Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS
Довольно часто возникают ситуации, когда необходимо предоставить (дома, или же на предприятии) доступ к Интернет через беспроводную сеть сторонним лицам. Сети бывают разными: одни выполняют только функцию предоставления доступа к сети Интернет, в то время как другие содержат локальные ресурсы и серверы.
Хотите научиться работать с MikroTik? В этом поможет углубленный курс по администрированию MikroTik. Получите демо-доступ к этому курсу бесплатно.
Пример первый: сосед упорно выпрашивает пароль к Wi-Fi, но вы не желаете делить с ним всю скорость подключения, а при необходимости и пароли менять на всех своих устройствах. К тому же, сосед может дать пароль еще кому-то.
Пример второй: у вас есть несколько филиалов, объединенных с помощью туннелей L2TP в единую сеть. В этой же сети работает несколько серверов, в том числе файловых без авторизации. На одном из филиалов требуется предоставить гостевой Wi-Fi друзьям из соседнего офисного помещения.
И тут возникает вопрос — как предоставить стороннему человеку доступ к сети Интернет, без применения дополнительного оборудования и при этом сохранить изоляцию своей локальной сети? С оборудованием Mikrotik это сделать достаточно легко.
6 мыслей о “Присвоение своего домена динамическому IP (MIKROTIK)”
Подскажите пожалуйста , как реализовать с помощью микротик такую схему:
1. Есть домен domain.ru
2. Есть 2 сервера терминалов за микротиком с именама s1 и s2 и адресами 192.168.88.100 и 192.168.88.200 .
3. на микротике белый IP например 69.69.69.69
4. Есть доступ к панели регистратор домена domain.ru с возможностью изменения DNS записей.
Как можно подключаться с терминальным серверам через интернет по адресам s1.domain.ru и s2.domain.ru ?
Если прописываю у регистратора DNS запись 69.69.69.69 для домена domain.ru, то переадресация идет на 80 порт и в микротике делаю переадресацию 69.69.69.69:80 -> 192.168.88.100:3389 и попадаю на s1. но как настроить так чтобы можно быдо заходить по адресам s1.domain.ru и s2.domain.ru ?
1. Создаете субдомен s1.domain.ru
2. В настройках DNS переключаете этот субдомен с А-записи на CNAME (псевдоним)
3. Указываете в псевдониме домен микротика (ip / cloud / *.sn.mynetname.net).
4. Ждете применения изменений (обычно в течении часика).
Готово.
Огромное спасибо!
Это получилось, создал еще поддомен s2.domain.ru , но как реализовать
s1.domain.ru -> Mikrotik -> 192.168.1.100
s2.domain.ru -> Mikrotik -> 192.168.1.200
в IP -> Firewall -> NAT -> Dst. address при указании s1.domain.ru , он переводит в 69.69.69.69
Не могу понять как разделить правила, чтобы при входящем запросе s1.domain.ru он (Микротик) отправлял в 192.168.1.100:3389, а
при входящем запросе s2.domain.ru в 192.168.1.200:3389
Если у вас 1 публичный IP то смысла в двух доменах нет. У вам нужно опубликовать на разных портах ваши сервера:
69.69.69.69:54102 -> 192.168.1.100:3389
69.69.69.69:54103 -> 192.168.1.200:3389
Соответственно указав при подключении: s1.domain.ru:54102
Доброго времени суток. А пройдет ли такой номер с микротиком подключенным через 4G модем?
Номер пройдет, но, чаще всего, опсосы выделяют серые IP и работа осуществляется за NAT, поэтому сервис будет видеть только IP шлюза. Поэтому, толка от этого мало. Выхода два: 1. Купить белый IP у опсоса (обычно доступен только на корпоративных тарифах) 2. Сделать VPN туннель через 4G до сервера с белым IP и пробросить нужные порты до внутренних ресурсов (dst-nat).
Mikrotik список IP интерфейсов, жесткая привязка IP к интерфесу
Привет Подскажите пожалуйста как узнать какой IP принадлежит интерфейсу. У меня ether2 это комп а ether3 это сервак. Как узнать IP сервака? И как по жетскому назначить на каждый интерфейс свой IP?
Нашел, IP интерфейсов показывает в IP->ARP list А как назначить на каждый ether свой IP чтоб не менялся после перезагрузок?
адреса назначаются по DHCP Mikrotik’ом? я настроил через DHCP Server — вкладка Leases — Make Static
Топикстартер кажется хочет реализовать на б-гмерзком GPL-violator’е выдачу статического DHCP-lease на конкретный порт коммутатора.
Оставляя за рамками вопрос «но зачем» и «гуманно ли так насиловать идею DHCP» могу порекомендовать развалить бридж, выдать каждому интерфейсу свою подсеть /31 и повесить на каждый интерфейс свой DHCP-pool. Попытка сделать что-нибудь другое нарушает идею разграничения уровней сетевого стека.
потому что на сервере база живет, чтобы не менять каждый раз IP сервера с базой в клиентской части софта расположенного на десктопе
Настройка роутера (Статический IP)
Этот мануал по настройке роутера и подключению к интернету подходит для любой модели любого производителя роутеров. Отличие лишь заключается в названии пунктов меню настройки роутера. Это руководство для настройки интернет подключения для любого провайдера, который предоставляет интернет по статическому IP адресу — InterZet, Атлас Телеком и все остальные!
1. Вставляем кабель от провайдера в порт WAN на роутере, а кабель Ethernet из роутера LAN —в сетевую карту компьютера
2. На ОС Windows 7 заходим в раздел сетевых настроек по шагам: Пуск > Панель Управления > Сеть и Интернет > Центр управления сетями и общим доступом > Управление сетевыми подключениями > Изменения параметров адаптера.
Нажимаем (2 клика мышкой по иконке) и заходим в пункт «Подключение по локальной сети» заходим в «Свойства» далее в раздел «Протокол Интернета версии 4» и устанавливаем флажки на «Получить IP автоматически» и «Получить адрес DNS сервера автоматически»
3. На задней крышке роутера находим IP адрес для входа в админку (на большинстве устройств это адрес http\www.192.168.0.1), а также логин и пароль (как правило логин: admin, пароль либо пустой, либо тоже admin)
4. Далее в браузере и в адресную стройку забиваем указанный IP адрес и нажимаем Enter, после чего вводим — логин и пароль c роутера.
5. Находим в меню роутера пункт «WAN» или «Интернет»
6. В графе «Тип WAN подключения» выбираем «Статический IP».Указываем IP адрес, Маску, Шлюз и DNS — все это берем из договора с провайдером
7. В пункте «MAC-адрес» выбираем «Клонировать с компьютера» (в случае если у провайдера имеется привязка по IP адресу)
Если такой возможности нет, а MAC адрес нужно прописать вручную
тогда на компьютере заходим в раздел «Сетевые подключения», заходим в «Подключение по локальной сети» потом «Свойства». Находим «Физический адрес» — это значение нужно прописать в соответствующем поле в настройках роутера (современные роутеры сами находят MAC адрес, это делать как правило не нужно.
Сохраняем и перезагружаем роутер.
8. Открываем в меню раздел «Беспроводная сеть» и задаем свои значения для:
- SSID — название вашей wifi сети
- Защита — WPA2-Personal
- Шифрование — AES/TKIP
- Пароль — пароль для подключения к сети (минимум 8 символов)
9. Применяем настройки. Включаем устройство, которое должно принимать интернет (ноутбук, компьютер, смартфон). Кликаем на иконку беспроводных соединения в панели иконок Windows Находим в списке SSID нашей сети, подключаемся, набираем известный вам пароль, указанный в настройках.
Маркируем пакеты и заворачивает трафик до конкретных серверов в VPN
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.
Так получилось, что у меня имеются два провайдера у одного из которых я вижу внутреннюю сеть, а ещё есть Zabbix который начинает ничего мне не сообщать если я не на работе про то, что происходит если провайдер через которого он это делает «уснул».
Встретив на просторах интернета интересный скриптик я немного модифицировал его под себя и радуюсь жизни. Сим хочу с вами поделиться.
Имеем два шлюза с апи нашей локалки 1.1.1.1 и 1.1.1.2.
Имееем айпи 3.3.3.3 из внутренней сети провайдера.
Создаём рабочую директорию для скрипта в /usr/local/scripts/bin/status
В принципе это всё что нам надо.
#!/bin/sh FPING=»/usr/local/sbin/fping» WRKDIR=’/usr/local/scripts/bin’ DATE=`/bin/date` MAININET=’3.3.3.3′ MAIN=’1.1.1.1′ BACKUP=’1.1.1.2′ main_status_old=`/bin/cat $WRKDIR/status/main | /usr/bin/awk ‘< print $1 >‘` main_try=`/bin/cat $WRKDIR/status/main | /usr/bin/awk ‘< print $2 >‘` router=`/bin/cat $WRKDIR/status/router` main_status_new=`$FPING $MAININET | /usr/bin/awk ‘< print $3 >‘` back_status=`$FPING $BACKUP | /usr/bin/awk ‘< print $3 >‘` if [ $main_status_new != ‘alive’ ] then < if [ $router = 'main' ] then < if [ $back_status = 'alive' ] then < if [ $main_try != 0 ] then < route change default 1.1.1.2 echo 'backup' >$WRKDIR/status/router > else < main_try=`expr $main_try + 1` echo "$main_status_new $main_try" >$WRKDIR/status/main > . fi > fi > fi . > else < if [ $router = 'backup' ] then < route change default 1.1.1.1 echo 'main' >$WRKDIR/status/router echo «$main_status_new 0» > $WRKDIR/status/main > fi > . fi Делаем статический маршрут до айпи 3.3.3.3 через шлюз 1.1.1.1
route add -net 3.3.3.3 1.1.1.1 Добавляем этот маршрут в rc.conf
static_routes=»local-prov» route_local-prov=»-net 3.3.3.3 1.1.1.1″ Добавляем выполнение в крон по желаемому временному интервалу и радуемся тому, что сообщения о состоянии будут приходить если провайдер один отвалится. И тому что провайдер так любезен.
Удачи!
Точное время — всегда актуальный вопрос. В большинстве случаев высокая точность не нужна и настроить время на вашем оборудовании можно по наручным, кухонным или напольным с кукушкой часами, да хоть по положению солнца, и этого будет более чем достаточно для большинства людей.
Но вот, что делать, если хочется высокой точности? Верно, начинаем синхронизироваться с любым попавшимся NTP сервером в интернете, он в свою очередь синхронизируется с другим (возможно даже более точным, а может быть и нет) сервером. Цепочка может быть достаточно длинной, но в один прекрасный день может появится желание убрать посредников и найти самые точные часы на планете и спрашивать время у них.
А какие часы самые точные? Атомные! Кстати на wikipedia имеется отличная статья про время! И вот тут пораскинув мозгами, начинаем судорожно вспоминать, в каком это супермаркете мы последний раз видели их в продаже и желательно с USB интерфейсом, можно даже розового цвета. Вы тоже не видели? Печаль.
А ведь у нас над головой, на высоте порядка 19400 км висят куча спутников систем позиционирования (GPS / ГЛОННАС), а чтобы они работали им нужно знать точное время. Именно для этой цели у каждого из этих трудяг на борту имеются атомные часы! Отлично, давайте узнавать время у этих ребят.
И так, немного задержавшись на сайте MikroTik можно найти пакет gps-xx.xx.npk который позволяет расширить возможности маршрутизатора и позволит ему определять свои точные координаты на поверхности нашей планеты. Чтобы установить пакет, достаточно просто скопировать его на маршрутизатор (сделать это можно перетащив .npk файл в файловый менеджер WinBox) и перезагрузиться.
Теперь нам нужен GPS приемник. Общение будет идти по протоколу NMEA 0183, PDF.
Мой маршрутизатор собран на базе стационарного компьютера, а следовательно можно смело брать приемник с USB интерфейсом. В наличии имеется отличный экземпляр от GlobalSat — BU-353U4.
После подключения приемника переходим к настройки маршрутизатора.
[admin@Kitsum] > port print Flags: I — inactive # DEVICE NAME CHANNELS USED-BY BAUD-RATE 0 serial0 1 Serial Console 9600 1 3:2 usb2 1 4800 Отлично, маршрутизатор видит что-то на порту usb2, запоминаем его Flag (1) и выставляем настройки согласно техническим характеристикам от производителя. Естественно, что для Вашего «свистка» настройки могут отличаться.
[admin@Kitsum] > /port [admin@Kitsum] /port> set numbers=1 baud-rate=4800 data-bits=8 parity=none flow-control=none stop-bitsrs=1 Все настройки с портами Вы можете провести через Web интерфейс или WinBox в разделе System -> Ports
Теперь осталось дело за малым. Сообщим маршрутизатору, что на порту usb2 висит GPS приемник, и он может им овладеть, то есть воспользоваться, . блин использовать! И естественно, мы желаем, чтобы время, полученное в телеграмме от спутников считалось эталонным и использовалось как системное.
[admin@Kitsum] > /system gps [admin@Kitsum] /system gps> set enabled=yes port=usb2 set-system-time=yes Теперь мы может посмотреть, какими именно данными мы начали располагать в следствии, этих сверх сложных манипуляций!
Внимание: естественно, что при холодном старте, данные начнут поступать не сразу.
[admin@Kitsum] > /system gps [admin@Kitsum] /system gps> monitor date-and-time: feb/08/2016 14:44:42 latitude: N 00 18′ 13.236» longitude: E 00 54′ 5.236» altitude: 325.299988m speed: 0.000000 km/h destination-bearing: none true-bearing: 133.419998 deg. True magnetic-bearing: none valid: yes satellites: 9 — [Q quit|D dump|C-z pause] В данном случае получилось поймать сигнал с 9 спутников. Каждый из них передает нам свои координаты, а самое главное — время со встроенных атомных часов. Большая часть информации вычисляется уже по месту (скорость, высота . ). Мы практически добились нужного результата.
Естественно мы получаем время по Гринвичу (UTC+0), меня это не устраивает, видимо и Вас тоже. Необходимо подправить часовой пояс. Это можно сделать в System -> Clock
[admin@Kitsum] > /system clock [admin@Kitsum] /system clock> set time-zone-autodetect=no time-zone-name=Europe/Moscow И так, теперь Ваш маршрутизатор знает самое точное время на планете и им стоит поделиться хотя бы со всеми желающими в локальной сети. А таких поверьте, будет не мало. В современном мире все устройства жаждут обладать этой информации. Как же без этого Вам кофеварка сварит благородный напиток, или телевизор выключится и оградит молодое поколение от всего того, что оно и так потом узнает, а пока должно делать уроки, ммм?
Необходимо поднять собственный NTP сервер и делается это сверх сложной и длинной командой.
[admin@Kitsum] > /system ntp server [admin@Kitsum] /system ntp server> set enabled=yes manycast=yes Ну, или просто выставлением соответствующей галочки в System -> NTP Server
И все было бы просто великолепно, если бы устройства в сети знали, что мы владеем более точным временем, чем time.windows.com, time.nist.gov да и сотни других серверов. Первая мысль, которая посетила меня — просто подменю ip адреса в записях DNS и «вуаля», но я даже понятия не имею с чем синхронизируется мой телефон, телевизор и у кого, после очередного обновления, захочет узнать время мой компьютер.
Мы знаем, что NTP протокол использует 123 UDP порт для общения. Предлагаю перехватывать все запросы, из нашей локальной сети, адресованные на этот порт во внешний мир и заворачивать их на внутренний IP маршрутизатора!
У меня все сетевые интерфейсы локальной сети объедены в Bridge и весь трафик ходит во внешний мир через через NAT и masquerade, внутренний адрес маршрутизатора 10.10.10.1
Добавим новое правило в NAT
[admin@Kitsum] > /ip firewall nat [admin@Kitsum] /ip firewall nat> add action=dst-nat chain=dstnat dst-port=123 in-interface=bridge1 protocol=udp to-addresses=10.10.10.1 to-ports=123 На этом все.
PS: зачем? потому что хочется и есть возможность!
