jcomm

На БС заходим на вкладку ADVANCED, а там ищем селектор "Client Isolation"

наверняка, что-то похожее на это...

Да, он и PoE на портах даёт и VLAN поддерживает + ESD/EMP защита: 24 kV Air / 24 kV Contact

Может сделать так: 1. Оптика с медными жилами 2. Медик 3. TOUGHSwitch PoE PRO

создать еще один список из устройств, с которых возможно управление: forward src-address-list=ADMINS dst-addtess-list=MANAGEMENT forward src-address-list=MANAGEMENT dst-addtess-list=ADMINS если в сети много устройств, которыми надо управлять можно поднять management vlan с отдельной подсетью, в которую будут входить все устройства и ы получаете доступ к ним всем подключаясь к этой подсети, хоть по vpn, хоть берите и management vlan растегируйте у себя на порту...

разрешите хождение от вашего ip адреса к адресу управляемого устройства... и наоборот.. например добавьте все устройства, которыми управляете в список MANAGEMENT и по аналогии с вышеуказанными правилами создайте 2 правила: forward src-address=<ваш ip> dst-addtess-list=MANAGEMENT forward src-address-list=MANAGEMENT dst-addtess=<ваш ip> их тоже разместите выше правила drop forward

Теперь вам нужно создавать правила разрешающие прохождение пакетов к базовым станциям.

Внезапно... Пожалуйста)

нет, добавляйте правила без указания пользовательского интерфейса: /ip firewall filter add chain=forward action=accept out-interface="WAN" src-address-list="ALLOW" /ip firewall filter add chain=forward action=accept in-interface="WAN" dst-address-list="ALLOW" /ip firewall filter add chain=forward action=drop comment="DROP FORWARD"

можете LAN интерфейс не указывать или указать "НЕ WAN", вот так, например: /ip firewall filter add chain=forward action=accept in-interface="!WAN" out-interface="WAN" src-address-list="ALLOW" /ip firewall filter add chain=forward action=accept in-interface="WAN" out-interface="!WAN" dst-address-list="ALLOW" /ip firewall filter add chain=forward action=drop comment="DROP FORWARD" а много ли трафика гоняется через MikroTik, сколько людей?

нет, смотрите, эти правила добавляйте через консоль MikroTik: /ip firewall filter add chain=forward action=accept in-interface="LAN" out-interface="WAN" src-address-list="ALLOW" /ip firewall filter add chain=forward action=accept in-interface="WAN" out-interface="LAN" dst-address-list="ALLOW" /ip firewall filter add chain=forward action=drop comment="DROP FORWARD" Описание: Первое правило разрешает хождение пакетов от интерфейса "LAN" к интерфейсу "WAN" пользователям из списка "ALLOW". Второе в обратном направлении с интерфейса "WAN" к интерфейсу "LAN", опять-же пользователям из списка "

А почему бы, как белые люди, не использовать firewall для ограничения доступа к интернету? Если решитесь - расскажу как...

Если я правильно понял проблему, то попробуйте в качестве шлюза для сети UHW указать сам сервер биллинга...

настаиваете как обычно WAN, NAT и т.п, а тоннель добавляется в бридж с пользовательскими интерфейсами... Она и была изначально, только незадокументированная, т.к не работала должным образом... сейчас, в принципе, всё хорошо и с версии 0.4.3 сможете использовать, а сейчас могу предложить опробовать это дело на досуге, обновившись до current версии и обновив все скрипты в папке /etc/stargazer/... EoIP - это возможность создать прозрачный L2 тоннель, по которому смогут пересылаться DHCP пакеты... По поводу стабильной работы DHCP на MikroTik я ничего сказать не могу, т.к сам это не и

1. Source EoIP Mikrotik, /usr/ports/net/ng_mikrotik_eoip/ 2. Compile and Install ports, make install clean 3. Refresh after Compile and Install, rehash (enter), su (enter) 4. Now Configure EoIP on rc.local (startup freebsd) : # EOIP id-xxx ngctl mkpeer eiface t ether ngctl rmhook t ngctl mkpeer ngeth0: mikrotik_eoip ether xxx > id EoIP ngctl mkpeer ngeth0:ether ksocket out inet/raw/gre ngctl msg ngeth0:ether.out connect inet/xxx.xxx.xxx.xxx > remote address ifconfig ngeth0 up > set interface up or active ifconfig ngeth0 ether xx:xx:xx:xx:xx:xx > set mac-a

С женщиной вставать и ложиться надо, а не с Ubilling-ом.. Совет умного дядьки до которого вам как до неба...

Белые люди используют static only для серверов DHCP, а неизвестных цепляют dinamic на UHW..

Этот текст в вики вам ни на что не намекает, или вычитываем только то, что нужно для паники?! Если вы не понимаете в php то кто вам доктор? Хотите "подкрутить" скрипты - вперёд, изучайте основы php и вперёд, все функции с комментариями, даже ежу понятно будет что функция делает.. Еще один вариант - использовать то, что идет "из коробки"... А вообще интересно так получается, смотрим через строчку на документацию и уже придумываем как под себя крутить.. Звёзды так стали..

OK, согласен - IDENT в норме... скрипт OnConnect до конца работает, или обрывается после попытки добавить queue?

и еще, в файле network_data.ini параметр `IDENT` для [id] подсети пользователя должен соответствовать имени интерфейса на котором сидит пользователь: на основе этого будет создаваться запись ARP и интерфейс для шейпинга... другими словами: если для пользователя из подсети с `id` = 1 выполняется скрипт OnConnect в файле должно быть нечто похожее на это: [1] IDENT = "<<имя интерфейса через который подключен пользователь к микротику, например, bridge0>>" FIREWALL = TRUE DHCP = FALSE QUEUE = TRUE PPP = FALSE ARP = TRUE P.S. Это "hard porno" станет "light" с релиза 0.4.3.

а как указаны скорости для тарифов?

Чтобы иметь возможность удалённо управлять любыми устройствами в вашей сети, включая и мост, подключаясь к этому vlan'у...

management vlan. вместо того, чтобы добавить bounding в мост с ether1, на последнем создаём 2 vlana, через один пускаем трафик пользователей, через второй мониторим...

ip назначайте только bridge-интерфейсу из аплинкового и bounding-интерфейса (wlan1 + ether3), остальные уберите.. на одном RB433 - 192.168.1.1/24 на втором - 192.168.1.2/24