Как стать автором
Обновить

Комментарии 29

Спасибо вам за серию статей. Благодаря вам перешёл сам на Микротик. И вообще поражает его возможности и гибкость, разве что щи не варит.

Радует общность с Linux, которая лежит в основе RouterOS.

А где там общность? Там же от Линукса только ядро, и то не понятно, насколько.
Я бы с удовольствием заменил бы на микротик мои домашние роутеры, но у меня VPN построен на tinc и никаких способов завести tinc на микроте я не знаю…
Когда настраиваешь MikroTik, узнаешь синтаксис, используемый в Linux. А почему у вас используется именно tinс?
Когда настраиваешь MikroTik, узнаешь синтаксис, используемый в Linux.

Ну может быть. Наверное он действительно чуть более близок к линуксовой консоле, чем какие-нибудь циски/длинки.
А почему у вас используется именно tinс?

Так исторически сложилось =) Мне очень нравится его распределённая структура — что нет определённого сервера, а можно коннектиться к той ноде, к которой удобнее с этой.

wireguard же

Ваш комментарий не понятен.
Это другое! (с) )

Ох и любят же всякие персонажи решать техническими методами нетехнические проблемы...

Пока этот родитель тратил свое время, копаясь с рутерами чтобы огородить - дитё пошло и давно скорешилось с одноклассниками, которые ему и показали на мобилках и рассказали всё, что так старался скрыть родитель. И сделало вывод что с папашей-огорожателем смысла о чем-то говорить не имеет, он и сам не знает, и всё прятать пытается, и времени у него на общение нет - он контроль настраивает...

Я надеюсь, что фразу "… в свете последних событий строгим родителям будет полезно знать, каким образом следует привести свой интернет-трафик в соответствии с интенсивно меняющимся законодательством, если по какой-то причине провайдер до этого не добрался..." вы не восприняли дословно? По тексту встречается сокрытие смысла между строк.

Если коротко, то статья носит технический прикладной характер. Например, как на работе оградить сотрудников от социальных сетей или, что учитывать пентестеру во время очередного аудита.

Спксибо. Это именно контроль. Демонстрация воли, мягкая сила. Патриархальный, но без ремня и без угла. Отличная договороспособность, поле для торговли. Денег не дам? Бабушка даст. Мороженное мама купит. Книжку не початаю? Велосипед не куплю? Актуально, действенно и непреодолимо сговором с мамой бабушкой и дедом. Папа был прав... В туду, пара дней, потраченных на проглатывание статьи точно стоит потратить. Спасибо за потраченные пару месяцев на написание.

Спасибо за статью, интересно. Но, наверное, стоит сказать тем, кто воспримет заголовок буквально, что для решения конкретно задачи родительского контроля достаточно изменить подход к правилам, не ребёнку выдавать статический адрес и запрещать ему что-то, а себе и разрешать всё, по умолчанию всё запрещая. Ещё лучше, сделать отдельные сети со своими портами и сидами для себя и домочадцев.

Хмм, а точно есть смысл городить целую радиус-систему, вланы, подсети, вайфай разделять для такого? Можно же, по идее, сделать белый список адресов, которые статику получают по известному маку, которым можно все, а остальным - детский контроль, который тупо на мангле настраивается. Но вообще, для других нужд хочу семерошный юзерманагер/радиус изучить, да руки не доходят(

MAC — вещь изменчивая, особенно в мобильных устройствах (о чем в начале статьи достаточно подробно написано).

Сертификаты, VLANы, RADIUS контроль на WiFi, всё очень подконтрольно и безопасно! У меня был забавный опыт по этой теме: делал нечто подобное для своего восьмилетнего чада на Open-WRT и единственным ограничением выставлял дневную доступность интернета, так же определял на роутере нужное устройство по MAC, однако, все ограничения были успешно проигнорированы дитём цифрового поколения путём переподключения к соседской открытой точке доступа! И догадался ведь! Хвалил за находчивость и убрал в последствии эти фильтры. В контексте статьи вывод - если у пользователя нет ограничения на выбор сетевых подключений, то иные ограничения ничтожны. Разве что если есть внутренние ресурсы, то не очень удобно будет постоянно переключаться между интернетом и "локальным" доступом.

У Zyxel Keenetic это все вроде из коробки присутствует + возможность подключить SkyDNS cо своими дополнительными фильтрами на всякие gdz.ru + возможность со смартфона смотреть статистику и управлять подключениями устройств.
Сижу на работе, смотрю оценки в дневнике. Трояк за то, что он делал спустя рукава (я же видел вечером) - бан смартфона на остаток дня.

Ага, приучаем к KPI с детства)

Спасибо за статью! Теперь буду пробовать радиус, а то все стартового пинка не хватало.

А с KidKontrol не хватало учета времени онлайн. У себя решил при помощи "умного дома". Устройство с "кнопкой" включает и выключает через апи правило в кидс контрол, попутно учитывая суммарное время. И это "зашло"! Итогом ребенок сам себе включает и выключает интернет, расходуя ежедневное время (3 часа) ему удобными интервалами.

В статье описан домашний вариант контроля.

А можно с помощью впн до домашнего роутера - применять ограничения несмотря на способ подключения к сети. Только впн клиент нужно как то защитить от выключения.

В статье описаны варианты контроля, имеющиеся на борту в RouterOS. Настроить Mangle в «домашних условиях» (не квалифицированному спецу) - скорее роскошь, чем обыденность.

Ваш вопрос про vpn не понятен, разверните мысль.

да, немного не развернуто получилось.

впн на телефоне в основном имел ввиду.

И тогда телефон будет под контролем всегда)

Если я вас правильно понял, то нужно, чтобы мобильное устройство всегда пропускало трафик через впн, даже вне дома. Идея плохая - работающий впн постоянно активен, из-за чего телефон греется, а батарея быстро садится . А так можно , впн сервер задается в качестве шлюза по умолчанию. У вас дома скорее всего на роутере работает впн клиент. Тогда нужно или впн сервер настроить под нужные задачи, либо трафик от мобильного устройства заворачивать через другого клиента впн (роутера).

Идея плохая - работающий впн постоянно активен, из-за чего телефон греется, а батарея быстро садится

Wireguard может работать без keepalive, если не требуется постоянный доступ с сервера на клиент. Влияния на автономность особо не заметил, а уж тем более нагрева.

А что там с передачей маршрутов?

Можно ли по вашей схеме поднять user manager на ros7, а авторизацию производить на другой железке с ros6?

Да.

Уже час сижу над этим и не могу понять, на той самой железке авторизация проходит (в винбокс, для проверки радиуса), но именно по wifi ошибка. Как я понял радиус именно на вайфай авторизацию отвечает fail.

Всё сделал, проблема решилась удалением с созданием новых пользователей в usermanager! Спасибо за статью)

Коса на камень, такое бывает!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий