Mikrotik: Сделать ограничения для доступа в сеть для детей (ограничение по логинам и времени работы в сети, типу трафика и пр..)?
Привет.
В современном доме ребенок умеет уже не только смартфон, но и планшет, ПК, ноутбук и пр...
в некоторых домах детей несколько.
Задача:
1) Сделать ограничение на использование Интернет каждому ребенку, скажем на 1 или 2 часа в день (или 7-14 часов в неделю). Неиспользуемые ограничения не накапливаются и не суммируются "за период"
2) Если в текущем периоде вышли за пределы времени доступа - станица об ограничении (подпись "с уважением, мама" ;) )
3) Ограничение по типу скачиваемого контента, например фильмы если начнут скачивать - то уменьшить скорость скачки до минимального (чтобы за время доступа себе сериалов не накачали, для просмотра когда интернета нету)
4) Список белых сайтов - школа, учебные материалы и пр, для доступа постоянно.
5) Ограничение - ночью никакой доступ не работает (с 21:30 до 7:30)
6) Разумеется - ограничение про всякий "взрослый материал"
7) Наверняка дети смогут придумать обход - нужно "контролировать" этот процесс.
Для решения подобных задач наверняка имеются множество инструментов.
Хочется это сделать на микротике 951, который установлен в квартире
Также подобное решение можно использовать во всяких детских учреждениях, и детских "самостийных сообществах" - например выходной "лагерь в лесу", или т.п.
Спасибо.
update: (вынесено из комментариев)
-ограничение != запрет
-желание сделать ограничение - только прерогатива и обязанность родителя. тут мы обсуждаем техническую ее реализацию, желательно на примере оборудования Микротик, т.к. имеется уже rb951
-интернет провайдер не РосТелеком, поэтому функцию безопасного интернета берем у Яндекс.ДНС "Семейный"
-мы делаем не "конечный продукт" для организаций, а домашнее изделие, которое можно использовать в том числе на семейный праздниках на даче, в лесу, и пр... т.е. временный безопасный доступ.
-пользователь Сергей (@edinorog) позадавал множество правильных и каверзных вопросов, за что ему отдельное спасибо и "два чая этому господину" (с)
-доступ по времени пока реализован средствами mikrotik hotspot, и пока без ограничений для профиля пользователя, только фильтрация по МАК и время сессии на 1 час
не устаю повторять одну вещь. тостер скорее ресурс для ответов. а не для обучения. вы накидали в кучу с полста страниц настроек и ждете ... а чего вы ждете то? вы хоть сами пытались разобраться в этом вопросе? не вижу потуг. вижу только "хочу" "нужно" "а давайте!". а чего давать то?
Maks Dib: ростелеком предоставляет услугу "детский интернет". вопрос фильтрации отпадает. и вы всегда можете прикрыть свой зад фразой "у нас подключена даннная услуга". если у вас проблема стоит с радиус сервером. то уверяю что реализаций тонны. и более элегантные чем вы можете соорудить на миркотике.
такое можно сделать но нужно будет знать mac адреса устройств которые вы хотите ограничить в возможностях. Mac Адресам назначить статичные адреса в сети, а дальше с ними можно делать все что душе угодно
1+2+5) hotspot+voucher позволит вам ограничить по времени использование инета, 4+6) можно вашим клиентам отдавать в место dns серверов провайдера, skydns ( помогает очень сильно ограничить инет для детей)
hotspot сделан и настроен, но ограничение по времени еще не понял как сделать + логины
МАКи прибивать гвоздями - нереально, т.к. устройства могут меняться, приходить уходить новые...
а ограничение должно быть интегральным - поработал ребенок пол часа на большом ПК, у него из 1 часа ограничение осталось всего полчаса на смартфоне или планшете..
Maks Dib: смотрите связку hotspot + ваучеры, аналогичную вещь я делал в инет кафе, только в место микротика был pfsense но разницы никакой, через skydns мы закрыли порнушку и прочую ересь, hotspot с ваучера ограничил время использования инета, логины мы не использовали нам хватало кода из ваучера для авторизации
Maks Dib: А почему бы маки не прибить гвоздями? У вас в любом случае ограниченное количество устройств. Купили планшет - занесли мак в список. Сломался - убрали из списка. Пришло устройство с левым маком - не пускаем. Для взрослых гостей можно сделать отдельный хотспот с логином и паролем, который дети не знают.
В случае авторизации на хотспоте по логину-паролю ограничение будет именно интегральным, как вы хотите.
P.S. Тема чертовски интересна, буду наблюдать.
я думаю вам проще воспользоваться такими вещами как "родительский контроль" в антивируснике ( moicom.ru/roditelskij-kontrol-kasperskij-2015-ili-... ), либо отдельной программой, котороя это позволяет:)
городить дома прокси-сервара и выдавать интернет детям по "талонам" как то сильно муторно:)
антивирус на каждое устройство - хорошая мысль, изучим.
UserManager - не дошли руки, это конечно radius сервер, и там наверное много есть, но прям сейчас не на чем тестировать, последний микротик увез, новый не пришел. (наверное есть эмуляторы...)
Я уже понял что вы себя там на знамя борьбы за психику детей в городе поднимаете. И торгуете настроенными роутерами. Но вы уж извините .... Но это ж Ваша работа. Почему вы её решили переложить на других на тостере?
Сергей: Да ладно, написали бы студенту, что нормально ограничить доступ без Proxy сервера не выйдет, потому что железка начнёт тупить после 5 тыс. строк в конфиг-листе.
Mikrotik тут не силён! Что вы назвали, это всё настраивается в пару нажатий клавиш в KeeneticOS! Я так же раздаю регистрирую все устройства в сети по mac и пока не добавлю устройство оно без доступа в интернет, а после настраиваю каждому маку график доступа прям "с - по" на шкале, и выставляю скорость. Так же переадресацию портов сделать можно на каждый mac, выставить статику в DHCP на этот mac устройства. И по умолчанию настраиваю в фаероволе блок в сети по ip запрещенных сайтов в ручную, могу легко заблокировать любой порт и из сети и из интернета + удобная настройка если у вас статика, блокирование внешних подключений по ip, так же можно блокировать по подсетям. Я в восторге! Вот где всё просто и понятно!
(Не делаю рекламу, но я реально купил микротик и положил на полку, когда понял что он очень "топорно" сделан!)