Terol

Нарыл решение на форуме mikrotik. Итоговая компиляция 1. Set CAPsMAN to discover address 127.0.0.1 /interface wireless cap set caps-man-addresses=127.0.0.1 2. Open Firewall for CAPsMAN, (Make sure the firewall rule comes right before the default rule whose comment is "drop all not coming from LAN") /ip firewall filter add chain=output action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247 /ip firewall filter add chain=input action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247 Далее в CAPsMAN в таб provisioning и наблюдаем 127.0.0.1 Источники: https://forum.mikrotik.com/viewtopic.php?f=7&t=127517 https://forum.mikrotik.com/viewtopic.php?t=109377#p553944

Всем привет! Приобрел hap ac 2 и и пытаюсь им заменить hap ac lite. До этого настраивал CAPsMAN на hap ac lite (в паре с 2 WAP ac) (опираясь на https://2keep.net/mikrotik-capsman-v2-hap-ac-lite/) но с hap ac 2 столкнулся с проблемой что он он видит в CAPsMAN собственые wi-fi интерфейсы. WAP AC нормально видится и подхватывает конфигурацию а сам hap ac 2 - не видит. Ниже конфиг # may/02/2018 22:48:44 by RouterOS 6.42.1 # software id = CK3K-T5I3 # # model = RouterBOARD D52G-5HacD2HnD-TC # serial number = 8A2A08B1335C /caps-man channel add band=2ghz-onlyn control-channel-width=20mhz extension-channel=disabled \ frequency=2412 name=lefoss-2.4g-1F tx-power=20 add band=2ghz-onlyn control-channel-width=20mhz extension-channel=disabled \ frequency=2437 name=lefoss-2.4g-2F tx-power=20 add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce \ frequency=5180 name=lefoss-5g-1F tx-power=20 add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce \ frequency=5220 name=lefoss-5g-2F tx-power=20 /interface bridge add admin-mac=CC:2D:E0:C2:CE:DB auto-mac=no comment=defconf name=bridge /interface ethernet set [ find default-name=ether1 ] name=ether1-tlstar-optic-source /interface pppoe-client add add-default-route=yes disabled=no interface=ether1-tlstar-optic-source \ name=pppoe-tlstar-internet password=yyyy use-peer-dns=yes user=xxxx /interface wireless # managed by CAPsMAN set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \ distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-C2CEDF \ wireless-protocol=802.11 # managed by CAPsMAN set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\ 20/40/80mhz-Ceee distance=indoors frequency=auto mode=ap-bridge ssid=\ MikroTik-C2CEE0 wireless-protocol=802.11 /caps-man datapath add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=\ lefoss-datapath /caps-man security add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \ group-key-update=10m name=lefoss-security passphrase=papa&papa /caps-man configuration add channel=lefoss-5g-2F country=russia3 datapath=lefoss-datapath mode=ap \ name=cfg-5G rx-chains=0,1 security=lefoss-security ssid=lefoss tx-chains=\ 0,1 add channel=lefoss-2.4g-2F country=russia3 datapath=lefoss-datapath mode=ap \ name=cfg-2.4G rx-chains=0,1 security=lefoss-security ssid=lefoss \ tx-chains=0,1 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp ranges=192.168.7.150-192.168.7.199 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled master-configuration=cfg-5G add action=create-dynamic-enabled master-configuration=cfg-2.4G /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge interface=wlan2 add bridge=bridge interface=wlan1 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1-tlstar-optic-source list=WAN add interface=pppoe-tlstar-internet list=WAN /interface wireless cap # set bridge=bridge caps-man-addresses=192.168.7.254 enabled=yes interfaces=\ wlan1,wlan2 /ip address add address=192.168.7.254/24 comment=defconf interface=ether2 network=\ 192.168.7.0 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid interface=\ ether1-tlstar-optic-source /ip dhcp-server network add address=192.168.7.0/24 comment=defconf dns-server=192.168.7.251 domain=\ 192.168.7.1 gateway=192.168.7.254 netmask=24 ntp-server=192.168.7.251 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.7.254 name=router.lan /ip firewall filter add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" \ ipsec-policy=out,none out-interface-list=WAN /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set winbox disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Moscow /system identity set name=lefoss-hap-2 /system routerboard settings set silent-boot=no /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN Что самое обидное - сбрасываю hap ac lite и собираю на нем такую же конфигурацию - он свои интерфейся видит.

Так как тогда быть? Как оформить юридически отношения с провайдерами? Ведь тот же мастерхост как то оформляет отношения с проектами, которые хостит безвозмездно.

Получить лицензию, заключить договора о присоединении сетей. Простите лицензию на что?

Всем доброго времени суток. Нахожусь в такой же ситуации (группа сервисов, в точке подключения провайдеров). Провайдеры заинтересованы в подключении. Подключение провайдеры предоставляют бесплатно. Один из провайдеров предоставляет в зачет предоставляемых нами услуг. Как можно узаконить отношения с провайдерами?

ram_scan, jab - я же вам описал рабочие варианты. В чем проблема? Ни смены не нужно MTU, ни проблем. Такое ощущение что вы не видели мой пост или вам просто потроллить захотелось на форуме.

Для тех кто сомневается описываю реально используемые схемы. Сервер доступа в Internet (Win2003 PPTP) к нему коннектится клиент (Win2003, PPTP persistent connection). Вот так организован доступ в интернет. Через этот тунель я подсоединяюсь с домашней машины (WinXP) до любого VPN PPTP сервера. В принципе мы с свое время когда отлаживали биллинг то были и похлеще схемы. примеры того что работает Постоянная используемая схема: X--HS1===AS1--Y \==========/ где: между HS1 и AS1 - VPN линк (доступ в интернет PPTP) между X и Y VPN линк (доступ к офису из дома PPTP) все на Windows когда отлаживали биллинг: SA1--X===S1===Y--SA2 \==========/ где: между X и S1 - VPN линк (VPN линк до офиса одного сотрудника) между Н и S1 - VPN линк (VPN линк до офиса второго сотрудника) Между SA1 и SA2 - VPN линк (тестовый линк, отлаживали как работает биллинг) Все кроме SA2 - windows, SA2 - FreeBSD под Microsoft Virtual Server Проблем с MTU, да и вообще каких либо проблем с VPN - не испытывали. VPN соединения настраивались по wizard'у, т.е. считай установки по умолчанию. Ps а вот гемморой с шифрованием под FreeBSD и отваливанием линка поимели по полной. Так что пока это под FreeBSD VPN больной на всю голову. Лечится правда рашпилем.

Хорошее мнение. Только как я говорил оно подходит к городам миллионникам. Попробуйте с вашими цисками окупится и запустится без солидного инвестора в тысячниках. у нас один такой с пальцами слил, перепродают его уже дцатый раз. Второй еще не выбрался из долгов. Пионеры как вы их называете, работают.

У них же вроде DHCP работает, или я ошибаюсь ? А если DHCP, то IP не может быть "не тот", потому что нет точной инфы каким он должен быть в данный момент времени. у них это у кого? если DHCP то адрес тоже может быть ТОТ, кстати. DHCP Leasing это назвается.

Согласен, такое можно и автоматом анализировать. RRAS тоже логи сохраняет.Только нужно определиться с критериями подозрительности. Одно дело составлять список тех, кто пользуется инетом, привязанным не к его машине. Другое дело выбирать из них настоящих злоумышленников. Какие критерии? А это как хотите. Мы обычно не прижимаем клиента за выход с разных IP, если начинается разброс или клиент жалуется - то сразу все IP адреса накрываем и народ на ковер вызываем. Бывает тема что клиент дал приятелю попользоваться и потом забыл. Что бы не "давали", блокируем выход с других IP.

sauron, посмотрел Cake - не увидел ограничения скорости пользователю и назначения цены разному трафику (в разные подсети). В abills это как раз есть. P.S. Считать же по времени и по трафику умеют практически все современные биллинги, в том числе и RAE. Смысл тогда менять RAE на Cake?

Андрей, а еще можно обрабатывать логи RADIUS, там пишется с какого IP какой логин входил. Если человек вдруг зашел не с того IP - есть повод призадуматься. У нас RADIUS пишет все эвенты сразу в MS SQL, а потом скрипт выбирает только нужную инфу. После того как поймали нескольких красавцев - воровство паролей практически сошло на нет.

ODBC работает очень медленно. По большей части скорость работы зависит от самих ODBC драйверов. Нормальные бесплатные драйвера видел только для MS продуктов. Как сервер для биллинга windows не слишком хорош. В *nix я могу выключить практически все не нужные мне сервисы. В windows это проблематично. Так же не забываем про стратегию работы с памятью. Она там не слишком удачна. Памяти там должно быть всегда больше чем надо иначе может начаться процесс свопинга. Ну собственно и т.п. и т.д. Как я уже сказал, не пишите вы в сторонние базы. в MS SQL пишет на ура и драйвер ODBC для MS SQL один из быстрых. Для самого биллинга вам его хватит за глаза, для отчетов если не хватает можете на ASP ипользовать OLEDB PostgreSQL, Oracle, Firebird список можно продолжить. Давайте только вспомним, было ли это у них 10 лет назад? а 5 лет назад? Как я уже гоаорил PostgreSQL 8.1 появился недавно, а решение c MS SQL работало еще с версией 6.5. Поднимать же ДВЕ машины (одну для того что бы PostgreSQL работал под Unix, это только 8ка стала найтивной под Windows) ради всего учета, если справляется одна - не по юниксовски как то. :) :] В *nix такой проблемы вообще нет. Можно апдейтится до упора. Перенос с одного железа на другое вообще не представляет сложности (самолично переносил биллинг с двух машин причем с заменой версии СУБД на major). Перенесите FreeBSD. я с ней имел немного секса. Если вы используете патч для поддержки(эмуляции) шифрования то вы поймете о чем я. А если вы заставляете пользователей отключать это -то да. вопрос у вас такой не возникает. *nix решение будет работать на том же, но памяти ему будет надо в двПа раза меньше. не будет. Точнее будет но будет 70-80% нагрузка на CPU. Уже попропробовали. Два человека спросили историю за два года и все это вообще захлебнулось. (ну не умерло конечно но ждали по 5-7 секунд) гляньте хоть вот это Cake. Вещь под GPL лицензией. Функционал маловат, но использовать концепцию и написать свое с большим функционалом или расширить никто не мешает. Спасибо, посмотрю Универсальные биллинги есть... но захочется ли вам платить бешенные деньги за них? Нет. Но сам факт - есть или нет такие? Когда у вас возникнут проблемы с масштабированием решения тогда поймете. я уже ответил вам как это масштабируется. И RRAS сервера в одну базу могут лазить и разнести базы вы тоже можете. Мне abills не понравился реализацией. Реализация будет загибаться при средней нагрузке. Наверное. Не готов вам утверждать обратное. пока не нагружали его сильно. Но интерфейс сильно тормозит. Какова будет устойчивость решения и его масштабируемость? Вы в чем это замеряете, простите? Вы сомневаетесь в работоспособности балансера или в работоспособности каждого сервера по отдельности?

Переполнение счётчика - ситуация стандартная. Это не вызывает проблем. Исправьте алгоритм, перекомпилите, тип проверки на прокрутку, а не на падение точки учёта поставьте, например, по sysUpTime или аналогичному oid (смотря, что у Вас используется в качестве точек учёта). Тут есть немного подводных камней, если оборудование не cisco. Не нравится алгоритм рисовать - читайте 64-битные счётчики (ifHCInOctets ifHCOutOctets). Тут потребуется все лишь oid-ы исправить и скомпилить заново. к сожалению у меня только бинарник. Вообще-то дело билинговой системы байты считать, ограничение скорости либо ставится выделенщику один раз на порту, либо на точке терминации радиусом. Радиус умел отдавать доп.атрибуты как бы не от рождения. Обращаться в SQL за атрибутами радиусы тоже умеют давно, лет пять, наверное, если не больше. Соединить в SQL таблицы радиуса и билинга дело лёгкое. Платные радиусы, наверно да. Бесплатные - не все и через ж. (у кого то меняются местами входящи и исходящие и т. п.). Нет, все конечно реально - но рашпиль :) Будете расти - увидите сами. Никто насильно в рай не тянет ;) может быть. полтора года назад я принял решение погрузиться в мир юникс, до этого был промайкрософтовцем. За полтора года увидел много нового но понял только одно, промышленного решение по цене виндоус в юникс мире нет. Или офигительно дорогие от "отцов" или самоделки под конкретную задачу от местных программеров. Есть postgresql и Oracle. а зачем? postgresql только недавно стал найтивный под Windows, с триггерами у них есть заморочки, ваккум каждые Н-цать часов делать не прикольно. А оракл - вариант, но у них только только появился Express. А за деньги - шибко дорого :) Жаль. Зайдите на opennet и поищите, там есть и халявные и ссылки на сертифицированные. Не поверите изъелозил весь опеннет. Но опеннет вообще странный какой то. Напоминает мне журнал моделист конструктор. Все пишут только о том какие они молодцы и как изобрели очередной велосипед или решили пролему патчем, получить же помощь на опеннет - большая проблема. Я тогда пытался понять как работает QoS и как правильно работать с htb, ответ получил только в fido.

Переведите на MS SQL - MSDE или MS SQL 2005 Express - они бесплатные. Для примера на Celeron 400/512 статистика отдается не больше 2 секунд. в базе история событий с 2000 года.