首先说点无关的:
前阵子在网上冲浪,看到有人说(大致意思):不明白为什么国内热衷于MikroTik RouterOs,不好用,且所有功能OpenWrt也都有,总之除了MikroTik特有的QOS之外,没有亮点。
我最近也有在了解openWrt(有个无线路由刷上了这系统),虽然才入门,但是我觉得ROS真的比openwrt容易用多了,并且熟练之后几乎可以做任何事,而openwrt,你得对linux熟练...。例如这次要讲的控制ipv6.
.
.
.
这帖子的起因是我发现有部分用户接入了我的网络,并且从流量上看起来是正常上网的,但是他们并没有通过Hotspot认证的。这显然不符合我的预期。
当我查看MikroTik官网WIKI时,发现“Hotspot can work reliably only when IPv4 is used. Hotspot relies on Firewall NAT rules which currently are not supported for IPv6.”
意思就是Hotspot不支持IPV6
.
其实这也可以预见的,你可以在建立Hotspot之后就能发现,所有Hotspot的规则,全是在/ip firewall里面的,而/ipv6 firewall里面,啥都没有。所以ipv6地址的流量不受控。(草率了)
.
难道就只能关了IPV6吗?这就是这次要讲的。
.
其实当用户获取ipv4,和获取ipv6,用的是同一个网卡MAC地址的,这可以从/ipv6 neighbor中证实。
既然有共同点,那就能操作了是不是。
.
做法如下:
首先先在/ipv6 firewall filter中添加一条规则
chain=forward action=drop connection-mark=!ipv6-mark-conn
注意在connection-mark的方框打上感叹号,意思就是“非” ("not")
.
然后在/ip hotspot user profile中,你有使用的配置文件的on-login和on-logout中,写入对应脚本
.
先来看一下on-login的
:local logs [/log find topics=hotspot,account,info,debug];
:set logs [:pick $logs ([:len $logs] - 1)];
:local TrialMacAddress [:pick [log get $logs message] 0 [:find [log get $logs message] " ("]];
:if ([:len $TrialMacAddress]!=17) do={:set $TrialMacAddress [:pick $TrialMacAddress 2 19];};
:local hotSpotComment [/ip hotspot active get [find mac-address=$TrialMacAddress] comment];
:if ($hotSpotComment="") do={:set hotSpotComment $TrialMacAddress};
/ipv6 firewall mangle add src-mac-address=$TrialMacAddress chain=forward action=mark-connection new-connection-mark=ipv6-mark-conn comment=$hotSpotComment;
.
第一行是获取log信息里所有 topics=hotspot,account,info,debug的对象
第二行是裁剪选择最后一个对象。
第三行是获取这个对象的log的message的前段,这段里有mac地址(后段有ip地址,用不上,所以只要前段)
第四行是处理一下mac地址,因为上一行获取的字符串中,当用户是Trial用户的话,是会在mac地址前加上"T-"的。这第四行就是去掉"T-"。
第五行是获取这个mac地址的用户的备注
第六行是看上一行中,是否有获得备注,没有获得的话就用mac地址当备注。(我的用户中,有些我没给他们备注....是我懒惰了)
第七行就是真正做事情的一行,将在/ipv6 firewall mangle中增加新的规则,src-mac-address肯定是上面几行脚本获得的mac地址了,action是标记链接,new-connection-mark可以理解为给新链接取个名。(多条规则使用同一个名字是允许且有效的)
.
.
.
既然有增加了新的规则,那用户下线时,就得删除对应的规则。这就是on-logout要做的事
:local logs [/log find topics=hotspot,info,debug];
:set logs [:pick $logs ([:len $logs] - 1)];
:local TrialMacAddress [:pick [log get $logs message] 0 [:find [log get $logs message] " ("]];
:if ([:len $TrialMacAddress]!=17) do={:set $TrialMacAddress [:pick $TrialMacAddress 2 19];};
/ipv6 firewall mangle remove [find src-mac-address=$TrialMacAddress];
.
基本和上个脚本是差不多的
第一行是获取log信息里所有 topics=hotspot,info,debug的对象(与上方脚本不同的是,topics中没有account)
第二行是裁剪选择最后一个对象。
第三行是同样是获取这个对象的log的message的前段,这段里有mac地址
第四行的作用跟上方的脚本一样
第五行就是删除/ipv6 firewall mangle中,所有匹配src-mac-address的规则
.
.
.
.
到这里,未通过Hotspot认证的用户,就不能再通过IPV6来正常上网冲浪了。
.
.
额外的:
可能有些人想对IPV6地址进行限速操作,这也是可以的。
你需要在 /ipv6 firewall mangle> 增加多一条规则,
chain=forward action=mark-packet new-packet-mark=ipv6-mark-packet passthrough=yes connection-mark=ipv6-mark-conn
connection-mark填写对应的名字,action动作就是标记包(因为queue中只有包标记能用),new-packet-mark就是给新的包标记取个好听点的名字。
.
然后去 /queue simple>增加新的队列
name="ipv6-pcq" target=bridge packet-marks=ipv6-mark-packet limit-at=0/0 max-limit=0/0
name名字就随意了,好听就行
target目标选择你的LAN口就行了,我这里是将Lan桥接在一起了
packet-marks选择刚才建的包标记名字
limit-at和max-limit就是限制了,0代表不限。
.
其实还有个queue 参数,可以让你选择对应的queue类型,如果你选择pcq类型的话,是可以在pcq类型的参数中进行限速设置的。
前阵子在网上冲浪,看到有人说(大致意思):不明白为什么国内热衷于MikroTik RouterOs,不好用,且所有功能OpenWrt也都有,总之除了MikroTik特有的QOS之外,没有亮点。
我最近也有在了解openWrt(有个无线路由刷上了这系统),虽然才入门,但是我觉得ROS真的比openwrt容易用多了,并且熟练之后几乎可以做任何事,而openwrt,你得对linux熟练...。例如这次要讲的控制ipv6.
.
.
.
这帖子的起因是我发现有部分用户接入了我的网络,并且从流量上看起来是正常上网的,但是他们并没有通过Hotspot认证的。这显然不符合我的预期。
当我查看MikroTik官网WIKI时,发现“Hotspot can work reliably only when IPv4 is used. Hotspot relies on Firewall NAT rules which currently are not supported for IPv6.”
意思就是Hotspot不支持IPV6
.
其实这也可以预见的,你可以在建立Hotspot之后就能发现,所有Hotspot的规则,全是在/ip firewall里面的,而/ipv6 firewall里面,啥都没有。所以ipv6地址的流量不受控。(草率了)
.
难道就只能关了IPV6吗?这就是这次要讲的。
.
其实当用户获取ipv4,和获取ipv6,用的是同一个网卡MAC地址的,这可以从/ipv6 neighbor中证实。
既然有共同点,那就能操作了是不是。
.
做法如下:
首先先在/ipv6 firewall filter中添加一条规则
chain=forward action=drop connection-mark=!ipv6-mark-conn
注意在connection-mark的方框打上感叹号,意思就是“非” ("not")
.
然后在/ip hotspot user profile中,你有使用的配置文件的on-login和on-logout中,写入对应脚本
.
先来看一下on-login的
:local logs [/log find topics=hotspot,account,info,debug];
:set logs [:pick $logs ([:len $logs] - 1)];
:local TrialMacAddress [:pick [log get $logs message] 0 [:find [log get $logs message] " ("]];
:if ([:len $TrialMacAddress]!=17) do={:set $TrialMacAddress [:pick $TrialMacAddress 2 19];};
:local hotSpotComment [/ip hotspot active get [find mac-address=$TrialMacAddress] comment];
:if ($hotSpotComment="") do={:set hotSpotComment $TrialMacAddress};
/ipv6 firewall mangle add src-mac-address=$TrialMacAddress chain=forward action=mark-connection new-connection-mark=ipv6-mark-conn comment=$hotSpotComment;
.
第一行是获取log信息里所有 topics=hotspot,account,info,debug的对象
第二行是裁剪选择最后一个对象。
第三行是获取这个对象的log的message的前段,这段里有mac地址(后段有ip地址,用不上,所以只要前段)
第四行是处理一下mac地址,因为上一行获取的字符串中,当用户是Trial用户的话,是会在mac地址前加上"T-"的。这第四行就是去掉"T-"。
第五行是获取这个mac地址的用户的备注
第六行是看上一行中,是否有获得备注,没有获得的话就用mac地址当备注。(我的用户中,有些我没给他们备注....是我懒惰了)
第七行就是真正做事情的一行,将在/ipv6 firewall mangle中增加新的规则,src-mac-address肯定是上面几行脚本获得的mac地址了,action是标记链接,new-connection-mark可以理解为给新链接取个名。(多条规则使用同一个名字是允许且有效的)
.
.
.
既然有增加了新的规则,那用户下线时,就得删除对应的规则。这就是on-logout要做的事
:local logs [/log find topics=hotspot,info,debug];
:set logs [:pick $logs ([:len $logs] - 1)];
:local TrialMacAddress [:pick [log get $logs message] 0 [:find [log get $logs message] " ("]];
:if ([:len $TrialMacAddress]!=17) do={:set $TrialMacAddress [:pick $TrialMacAddress 2 19];};
/ipv6 firewall mangle remove [find src-mac-address=$TrialMacAddress];
.
基本和上个脚本是差不多的
第一行是获取log信息里所有 topics=hotspot,info,debug的对象(与上方脚本不同的是,topics中没有account)
第二行是裁剪选择最后一个对象。
第三行是同样是获取这个对象的log的message的前段,这段里有mac地址
第四行的作用跟上方的脚本一样
第五行就是删除/ipv6 firewall mangle中,所有匹配src-mac-address的规则
.
.
.
.
到这里,未通过Hotspot认证的用户,就不能再通过IPV6来正常上网冲浪了。
.
.
额外的:
可能有些人想对IPV6地址进行限速操作,这也是可以的。
你需要在 /ipv6 firewall mangle> 增加多一条规则,
chain=forward action=mark-packet new-packet-mark=ipv6-mark-packet passthrough=yes connection-mark=ipv6-mark-conn
connection-mark填写对应的名字,action动作就是标记包(因为queue中只有包标记能用),new-packet-mark就是给新的包标记取个好听点的名字。
.
然后去 /queue simple>增加新的队列
name="ipv6-pcq" target=bridge packet-marks=ipv6-mark-packet limit-at=0/0 max-limit=0/0
name名字就随意了,好听就行
target目标选择你的LAN口就行了,我这里是将Lan桥接在一起了
packet-marks选择刚才建的包标记名字
limit-at和max-limit就是限制了,0代表不限。
.
其实还有个queue 参数,可以让你选择对应的queue类型,如果你选择pcq类型的话,是可以在pcq类型的参数中进行限速设置的。
