classic.ISPforum.cz

Dobrý den, potřeboval bych od zkušenějších pomoci s konfigurací tří Mikrotik routerů, které chci použít pro nastavení omezení přístupu k internetu pro mé potomstvo :]. Pocitvě jsem prošel zde na foru vlákna pět let zpět, nějaké informace jsem dohledal, ale to co potřebuji ne ..

Co mám k dispozici:
- 2x Mikrotik RouterBoard 951-2n (plus jeden pro zálohu)
- 1x Mikrotik RouterBoard 750GL
- v domě strukturovanou kabeláž, ISP router napojený na patch panel a switch

Co potřebuji:
- mám dvě děti, obě dvě mají stolní počítače napojené na kabeláž a wifi zařízení (mobil, tablet)
- u každého potomka zvlášť nastavit dobu, kdy se může jak stolním PC, tak bezdrátem připojit k inetu
- možnost v pípadě potřeby ručně pozastavit nebo povolit přístup na internet
- mít nastavený traffic shaping (QoS), omezit šířku pásma pro děti na třeba 20Mbit

Moje předstatava je mít jeden Mikrotik 750 router připojený na centrální switchpanel, z něj kabeláží připojit v daných dvou místnostech dva 951 routery, ze kterých by se drátově i bezdrátem připojovala zařízení dětí.
Mikrotik 750 by přes plugin kid-control ovládal dva další připojené 951 routery, každý pro jedno dítě, ke kterým by se děti připojovaly. Každý 951 router by měl i zapnutý AP, ke kterému by se připojovala i bezdrátová zařízení. Na každém AP by byl přístup fitrovaný přes MAC adresy zařízení, aby nebylo možné se v případě zákazu na jeden router připojovat k jinému.
Všechna zařízení v rámci LAN by měla být v jednom subnetu (192.168.155.x/24), s centrálním DHCP serverem přidělujícím pevné IP na základě MAC.

A protože jsem s routery Mikrotik zatím ještě nepřišel do styku ;], raději se zeptám zkušenějších, jak nejlépe ty tři routery zkonfiguravat podle výše uvedeného popisu. Netrvám na použití kid-control, pokud to půjde jednodušeji, tím lépe, přišlo mi to jen jako vcelku dobrý nástroj pro to, co potřebuji.
Bylo by vcelku fajn, kdyby alespoň jedno rozhraní na routerech mělo přidělenou IP, mám něco jako watchdog pro zařízení v LAN (node-red&influxdb), takže předpokládám, že alespoň základ konfigurace bude mod router, ne bridge. Pak už asi nastavit nějaký základní překlad/maškarádu, eth1 mít na routerech jako "WAN".
Nepotřebuji řešit firewall, ten je ošetřený přes ZyWall.

Mohu poprosit tedy zkušenější z vás o alespoň základní popis, jak by bylo vhodné toto všechno nastavit? Předem děkuji! :]

Vymýšlíš zbytečně nějakou šílenost. 951-2n bych dal jako obyčejná APčka (v bridge), 750GL bych strčil do skříně a vše bych řešil na tom ZyWallu když už tam je. Zjistíš si MAC adresy zařízení dětí, těm zařízením přidělíš v DHCP pevné adresy z nějakého rozumného rozsahu (pokud máš v síti třeba 192.168.1.0/24 tak zařízení jednoho děcka dáš na adresy .128-143 a v pravidlech pak použiješ 192.168.1.128/28, obdobně u druhého). Pokud by hrozilo že si děti budou různě krást IP adresy pak bych zakázal všechny jinak nepoužívané a pro ostatní věci udělal třeba statický ARP.

Dík za info, šílenost to není, koupil jsem jeté starší routery za velmi slušný peníz a právě na tohle určené, celé řešení do 1kKč :].
Prostě jeden router na omezení času a šířky pásma, z něj do každé místnosti metalika k dvěma routerům s AP, které už hlídají jen MAC adresy pro bezdrátová zařízení a jeden port na stolní PC. ZyWall bych raději nechal jen jako vstupní firewall od ISP do LAN, plus ještě řídí jeden DMZ port, mám a používám veřejnou IP. DHCP server je pro jednodušší správu jeden, centrální pro celou LAN, přiděluje práve na základě MAC adres pro všechna zařízení v LAN, takže žádné dělení VLAN segmenty, není zapotřebí.


Nebýt toho požadavku na hlídání času u dětí, není to nic složitého. Bohužel disciplína u nich není ideální (no comment), tož to holt řešit takto .. Bylo mi doporučeno se zaměřit na Mikrotik, můžu jít cestou pokus-omyl, ale raději jsem se zeptal zde zkušenějších :)

tak třeba dle IP adresy v SimpleQueues v daném časovém rozmezí nastavit nějakou rychlost, mimo stanovený čas pouze 1kb, možností je ale víc...

Pokud to už mikrotikům funguje, tak nic jednoduššího než kidcontrol asi nebude. V podstatě cokoliv lze vymyslet jinak bude fungovat velice obdobně, jen pracněji.

Opět dík vám oběma, má někdo tedy info, zda už kid-control funguje jak má? V jiném vlákně jsem našel, že je snad problém s dynamickými pravidly, ale to já asi neposoudím správně, jestli to je nebo není za ty cca dva měsíce už opravené.

V každém případku, pokud je kid-control použitelný, předpokládám, že pak bude stačit MK 951 nastavit do router modu a v kid-control jako device nastavit MAC adresu eth1 ('WAN'), uvažuji správně? :]

Co pořád máš s tím router modem? Proboha proč? To má každé z dětí svou soukromou celu ve které má své soukromé wifi? Dcerka se nemůže připojit svým mobilem k APčku synka nebo s mobilem sedět v obýváku? Ty máš pro sebe vlastní AP a manželka a pes taky?
Vymýšlíš kraviny. Nechápu, proč mít v domácí LAN cokoliv na L3. Omez na centrálním prvku na základě MAC adresy přístup do netu (rychlost + časová pravidla) a hotovo.

spachal píše:Opět dík vám oběma, má někdo tedy info, zda už kid-control funguje jak má? V jiném vlákně jsem našel, že je snad problém s dynamickými pravidly, ale to já asi neposoudím správně, jestli to je nebo není za ty cca dva měsíce už opravené.

V každém případku, pokud je kid-control použitelný, předpokládám, že pak bude stačit MK 951 nastavit do router modu a v kid-control jako device nastavit MAC adresu eth1 ('WAN'), uvažuji správně?

Já řešil jen WiFi - tablety a mobily - PC jim vypnu a je to.
Nejdříve jsem to zkoušel na routeru v tom IP/KidControl podle nějakého příkladu z internetu (podle Wiki jsem to nedal) a tak nějak to chodilo - problém byl, že po 22h místo na internet který jsem jim odstřihl koukali na filmy z NAS - tudíž je to naprd.

Pak jsem nastavil přímo na ACčku "Wireless Tables / Access List" a tam to funguje jak na množství dat co jim povolíš, nebo časové omezení (to používám) - od-do.
Neřeším tím, že místo úkolů a učení jsou na netu, to dostanou do držky, ale aby večer spali a nečučeli pod dekou na mobil.

nenašel jsem v kid-control nastavení časového limitu, tzn třeba 1h denně? lze to nějak? díky

Bohužel, tam jen nastavíš jen od do.
ROS nemá odpočítávání, to by se muselo řešit od přihlášení (autentifikace na úrovni uživatele), což bez ověřování dost dobře nejde.

offtopic:
XP oproti všem dalším Windows měli dobrou funkci řízení uživatelů, něco jako rodinné sdílení nebo tak nějak, tam to fungovalo perfektně.
MAC OS toto má i dnes a jede to dobře.
Jediná nevýhoda, je že dotyčný na daném počítači už nemůže v ten den dělat už vůbec nic, prostě ho to odhlásí po uplynutí stráveného času.
Ale to už je mimo téma ROS.

rsaf píše:Co pořád máš s tím router modem? Proboha proč? To má každé z dětí svou soukromou celu ve které má své soukromé wifi? Dcerka se nemůže připojit svým mobilem k APčku synka nebo s mobilem sedět v obýváku? Ty máš pro sebe vlastní AP a manželka a pes taky?
Vymýšlíš kraviny. Nechápu, proč mít v domácí LAN cokoliv na L3. Omez na centrálním prvku na základě MAC adresy přístup do netu (rychlost + časová pravidla) a hotovo.

Souhlas. To nejjednodušší řešení je většinou správné

A to presne prave resi KID control jak easy, ja to resim pravidly ve firewallu, ale KID dela uplne to same.