Перейти до

Редирект должников на Mikrotik

mac

Автор: mac,
в Stargazer Ubilling

 Share Подписчики 5

Рекомендованные сообщения

l1ght

l1ght 377

Опубліковано:
Опубліковано:

Ну я настроил таким образом(осталось обучить этому Ubilling):

На микротике есть некий адресслист, назовём его Упс, и адреслист, к примеру, Окей.

 

Так вот те кто в листу Упс хотят получить доступ не к Окей, идут в лес за грибами.

Если они хотят получить не в Окей что-то по 80 порту, то они идут куда мне надо в зоне Окей.

Ну как-то так на пальцах.

 

В итоге сам микротик делает заворот трафика куда надо.

 

Позже ещё обучу его заворачивать 443...

А чому саме мікротік? У вас багато л3 сегментів на мікротіку?

Ссылка на сообщение
Поделиться на других сайтах
jcomm

jcomm 6

Опубліковано:
Опубліковано: (відредаговано)

Доброй ночи всем. Я так и не понял из всего вышенаписанного зачем добавлять отключённых абонентов в отдельный адрес лист? Вот пример рабочего микротика с редиректами и должников в ЛК и UHW без всяких там списков.

 

firewall.png

 

mikrotik_nat.png

 

addresses.png traffic_flow.png dhcp_relay.png

 

И всё это добро раздаёт адреса с помощью DHCP-relay. Ну и экспортирует статистику по трафику. UHW-шлюз сделан на MikroTik в связи с тем, что могут быть использованы несколько сетей на одном микротике на разных интерфейсах (например, 10.0.0.0/24 на интерфейсе B - iNET-1-NW, а 10.0.1.0/24 на B - iNET-2-NW), а на биллинге собирать vlan'ы в мост и ему назначать адрес UHW - бред, в чем смысл тогда вообще делать vlan'ы? Аналогично настраиваются и дополнительные серверы доступа. Суть - минимальная (вернее, отсутствующая) необходимость залезать в биллинг через консольку, чтобы подправить адреса интерфейсов, настройки DHCP для того, чтобы добавить подсеть.

 

P.S. Бонусом даже не надо практически ничего в микротике настраивать, кроме как:

  1. Поднять интерфейс/vlan;
  2. Добавить на него 2 IP (шлюз для обычных смертных и шлюз для UHW);
  3. Добавить DHCP-relay c этого нового интерфейса на сервер с Ubilling (DHCP).

P.P.S. Никаких меток для трафика! Единственное - не заворачивает 443 порт.

 

P.P.P.S. И вот пример сгенерированного конфига DHCP для двух подсетей (вторая добавлена для наглядности вручную):

option domain-name "example.com";
one-lease-per-client true;
default-lease-time 3600;
ddns-update-style none;
max-lease-time 43200;
log-facility local7;
deny duplicates;
authoritative;

shared-network "MGMT-VLAN" {
  subnet 192.168.0.0 netmask 255.255.0.0 { }
}

shared-network "iNET-1-NW" { 
  subnet 10.0.0.0 netmask 255.255.255.0 { 
    option domain-name-servers 10.0.0.1; 
    option subnet-mask 255.255.255.0; 
    option routers 10.0.0.1; 
    include "/usr/local/etc/multinet/inet-1-nw.conf"; 
  }
  subnet 172.16.0.0 netmask 255.255.255.0 { 
    option domain-name-servers 172.16.0.1; 
    option subnet-mask 255.255.255.0; 
    option routers 172.16.0.1; 
    range 172.16.0.100 172.16.0.254; 
  } 
}

shared-network "iNET-2-NW" {
  subnet 10.0.1.0 netmask 255.255.255.0 {
    option domain-name-servers 10.0.1.1;
    option subnet-mask 255.255.255.0;
    option routers 10.0.1.1;
    include "/usr/local/etc/multinet/inet-2-nw.conf";
  }
  subnet 172.16.1.0 netmask 255.255.255.0 {
    option domain-name-servers 172.16.1.1;
    option subnet-mask 255.255.255.0;
    option routers 172.16.1.1;
    range 172.16.1.100 172.16.1.254;
  }
}
Відредаговано jcomm
Ссылка на сообщение
Поделиться на других сайтах
SoulRoot

SoulRoot 0

Опубліковано:
Опубліковано: (відредаговано)

Опять же таки, так исторически сложилось, что нужны листы :-)

Хотя, может быть вскорее пересмотрим эту позицию :-)

Відредаговано SoulRoot
Ссылка на сообщение
Поделиться на других сайтах
SoulRoot

SoulRoot 0

Опубліковано:
Опубліковано:

 

Доброй ночи всем. Я так и не понял из всего вышенаписанного зачем добавлять отключённых абонентов в отдельный адрес лист? Вот пример рабочего микротика с редиректами и должников в ЛК и UHW без всяких там списков.

 

...

А можно для пущей наглядности:

/ip firewall export

Ну со всякими интересностями, и без всякой личной информации :-)

Ссылка на сообщение
Поделиться на других сайтах
jcomm

jcomm 6

Опубліковано:
Опубліковано: (відредаговано)
А можно для пущей наглядности:



/ip firewall address-list

add address=10.0.0.0/8 list=NAT

add address=192.168.0.0/16 list=NAT

add address=10.0.0.2 comment=66ap0_gj2n disabled=yes list=ALLOW

add address=10.0.0.3 comment=5ap_jt9r disabled=yes list=ALLOW

add address=10.0.0.4 comment=4ap_5dto list=ALLOW

add address=10.0.0.5 comment=4ap_1m42 list=ALLOW

/ip firewall nat

add action=dst-nat chain=dstnat dst-address=!192.168.255.1 dst-port=80 \

    protocol=tcp src-address=10.0.0.0/8 src-address-list=!ALLOW \

    to-addresses=192.168.255.1 to-ports=80

add action=dst-nat chain=dstnat dst-address=!192.168.255.1 dst-port=80 \

    protocol=tcp src-address=172.16.0.0/12 to-addresses=192.168.255.1 \

    to-ports=80

add action=masquerade chain=srcnat out-interface="1 - WAN" src-address-list=NAT

add action=dst-nat chain=dstnat dst-port=21 in-interface="1 - WAN" protocol=\

    tcp to-addresses=192.168.255.1 to-ports=21

add action=dst-nat chain=dstnat dst-port=22 in-interface="1 - WAN" protocol=\

    tcp to-addresses=192.168.255.1 to-ports=22

add action=dst-nat chain=dstnat dst-port=53 in-interface="1 - WAN" protocol=\

    tcp to-addresses=192.168.255.1 to-ports=53

add action=dst-nat chain=dstnat dst-port=53 in-interface="1 - WAN" protocol=\

    udp to-addresses=192.168.255.1 to-ports=53

add action=dst-nat chain=dstnat dst-port=80 in-interface="1 - WAN" protocol=\

    tcp to-addresses=192.168.255.1 to-ports=80

/ip firewall filter

add chain=forward dst-address-list=ALLOW in-interface="1 - WAN"

add chain=forward out-interface="1 - WAN" src-address-list=ALLOW

add chain=forward dst-address=192.168.0.0/16 in-interface="1 - WAN"

add chain=forward out-interface="1 - WAN" src-address=192.168.0.0/16

add chain=forward dst-address=192.168.255.1 out-interface="B - MGMT-VLAN"

add chain=forward in-interface="B - MGMT-VLAN" src-address=192.168.255.1

add action=log chain=forward disabled=yes

add action=drop chain=forward

 

Відредаговано jcomm
Ссылка на сообщение
Поделиться на других сайтах
  • 3 weeks later...
mac

mac 1

Опубліковано:
  • Автор
Опубліковано:

 

 

Я так и не понял из всего вышенаписанного зачем добавлять отключённых абонентов в отдельный адрес лист

Думаю, так будет быстрее работать, чем редирект по !ALLOW  (меньше нагружать Микротик): список ALLOW - большой, список DENY - маленький

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 5
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • fitros
      Пропоную ремонт MikroTik, Ubiquity, зварювальні , сколювачі
      Від fitros
      Вітаю всіх!
      Професійно займаюсь ремонтом зварювальних апаратів, сколювачів, обладнання MikroTik та Ubiquiti. Маю великий досвід і ґрунтовні знання в ремонті та обслуговуванні вказаного обладнання. Звертайтесь із запитаннями — завжди радий допомогти!
       
       
    • zababaha
      Нужен ремонт MikroTik RB4011GS+RM
      Від zababaha
      Всем привет.
      В один прекрасный день отвалился MikroTik RB4011GS+RM. При включении загорается индикация питания и всё. 
      Попытки сбросить до заводских настроек, играться с netisntall в надежде перезалить в него прошивку никак не помогли. Поведение не меняется.
      Пробежался по интернетам в попытках найти авторизованный сервис для диагностики и, если живой, то ремонта - не помогли.
      Несколько лет назад покупал его на ntema, позвонил им, но ребята сказали, что негарантийным ремонтом не занимаются.
       
      Подскажите, плиз, кого-нибудь, кто возьмётся за диагностику и ремонт, если он ремонтопригоден? Цацка не копеечная, сразу в утиль отправлять будет грустно.
       
      З.Ы.: За 15 лет дружбы с тиками у меня этот первый, кто взял - и сдох на ровном месте(
    • alexeya
      Продам нове обладнання для бездротових мереж
      Від alexeya
      Контроллер TP-Link OC200 - 2700 грн (є 4 штуки)
      Точка доступа TP-Link EAP245 - 2900 грн
      Mimosa C5x - 5000 грн (є 2 штуки)
      Mikrotik Groove A-52HPn - 1500 грн
       
      Mikrotik Groove A-52HPn вживана без POE-адаптера - 990 грн

    • grach_witch_cheese
      ubilling+accel-ppp-ipoe+option82
      Від grach_witch_cheese
      Вітаю, колеги!
      Маю наступну схему:
      DHCP-сервер: Accel-PPP (IPoE) DHCP-Relay: MikroTik RADIUS: Запущений безпосередньо на сервері uBilling Зараз авторизація абонентів здійснюється за MAC-адресою, але планується перехід на авторизацію через Option 82.
      У документації uBilling наведені приклади конфігурацій, коли DHCP-сервер працює локально (на самому uBilling) і містить відповідні шаблони для обробки Option 82.
      Однак немає чіткої інформації про використання Option 82 при віддаленому DHCP-сервері, зокрема, коли Accel-PPP використовується як DHCP-сервер у режимі remote та налаштований через Купаген.
      Питання:
      Чи можливо використовувати Accel-PPP як віддалений DHCP-сервер з авторизацією через Option 82? Якщо так, то де відбувається парсинг значень Remote-ID і Circuit-ID? Де в цьому випадку мають зберігатися шаблони для Option 82? Буду вдячний за роз'яснення або посилання на відповідні приклади.
    • nightfly
      Релізи Ubilling 2025
      Від nightfly
      Ubilling 1.5.2 rev 9302 Book of Endings
       
      Зміни в структурі БД. alter.ini: нова опція FASTPROFITCALC_ENABLED, що вмикає швидкий підрахунок прибутку. alter.ini: нова необов'язкова опція KARMA_IN_PROFILE що вмикає показ карми в профілі користувача. alter.ini: нова опція SWITCHES_AUTH_ENABLED, що вмикає довідник даних авторизації пристроїв. alter.ini: нова опція PON_SCRIPTS_ENABLED, що вмикає підтримку скриптів OLT в ПОНізаторі. alter.ini: нова опція PON_ONU_FDB_SELFFILTER, що вмикає фільтр MAC-ів при відображенні FDB за ONU. alter.ini: нова опція USERBYIP_ENABLED, що вмикає виклик userbyip в RemoteAPI. alter.ini: пачка нових опцій PB_FASTURL_*, що керують поведінкою модулю відсилання коротких посилань на оплату. Модуль PONizer: виправлена помилка зникнення PON інтерфейсів при опиті BDCOM GP3600 Модуль “Профіль користувача”: для опису плагінів профілю та оверлеїв на кшталт “чорної магії” тепер опційно можливо вказувати link_target. Модуль “Панель задач”: для опису елементів панелі задач, тепер опційно можна вказувати LINK_TARGET. Модуль Записи телефонних розмов: вирішено проблеми швидкодії, при перегляді списку записів дзвінків. Модуль “Записи телефонних розмов”: більше не призводить до вичерпання пам'яті процесу, при перегляді великих архівів дзвінків. Модуль “Записи телефонних розмов”: новий аудіо-плеєр для прослуховування записів з візуалізацією аудіо-хвилі. Модуль “Пошук оплат”: реалізовано можливість швиденького підрахунку прибутку по обраних чекбоксами платежах. Модуль УКВ: реалізовано можливість швиденького підрахунку прибутку по обраних чекбоксами платежах. Модулі Мапа обладнання та користувачів: трішки вичищено код. Ліпше не стало. Модуль “Мапа будинків”: поле пошуку при розташуванні будинку, тепер попередньо заповнено локацією, при переході за посиланням “розташувати на мапі”. Модуль “Панель задач”: опція TB_QUICKSEARCH_INLINE змінила свою поведінку, та може тепер приймати значення 0|1|2. Модуль “Звіт по трафіку”: виправлено проблему відображення графіків OphanimFlow для NAS на роздільних здатностях менше ніж FullHD. Кабінет користувача: в модулі “Відеоспостереження” відображення попереднього перегляду каналів користувача, стало трішки притомнішим. Сховище зображень: трішки покращено поведінку форми завантаження. RemoteAPI: новий виклик onusigcompressor, що радикально стискає розпухаючі дані історії сигналів ONU. RemoteAPI: новий виклик pbxmonrefill, що оновлює кеш записів телефонних розмов. RemoteAPI: новий виклик userbyip, що повертає дані про користувача за його IP. OpenPayz: в бекенді та фронтенді platon виправлено проблему диких заокруглень, при вказанні зовнішньої комісії.  
      Повний чейнджлог
      Оновлена демка
       

×
×
  • Створити нове...