|
|
[ easyyu @ 23.06.2007. 15:23 ] @
|
| Jako se namucih..procitao sam uputstvo i jednostavno ne znam da napravim osnovna podesavanja!Stoga molim za pomoc!
Unapred se izvinjavam na predugackom postu ali je ovako bar definisan problem kao i moja podesavanja!
Konfiguracija:
Pentium racunar
2 LAN kartice
Jedan interface je Public:192.168.50.217
Drugi interface je Local: 192.168.60.10
Napravio sam DHCP Server:
[admin@MikroTik] ip dhcp-server> pr
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 dhcp1 Local dhcp_pool1 3d
[admin@MikroTik] ip dhcp-server> netw
[admin@MikroTik] ip dhcp-server network> pr
# ADDRESS GATEWAY DNS-SERVER WINS-SERVER DOMAIN
0 192.168.60.0/24 192.168.60.10 212.200.66.1
Kao prvo trebaju mi 3 osnovne stvari!A to je:
1)Limit brzina
2)Firewall NAT
3)Otvoreni svi portovi ka PPPOE userima (bice ih 2)
4)Konfiguracija PPPOE Servera.
Internet dolazi sa routera na public interface,a gateway routera je 192.168.50.1
Sta je meni problem?Ukoliko napravim sledece:
[admin@MikroTik] ip firewall nat> pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=Public action=masquerade
tada u ovom slucaju imam net na racunaru A (koji je klijent A).Ali ako izvrsim ogranicavanje brzine na lokalnom
interface-u tada pri brzini maximalnog downloada (npr 32k) ping ka Mikrotik routeru se gubi!Zasto?
Evo i tog dela:
[admin@MikroTik] queue simple> pr
Flags: X - disabled, I - invalid, D - dynamic
0 name="Easy" dst-address=192.168.60.2/32 interface=Local parent=none
priority=8 queue=default/default limit-at=0/0 max-limit=32000/32000
total-queue=default
Sledece:Napravim PPPOE Server sa klijentom easy:
[admin@MikroTik] ppp secret> pr
Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 easy any blabla PPPOE-Profile 0.0.0.0
[admin@MikroTik] ppp profile> pr
Flags: * - default
1 name="PPPOE-Profile" local-address=192.168.60.10 remote-address=10.0.2.5
use-compression=default use-vj-compression=default
use-encryption=default only-one=default change-tcp-mss=default
dns-server=212.200.66.1
[admin@MikroTik] interface pppoe-server server> pr
Flags: X - disabled
0 service-name="aaaa" interface=Local max-mtu=1488 max-mru=1488
authentication=pap,chap,mschap1,mschap2 keepalive-timeout=10
one-session-per-host=yes max-sessions=0 default-profile=PPPOE-Profile
Sada sta trebam da radim u Firewall-u NAT da u lokalu (na klijent A racunaru) nemam internet vec samo kada ostvarim
PPPOE konekciju (znaci dial-up)?
Sto se tice limit brzina mislim da je OK (jest da je rec samo o jednom korisniku u gore navedenom primeru..ali mozda
bih to i znao sam da uradim)
E sad sto se tice otvaranja portova ka userima:
[admin@MikroTik] ip firewall nat> pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=Public action=masquerade
[admin@MikroTik] ip firewall nat> pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=Public action=masquerade
1 chain=dstnat protocol=tcp dst-port=0-65535 action=dst-nat
to-addresses=192.168.60.0 to-ports=0-65535
Sta fali ako imam Npr ADSL sa dinamickom IP adresom?
Puno Vam Hvala unapred na trudu! |
[ Sasha_bn @ 24.06.2007. 18:25 ] @
ajd da krenomo od pppoe servera.
Da bi ti useri imali net samo u slucaju da se konektuju preko pppoe servera mrezna kartica na mt-u na kojoj je enable-van pppoe server nesmije da ima ip addressu:D
drugo ip firewall nat chain=srcnat action=masquerade predlozio bi ti da nestavljas outinterface nego jednostavno src-address
i src-address stavi opseg ip addressa u lokalu.
kod limitiranja brzine na mt kucaj ovako
queue simple add target-address=userov-remote-address-iz-ppp-secrets name=user max-limit=upload/download
a sto se tice forward-ovanja portova mozes samo na jedan radunar sve portove da forwardujes ili da pojedinacno forwardujes jedan port na jedan komp a drugi na drugi zavisi sta zelis
[ konjko @ 24.06.2007. 23:53 ] @
Svaka cast sad si mu traumu napravio :) rokni direktno jebes pppoe i hotspot mucenje autentikacija na osnovu maca i firewall liste sa ipovima koji mogu na net i to je to nema tu filozofije puno
[ easyyu @ 25.06.2007. 14:36 ] @
Citat: Sasha_bn: ajd da krenomo od pppoe servera.
Da bi ti useri imali net samo u slucaju da se konektuju preko pppoe servera mrezna kartica na mt-u na kojoj je enable-van pppoe server nesmije da ima ip addressu:D
a sto se tice forward-ovanja portova mozes samo na jedan radunar sve portove da forwardujes ili da pojedinacno forwardujes jedan port na jedan komp a drugi na drugi zavisi sta zelis
Ovo prvo neshvatam!Kako moze da nema ip adresu?
Drugo..port forward,da li je moguce recimo da se koriste na dva racunara odjednom neki P2P program kako sto je Emule (a da radi u High ID-u) i to na istim portovima 4662?
Ako pak nije kako to odradjuju ISP-i?
Sta predlazes onda da uradim?
Inace PPPOE radi kao i internet sharing,ali me zanima kako je moguce izvrsiti filtraciju po MAC adresama korisnika?
Thx [ tikovac @ 07.07.2007. 19:45 ] @
e pa to ni ja ne kontam ;) kod mene je tik konfigurisan tako, da ima ip adresu na interfejsu na kome su pppoe clienti, s tim, da u lokalu dobiju adrese iz opsega 10.0.0.x/24, a kad se spoje na pppoe, dobiju adrese iz opsega 192.168.2.y/24, i na tom opsegu odradim masquerade,i to je to, s tim,da moram dodati jedno mangle pravilo: /ip firewall mangle add protocol=tcp action=passthrough i onda radi sve kako treba ;)
uostalom,imas ovdje sve
http://www.elitesecurity.org/t...stalacija-mikrotika-kao-rutera[ broker @ 07.07.2007. 23:08 ] @
pppoe protokol je na istom nivou kao i tcp/ip, tako da za pppoe nije uslov da postoji tcp/ip. mozete slobodna da iskljucite tcp/ip na adapterime preko kojih se korsinici povezuju sa pppoe, jer im tvp/ip uopste nije potreban, a samo predstavlja security risk.
[ Sasha_bn @ 08.07.2007. 10:52 ] @
Citat: tikovac: e pa to ni ja ne kontam ;) kod mene je tik konfigurisan tako, da ima ip adresu na interfejsu na kome su pppoe clienti, s tim, da u lokalu dobiju adrese iz opsega 10.0.0.x/24, a kad se spoje na pppoe, dobiju adrese iz opsega 192.168.2.y/24, i na tom opsegu odradim masquerade,i to je to, s tim,da moram dodati jedno mangle pravilo: /ip firewall mangle add protocol=tcp action=passthrough i onda radi sve kako treba ;)
uostalom,imas ovdje sve
http://www.elitesecurity.org/t...stalacija-mikrotika-kao-rutera
Jedno pitanje:
Koji stavljas chain jer nemozes proci samo stim pravilom i sta ti to pravilo predstavlja :)
I zasto si stavio passthrough ?
Pozdrav. [ tikovac @ 08.07.2007. 12:16 ] @
hehehe chain je naravno forward :P a kod mene je data ip adresa na taj interface, jer imam i local na istom ;) ali se na net moze SAMO preko pppoe. ako on hoce SAMO PPPOE, onda je jasno, da mu ne treba IP na tom interfejsu,jer ce njegov comp svakako komunicirati sa serverom preko ip adrese koja se compu dodjeli na pppoe konekciji.
[ Sasha_bn @ 08.07.2007. 19:02 ] @
He ja sam to radio na druge nacine lepo definisem u natu src-address opseg range i ako treba stavim out interface ili
ako imam vishe routera i subneta definisem address list sa subnetima i stavim src-address-list=lista dst-address-list=!lista
u natu na action masquerade :)
A ovako nisam nikada pre radio :)
[ easyyu @ 09.07.2007. 02:37 ] @
Citat: broker: pppoe protokol je na istom nivou kao i tcp/ip, tako da za pppoe nije uslov da postoji tcp/ip. mozete slobodna da iskljucite tcp/ip na adapterime preko kojih se korsinici povezuju sa pppoe, jer im tvp/ip uopste nije potreban, a samo predstavlja security risk.
Slazem se...ali niko nije spomenuo da je rec o klijentskom PC-u a ne na Mikrotik interface-u! [ Sasha_bn @ 09.07.2007. 07:41 ] @
Netreba ti ni na MT-u ip ni na PC-u. Nema razlike :)
Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.
|