[KDmitrii]

Всем привет!

Столкнулся с такой проблемой: не могу сообразить как настроить ВЛАНы со следующей схемой на картинке.

 

От свича приходят два ВЛАНа, например 10 и 100. 10 влан для управления микротиками, а 100 влан для данных пользователей.

RB711UA настроен как "AP BRIDGE", а несколько RB711 настроены как "Stations WDS"

 

Я должен мочь достучатся до Микротиков через 10 ВЛАН, а пользовательский трафик должен быть в 100 ВЛАНе

 

Спасибо.

[Saab95]

На клиентских микротиках создаете бридж1, в него добавляете беспроводной адаптер. На этом бридже создаете влан 10 и 100.

На влане 10 указываете IP адрес для доступа к микротику.

Создаете второй бридж, например бридж2, в него добавляете влан 100 и сетевой порт, данные к абоненту пойдут из влана, а в радио обратно они упакуются во влан.

 

Однако это не правильная схема работы, нужно доступ на точки иметь без влана, а во влане передавать только абонентский трафик, поэтому на первой вашей БС лучше всего сделать так:

 

На сетевом порту создать вланы 10 и 100, влан 10 объединить с бриджем и добавить туда беспроводной адаптер. Далее на бридже создаете влан 100. Что бы данные из 100 влана кабеля попадали в 100 влан радио, создаете еще один бридж и добавляете в него оба влана. Тогда на антеннах абонента адрес управления вешаете просто на бридж, а данные из 100 влана объединяете с сетевым портом.

 

Почему на микротиках нужно управление без влана? Потому что у него есть мак телнет, и список соседей. Поэтому можно заходить на другие микротики удаленно без указания IP, перенастраивать их, в том числе и если монтажники просто подключат антенну к сети, не настраивая.

[KDmitrii]

Спасибо, вроде все получилось, буду тестировать дальше. Вот ещё вопрос возник. При тестировании скорости (средствами микротика) между микротиками скорость в одну сторону 80 мбит\сек в другую сторону больше 30 мбит\сек не вытягивает. Это тест естественно на столе с уровнем антен в 2дцб.

 

Установил: стандарт только-N (А не поддердживаем), NV2, 20 MHz.

 

 

Что обычно подкручивают?

[Saab95]

Попробуйте нстрим для теста, нв2 иногда не адекватно работает на столе. Кроме всего, при тестировании в помещении, не надо мощность ставить 2дбм, ставьте 8-10, разворачивайте антенны немного в потолок, или друг на друга, закрыв чем-то (например курткой), аккуратно меняя положение антенн, добиваетесь отсутствия перекосов сигналов по каналам. Если точки положить антенной в пол, они нормальные скорости не покажут. Иногда вообще лучше в разные комнаты унести и мощность 18дбм.

[KDmitrii]

Странно, что делаю не так? Попробовал на выходных сделать тест. На 8 этаже, через окно поставил RB711UA, выехал на машине с нотником и точкой RB711-2HnD на расстояние 1 км. Прямая видимость. Скорость больше 5-10 мбит\сек не показывало. Игрался со всевозможными настройками но результат тот же.

 

Есть ли вообще возможность по радио мосту (Точка-Много Точка) добиться скорости 60 Мбит\сек в обе стороны, при расстоянии не более 1,5 км.?

 

На картинке (это Статус радио моста на клиентской точки), выделил красным подозрительный на мой взгляд результаты Tx\Rx CCQ качество канала приема\передачи оставляет желать лучшего, почему так?

 

 

ПС. Хочу подчеркнуть, что оборудование 2,4 ГГц и ширина канала 20 МГц, так как это всё куплено для создания радио моста в городе.

Изменено 14 декабря, 2015 пользователем KDmitrii

[Saab95]

Какие антенны используете?

 

Уровни сигналов у вас высокие, однако видно, что в одну сторону канальные скорости низкие. Для теста на базе установите только режим G в настройках адаптера, на вкладке Data Rates поставьте Configured и уберите все галочки с B скоростей, оставив все галочки вверху у G, а внизу только 6М. Уменьшите мощность на базе и клиенте до 18дбм. На базе попробуйте нстрим и нв2. Запускайте тесты, канальные скорости должны быть 54М, прокачка под 30мбит, CCQ под 100. Если у вас не получаются такие скорости, то меняйте частоту. Перебирайте все каналы.

 

Как получите отличные параметры связи, уже можете переходить на N, для этого убираете все галочки у скоростей G на ранее указанной вкладке, а на HT MCS убираете все от 0 до 7, оставив только 8-15, внизу указываете только 8. Проводите тесты. Если качество связи не очень, то убирайте галочки сверху, или наоборот, ставьте снизу, например только 8-9, если CCQ отличное, ставите еще галочку 10 и тестируете, как найдете ту скорость, выше которой не поднимается, устанавливать следующие галочки смысла нет, все равно на скорость не повлияет, а только качество связи испортит.

[divxl]

Saab95

 

Подскажите по VLAN, вы писали:

 

На сетевом порту создать вланы 10 и 100, влан 10 объединить с бриджем и добавить туда беспроводной адаптер. Далее на бридже создаете влан 100. Что бы данные из 100 влана кабеля попадали в 100 влан радио, создаете еще один бридж и добавляете в него оба влана. Тогда на антеннах абонента адрес управления вешаете просто на бридж, а данные из 100 влана объединяете с сетевым портом.

 

А как правильно настроить влан управления и влан данных для беспроводных антенн(клиентов SXT Lite5) настроенных в режиме роутера. Пологаю снимаем 100 Vlan на бридже с беспроводным интерфейсом и настраиваю default route в этот Vlan? Не понятно как изолировать трафик правильно в данном случае?

 

Брал за образец статью на ланмарте, только там прокидывают 1 vlan и с помощью него же и изолируют трафик левый, но судя по статье управление клиентскими антеннами, только через VLAN данных производится.

 

В идеале думал так сделать:

Есть Базовая станция, есть центральный микротик 2011Us, к нему подключено 4 сектора. Хотелось бы для управления иметь одну сеть на центральном микротике, секторах и клиентских антеннах, а трафик пользователь заводить в изолированном VLAN, таким образом получится 4 VLAN данных. На каждые VLAN данных повесить по PPPoE серверу для авторизации по Radius. Как это сделать представляю, но тогда мне не понятно, как изолировать трафик мусорный?

Сейчас все работает без VLAN, хотелось бы привести к более "правильному" виду.

 

Прошу совета, спасибо :)

[Saab95]

Похоже вы не совсем разбираетесь в терминологии.

 

Если у вас есть БС, то вы сетевой порт отделяете от радио, на него вешаете отдельное управление и готово, например выделяете подсеть /28 для адресации баз, или /29, если экономите адреса.

 

Далее решаете, если у вас все абоненты работают за своей антенной в режиме роутера, то на каждой БС бриджуете влан с беспроводным адаптером. Адресация антенн из настроек PPPoE, то есть какой адрес абоненту выдали, по такому и заходите. Делать еще дополнительную адресацию антенн не следует. Отключать абонентов нужно не блокируя его учетку, а блокируя доступ в интернет с этого адреса.

 

Если некоторые клиенты хотят подключить по кабелю несколько компьютеров, то обычно либо используют служебную учетку PPPoE, поверх которой поднимают EoIP в центр, либо пробрасывают отдельный влан, который идет из сетевого порта БС, далее на бридже создаете такой же влан, и оба влана бриджуете вместе, на клиентских антеннах вешаете IP для управления, который размещаете на первом влане PPPoE сервера, либо подключаете их на служебные учетки PPPoE.

 

Еще раз напишу - влан управления использовался на раннем беспроводном оборудовании, когда оно не умело отделять трафик абонента от служебного, в данный момент это не требуется.

 

Если вдруг боитесь, что учетка PPPoE не подключится, то вы всегда сможете попасть в настройки через мак телнет, все клиентские антенны нужно подписывать - обычно логин абонента = имя его антенны.

[divxl]

Похоже вы не совсем разбираетесь в терминологии.

Все верно, спасибо за разъяснения.

Если у вас есть БС, то вы сетевой порт отделяете от радио, на него вешаете отдельное управление и готово, например выделяете подсеть /28 для адресации баз, или /29, если экономите адреса.

Так же прошу совета с адресацией баз. Физически имеется 5 объектов, 1 - центр, стоит биллинг и микротик с белым IP. 2..4 - базовые станции соединены с 1 посредством PPTP тоннелей (планирую перевести на OSPF). На каждом объекте есть микротик NAS, к нему подключены сектора. Так вот как правильно делать адресацию секторов? Как понял из цитаты, нужно выделить сеть например 10.10.10.0/24 и разбить ее на /28 или /29 и на каждом "объекте" ее настроить т.е.

на NAS №2 - 3 сектора и все они будут в подсети /28, вместе с самим NAS, так же и на остальных, верно?

 

Далее решаете, если у вас все абоненты работают за своей антенной в режиме роутера, то на каждой БС бриджуете влан с беспроводным адаптером. Адресация антенн из настроек PPPoE, то есть какой адрес абоненту выдали, по такому и заходите. Делать еще дополнительную адресацию антенн не следует. Отключать абонентов нужно не блокируя его учетку, а блокируя доступ в интернет с этого адреса.

 

При отрицательном балансе происходит переподключение PPPoE сессии и выдается IP из подсети должников, не уверен что можно по другому в Mikbill, разве что сменить тип авторизации с PPPoE на HotSpot. Либо в биллинге смотреть ip должника и в случае чего, попадать на антенну, либо по МАК-телнет.

 

 

Если некоторые клиенты хотят подключить по кабелю несколько компьютеров, то обычно либо используют служебную учетку PPPoE, поверх которой поднимают EoIP в центр

EoIP будет служить для управления коллективной антенной как я понял, но как мне кажется самое простое это:

 

либо подключаете их на служебные учетки PPPoE.

В чем может быть минус просто подключения на служебные учетки? Насколько понимаю, такую учетку можно сделать минуя биллинг и радиус, просто локально на НАС ?

 

Если вдруг боитесь, что учетка PPPoE не подключится, то вы всегда сможете попасть в настройки через мак телнет

 

Думал, что не будет работать при подобном фильтре на секторе:

/interface bridge filter
add action=drop chain=forward disabled=yes in-interface=!vlan_10 log=yes \
   out-interface=!vlan_10

 

все клиентские антенны нужно подписывать - обычно логин абонента = имя его антенны.

Это делаем.

 

Спасибо!

[Saab95]

Так же прошу совета с адресацией баз. Физически имеется 5 объектов, 1 - центр, стоит биллинг и микротик с белым IP. 2..4 - базовые станции соединены с 1 посредством PPTP тоннелей (планирую перевести на OSPF). На каждом объекте есть микротик NAS, к нему подключены сектора. Так вот как правильно делать адресацию секторов? Как понял из цитаты, нужно выделить сеть например 10.10.10.0/24 и разбить ее на /28 или /29 и на каждом "объекте" ее настроить т.е.

на NAS №2 - 3 сектора и все они будут в подсети /28, вместе с самим NAS, так же и на остальных, верно?

 

Например у вас есть центр, для туннелей выделяете сеть 10.0.1.0/24, то есть первый удаленный вынос будет на адресе 10.0.1.1, второй на 10.0.1.2 и т.п.

Если в центре есть еще оборудование, например центральный сервер, биллинг и т.п. То им выделяете адреса из сети 10.0.0.0/24, например на сервере заводите сеть 10.0.0.1/29, адрес 10.0.0.2 вешаете на биллинге, адрес 10.0.0.3 на каком-то другом компе и т.п.

 

На выносе микротик поднимает туннель в центр, и на своем интерфейсе имеет сеть к примеру 10.0.2.1/29, туда подключаете 4 сектора, адресовав их 2, 3, 4 и 5. Если там же нужно подключить какое-то другое оборудование, например хранилище или подобное, то на свободный порт вешаете адрес 10.0.2.9/29 и адресуете. Если к радио не планируете подключать никого, кроме пппое, то вешать туда адреса не надо. Если требуются IP адреса, то на каждый влан сектора вешаете по подсети нужного размера.

 

На втором выносе аналогично, только для удобства можете раздавать сеть 10.0.3.х и т.п.

 

Если у вас НАС на каждом выносе и сливает данные в местный интернет, а по туннелям только связь, это одно. Но можно гнать весь трафик в центр, тогда его упаковываете в туннели, НАТ на выносах отключаете.

 

При отрицательном балансе происходит переподключение PPPoE сессии и выдается IP из подсети должников, не уверен что можно по другому в Mikbill, разве что сменить тип авторизации с PPPoE на HotSpot. Либо в биллинге смотреть ip должника и в случае чего, попадать на антенну, либо по МАК-телнет.

 

Так нельзя делать, при отрицательном балансе биллинг должен добавлять в адрес лист IP абонента, а кто в этом адрес листе есть - тех блокируете, или переадресовываете на страничку с уведомлением. Делается это путем отправки команды на микротик, когда появляются средства - адрес удаляется и все работает.

 

EoIP будет служить для управления коллективной антенной как я понял, но как мне кажется самое простое это:

 

Нет, если вы подключите коллективную антенну, то нужно передать трафик абонентов на пппое сервер, и получить доступ к антенне для управления. Так же нужно заблокировать все кроме пппое с порта в сторону абонентов. Например IP для управления вы поставите на влане сектора и сможете попасть на антенну, однако желательно изолировать трафик абонентов от остальных клиентов, подключенных в режиме роутера. Это вы либо создаете поверх радио влан, бриджуете порт абонентов с ним, а на БС бриджуете его с вланом для коллективного доступа. Другой вариант поднимаете EoIP между IP антенны и центральным пппое сервером, по туннелю бегут данные абонентов.

 

В чем может быть минус просто подключения на служебные учетки? Насколько понимаю, такую учетку можно сделать минуя биллинг и радиус, просто локально на НАС ?

 

Минус в меньшем МТУ. То есть поверх ПППоЕ будет подниматься EoIP туннель, и уже поверх будут идти данные абонентов на ПППоЕ сервер. Плюс такого решения в том, что IP адрес антенны постоянен и не нужно выделять подсети адресов на БС, минус в несколько большей требуемой пропускной способности.

 

Если у вас много баз и в основном подключения на индивидуальные антенны, а коллективные устанавливаются очень редко, то выгодно делать служебные учетки, тогда не потребуется выделять адреса для них, если таких подключений более 10 процентов от всех, то выгоднее уже использовать прямую адресацию, но это, опять же, зависит от схемы сети.

 

Правильная схема такая:

1. В центре скоростной канал интернета.

2. В центре центральный микротик, к которому подключаются выносы по туннелям.

3. В центре PPPoE сервер.

4. К PPPoE серверу проброшены EoIP туннели от каждого выноса, по 4 туннеля с каждого, если там 4 базы.

 

В плюсах такого решения - вся авторизация в центре, удобно контролировать и управлять.

[divxl]

Saab95

 

Спасибо за консультацию, буду оптимизировать.

 

Так нельзя делать, при отрицательном балансе биллинг должен добавлять в адрес лист IP абонента, а кто в этом адрес листе есть - тех блокируете, или переадресовываете на страничку с уведомлением. Делается это путем отправки команды на микротик, когда появляются средства - адрес удаляется и все работает.

 

Не может так мой биллинг, при отрицательном балансе меняется IP, буду думать как обойти это.

 

Если у вас НАС на каждом выносе и сливает данные в местный интернет, а по туннелям только связь, это одно.

 

Работает именно так, т.к. нет возможности физически соединить базы, а аренда l2vpn у провайдеров дороже покупки интернета.

 

Правильная схема такая:

1. В центре скоростной канал интернета.

2. В центре центральный микротик, к которому подключаются выносы по туннелям.

3. В центре PPPoE сервер.

4. К PPPoE серверу проброшены EoIP туннели от каждого выноса, по 4 туннеля с каждого, если там 4 базы.

 

В плюсах такого решения - вся авторизация в центре, удобно контролировать и управлять.

 

У схемы со сливанием интернета на выносах, лучше "отказоутсойчивость", как мне кажется, но надо стремиться к правильной схеме.

[Saab95]

У схемы со сливанием интернета на выносах, лучше "отказоутсойчивость", как мне кажется, но надо стремиться к правильной схеме.

 

Отчасти да, но вы так не можете предоставлять свои белые адреса, а если подключения не легальные, то абоненты видят IP чужого провайдера. Если там канал заблокируют за неуплату, у вас пропадает доступ из центра, а абоненты попадают на сайт провайдера с уведомлении о том, что нет средств, несколько человек позвонят по указанному телефону и спалят контору=) Если все идет через центр, при блокировки у всех перестанет работать интернет, и никуда их не переадресует.

[divxl]

Отчасти да, но вы так не можете предоставлять свои белые адреса, а если подключения не легальные, то абоненты видят IP чужого провайдера. Если там канал заблокируют за неуплату, у вас пропадает доступ из центра, а абоненты попадают на сайт провайдера с уведомлении о том, что нет средств, несколько человек позвонят по указанному телефону и спалят контору=) Если все идет через центр, при блокировки у всех перестанет работать интернет, и никуда их не переадресует.

 

 

Так трафика уже больше 200 мегабит, если в центре взять 200 мегабит по провайдерским тарифам(200 МБит ~ 120 000 р.), то контора останется без денег.

[Saab95]

Так трафика уже больше 200 мегабит, если в центре взять 200 мегабит по провайдерским тарифам(200 МБит ~ 120 000 р.), то контора останется без денег.

 

В центре нужно больше чем 200. Ведь будет суммироваться входящий и исходящий, то есть входящий будет сумма исходящего и входящего трафика в центре, и столько же на отдачу.

[divxl]

В центре нужно больше чем 200. Ведь будет суммироваться входящий и исходящий, то есть входящий будет сумма исходящего и входящего трафика в центре, и столько же на отдачу.

 

Ну да, верно. Тогда выгоднее присоединиться к крупному провайдеру на местах а в центре учет, просто дешевле выйдет и если все брать у одного, то и на СОРМе можно сэкономить.

[divxl]

Saab95

Если у вас НАС на каждом выносе и сливает данные в местный интернет, а по туннелям только связь, это одно.

 

Еще мучает вопрос, как правильно организовать DNS сервер, при моей схеме с местным интернетом на NAS.

 

Какой из вариантов лучше:

 

1. Использовать центральный микротик, куда приходят все тонели и за которым биллинг.

2. Использовать микротики/nas серваре на местах.

3. Поставить отдельный микротик за центральным.

4. Использовать гугл-днс.

5. Или как то иначе?

 

p.s. Использовать провайдерские не предлагать, т.к. разные провайдеры.

 

Сейчас использую вариант №2, но полагаю нужно переделать на №1, верно ?

[Saab95]

Ну да, верно. Тогда выгоднее присоединиться к крупному провайдеру на местах а в центре учет, просто дешевле выйдет и если все брать у одного, то и на СОРМе можно сэкономить.

 

Когда у вас будет СОРМ, то на него нужно сливать зеркалирование всего абонентского трафика, поэтому когда все идет в центр, а там делается НАТ или проходят белые адреса, очень легко зеркалировать. Когда у вас 10 выносов и выход через местный канал, придется полную копию данных передавать в центр, что накладно и экономически не выгодно.

 

2. Использовать микротики/nas серваре на местах.

 

Самый верный вариант, т.к. если у вас отвалится связь с центром, все продолжит работать, при том на местах можете забить любые днс, хоть гугля, хоть провайдера.

Когда у вас будет идти все в центр, то естественно, днс будет уже там.

Если нужно резервирование полное, то можно сделать так - когда есть связь с центром, интернет идет в центр и ДНС в центре, если связь оборвалась, все заворачивается локально.

[divxl]

Когда у вас будет СОРМ, то на него нужно сливать зеркалирование всего абонентского трафика, поэтому когда все идет в центр, а там делается НАТ или проходят белые адреса, очень легко зеркалировать. Когда у вас 10 выносов и выход через местный канал, придется полную копию данных передавать в центр, что накладно и экономически не выгодно.

 

 

Ведем переговоры с одним местным провайдером, утверждает, что если все у него будем покупать, то сделает договор о присоединении. В договоре пропишет все наши точки подключения и в ФСБ отпишется, что трафик идет полностью через их СОРМ и со слов провайдера, нам не потребуется свой СОРМ. Это верно?

[unuser]

Когда у вас будет СОРМ, то на него нужно сливать зеркалирование всего абонентского трафика, поэтому когда все идет в центр, а там делается НАТ или проходят белые адреса, очень легко зеркалировать. Когда у вас 10 выносов и выход через местный канал, придется полную копию данных передавать в центр, что накладно и экономически не выгодно.

 

 

Ведем переговоры с одним местным провайдером, утверждает, что если все у него будем покупать, то сделает договор о присоединении. В договоре пропишет все наши точки подключения и в ФСБ отпишется, что трафик идет полностью через их СОРМ и со слов провайдера, нам не потребуется свой СОРМ. Это верно?

возможно я ошибаюсь), но как только вы заявите про точки радио или ФСБ узнает то ждите беды...

п.с. и вообще тема одна а перешли на СОРМ и прочее...

[Saab95]

Ведем переговоры с одним местным провайдером, утверждает, что если все у него будем покупать, то сделает договор о присоединении. В договоре пропишет все наши точки подключения и в ФСБ отпишется, что трафик идет полностью через их СОРМ и со слов провайдера, нам не потребуется свой СОРМ. Это верно?

 

Если там один провайдер, то вам надо покупать у него L2 каналы (вланы) по которым соедините выносы с центром и будете передавать данные, а в центральной точке, через один большой канал, пускать абонентов в интернет.

Если провайдер не может дать L2, тогда можно все сделать поверх его сети на L3. В любом случае придете к тому, что все затянете в центр. То, что у вас сейчас есть, это пример масштаба сети крупного оператора, у которого во многих местах есть точки стыковки с другими операторами, и они сливают трафик ближайших абонентов по ним, а в случае поломки одной такой точки, весь трафик переходит на оставшиеся. Но там должен стоять в каждой полный комплекс оборудования, что требует огромного количества денег.