Сообщения без ответов | Активные темы


Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 15 из 32<  1 ... 12  13  14  15  16  17  18 ... 32  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  Cool'D
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).

Реклама

Партнер
  Crow26

Member
Статус: Не в сети
Регистрация: 28.04.2012
Откуда: Невинномысск
Народ, вопрос есть по Wi-Fi на RB951G-2HnD. Дома смартфоны и телевизор беспроводную сеть видят без проблем, но вот с ноутбуками, у которых сетевой контроллер Atheros AR956x наблюдаются проблемы. Ноутбуки сеть не видят в списке доступных сетей. Только в паре метров от роутера могут подключиться. Кто знает в чем причина может быть? Настройки смогу вечером показать.
Ранее был какой-то TP-Link. К нему ноуты цеплялись без проблем. Ещё насторожило, что в списке подключенных устройств у двух (скорее всего это и были эти два ноута, но не было времени это проверить) скорость соединения была ограничена 9 мегабитами, хотя на остальных были значения 72 и 54 мегабита.
Всего восемь устройств, работающих по Wi-Fi:
- 5 смартфонов;
- 2 ноутбука;
- телевизор.

_________________
R5 1600, MSI X370-SLI Plus, 2*4Gb 2966MHz, Noctua NH-D14, Corsair Carbide Series 500R, Corsair HX650.

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Crow26 писал(а):
Настройки смогу вечером показать


сначала надо понять что там)
  Crow26

Member
Статус: Не в сети
Регистрация: 28.04.2012
Откуда: Невинномысск
Вот конфигурация:
Конфигурация
# may/10/2019 18:23:58 by RouterOS 6.43.8
# software id = 9E8B-TCM6
#
# model = 951G-2HnD
# serial number = 8A7008CB0B30
/caps-man channel
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=Ce frequency=\
2472 name="For RB951G" tx-power=18
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=Ce frequency=\
2412 name="For mAP" tx-power=18
/interface bridge
add admin-mac=CC:2D:E0:69:C7:21 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=84:16:F9:2F:C3:6F
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-onlyn basic-rates-b="" disabled=no frequency=2472 \
hw-protection-mode=rts-cts hw-retries=6 installation=indoor mode=ap-bridge \
rate-set=configured ssid=Home supported-rates-b="" tx-power=15 \
tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=enabled \
wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=\
datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm,tkip group-encryption=\
aes-ccm name=Home passphrase=****
/caps-man configuration
add channel="For RB951G" country=russia3 datapath=datapath1 datapath.bridge=\
bridge datapath.client-to-client-forwarding=yes mode=ap name=Home \
rx-chains=0,1,2 security=Home security.authentication-types=wpa2-psk \
security.encryption=aes-ccm,tkip security.group-encryption=aes-ccm \
security.passphrase=**** ssid=Home tx-chains=0,1,2
add channel="For mAP" country=russia3 datapath=datapath1 mode=ap name=Home_AP \
security=Home ssid=Home_CAP
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=**** \
wpa2-pre-shared-key=****
/ip pool
add name=dhcp ranges=192.168.0.11-192.168.0.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge lease-time=3d name=defconf
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=Home radio-mac=\
CC:2D:E0:69:C7:21
add action=create-dynamic-enabled master-configuration=Home_AP
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireless cap
set bridge=bridge interfaces=wlan1
/ip address
add address=192.168.0.1/24 comment=defconf interface=bridge network=192.168.0.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server config
set store-leases-disk=3d
/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf dns-server=91.207.136.62 gateway=\
192.168.0.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="Allow IGMP" in-interface=ether1 \
protocol=igmp
add chain=forward dst-port=1234 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=bridge
/ip route
add distance=1 gateway=10.19.19.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
add interface=bridge
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

_________________
R5 1600, MSI X370-SLI Plus, 2*4Gb 2966MHz, Noctua NH-D14, Corsair Carbide Series 500R, Corsair HX650.

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Crow26 писал(а):
Вот конфигурация:


ты в дефолтную конфу вносил свои какие нибудь изменения?

А что к тебя в настройках делает :

/caps-man channel
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=Ce frequency=\
2472 name="For RB951G" tx-power=18
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=Ce frequency=\
2412 name="For mAP" tx-power=18

Пиши полностью тогда , что капсмана поднимал
  Crow26

Member
Статус: Не в сети
Регистрация: 28.04.2012
Откуда: Невинномысск
Вроде как нет. Просто когда смотрел стандартную конфигурацию, то частично она подходила. Хоть опыта с Mikrotik мало, но давненько в университете студентом осваивали Cisco на уровне сертификации CCNA Routing and Switching, так что по части построения сетей немного, но понимаю.
Что касается Capsman, то у меня ещё есть mAP Lite, которая выступает точкой доступа. Информацию почитал как его поднять, конфигурации сделал, на mAP для теста поднялась, но дальше размышляя на тему бесшовного Wi-Fi пришел к мысли, что между роутером и точкой доступа большое пересечение и если я сделаю как по инструкции, т.е. раздать одну конфигурацию на точку и роутер, то одинаковый канал Wi-Fi сделает пакостную вещь.
На данный момент модуль Capsman на роутере выключен
Точка доступа покрывала те зоны, до которых роутер не доставал. До этого была связка TP-Link и mAP Lite. По сути RB951G уже достает до тех мест, где TP-Link'а не хватало и могу убрать mAP Lite.
Что меня однако позабавило - это то, что мощность сигнала у TP-Link'а с внешними антеннами оказалась ниже, чем у RB951G у которого антенны внутри корпуса

_________________
R5 1600, MSI X370-SLI Plus, 2*4Gb 2966MHz, Noctua NH-D14, Corsair Carbide Series 500R, Corsair HX650.

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Crow26 писал(а):
что мощность сигнала у TP-Link'а с внешними антеннами оказалась ниже, чем у RB951G у которого антенны внутри корпуса


ты по 18 dbi выставил, самой собой там будет выше . Дома не рекомендут выше 13-15 выставлять.

По поводу настройки - всегда перед тем как настраивать надо делать полный резет без дефотлтной конфигурации.

Так же лучше сразу писать как вообще что организованно или как хотелось бы организовать и что из оборудования есть :).
  elek

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 09.02.2006
Откуда: на белорусь ?
Фото: 0
Добрый вечер, поставил себе hap ac2 как основной раутер, он подключился к билайну, интернет работает. Но есть две тв приставки от билайн, которые показывают видео в течении пары секунд и перестают. Что нужно настроить в микротике, чтоб работал телек ? Гуглил, но статьи с каким-то совсем разными настройками, не понятно какая из них правильная.
  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
elek, ТВ приставкам кроме прямого билайна ничего не требуется. Настрой порт, который в билайн смотрит как простой свитч (бридж, если с HW overload еще лучше) с портами куда ТВ подключено.

_________________
i7 10700k, ASUS Z490-P, Palit 4070TiS (Gaming PRO OC), 2*8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  elek

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 09.02.2006
Откуда: на белорусь ?
Фото: 0
Ni9999
Нашел туториал, который объясняет как настроить бридж.
Там же кто-то пишет, что бридж это не правильно и нужно настроить Igmp proxy. Пытаюсь установить пакет igmp proxy, но чего-то не ставится :/
Короче это все оказалось не актуально, я не тот пакет пытался установить. Нужно было ставить arm, а я пытался mipsbe.
В общем добавил пакет мультикаста

после перезагрузки добавил правила:
3 chain=input action=accept protocol=igmp in-interface=ether1 log=no log-prefix=""

4 chain=input action=accept protocol=udp log=no log-prefix=""

5 chain=forward action=accept protocol=udp log=no log-prefix=""

Потом в Routing IGMP Proxy
interface: bridge ether1
threshold: 1 1
alternative-subnets: 0.0.0.0/0 0.0.0.0/0
upstream: no yes

Ну и тв заработало.
Не знаю насколько это все правильно, но работает :dntknw:


Последний раз редактировалось elek 11.05.2019 23:32, всего редактировалось 1 раз.

  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
elek igmp нужен чтоб работало IPTV, это вообще про другое ТВ, к тому же чтобы смотреть на компе.

_________________
i7 10700k, ASUS Z490-P, Palit 4070TiS (Gaming PRO OC), 2*8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  elek

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 09.02.2006
Откуда: на белорусь ?
Фото: 0
Ni9999
Странно, но заработало ведь. У билайна вроде как раз iptv. Возможно я ошибаюсь. Просто во всяких tplink и прочем казуальном оборудовании был чекбокс типа "разрешить iptv" или как-то так.
  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
elek, ну теперь у тебя выполняется двойная работа, мультикаст обрабатывается кротиком, отдается на приставку, там снова обрабатывается и показывает тебе. Очень концептуально) А поскольку ТВ это постоянная нагрузка от 3 до 10 мбит, то она обычно довольно ощутима. Лично я у себя настроил так, что аппаратный свитч кротика (2-5 порты) обрабатывает видео, для этго пришлось создать бридж с галкой HW Overload для нужных портов, например 5 порт - БИ, 4 порт - ТВ1 и т.д., а уже остальные порты засунуть в обычный бридж, так как инет, если не качать торренты, совсем маленькую нагрузку дает. А с IGMP proxy я игрался, когда на другие домашние ноуты раздавал ТВ по вайфай. Мне не понравилось, работает не оч) Вот и вся история...

_________________
i7 10700k, ASUS Z490-P, Palit 4070TiS (Gaming PRO OC), 2*8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  elek

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 09.02.2006
Откуда: на белорусь ?
Фото: 0
Ni9999
Я пробовал настроить отдельный бридж, наверное что-то делаю не так, но пропадал интернет.
У меня есть 2 приставки, подключенны к 3 и 4 порту в раутере, к 1 порту подключен wan.
Нужно было создать бридж и добавить туда 1 порт и 3 с 4 ? В настройке микротика я видать совсем нуль, кстати, где можно почитать зачем вообще нужне бридж, то есть самые основы ?
  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
elek, что там читать, бридж это микротиковское название свитча. Тут или IGMP оставляешь или реализуешь хардварную свитчевую тему. Я не знаю как твоем проце и чипе коммутации устроено, это уже тебе искать, может у тебя все порты аппаратно коммутируются или очень мощный проц, который потянет любой вариант бриджа. А так все верно, у тебя будет один бридж с приставками + проводом в Би, второй для обычных компов и прочей мишуры с вайфаями. Почему инет пропадает не ясно, это скорей в торону DHCP, NAT, DNS и иже с ними копать.

_________________
i7 10700k, ASUS Z490-P, Palit 4070TiS (Gaming PRO OC), 2*8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  Crow26

Member
Статус: Не в сети
Регистрация: 28.04.2012
Откуда: Невинномысск
Вставляю свои 5 копеек по поводу ТВ. Возможно, ещё и от поставщика услуг зависит. Например у меня как-то на TP-Link какие-то проблемы с ТВ были. Сказали включить IGMP и что-то с UPnP сделать там. После этого ТВ заработало.
Что касается ноутов, то нашел какой-то параметр и проблема с обнаружением именно на этих ноутах ушла.
mAP Lite пожалуй отключу

_________________
R5 1600, MSI X370-SLI Plus, 2*4Gb 2966MHz, Noctua NH-D14, Corsair Carbide Series 500R, Corsair HX650.

  Evil_Side

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 71
Crow26 писал(а):
как-то

Crow26 писал(а):
какие-то

Crow26 писал(а):
что-то

Crow26 писал(а):
какой-то параметр

_________________
"Для человеческой глупости нет патча"

  Зомбя

Junior
Статус: Не в сети
Регистрация: 03.01.2008
Откуда: Иваново
Уважаемые! Кто-нибудь юзал MikroTik CRS109-8G-1S-2HnD-IN? Интересует простота настройки..
Нужно от модема 4G (обычного свистка) раздать доступ в инет через ethernet на 8 устройств. В яндекс маркете есть пара D-Link'ов с 8 ethernet портами, но отзывы на них кошмарные и MikroTik CRS109-8G-1S-2HnD-IN.
ну и желательно пробросит 4 ethernet на 50 метров от роутера, будет сигнал доходить?
  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
Зомбя писал(а):
на 50 метров от роутера, будет сигнал доходить?
даже на 100 будет.
По основному вопросу не знаю.

_________________
i7 10700k, ASUS Z490-P, Palit 4070TiS (Gaming PRO OC), 2*8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  Evil_Side

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 71
Зомбя писал(а):
Интересует простота настройки..

первая ссылка в гугле
Зомбя писал(а):
MikroTik CRS109-8G-1S-2HnD-IN?

почему именно он? бери любой микрот с usb подешевле, 8к за него под твои задачи нет смысла отдавать

_________________
"Для человеческой глупости нет патча"

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Зомбя писал(а):
CRS109-8G-1S-2HnD-IN.


hap ac^2 бери и норм + коммутатор 8+ портов. Если вафля не нужна - бери 750gr3
Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 15 из 32<  1 ... 12  13  14  15  16  17  18 ... 32  >
-

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 15

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan