Mikrotik - prehlad, spravovanie wifi klientov

Pozeram na ten 951, a chcem sa spytat na dve veci:
- mam pridelene staticke ip "domacim", ostatni dostanu z DHCP, avsak kam som pozrel, sa zobrazuju podla MAC, napr. statistiky v quick set - existuje nejaka moznost pridelit jednotlivym IP nejaky popis(komu je pridelena IP), ktory by sa zobrazoval pripadne napriec celym mikrotikom? vlozenim do comment sa to tyka len daneho okna.
- existuje nejaka jednoducha moznost docasne zablokovat aj momentalne NEPRIHLASENEHO uzivatela (na zaklade MAC, pripadne IP ) ? napriklad mobil dietata a pod. D.

Předmět	Autor	Datum
Definuj, co vlastne chces. Zablokovat uzivatela mozes na fw cez ip aj mac. fleg 20.05.2016 01:10	fleg	20.05.2016 01:10
Pisu o WinBox, ve WebFig je to podobné. Samozrejme tato moznost popisu existuje. V IP / DHCP server… Jan Fiala 20.05.2016 07:16	Jan Fiala	20.05.2016 07:16
Dik, za info . . . presne tak to zatial mam, v L\|eases mam pridany komentar, ale ten sa tyka len toh… truhlik 20.05.2016 08:20	truhlik	20.05.2016 08:20
Ak uz je zariadenie prihlasene a ma IP tak blocked nezabrabi pristupu na internet . . . truhlik 22.05.2016 00:19	truhlik	22.05.2016 00:19
Zablokování ve FW MIkrotiku ti nefunguje? Podle mě musí. action:drop chain: forward src.address: IP… L-Core 22.05.2016 07:04	L-Core	22.05.2016 07:04
na firewale hej, toto som myslel na IP DHCP server Leases . . . tam ken ho zablokujem, ama uz IP, ta… truhlik 22.05.2016 20:08	truhlik	22.05.2016 20:08
Tak je to len na 50% . . . internet nejde, ale spravy cez messenger sa daju posielat . . . truhlik 22.05.2016 20:05	truhlik	22.05.2016 20:05
A o cem ted pises? Pokud jsi to udelal spravne ve firewallu na MAC adresu, pak ma kompletne zablokov… Jan Fiala 22.05.2016 20:47	Jan Fiala	22.05.2016 20:47
zablokoval som to na firewale podla MAC, ale syn tvrdi ze cez messenger normalne pise, aj mu odpoved… truhlik 22.05.2016 21:08	truhlik	22.05.2016 21:08
Já nevím, ale není blokování MAC adres zbytečné, když ta lze snadno(?) změnit? https://www.google.co… L-Core 22.05.2016 21:23	L-Core	22.05.2016 21:23
to nemozem, ked pridu kamarati deti, alebo nasi . . . to potrebujem vynimocne, napr ked by sa mali u… truhlik 22.05.2016 21:28	truhlik	22.05.2016 21:28
A ten filtr jsi na firewallu zařadil kam? I pořadí hraje roli. Měl bys jej mít někde na začátku, pro… Jan Fiala 23.05.2016 06:19	Jan Fiala	23.05.2016 06:19
Problem moze byt skor v protokole (zakazal tcp, ale udp nie). Vseobecny postup ako rychlo a lahko vy… fleg 23.05.2016 08:09	fleg	23.05.2016 08:09
hej, nasiel som tam aj polozku, ze ktory protokol, myslell som ze ked to nevyplnim, zablokuje vsetky… truhlik 23.05.2016 08:54	truhlik	23.05.2016 08:54
Pokud protokol neuvedes, funguje na vse Jan Fiala 23.05.2016 09:57	Jan Fiala	23.05.2016 09:57
aha, no filter je na konci . . . ale www nejde :-) urcite nefunguje cez data, bo sa tam neda dat SIM… truhlik 23.05.2016 08:49	truhlik	23.05.2016 08:49
Posun jej klidne na zacatek. Jan Fiala 23.05.2016 10:05	Jan Fiala	23.05.2016 10:05
Posunul som a zda sa ze funguje . . . truhlik 25.05.2016 22:50	truhlik	25.05.2016 22:50
A normální osobní kontakt u vás doma nefunguje? Možná se snažíš technicky řešit něco, na co stačí ús… L-Core 23.05.2016 06:51	L-Core	23.05.2016 06:51
ale ano, osobny kontakt je OK, ale jednoducho decka su decka . . . ved to poznam podla seba :-) truhlik 23.05.2016 08:51	truhlik	23.05.2016 08:51
Este by som sa spytal . . . vytvorim im druhu wifi (pre hosti) ale chcem ju zapnutu v prac dni od -… truhlik 26.05.2016 10:10	truhlik	26.05.2016 10:10
Na Mikrotik existuje kopec skolenie, na nejake sa prihlas, pretoze ty chces uz skriptovat a to sa mo… fleg 26.05.2016 11:15	fleg	26.05.2016 11:15
na tohle neni treba delat skripty. Proste pridej do firewallu pravidla, ktera zakazi provoz na siti… Jan Fiala 26.05.2016 12:33	Jan Fiala	26.05.2016 12:33
pozriem . . . inac nasiel som skript, teda dva, vypnut, zapnut, ktory spusta shceduler, len su tam n… truhlik 26.05.2016 15:35	truhlik	26.05.2016 15:35
Klidne si zaloz 10 pravidel, ktere ve vysledku zakazou casy, ktere chces. Mikrotik to zvladne. Podle… Jan Fiala 26.05.2016 21:49	Jan Fiala	26.05.2016 21:49
pozeral som vecer na to, a hej, da sa to, aj to som odskusal, v jednom je to lepsie ako bvypinat kli… truhlik 27.05.2016 09:52	truhlik	27.05.2016 09:52
Pravidlo se dá deaktivovat - jedno kliknutí. Jan Fiala 28.05.2016 16:37	Jan Fiala	28.05.2016 16:37
ano, lenze jedno pravidlo je od polnoci do rana do siedmej, druhe od osmej do 21, tretie od 21 do po… truhlik 28.05.2016 21:13	truhlik	28.05.2016 21:13
Bohuzial nenasiel som sposob, ako to zablokovat cez polnoc . . . napr od 21.00 - 07.00 . . . musim d… truhlik 28.05.2016 21:15	truhlik	28.05.2016 21:15
Ano, to musis. Ale tyhle 2 pravidla v podstate zakazovat nemusis a budou platit cely tyden. Pak bude… poslední Jan Fiala 29.05.2016 12:14	Jan Fiala	29.05.2016 12:14

Definuj, co vlastne chces.
Zablokovat uzivatela mozes na fw cez ip aj mac.

Pisu o WinBox, ve WebFig je to podobné.
Samozrejme tato moznost popisu existuje.
V IP / DHCP server / leases
Pres pravou mys zrus zatrzeni u "don't inline comments" - zda se mi to prehlednejsi na jednom radku
Pres pravou mys / Show columns si vyhod udaje, ktere nepotrebujes
Pak si pres komentar (ikonka nebo Ctrl+M) pridej popis.

Co se týká zakázání, můžeš využít opět seznam klientů v DHCP / Leases. Když si klienta rozklikneš, je tam zaškrtávátko "Blocked"
Další možnost je blokování přes firewall:

/ip firewall filter
add chain=forward src-mac-address=aa:bb:cc:dd:ee:ff action=drop

Pokud máš seznam, kterým chceš dovolit přístup, pak můžeš použít Wireless / Access list
Nikdo mimo seznam se k WiFi nepřipojí

Dik, za info . . . presne tak to zatial mam, v L|eases mam pridany komentar, ale ten sa tyka len tohto okna. Napr. v Quick setup je dole taky rychly nahlad na pripojenych klientov, co sa tyka signalu atd . . . a tam je len MAC. Idealne by bolo, ak by som si vedel k MAC adrese zadat nejake info, ktore by sa tahalo napriec celym programom.
Co sa tyka blokovania klienta, zda sa mi ze schodna cesta bude len cez firewall, skusal som myslim ze to bolo zrovna v Leases, zablokoval som TV, a on sa tam o chvilku objavil s adresou pridelenou z DHCP. Ako keby sa blocked tykalo nie MAC, ale len statickej IP v zmysle "tuto IP nepridelovat".

Ak uz je zariadenie prihlasene a ma IP tak blocked nezabrabi pristupu na internet . . .

Zablokování ve FW MIkrotiku ti nefunguje? Podle mě musí.

action:drop
chain: forward
src.address: IP zařízení, kterému chceš internet zakázat

na firewale hej, toto som myslel na IP DHCP server Leases . . . tam ken ho zablokujem, ama uz IP, tak normalne bezi dalej . . . ak nema, tak nedostane staticku, ale dostane dynamicku z dhcp . . . preto som pisal, ze to je len zablokovanie IP

Tak je to len na 50% . . . internet nejde, ale spravy cez messenger sa daju posielat . . .

A o cem ted pises?
Pokud jsi to udelal spravne ve firewallu na MAC adresu, pak ma kompletne zablokovany internet a nedostane se nikam.

zablokoval som to na firewale podla MAC, ale syn tvrdi ze cez messenger normalne pise, aj mu odpovedaju . . . www ale nenacita . . .

Já nevím, ale není blokování MAC adres zbytečné, když ta lze snadno(?) změnit?
https://www.google.com/search?q=change+mac+address &ie=utf-8&oe=utf-8

Co postupovat obráceně, zakázat všechno a vytvořit si whitelist?

to nemozem, ked pridu kamarati deti, alebo nasi . . . to potrebujem vynimocne, napr ked by sa mali ucit na pisomku , ale kludne to zase moze byt dva tri styri dni . . . mozem vyrobit druhu wifi - detsku, ale ked budem chciet zablokovat len jedno dieta . . . ?

A ten filtr jsi na firewallu zařadil kam? I pořadí hraje roli. Měl bys jej mít někde na začátku, protože poslední výchozí řádka ve firewally povoluje vše, co není před tím zakázané

Píšeš ,že messenger mu funguje. Nefunguje náhodou přes telefon a nemá nějaký datový tarif, který mu povoluje třeba FB zdarma? Pak nejede přes tvůj MT, ale přes telefon.

Problem moze byt skor v protokole (zakazal tcp, ale udp nie).
Vseobecny postup ako rychlo a lahko vytvorit pravidla pre domacu siet je asi takyto.
Vytvorim si zoznam povolenych ip a tymto ip akceptjem forward. Posledny forward bez ip dropnem. V pripade, ze chces povolit dalsiu ip musis dalsie pravidlo dat nad drop, pretoze Mikrotik cita pravidla odspodu smerom na vrch a dalsie pravidlo "prepisuje" predchadzajuce. Preto ako posledny musi byt vzdy drop pre vsetkych a nad neho potom povolujes konkretne ip, cim tento drop obchadzas.
V pripade, ze dieta ma zle vysledky v skole staci ak jeho ip/pravidlo disablujes na fw a na net sa nedostane, ak sa zlepsi das len enablew a net mu zase pojde.
Niektore programy mozu naozaj vyuzivat okrem tcp aj udp protokol, takze je dobre zablokovat preventivne aj tento.

hej, nasiel som tam aj polozku, ze ktory protokol, myslell som ze ked to nevyplnim, zablokuje vsetky . . . ked som pokusne zadal allp2p, tak sa dostal aj na www . . . dalej som neskusal, ktory by to mohol byt . . . bolo ich tam snad 10 . . . aj tcp, udp . . .

Pokud protokol neuvedes, funguje na vse

aha, no filter je na konci . . . ale www nejde
urcite nefunguje cez data, bo sa tam neda dat SIM, iba wifi . . . a urcite je len na nasej, lebo vsetko naokolo je zaheslovane

Posun jej klidne na zacatek.

Posunul som a zda sa ze funguje . . .

A normální osobní kontakt u vás doma nefunguje? Možná se snažíš technicky řešit něco, na co stačí ústa a uši

Taky se dá wifi před písemkou úplně vypnout, ty se můžeš připojit ethernetem.

ale ano, osobny kontakt je OK, ale jednoducho decka su decka . . . ved to poznam podla seba

Este by som sa spytal . . . vytvorim im druhu wifi (pre hosti) ale chcem ju zapnutu v prac dni od - do, ale v so-ne (vikend) ine v hodiny . . . nasile som aj nejake skripty ktore by som si snad upravil, ale vzdy sa jednalo len od - do, bez rozlisenia dni . . .

Na Mikrotik existuje kopec skolenie, na nejake sa prihlas, pretoze ty chces uz skriptovat a to sa moze lisit aj podla verzie ROS a navyse to uz je vyssia skola manazmentu Mikrotiku, to ti tu tazko niekto poradi, ci spravi.
Teda za prachy ano samozrejme;o).

na tohle neni treba delat skripty. Proste pridej do firewallu pravidla, ktera zakazi provoz na siti pro hosty v urcitych dnech a casech. Pravidlo ve firewallu tohle vse umi. V podstate to same jako zakaz te MAC adresy, jen tam budes mit v pravidle misto MAC adresy rozhrani wifi pro hosty a casy a drop.

pozriem . . . inac nasiel som skript, teda dva, vypnut, zapnut, ktory spusta shceduler, len su tam napevno hodiny na vely tyzden . . . ak by som vedel premenne ktore pouzit na dni v tyzdni, mozno by sa mi to podarilo upravit
ale pozriem do toho firewalu . . . dik.

Klidne si zaloz 10 pravidel, ktere ve vysledku zakazou casy, ktere chces. Mikrotik to zvladne. Podle mne budou stacit 3 pravidla.
Zaloz si pravidlo, ktere to bude blokovat v noci - to bude spolecne pro cely tyden
Zaloz si druhe pravidlo, ktere to bude blokovat pres den ve vsechnich dnes
Zaloz si treti pravidlo, ktere bude blokovat zbyvajici cas jen o vikendu

pozeral som vecer na to, a hej, da sa to, aj to som odskusal, v jednom je to lepsie ako bvypinat klientske wifi - nedostanu sa ani na pc pripojene ethernetom, v druhom zlozitejsie ak bude treba zakaz vypnut - viac klikania . . . adresy som supol do Listu a nad casmi budem musiet porozmyslat ako to co najjednoduchsie, pripadne najintuitivnejsie urobit . . . takze tadialto vedie cesta (zatial) dik . . .

Pravidlo se dá deaktivovat - jedno kliknutí.

ano, lenze jedno pravidlo je od polnoci do rana do siedmej, druhe od osmej do 21, tretie od 21 do polnoci . . . plus este dve na vikend takze ich je spolu 5 ale maka to . . .

Bohuzial nenasiel som sposob, ako to zablokovat cez polnoc . . . napr od 21.00 - 07.00 . . . musim do polnoci, a od polnoci . . .

Ano, to musis. Ale tyhle 2 pravidla v podstate zakazovat nemusis a budou platit cely tyden.
Pak budes mit jedno pravidlo pro vsechni dny a druhe pravidlo pro vikend na dobu mezi tim. A kliknutim povolis jen to, ktere potrebujes.
Dalsi moznost je mit jedno pravidlo, ktere si rozkliknes a zrusis zasrkrtnuti u dne, ktery chces povolit.

Zpět do poradny Odpovědět na původní otázku Nahoru