jcomm

На БС заходим на вкладку ADVANCED, а там ищем селектор "Client Isolation"

наверняка, что-то похожее на это...

Да, он и PoE на портах даёт и VLAN поддерживает + ESD/EMP защита: 24 kV Air / 24 kV Contact

Может сделать так: 1. Оптика с медными жилами 2. Медик 3. TOUGHSwitch PoE PRO

создать еще один список из устройств, с которых возможно управление: forward src-address-list=ADMINS dst-addtess-list=MANAGEMENT forward src-address-list=MANAGEMENT dst-addtess-list=ADMINS если в сети много устройств, которыми надо управлять можно поднять management vlan с отдельной подсетью, в которую будут входить все устройства и ы получаете доступ к ним всем подключаясь к этой подсети, хоть по vpn, хоть берите и management vlan растегируйте у себя на порту...

разрешите хождение от вашего ip адреса к адресу управляемого устройства... и наоборот.. например добавьте все устройства, которыми управляете в список MANAGEMENT и по аналогии с вышеуказанными правилами создайте 2 правила: forward src-address=<ваш ip> dst-addtess-list=MANAGEMENT forward src-address-list=MANAGEMENT dst-addtess=<ваш ip> их тоже разместите выше правила drop forward

Теперь вам нужно создавать правила разрешающие прохождение пакетов к базовым станциям.

Внезапно... Пожалуйста)

нет, добавляйте правила без указания пользовательского интерфейса: /ip firewall filter add chain=forward action=accept out-interface="WAN" src-address-list="ALLOW" /ip firewall filter add chain=forward action=accept in-interface="WAN" dst-address-list="ALLOW" /ip firewall filter add chain=forward action=drop comment="DROP FORWARD"

можете LAN интерфейс не указывать или указать "НЕ WAN", вот так, например: /ip firewall filter add chain=forward action=accept in-interface="!WAN" out-interface="WAN" src-address-list="ALLOW" /ip firewall filter add chain=forward action=accept in-interface="WAN" out-interface="!WAN" dst-address-list="ALLOW" /ip firewall filter add chain=forward action=drop comment="DROP FORWARD" а много ли трафика гоняется через MikroTik, сколько людей?

нет, смотрите, эти правила добавляйте через консоль MikroTik: /ip firewall filter add chain=forward action=accept in-interface="LAN" out-interface="WAN" src-address-list="ALLOW" /ip firewall filter add chain=forward action=accept in-interface="WAN" out-interface="LAN" dst-address-list="ALLOW" /ip firewall filter add chain=forward action=drop comment="DROP FORWARD" Описание: Первое правило разрешает хождение пакетов от интерфейса "LAN" к интерфейсу "WAN" пользователям из списка "ALLOW". Второе в обратном направлении с интерфейса "WAN" к интерфейсу "LAN", опять-же пользователям из списка "ALLOW". Третье правило запрещает прохождение любых пакетов через MikroTik. Пакет, проходя через MikroTik, будет последовательно проходить через все эти правила сверху вниз до тех пор, пока не попадёт под нужный фильтр (правило), после чего над ним будет совершено действие, указанное параметром "action" например: проходящий пакет (chain=forward) от пользователя из списка ALLOW (src-address-list="ALLOW") от интерфейса LAN (in-interface="LAN") к интерфейсу WAN (out-interface="WAN") попадёт под первое правило и будет разрешен (action=accept). Если пакет будет идти от пользователя НЕ из списка ALLOW, то он НЕ попадёт в первые два правила, а попадёт под третье, а все пакеты попадающие под третье правило будут сбрасываться (action=drop). Как уже стало ясно, что добавляя/удаляя записи из списка ALLOW можно разрешать и запрещать соответственно доступ к интернету.. P.S. Имена интерфейсов и списка нужно переименовать под свою реальность, правила должны быть строго в той последовательности, как указано выше!..

А почему бы, как белые люди, не использовать firewall для ограничения доступа к интернету? Если решитесь - расскажу как...

Если я правильно понял проблему, то попробуйте в качестве шлюза для сети UHW указать сам сервер биллинга...

настаиваете как обычно WAN, NAT и т.п, а тоннель добавляется в бридж с пользовательскими интерфейсами... Она и была изначально, только незадокументированная, т.к не работала должным образом... сейчас, в принципе, всё хорошо и с версии 0.4.3 сможете использовать, а сейчас могу предложить опробовать это дело на досуге, обновившись до current версии и обновив все скрипты в папке /etc/stargazer/... EoIP - это возможность создать прозрачный L2 тоннель, по которому смогут пересылаться DHCP пакеты... По поводу стабильной работы DHCP на MikroTik я ничего сказать не могу, т.к сам это не использовал.. Поэтому я придерживаюсь того, чтобы использовать ISC-DHCP на FreeBSD, а использование MikroTik DHCP - только в самых-самых крайних случаях, но лично у меня они еще не наступали...

1. Source EoIP Mikrotik, /usr/ports/net/ng_mikrotik_eoip/ 2. Compile and Install ports, make install clean 3. Refresh after Compile and Install, rehash (enter), su (enter) 4. Now Configure EoIP on rc.local (startup freebsd) : # EOIP id-xxx ngctl mkpeer eiface t ether ngctl rmhook t ngctl mkpeer ngeth0: mikrotik_eoip ether xxx > id EoIP ngctl mkpeer ngeth0:ether ksocket out inet/raw/gre ngctl msg ngeth0:ether.out connect inet/xxx.xxx.xxx.xxx > remote address ifconfig ngeth0 up > set interface up or active ifconfig ngeth0 ether xx:xx:xx:xx:xx:xx > set mac-address Вы делали это?

С женщиной вставать и ложиться надо, а не с Ubilling-ом.. Совет умного дядьки до которого вам как до неба...

Белые люди используют static only для серверов DHCP, а неизвестных цепляют dinamic на UHW..

Этот текст в вики вам ни на что не намекает, или вычитываем только то, что нужно для паники?! Если вы не понимаете в php то кто вам доктор? Хотите "подкрутить" скрипты - вперёд, изучайте основы php и вперёд, все функции с комментариями, даже ежу понятно будет что функция делает.. Еще один вариант - использовать то, что идет "из коробки"... А вообще интересно так получается, смотрим через строчку на документацию и уже придумываем как под себя крутить.. Звёзды так стали..

OK, согласен - IDENT в норме... скрипт OnConnect до конца работает, или обрывается после попытки добавить queue?

и еще, в файле network_data.ini параметр `IDENT` для [id] подсети пользователя должен соответствовать имени интерфейса на котором сидит пользователь: на основе этого будет создаваться запись ARP и интерфейс для шейпинга... другими словами: если для пользователя из подсети с `id` = 1 выполняется скрипт OnConnect в файле должно быть нечто похожее на это: [1] IDENT = "<<имя интерфейса через который подключен пользователь к микротику, например, bridge0>>" FIREWALL = TRUE DHCP = FALSE QUEUE = TRUE PPP = FALSE ARP = TRUE P.S. Это "hard porno" станет "light" с релиза 0.4.3.

а как указаны скорости для тарифов?

Чтобы иметь возможность удалённо управлять любыми устройствами в вашей сети, включая и мост, подключаясь к этому vlan'у...

management vlan. вместо того, чтобы добавить bounding в мост с ether1, на последнем создаём 2 vlana, через один пускаем трафик пользователей, через второй мониторим...

ip назначайте только bridge-интерфейсу из аплинкового и bounding-интерфейса (wlan1 + ether3), остальные уберите.. на одном RB433 - 192.168.1.1/24 на втором - 192.168.1.2/24