آموزش و نحوه کانفیگ پروتکل های تانلینگ ، ایجاد فایروال های حرفه ای ،سرویس های PTP ،روتینگ و …
http://rapidshare.com/files/243138691/MikroTik.Training.All.Categories.by.NeXuS.rar
آموزش قطع کاربران میکروتیک با اکانتینگ ان تی تک پلاس (NTTAC +)
اگر شما هم برای سرویس VPN کاربران خود از میکروتیک استفاده می کنید و برای حسابرسی کاربران از نرم افزار حسابرسی NTTAC Plus استفاده می کنید حتما می دانید که NTTAC این امکان را ندارد که یوزر ها را پس از اتمام اعتبار (در صورتیکه VPN سرور میکروتیک باشد) قطع نماید و کاربران تا زمانی که به سیستم متصل هستند میتوانند از منابع شبکه (اینترنت) استفاده نمایند.
مژده به استفاده کننده گان این برنامه ها این که از این پس دوستان می توانند با استفاده از این برنامه ساده به راحتی کاربران را در میکروتیک پس از اتمام اعتبار قطع نمایند (کیل کنند).
لازم به ذکر است این برنامه برای اجرای نیاز به Net FrameWork. دارد که می توانید آن را از اینجا دانلود کنید.
ابتدا فایل زیر را دانلود نمایید .
NTTAC + Mikrotik Kill Command (MikrotikDcPlus)
سپس باید کلیه تنظیمات لازم روی برنامه NTTAC را که برای سرویس RRAS ویندوز سرور انجام میدادید مرحله به مرحله انجام دهید .
-نصب NTTAC+ و کرک کردن آن
-کپی نمودن فایل های دانلود شده در درایوی که NTTAC+ رو نصب کردید در شاخه NTTacPlus2 و سپس در شاخه External یعنی به طور مثال در آدرسC:\NTTacPlus2\External در نتیجه می بایست فایلهای DiffieHellman.dll, Mikrotikdcplus.exe, Org.Mentalis.Security.dll, Tamir.SharpSSH.dll وجود داشته باشه .
-در برنامه NTTAC+ کلید F10 را فشرده و شروع به ساختن یک کاربر جدید بکنید به این ترتیب که یک نام در قسمت User/Group Name وارد کنید سپس در همان قسمت Max Connection Logins و Privilege را به ۱ تغییر دهید سپس به لبه Password رفته و کلمه عبوری را برای کاربرتان در نظر بگیرید سپس به تب Group Member Ship رفته و PPP رو به سمت چپ انتقال دهید ، بعد از انتخاب گروه به لبه Credits رفته و Initial Timeو Time Left را ثبت کنید و از همه مهمتر دو تیک زیر گزینه Time Left را برداشته و گزینه های Kill User When Exceeding His Time Credit و Kill User When Time Quota Is Over را انتخاب کنید و در نهایت New User را کلیک کنید . خوب تنظیمات مربوط به کاربر تمام شد حالا در صفحه اول F8 را فشرده و مستقیما به لبه Kill رفته و default=”$rsh clear interface $port” را انتخاب کنید و Remove را کلیک کرده سپس در پایین صفحه فقط به جای “$rsh clear interface $port” دستور
“.\external\Mikrotikdcplus.exe $username 192.168.1.1 admin password“
را نوشته یعنی در قسمت سمت چپ Default و سمت راست خط بالا باشد و به ترتیب آی پی میکروتیک ، نام کاربری و در آخر پسورد میکروتیک را وارد نمایید. خوبAdd را کلیک کنید و به لبه TACAC+/RADIUS رفته و گزینه Use Session-Timeout For Disconnection را انتخاب کنید و با ok را کلیک کنید .
کلیه تنظیمات بالا را می توان در خط زیر خلاصه کرد
Default = “.\external\Mikrotikdcplus.exe $username MikrotikIPAddress MikrotikUserName MikrotikPassword“
حالا با خیالی راحت کاربرتون رو وصل کنید و منتظر قطع شدن اون در مدت زمان مشخص شده باشید
لازم به ذکر است که این برنامه برای ارتباط با میکروتیک از SSH روی پورت پیش فرض (۲۲) استفاده می نماید پس نباید سرویس SSH روی روتر غیر فعال شده باشد.
در ضمن این برنامه در سیستم های متعدد تست شده و در حال استفاده می باشد
موارد قابل توجه:
در چند پروژه این اتفاق برای من افتاده که برروی میکروتیک های کرک شده ،پس از انجام کلیه این تنظیمات کاربران قطع نمی شوند .راه حل این بوده است که یکبار دیگر میکروتیک نصب گردد.
کنترل پهنای باند به صورت شناور یکی از بهترین موارد برای کنترل پهنای باند بین کاربران می باشد برای درک بهتر این موضوع سناریوی زیر را دنبال کنید:
۱)فرض کنید میخواهید کل پهنای باند Mb1 خود را بین ۱۰ کاربر به اشتراک بگذارید اولین و ساده ترین روش با استفاده از Simple Queue می باشد مثلا بر اساس IP هر کاربر مقدار پهنای باند آن را مشخص می کنیم.
queue simple add name=Pc1 target-addresses=192.168.0.3 limit-at=128000/
در این روش ما برای هر کامپیوتر(هاست) مقدار ۱۲۸ کیلو بیت را در نظر گرفتیم.این پهنای باند همیشه برای این کاربر اعمال می گردد حتی زمانیکه کاربر دیگری نداریم و کل پهنای باند ۱ مگ ما آزاد است!
۲)مشکل راه اول در اینجاست که با اینکه ما در گیت وی خروجی پهنای باند خالی داریم ولی کاربر اجازه ندارد بیش ار ۱۲۸ کیلو بیت استفاده کند.در بعضی مواقع سیاست بالا بسیار مناسب می باشد چون اگر کاربر اجازه داشته باشد کل پهنای باند ما را اشغال می کند ولی در بعضی مواقع میخواهیم در غیاب کاربران دیگر این پهنای باند به دیگر کاربران اختصاص داده شود(بصورت شناور) و در موقعی که دیگر کاربران وارد شبکه می شوند پهنای باند ها به میزان یکسان (۱۲۸) بین کاربران به اشتراک گذاشته شود.
برای اعمال چنین تنظیماتی می بایست از امکان (PCQ(Per Connection Queue میکروتیک استفاده نماییم.
ابتدا با استفاده از دستور زیر کل پهنای باند ورودی از تمام کاربران را در یک گروه دسته بندی (Mangle) می کنیم تا بتوانیم روی کل گروه (تمامی پکت های رسیده از سمت مشترکین) تنظیمات خود را اعمال کنیم.
مرحله اول:
ip firewall mangle add chain=prerouting action=mark-packet new-packet-mark=all passthrough=no/
استفاده از این دستور کلیه پکت ها را قبل از روت شدن (prerouting) در گروهی به نام all مارک میکند.
سپس برای استفاده از قابلیت Queue Tree دو نوع جدید دلخواه که مثلا ۶۴ کیلو دانلود و ۳۲ کیلو آپلود را اضافه می کنیم این اعداد دقیقا کمترین مقدار پهنای باندی است که به کاربران اختصاص داده میشود.
مرحله دوم:
queue type add name=”PCQ_download” kind=pcq pcq-rate=64000 pcq-classifier=dst-address/
queue type add name=”PCQ_upload” kind=pcq pcq-rate=32000 pcq-classifier=src-address/
در آخر هم دو عدد صف درختی (Queue Tree) برای دانلود و آپلود اضافه می کنیم.
مرحله سوم:
queue tree add parent=global-in queue=PCQ_download packet-mark=all/
queue tree add parent=global-out queue=PCQ_upload packet-mark=all/
اکر دوست ندارید با Mangle و Queue Tree کار کنید میتوانید مرحله ۱ را در نظر نگیرید ، مرحله ۲ و ۳ را انجام دهید و سپس از یک خط زیر استفاده نمائید.
queue simple add queue=PCQ_upload/PCQ_download target-addresses=192.168.0.0/24/
منبع:
http://wiki.mikrotik.com/wiki/PCQ_Examples
http://wiki.mikrotik.com/wiki/PCQ
در سایت زیر می توانید کلیه فیلم های تخصصی و جلسات آموزشی میکروتیک را ببینید .
http://www.tiktube.com
MikroTik related video service
دوستانی هم که به دیدن این فیلم ها علاقه دارند و به علت پایین بودن سرعت اینترنت خود نمی توانند از این فیلم های آموزشی استفاده کنند در نظرات اعلام کنند تا یک عدد دی وی دی یا سی دی از این مجموعه های آموزشی ها برایشان ارسال گردد
mikrotik_com: A great article! RT @catch_fish:http://tinyurl.com/ygnndks Setting up a basic MikroTik، hotspot – Marlborough Wi-Fi
سناریو زیر را در نظر بگیرید :
در شبکه ای قصد داریم کلیه صفحاتی (حتی پیغام های مسنجر) را که کاربران استفاده میکنند را گزارش گیری کنیم همچنین بعلت بیسم بودن شبکه امکان اتصال کاربران موبایل هم به شبکه موجود می باشد پس بصورت پیشفرض نباید روی این شبکه اینترنت Share شده باشد پس با استفاده از میکروتیک امکان دسترسی به اینترنت را با VPN امکان پذیر می سازیم سپس برای جداسازی گزارش ها و دسته بندی روی هر یوزر کاربران ،یک عدد آی پی تعریف می کنیم (از رنج Pool) که هر زمانی که شخص به شبکه برای دریافت اینترنت متصل شد همواره یک آی پی مشخص به آن اختصاص داده شود و سپس در گزارش گیری برروی آی پی تصمیم گیری شود .
برای تنظیمات میکروتیک می بایست پس از فعال نمودن PPTP یا L2TP با ایجاد یک محدوده آی پی (VPN Pool) رنج ۱۹۲٫۱۶۸٫۱٫۱۰-۱۹۲٫۱۶۸٫۱٫۲۵۴ به کاربران امکان اتصال را بدهیم و روت پیشفرض (Default Route) را روی ۱۹۲٫۱۶۸٫۱٫۲ (کش) می نویسیم.
خب تا این قسمت به نظر میاد کلیه تنظیمات صحیح انجام شده وکاربران به راحتی میتوانند از روی کش اینترنت خود را دریافت نمایند.
ولی مشکل اصلی اینجاست که کاربران پس از اتصال VPN کش سرور ۱۹۲٫۱۶۸٫۱٫۲ را پینگ ندارند و به همین دلیل اینترنت ندارند.
مشکل اینجاست که کاربران پس از اتصال VPN روی Interface مجازی PPTP یا L2TP قرار می گیرند و طبق قواعد TCP/IP فقط کاربرانی که با VPN به این سیستم متصل شده اند و روی این Interface مجازی قرار می گیرند میتوانند بین خودشان پکت های ARP را رد و بدل کنند و همدیگر را پینگ کنند و چون ما میخواهیم در رنج آی پی خودمان ولی آی پی در Interface دیگری را پینگ کنیم بدلیل جلوگیری از انتقال پکت های ARP ما نمیتوانیم به طرف مقابل (کش سرور) دسترسی داشته باشیم.
راه حل:
راه حل اول :بصورت دستی MAC آدرس کش سرور را در جدول (ARP Table) اضافه کنیم تا بتوانند با استفاده از پروتکل ARP به همدیگر دسترسی داشته باشند.
راه حل دوم :برروی کارت شبکه ای که برای کش دسترسی مستقیم دارد Proxy ARP را فعال کنیم .
موفق باشید
