo da je tvoja lokalna mrezha (LAN) u opsegu 192.168.0.0/24

Dodamo josh jednu adresu koja cje sluzhiti za redirekciju porta 80


Cijela tvoja lokalna mrezha je spojena preko switcha, ukljuchujucji i mikrotik, i cijeloj tvojoj mrezhi je default gateway 192.168.0.1, dakle, taj isti mikrotik.

Sad dodamo na tu istu mrezhu josh jedan opseg adresa:


Sad mikrotik ima dvije ip adrese na istom interfejsu.
Odesh do tog web servera i promjenish mu ip adresu u 192.168.1.2 i default gateway u 192.168.1.1.
Sa neke druge mashine pingujesh 192.168.1.2, da provjerish da li radi.

Na mikrotiku napravish DNS i unesesh statichki unos za svoj web server:

Sa mikrotika napravish dva forwarda, jedan kad posjetioci dolaze sa interneta i drugi kad posjetioci dolaze sa lokalne mrezhe.

forward iz lokalne mrezhe:


forward sa interneta:


Svojim klijentima stavi da im je DNS tvoj mikrotik.

Ovo sve pishem napamet pa je mogucje da sam neshto propustio, ali ako nisam nishta propustio tvoji klijenti iz lokala cje dobijati da je tvoj web server 192.168.0.2, a internet cje za istu tu adresu dobijati DDNS upis. Klijenti koji dodju na lokalni interfejs dobijacje adresu 192.168.0.2 koja cje biti preusmjerena na 192.168.1.2. Ovaj upis 192.168.0.2 sam namjerno stavio kako bi mogao otvarati i mikrotikov port 80 ako zhelish.

I napomena: prochitaj malo dokumentacije o mrezhama uopshte...

_{[Ovu poruku je menjao Schmidt dana 18.06.2008. u 10:39 GMT+1]}

Hvala, prva ozbiljna i konkretna pomoc. Nisam jos probao ali isprobacu pa cu videti rezultate.

Ne bih ovo opisao kao pomocj vecj kao kompletno rjeshenje. Zato sam ti rekao da malo prouchish dokumentaciju za mrezhe i rutiranje generalno...

Kako PPPoE korisnici proveravaju potroseni limit ako imate PPPoE server mikrotik?

Kakve veze ima tvoje pitanje sa ovom temom :D

Mora postojati radius server da bi mogao kontrolisati klijente..

Evo ljudi da ne otvaram novu temu
Uspio sam podesiti nesto ovako , meni je to potrebno za DC++ , ali korisnici ne vuku maximalnu brzinu lokalne mreze nego maxsimalnu brzinu interneta..