+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Родительский контроль для определённых MAC адресов

Родительский контроль для определённых MAC адресов, RouterOS

kretzu77

Guest

20.04.2017 15:52:00

Всем привет! Помогите, пожалуйста, настроить родительский контроль для конкретного IP/MAC. Это проблема с настройкой или openDNS вообще не работает? Мне не нужен родительский контроль для всего роутера, а только для одного IP/MAC (у планшета ребёнка). Думаю, он где-то за NAT.

Оборудование: hEX RB750Gr3
Интерфейс провайдера: PPPoE с фиксированным IP

Что я сделал и что не работает:
- Создал новый пул IP-адресов “parental_control”
- Создал новый адрес для родительского контроля
- Создал DHCP-арендование для планшета с этим адресом

- Создал новую сеть с IP openDNS в DNS-сервере: 208.67.222.123 (IP взят с сайта openDNS: https://www.opendns.com/setupguide/?url=familyshield)

И...
...ничего не работает. Интернет на планшете отсутствует.
Если заменить IP DNS на 8.8.8.8, всё работает прекрасно.

Подскажите, что я делаю не так? Есть какая-то альтернатива?
Буду благодарен за помощь. Спасибо!

reinerotto Guest	#2 0 12.05.2017 07:53:00 Я сделал (коммерческий) клон openDNS. Который также можно настроить для отдельных MAC-адресов. Однако для этого нужен приватный сервер и специальный роутер (не MT, но с openwrt/LEDE).

kretzu77 Guest	#3 0 05.05.2017 15:35:00 Никто не пробовал это или для такого рода родительского контроля нет решения?

Sob

Guest

06.05.2017 18:41:00

В твоей конфигурации, скорее всего, есть небольшая ошибка. Либо отправь полный экспорт (выполни в терминале команду "/export hide-sensitive"), либо просто забудь, что ты делал, и принудительно направь все DNS-запросы с заданного MAC-адреса на нужный сервер с помощью dstnat:

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 in-interface=ether2-master protocol=udp src-mac-address=6C:5F:1C:DB:F5:E9 to-addresses=208.67.222.123
add action=dst-nat chain=dstnat dst-port=53 in-interface=ether2-master protocol=tcp src-mac-address=6C:5F:1C:DB:F5:E9 to-addresses=208.67.222.123

kretzu77

Guest

10.05.2017 20:31:00

Я отключил все правила фаервола, но ничего не помогает. Единственная идея — сделать своего рода подсеть с Mikrotik на другой роутер (подключённый к WAN-порту), у которого есть встроенный родительский контроль. Есть какой-нибудь пошаговый туториал по такому способу?

freemannnn

Guest

10.05.2017 20:46:00

Забудь про разные DHCP, пул и адрес для планшета. Попробуй эти правила. Я только что проверил их на своём RB, и они отлично работают. Размести их вверху, перед другими NAT-правилами.

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 protocol=tcp src-mac-address=6C:5F:1C:DB:F5:E9 to-addresses=208.67.222.123 to-ports=53
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-mac-address=6C:5F:1C:DB:F5:E9 to-addresses=208.67.222.123 to-ports=53

kretzu77 Guest	#7 0 12.05.2017 04:14:00 А где я могу настроить кастомный DNS, IP... для планшета? Мне их вручную на планшете прописывать?

freemannnn Guest	#8 0 12.05.2017 05:47:00 IP и DNS уже указаны в моих правилах.

th0massin0 Guest	#9 0 12.05.2017 06:39:00 Простой тест: задать этот DNS прямо на клиенте (отключить фаервол на ROS) и проверить, работает ли. Если нет — значит, ваш провайдер блокирует его.

doneware

Guest

#10

12.05.2017 08:13:00

Ты имеешь в виду что-то вроде «dnsmasq --add-mac»? Эта функция присутствует в кодовой базе oWRT с февраля 2015 года. Также она входит в состав dnrd (http://dnrd.sourceforge.net/). Дело в том, что её можно спокойно запускать в метарутере, но с другой стороны, метарутер в плане общего развертывания в экосистеме Mikrotik довольно ограничен.

reinerotto Guest	#11 0 12.05.2017 08:49:00 Да, это часть истории.

BartoszP

Guest

#12

12.05.2017 11:05:00

Правила Freemannn просто перенаправляют любые DNS-запросы с определённого MAC-адреса на адрес 208.67.222.123, так что даже если дети поменяют настройки DNS на своём компьютере, запросы всё равно попадут на 208… Просто скопируйте эти правила и поменяйте MAC-адрес… Вот такая маленькая «проблемка» у ROS — нет списков MAC-адресов, есть только списки IP-адресов, но… если вам удалось настроить статические назначения IP в DHCP-сервере или вы знаете список IP, за которыми хотите следить, тогда измените правила Freemannnnn так: добавьте action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=Parental-Control-List-IPs to-addresses=208.67.222.123

kretzu77 Guest	#13 0 12.05.2017 15:31:00 Я подключил свой ноутбук прямо к медиа-конвертеру провайдера, настроил PPPoE на ноутбуке, сменил DNS — и всё заработало. С Mikrotik не работает, если менять DNS на нём (ноутбук с LAN-подключением). У меня есть старый роутер (Asus RT-AC68U), и у него есть встроенный родительский контроль. Но только в режиме роутера, конечно. Можешь научить, как сделать из Mikrotik что-то вроде WAN для AV-68U? Если это вообще возможно. Сейчас я использую Asus только в режиме точки доступа (AP) — не думаю, что он заработает в режиме роутера, если подключить кабель с Mikrotik к WAN-порту. В противном случае придётся вернуть его продавцу и всё-таки пользоваться старым Asus. Позже: Только что обнаружил, что если на планшете задать статический IP с DNS по умолчанию 8.8.8.8, а не openDNS, интернета нет.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры