Jump to content
Калькуляторы

PPPoE server на CRS125-24G-1S-RM

Призываю на помощь Saab95.

 

 

Прошу помощи в следующем вопросе:

 

Имеется CRS125-24G-1S-RM, требуется настроить на нем PPPoE сервер, клиенты подключаются в медные порты, также необходимо настроить изоляцию портов, чтобы клиенты между собой не общались, да и вообще чтобы клиент кроме как поднять PPPoE сессию и ходить через нее в интернет ничего не мог делать. PPPoE сервер я настроил, теперь стоит вопрос, что дальше, создавать бридж и настраивать правила в фильтре бриджа или есть какой-нибудь иной способ, ведь все же CRS125 - свитч.

Share this post


Link to post
Share on other sites

Так повесьте на каждый порт по PPPoE серверу, тогда и изолировать ничего не потребуется. Не забудьте, предварительно, эти порты из бриджа убрать.

Что бы клиенты между собой не общались по адресам, которые им выданы при подключении, нужно сделать фильтр в файрволе, что если входящий адрес = адресу вашей сети и исходящий так же = вашей сети, то дропать пакет.

Share this post


Link to post
Share on other sites

Так повесьте на каждый порт по PPPoE серверу, тогда и изолировать ничего не потребуется. Не забудьте, предварительно, эти порты из бриджа убрать.

Что бы клиенты между собой не общались по адресам, которые им выданы при подключении, нужно сделать фильтр в файрволе, что если входящий адрес = адресу вашей сети и исходящий так же = вашей сети, то дропать пакет.

 

т.е. создать 23 pppoe серваре и все? а адрес каждому клиенту давать из разных подсетей? Также нашел вот такой мануал. Если все сделать как в нем, то тоже придется создавать pppoe server на каждый vlan или можно что-нибудь придумать?

Share this post


Link to post
Share on other sites

Да, создаете 23 пппое сервера, а в секретах каждому свою учетку, при этом адреса идут по порядку, например 192.168.10.2, 192.168.10.3 и так далее.

 

Другой вариант это объединить все порты в бридж, повесить на него один пппое сервер, на бридже заблокировать передачу данных между портами (сделать это можно в фильтрах бриджа, достаточно создать новое правило, указать имя бриджа в ин и оут бридже и действие дроп, можно вообще без уточнений сразу сделать дроп).

 

Если у вас сеть больше одного коммутатора, тогда настраиваете передачу данных с каждого порта в определенный влан и уже отправляете в центр. Если сеть на базе L3, то запаковываете данные абонентов в EoIP туннель и передаете в центр. Если у вас крупная сеть тогда следует использовать 23 пппое сервера на каждом коммутаторе и авторизаию по радиусу.

 

Сам пппое сервер это просто интерфейс взаимодействия, он определяет с каких портов слушать данные от абонентов, и любой сервер в пределах одной железки может авторизовать любого пользователя из списка абонентов.

Share this post


Link to post
Share on other sites

Да, создаете 23 пппое сервера, а в секретах каждому свою учетку, при этом адреса идут по порядку, например 192.168.10.2, 192.168.10.3 и так далее.

 

Другой вариант это объединить все порты в бридж, повесить на него один пппое сервер, на бридже заблокировать передачу данных между портами (сделать это можно в фильтрах бриджа, достаточно создать новое правило, указать имя бриджа в ин и оут бридже и действие дроп, можно вообще без уточнений сразу сделать дроп).

 

Если у вас сеть больше одного коммутатора, тогда настраиваете передачу данных с каждого порта в определенный влан и уже отправляете в центр. Если сеть на базе L3, то запаковываете данные абонентов в EoIP туннель и передаете в центр. Если у вас крупная сеть тогда следует использовать 23 пппое сервера на каждом коммутаторе и авторизаию по радиусу.

 

Сам пппое сервер это просто интерфейс взаимодействия, он определяет с каких портов слушать данные от абонентов, и любой сервер в пределах одной железки может авторизовать любого пользователя из списка абонентов.

 

Благодарю за полезные советы, завел 23 pppoe сервера, все работает на ура, как и хотелось. Есть только одна проблема, не знаю как пробросить порт с внешнего белого IP на внутренний серый PPPoE клиента. У всех клиентов IP статические.

Share this post


Link to post
Share on other sites

не знаю как пробросить порт с внешнего белого IP на внутренний серый PPPoE клиента. У всех клиентов IP статические.

 

/ip firewall nat
add action=netmap chain=dstnat comment=Serv_ssl dst-address=ВНЕШНИЙ IP dst-port=443 log=yes protocol=tcp to-addresses=ВНУТРЕННИЙ IP to-ports=443

Share this post


Link to post
Share on other sites

не знаю как пробросить порт с внешнего белого IP на внутренний серый PPPoE клиента. У всех клиентов IP статические.

 

/ip firewall nat
add action=netmap chain=dstnat comment=Serv_ssl dst-address=ВНЕШНИЙ IP dst-port=443 log=yes protocol=tcp to-addresses=ВНУТРЕННИЙ IP to-ports=443

 

Увы, данный способ не работает, потому и написал, что не знаю как пробросить порт PPPoE клиенту.

Share this post


Link to post
Share on other sites

не знаю как пробросить порт с внешнего белого IP на внутренний серый PPPoE клиента. У всех клиентов IP статические.

 

/ip firewall nat
add action=netmap chain=dstnat comment=Serv_ssl dst-address=ВНЕШНИЙ IP dst-port=443 log=yes protocol=tcp to-addresses=ВНУТРЕННИЙ IP to-ports=443

 

Увы, данный способ не работает, потому и написал, что не знаю как пробросить порт PPPoE клиенту.

У всех работает - у вас нет ?

Share this post


Link to post
Share on other sites

Данный способ работает. Но работает тогда, когда белый IP находится на этом же роутере. Нужно понимать, что микротик уже использует некоторые порты, например 80 и т.п., предварительно нужно их отключить или поменять.

Share this post


Link to post
Share on other sites

Данный способ работает. Но работает тогда, когда белый IP находится на этом же роутере. Нужно понимать, что микротик уже использует некоторые порты, например 80 и т.п., предварительно нужно их отключить или поменять.

 

Все сделал как написано, не работает. С локалхоста открывается, с другого IP не открывается, захожу по RDP на удаленный сервер, пробую открыть, не работает.

 

firewall_ports.PNG

settings.PNG

localhost.PNG

err1.PNG

Share this post


Link to post
Share on other sites

Откройте интерфейс для этого абонента, нажмите кнопку Torch, в ней поставьте все галочки и время вверху не 3 секунды а минут 10, попробуйте открыть фтп снаружи, в списке должны быть показаны пакеты, по ним станет понятно почему не работает.

Share this post


Link to post
Share on other sites

Откройте интерфейс для этого абонента, нажмите кнопку Torch, в ней поставьте все галочки и время вверху не 3 секунды а минут 10, попробуйте открыть фтп снаружи, в списке должны быть показаны пакеты, по ним станет понятно почему не работает.

 

Всем спасибо, разобрался. Дело в том, что у меня были открыты только 20 и 21 порты, по ним соединение устанавливалось, а вот порты для пассивного режима проброшены не были, отсюда и вся проблема. Теперь все работает.

 

И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента?

Share this post


Link to post
Share on other sites

И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6.

Edited by alexeevalexey

Share this post


Link to post
Share on other sites

И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента?

 

Нет, так сделать нельзя.

 

И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6.

 

А дальше все само заработает. Но лучше всего поменять им адресацию на какую-то из 10.х.х.х, т.к. тогда вы сможете отключить для них НАТ. Если хотите оставить все как есть, то доступ на антенны будет идти через нат, либо вам надо создать 2 адрес листа с одним именем, в пером указать 10.0.0.0/8 во втором 192.168.99.0/24, и в правиле ната убираете все из dst.address и на вкладке advanced в пункте dst.address list указываете созданный адрес лист, установив восклицательный знак, заодно в него сможете добавлять и другие сети, если потребуется.

Share this post


Link to post
Share on other sites

И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента?

 

Нет, так сделать нельзя.

 

И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6.

 

А дальше все само заработает. Но лучше всего поменять им адресацию на какую-то из 10.х.х.х, т.к. тогда вы сможете отключить для них НАТ. Если хотите оставить все как есть, то доступ на антенны будет идти через нат, либо вам надо создать 2 адрес листа с одним именем, в пером указать 10.0.0.0/8 во втором 192.168.99.0/24, и в правиле ната убираете все из dst.address и на вкладке advanced в пункте dst.address list указываете созданный адрес лист, установив восклицательный знак, заодно в него сможете добавлять и другие сети, если потребуется.

 

Спасибо, сейчас попробую. Но когда я повесил на аплинк адрес из подсети антенн, то ничего не взлетело, с микротика антенны пинговались, а вот с pppoe клиента уже нет.

 

Вот сейчас просто добавил адрес на аплинк и все взлетело. Спасибо еще раз)

Edited by alexeevalexey

Share this post


Link to post
Share on other sites

И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента?

 

Нет, так сделать нельзя.

 

И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6.

 

А дальше все само заработает. Но лучше всего поменять им адресацию на какую-то из 10.х.х.х, т.к. тогда вы сможете отключить для них НАТ. Если хотите оставить все как есть, то доступ на антенны будет идти через нат, либо вам надо создать 2 адрес листа с одним именем, в пером указать 10.0.0.0/8 во втором 192.168.99.0/24, и в правиле ната убираете все из dst.address и на вкладке advanced в пункте dst.address list указываете созданный адрес лист, установив восклицательный знак, заодно в него сможете добавлять и другие сети, если потребуется.

 

Как уже писал ранее, антенны с PPPoE клиента доступны, подскажите пожалуйста, как мне получить к ним доступ извне? Адресацию не менял, антенны по прежнему за NAT с адресацией 192.168.99.0/24

Share this post


Link to post
Share on other sites

Извне только подключившись к сети по PPPoE, тогда получите доступ до всего оборудования.

Обычно так все и делают, если не у себя, то устанавливают туннель в центр, если по месту постоянного пребывания, то ставят роутер микротик и его подключают к сети, через него получают и местный интернет, и доступ в сеть.

Share this post


Link to post
Share on other sites

И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента?

 

 

Нет, так сделать нельзя.

 

И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6.

 

 

А дальше все само заработает. Но лучше всего поменять им адресацию на какую-то из 10.х.х.х, т.к. тогда вы сможете отключить для них НАТ. Если хотите оставить все как есть, то доступ на антенны будет идти через нат, либо вам надо создать 2 адрес листа с одним именем, в пером указать 10.0.0.0/8 во втором 192.168.99.0/24, и в правиле ната убираете все из dst.address и на вкладке advanced в пункте dst.address list указываете созданный адрес лист, установив восклицательный знак, заодно в него сможете добавлять и другие сети, если потребуется.

 

 

Как уже писал ранее, антенны с PPPoE клиента доступны, подскажите пожалуйста, как мне получить к ним доступ извне? Адресацию не менял, антенны по прежнему за NAT с адресацией 192.168.99.0/24

 

 

 

Решил проблему с доступом к антеннам извне, не получалось из-за того, что был включен доступ к антеннам через https, просто отключил его и сделал проброс портов на микротике. Все заработало.

Share this post


Link to post
Share on other sites

Saab95, приветствую, подскажи пожалуйста, как сделать коммуникацию между клиентами PPPoE сервера на скорости порта а не на скорости указанной в профиле абонента, и вообще, можно ли такое сделать?

Share this post


Link to post
Share on other sites

alexeevalexey, на скорости порта в CRS125-24G-1S можно делать только switching, L2 коммутацию.

Протоколы точка-точка, среди которых и PPPoE, работают с использованием CPU. Соответственно, если CRS125-24G сам является PPPoE-сервером, то 1Гбит/с между клиентами PPPoE вы не получите даже при десяти клиентах, увы.

 

Либо установить скорость порта 10Мбит/с, тогда да... ;-)

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Saab95, приветствую, подскажи пожалуйста, как сделать коммуникацию между клиентами PPPoE сервера на скорости порта а не на скорости указанной в профиле абонента, и вообще, можно ли такое сделать?

 

Можно, тогда нужно убрать из профилей ограничение скорости, и вынести PPPoE терминатор на отдельное устройство, а скорость уже ограничивать на пограничном маршрутизаторе, тогда в интернет им скорость обрежут, а внутри сети они смогут общаться на скорости порта. Вообще это стандартная схема по которой все операторы работают, кто подключает по таким туннелям.

Share this post


Link to post
Share on other sites

Я у себя на CCR1016 поднял 4 pppoe сервера на 4 портах на 4 ликна но неполучилось увидеть локалку с одного линка на другой, не подскажите что не так сделал. что нужно прописать в НАТ если PPPoE допустим что 10.0.1.0/22 а локалка 192.168.88.0/24 .

Share this post


Link to post
Share on other sites

Вообще это стандартная схема по которой все операторы работают, кто подключает по таким туннелям.

Стандартная для нормальных операторов. В России же большинство работает по схеме двойного доступа. Тогда пофиг, где и как терминировать РРРоЕ ибо локальный трафик идёт отдельно.

Edited by Diamont

Share this post


Link to post
Share on other sites

Я у себя на CCR1016 поднял 4 pppoe сервера на 4 портах на 4 ликна но неполучилось увидеть локалку с одного линка на другой, не подскажите что не так сделал. что нужно прописать в НАТ если PPPoE допустим что 10.0.1.0/22 а локалка 192.168.88.0/24 .

 

Надо что бы трафик с сети 10.0.1.0/22 шел на сеть 192.168.88.0/24 минуя НАТ. Для этого создаете адрес листы, куда помещаете все локальные и абонентские сети, в правиле ната вставляете уточнения, что если трафик идет на адреса, которые есть в адресном листе, то НАТ не делать. Тогда все смогут обмениваться данными.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.