PPPoE server на CRS125-24G-1S-RM

[alexeevalexey]

Призываю на помощь Saab95.

 

 

Прошу помощи в следующем вопросе:

 

Имеется CRS125-24G-1S-RM, требуется настроить на нем PPPoE сервер, клиенты подключаются в медные порты, также необходимо настроить изоляцию портов, чтобы клиенты между собой не общались, да и вообще чтобы клиент кроме как поднять PPPoE сессию и ходить через нее в интернет ничего не мог делать. PPPoE сервер я настроил, теперь стоит вопрос, что дальше, создавать бридж и настраивать правила в фильтре бриджа или есть какой-нибудь иной способ, ведь все же CRS125 - свитч.

[Saab95]

Так повесьте на каждый порт по PPPoE серверу, тогда и изолировать ничего не потребуется. Не забудьте, предварительно, эти порты из бриджа убрать.

Что бы клиенты между собой не общались по адресам, которые им выданы при подключении, нужно сделать фильтр в файрволе, что если входящий адрес = адресу вашей сети и исходящий так же = вашей сети, то дропать пакет.

[alexeevalexey]

Так повесьте на каждый порт по PPPoE серверу, тогда и изолировать ничего не потребуется. Не забудьте, предварительно, эти порты из бриджа убрать.

Что бы клиенты между собой не общались по адресам, которые им выданы при подключении, нужно сделать фильтр в файрволе, что если входящий адрес = адресу вашей сети и исходящий так же = вашей сети, то дропать пакет.

 

т.е. создать 23 pppoe серваре и все? а адрес каждому клиенту давать из разных подсетей? Также нашел вот такой мануал. Если все сделать как в нем, то тоже придется создавать pppoe server на каждый vlan или можно что-нибудь придумать?

[Saab95]

Да, создаете 23 пппое сервера, а в секретах каждому свою учетку, при этом адреса идут по порядку, например 192.168.10.2, 192.168.10.3 и так далее.

 

Другой вариант это объединить все порты в бридж, повесить на него один пппое сервер, на бридже заблокировать передачу данных между портами (сделать это можно в фильтрах бриджа, достаточно создать новое правило, указать имя бриджа в ин и оут бридже и действие дроп, можно вообще без уточнений сразу сделать дроп).

 

Если у вас сеть больше одного коммутатора, тогда настраиваете передачу данных с каждого порта в определенный влан и уже отправляете в центр. Если сеть на базе L3, то запаковываете данные абонентов в EoIP туннель и передаете в центр. Если у вас крупная сеть тогда следует использовать 23 пппое сервера на каждом коммутаторе и авторизаию по радиусу.

 

Сам пппое сервер это просто интерфейс взаимодействия, он определяет с каких портов слушать данные от абонентов, и любой сервер в пределах одной железки может авторизовать любого пользователя из списка абонентов.

[alexeevalexey]

Да, создаете 23 пппое сервера, а в секретах каждому свою учетку, при этом адреса идут по порядку, например 192.168.10.2, 192.168.10.3 и так далее.

 

Другой вариант это объединить все порты в бридж, повесить на него один пппое сервер, на бридже заблокировать передачу данных между портами (сделать это можно в фильтрах бриджа, достаточно создать новое правило, указать имя бриджа в ин и оут бридже и действие дроп, можно вообще без уточнений сразу сделать дроп).

 

Если у вас сеть больше одного коммутатора, тогда настраиваете передачу данных с каждого порта в определенный влан и уже отправляете в центр. Если сеть на базе L3, то запаковываете данные абонентов в EoIP туннель и передаете в центр. Если у вас крупная сеть тогда следует использовать 23 пппое сервера на каждом коммутаторе и авторизаию по радиусу.

 

Сам пппое сервер это просто интерфейс взаимодействия, он определяет с каких портов слушать данные от абонентов, и любой сервер в пределах одной железки может авторизовать любого пользователя из списка абонентов.

 

Благодарю за полезные советы, завел 23 pppoe сервера, все работает на ура, как и хотелось. Есть только одна проблема, не знаю как пробросить порт с внешнего белого IP на внутренний серый PPPoE клиента. У всех клиентов IP статические.

[divxl]

не знаю как пробросить порт с внешнего белого IP на внутренний серый PPPoE клиента. У всех клиентов IP статические.

 

/ip firewall nat
add action=netmap chain=dstnat comment=Serv_ssl dst-address=ВНЕШНИЙ IP dst-port=443 log=yes protocol=tcp to-addresses=ВНУТРЕННИЙ IP to-ports=443

[alexeevalexey]

не знаю как пробросить порт с внешнего белого IP на внутренний серый PPPoE клиента. У всех клиентов IP статические.

 

/ip firewall nat
add action=netmap chain=dstnat comment=Serv_ssl dst-address=ВНЕШНИЙ IP dst-port=443 log=yes protocol=tcp to-addresses=ВНУТРЕННИЙ IP to-ports=443

 

Увы, данный способ не работает, потому и написал, что не знаю как пробросить порт PPPoE клиенту.

[kosmich7]

не знаю как пробросить порт с внешнего белого IP на внутренний серый PPPoE клиента. У всех клиентов IP статические.

 

/ip firewall nat
add action=netmap chain=dstnat comment=Serv_ssl dst-address=ВНЕШНИЙ IP dst-port=443 log=yes protocol=tcp to-addresses=ВНУТРЕННИЙ IP to-ports=443

 

Увы, данный способ не работает, потому и написал, что не знаю как пробросить порт PPPoE клиенту.

У всех работает - у вас нет ?

[Saab95]

Данный способ работает. Но работает тогда, когда белый IP находится на этом же роутере. Нужно понимать, что микротик уже использует некоторые порты, например 80 и т.п., предварительно нужно их отключить или поменять.

[alexeevalexey]

Данный способ работает. Но работает тогда, когда белый IP находится на этом же роутере. Нужно понимать, что микротик уже использует некоторые порты, например 80 и т.п., предварительно нужно их отключить или поменять.

 

Все сделал как написано, не работает. С локалхоста открывается, с другого IP не открывается, захожу по RDP на удаленный сервер, пробую открыть, не работает.

 

[DRiVen]

Очень похоже, что от машины с ftp-сервером пакеты бегут не туда, куда надо. Аплинк один у вас?

[Saab95]

Откройте интерфейс для этого абонента, нажмите кнопку Torch, в ней поставьте все галочки и время вверху не 3 секунды а минут 10, попробуйте открыть фтп снаружи, в списке должны быть показаны пакеты, по ним станет понятно почему не работает.

[alexeevalexey]

Откройте интерфейс для этого абонента, нажмите кнопку Torch, в ней поставьте все галочки и время вверху не 3 секунды а минут 10, попробуйте открыть фтп снаружи, в списке должны быть показаны пакеты, по ним станет понятно почему не работает.

 

Всем спасибо, разобрался. Дело в том, что у меня были открыты только 20 и 21 порты, по ним соединение устанавливалось, а вот порты для пассивного режима проброшены не были, отсюда и вся проблема. Теперь все работает.

 

И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента?

[alexeevalexey]

И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6.

Edited December 6, 2015 by alexeevalexey

[Saab95]

И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента?

 

Нет, так сделать нельзя.

 

И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6.

 

А дальше все само заработает. Но лучше всего поменять им адресацию на какую-то из 10.х.х.х, т.к. тогда вы сможете отключить для них НАТ. Если хотите оставить все как есть, то доступ на антенны будет идти через нат, либо вам надо создать 2 адрес листа с одним именем, в пером указать 10.0.0.0/8 во втором 192.168.99.0/24, и в правиле ната убираете все из dst.address и на вкладке advanced в пункте dst.address list указываете созданный адрес лист, установив восклицательный знак, заодно в него сможете добавлять и другие сети, если потребуется.

[alexeevalexey]

И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента?

 

Нет, так сделать нельзя.

 

И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6.

 

А дальше все само заработает. Но лучше всего поменять им адресацию на какую-то из 10.х.х.х, т.к. тогда вы сможете отключить для них НАТ. Если хотите оставить все как есть, то доступ на антенны будет идти через нат, либо вам надо создать 2 адрес листа с одним именем, в пером указать 10.0.0.0/8 во втором 192.168.99.0/24, и в правиле ната убираете все из dst.address и на вкладке advanced в пункте dst.address list указываете созданный адрес лист, установив восклицательный знак, заодно в него сможете добавлять и другие сети, если потребуется.

 

Спасибо, сейчас попробую. Но когда я повесил на аплинк адрес из подсети антенн, то ничего не взлетело, с микротика антенны пинговались, а вот с pppoe клиента уже нет.

 

Вот сейчас просто добавил адрес на аплинк и все взлетело. Спасибо еще раз)

Edited December 7, 2015 by alexeevalexey

[alexeevalexey]

И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента?

 

Нет, так сделать нельзя.

 

И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6.

 

А дальше все само заработает. Но лучше всего поменять им адресацию на какую-то из 10.х.х.х, т.к. тогда вы сможете отключить для них НАТ. Если хотите оставить все как есть, то доступ на антенны будет идти через нат, либо вам надо создать 2 адрес листа с одним именем, в пером указать 10.0.0.0/8 во втором 192.168.99.0/24, и в правиле ната убираете все из dst.address и на вкладке advanced в пункте dst.address list указываете созданный адрес лист, установив восклицательный знак, заодно в него сможете добавлять и другие сети, если потребуется.

 

Как уже писал ранее, антенны с PPPoE клиента доступны, подскажите пожалуйста, как мне получить к ним доступ извне? Адресацию не менял, антенны по прежнему за NAT с адресацией 192.168.99.0/24

[Saab95]

Извне только подключившись к сети по PPPoE, тогда получите доступ до всего оборудования.

Обычно так все и делают, если не у себя, то устанавливают туннель в центр, если по месту постоянного пребывания, то ставят роутер микротик и его подключают к сети, через него получают и местный интернет, и доступ в сеть.

[alexeevalexey]

И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента?

 

 

Нет, так сделать нельзя.

 

И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6.

 

 

А дальше все само заработает. Но лучше всего поменять им адресацию на какую-то из 10.х.х.х, т.к. тогда вы сможете отключить для них НАТ. Если хотите оставить все как есть, то доступ на антенны будет идти через нат, либо вам надо создать 2 адрес листа с одним именем, в пером указать 10.0.0.0/8 во втором 192.168.99.0/24, и в правиле ната убираете все из dst.address и на вкладке advanced в пункте dst.address list указываете созданный адрес лист, установив восклицательный знак, заодно в него сможете добавлять и другие сети, если потребуется.

 

 

Как уже писал ранее, антенны с PPPoE клиента доступны, подскажите пожалуйста, как мне получить к ним доступ извне? Адресацию не менял, антенны по прежнему за NAT с адресацией 192.168.99.0/24

 

 

 

Решил проблему с доступом к антеннам извне, не получалось из-за того, что был включен доступ к антеннам через https, просто отключил его и сделал проброс портов на микротике. Все заработало.

[alexeevalexey]

Saab95, приветствую, подскажи пожалуйста, как сделать коммуникацию между клиентами PPPoE сервера на скорости порта а не на скорости указанной в профиле абонента, и вообще, можно ли такое сделать?

[nkusnetsov]

alexeevalexey, на скорости порта в CRS125-24G-1S можно делать только switching, L2 коммутацию.

Протоколы точка-точка, среди которых и PPPoE, работают с использованием CPU. Соответственно, если CRS125-24G сам является PPPoE-сервером, то 1Гбит/с между клиентами PPPoE вы не получите даже при десяти клиентах, увы.

 

Либо установить скорость порта 10Мбит/с, тогда да... ;-)

Edited June 26, 2016 by nkusnetsov

[Saab95]

Saab95, приветствую, подскажи пожалуйста, как сделать коммуникацию между клиентами PPPoE сервера на скорости порта а не на скорости указанной в профиле абонента, и вообще, можно ли такое сделать?

 

Можно, тогда нужно убрать из профилей ограничение скорости, и вынести PPPoE терминатор на отдельное устройство, а скорость уже ограничивать на пограничном маршрутизаторе, тогда в интернет им скорость обрежут, а внутри сети они смогут общаться на скорости порта. Вообще это стандартная схема по которой все операторы работают, кто подключает по таким туннелям.

[Nikos_M]

Я у себя на CCR1016 поднял 4 pppoe сервера на 4 портах на 4 ликна но неполучилось увидеть локалку с одного линка на другой, не подскажите что не так сделал. что нужно прописать в НАТ если PPPoE допустим что 10.0.1.0/22 а локалка 192.168.88.0/24 .

[Diamont]

Вообще это стандартная схема по которой все операторы работают, кто подключает по таким туннелям.

Стандартная для нормальных операторов. В России же большинство работает по схеме двойного доступа. Тогда пофиг, где и как терминировать РРРоЕ ибо локальный трафик идёт отдельно.

Edited July 3, 2016 by Diamont

[Saab95]

Я у себя на CCR1016 поднял 4 pppoe сервера на 4 портах на 4 ликна но неполучилось увидеть локалку с одного линка на другой, не подскажите что не так сделал. что нужно прописать в НАТ если PPPoE допустим что 10.0.1.0/22 а локалка 192.168.88.0/24 .

 

Надо что бы трафик с сети 10.0.1.0/22 шел на сеть 192.168.88.0/24 минуя НАТ. Для этого создаете адрес листы, куда помещаете все локальные и абонентские сети, в правиле ната вставляете уточнения, что если трафик идет на адреса, которые есть в адресном листе, то НАТ не делать. Тогда все смогут обмениваться данными.