alexeevalexey Posted December 1, 2015 · Report post Призываю на помощь Saab95. Прошу помощи в следующем вопросе: Имеется CRS125-24G-1S-RM, требуется настроить на нем PPPoE сервер, клиенты подключаются в медные порты, также необходимо настроить изоляцию портов, чтобы клиенты между собой не общались, да и вообще чтобы клиент кроме как поднять PPPoE сессию и ходить через нее в интернет ничего не мог делать. PPPoE сервер я настроил, теперь стоит вопрос, что дальше, создавать бридж и настраивать правила в фильтре бриджа или есть какой-нибудь иной способ, ведь все же CRS125 - свитч. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 1, 2015 · Report post Так повесьте на каждый порт по PPPoE серверу, тогда и изолировать ничего не потребуется. Не забудьте, предварительно, эти порты из бриджа убрать. Что бы клиенты между собой не общались по адресам, которые им выданы при подключении, нужно сделать фильтр в файрволе, что если входящий адрес = адресу вашей сети и исходящий так же = вашей сети, то дропать пакет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexeevalexey Posted December 2, 2015 · Report post Так повесьте на каждый порт по PPPoE серверу, тогда и изолировать ничего не потребуется. Не забудьте, предварительно, эти порты из бриджа убрать. Что бы клиенты между собой не общались по адресам, которые им выданы при подключении, нужно сделать фильтр в файрволе, что если входящий адрес = адресу вашей сети и исходящий так же = вашей сети, то дропать пакет. т.е. создать 23 pppoe серваре и все? а адрес каждому клиенту давать из разных подсетей? Также нашел вот такой мануал. Если все сделать как в нем, то тоже придется создавать pppoe server на каждый vlan или можно что-нибудь придумать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 2, 2015 · Report post Да, создаете 23 пппое сервера, а в секретах каждому свою учетку, при этом адреса идут по порядку, например 192.168.10.2, 192.168.10.3 и так далее. Другой вариант это объединить все порты в бридж, повесить на него один пппое сервер, на бридже заблокировать передачу данных между портами (сделать это можно в фильтрах бриджа, достаточно создать новое правило, указать имя бриджа в ин и оут бридже и действие дроп, можно вообще без уточнений сразу сделать дроп). Если у вас сеть больше одного коммутатора, тогда настраиваете передачу данных с каждого порта в определенный влан и уже отправляете в центр. Если сеть на базе L3, то запаковываете данные абонентов в EoIP туннель и передаете в центр. Если у вас крупная сеть тогда следует использовать 23 пппое сервера на каждом коммутаторе и авторизаию по радиусу. Сам пппое сервер это просто интерфейс взаимодействия, он определяет с каких портов слушать данные от абонентов, и любой сервер в пределах одной железки может авторизовать любого пользователя из списка абонентов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexeevalexey Posted December 3, 2015 · Report post Да, создаете 23 пппое сервера, а в секретах каждому свою учетку, при этом адреса идут по порядку, например 192.168.10.2, 192.168.10.3 и так далее. Другой вариант это объединить все порты в бридж, повесить на него один пппое сервер, на бридже заблокировать передачу данных между портами (сделать это можно в фильтрах бриджа, достаточно создать новое правило, указать имя бриджа в ин и оут бридже и действие дроп, можно вообще без уточнений сразу сделать дроп). Если у вас сеть больше одного коммутатора, тогда настраиваете передачу данных с каждого порта в определенный влан и уже отправляете в центр. Если сеть на базе L3, то запаковываете данные абонентов в EoIP туннель и передаете в центр. Если у вас крупная сеть тогда следует использовать 23 пппое сервера на каждом коммутаторе и авторизаию по радиусу. Сам пппое сервер это просто интерфейс взаимодействия, он определяет с каких портов слушать данные от абонентов, и любой сервер в пределах одной железки может авторизовать любого пользователя из списка абонентов. Благодарю за полезные советы, завел 23 pppoe сервера, все работает на ура, как и хотелось. Есть только одна проблема, не знаю как пробросить порт с внешнего белого IP на внутренний серый PPPoE клиента. У всех клиентов IP статические. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted December 3, 2015 · Report post не знаю как пробросить порт с внешнего белого IP на внутренний серый PPPoE клиента. У всех клиентов IP статические. /ip firewall nat add action=netmap chain=dstnat comment=Serv_ssl dst-address=ВНЕШНИЙ IP dst-port=443 log=yes protocol=tcp to-addresses=ВНУТРЕННИЙ IP to-ports=443 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexeevalexey Posted December 4, 2015 · Report post не знаю как пробросить порт с внешнего белого IP на внутренний серый PPPoE клиента. У всех клиентов IP статические. /ip firewall nat add action=netmap chain=dstnat comment=Serv_ssl dst-address=ВНЕШНИЙ IP dst-port=443 log=yes protocol=tcp to-addresses=ВНУТРЕННИЙ IP to-ports=443 Увы, данный способ не работает, потому и написал, что не знаю как пробросить порт PPPoE клиенту. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted December 4, 2015 · Report post не знаю как пробросить порт с внешнего белого IP на внутренний серый PPPoE клиента. У всех клиентов IP статические. /ip firewall nat add action=netmap chain=dstnat comment=Serv_ssl dst-address=ВНЕШНИЙ IP dst-port=443 log=yes protocol=tcp to-addresses=ВНУТРЕННИЙ IP to-ports=443 Увы, данный способ не работает, потому и написал, что не знаю как пробросить порт PPPoE клиенту. У всех работает - у вас нет ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 4, 2015 · Report post Данный способ работает. Но работает тогда, когда белый IP находится на этом же роутере. Нужно понимать, что микротик уже использует некоторые порты, например 80 и т.п., предварительно нужно их отключить или поменять. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexeevalexey Posted December 5, 2015 · Report post Данный способ работает. Но работает тогда, когда белый IP находится на этом же роутере. Нужно понимать, что микротик уже использует некоторые порты, например 80 и т.п., предварительно нужно их отключить или поменять. Все сделал как написано, не работает. С локалхоста открывается, с другого IP не открывается, захожу по RDP на удаленный сервер, пробую открыть, не работает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted December 5, 2015 · Report post Очень похоже, что от машины с ftp-сервером пакеты бегут не туда, куда надо. Аплинк один у вас? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 5, 2015 · Report post Откройте интерфейс для этого абонента, нажмите кнопку Torch, в ней поставьте все галочки и время вверху не 3 секунды а минут 10, попробуйте открыть фтп снаружи, в списке должны быть показаны пакеты, по ним станет понятно почему не работает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexeevalexey Posted December 6, 2015 · Report post Откройте интерфейс для этого абонента, нажмите кнопку Torch, в ней поставьте все галочки и время вверху не 3 секунды а минут 10, попробуйте открыть фтп снаружи, в списке должны быть показаны пакеты, по ним станет понятно почему не работает. Всем спасибо, разобрался. Дело в том, что у меня были открыты только 20 и 21 порты, по ним соединение устанавливалось, а вот порты для пассивного режима проброшены не были, отсюда и вся проблема. Теперь все работает. И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexeevalexey Posted December 6, 2015 (edited) · Report post И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6. Edited December 6, 2015 by alexeevalexey Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 7, 2015 · Report post И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента? Нет, так сделать нельзя. И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6. А дальше все само заработает. Но лучше всего поменять им адресацию на какую-то из 10.х.х.х, т.к. тогда вы сможете отключить для них НАТ. Если хотите оставить все как есть, то доступ на антенны будет идти через нат, либо вам надо создать 2 адрес листа с одним именем, в пером указать 10.0.0.0/8 во втором 192.168.99.0/24, и в правиле ната убираете все из dst.address и на вкладке advanced в пункте dst.address list указываете созданный адрес лист, установив восклицательный знак, заодно в него сможете добавлять и другие сети, если потребуется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexeevalexey Posted December 7, 2015 (edited) · Report post И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента? Нет, так сделать нельзя. И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6. А дальше все само заработает. Но лучше всего поменять им адресацию на какую-то из 10.х.х.х, т.к. тогда вы сможете отключить для них НАТ. Если хотите оставить все как есть, то доступ на антенны будет идти через нат, либо вам надо создать 2 адрес листа с одним именем, в пером указать 10.0.0.0/8 во втором 192.168.99.0/24, и в правиле ната убираете все из dst.address и на вкладке advanced в пункте dst.address list указываете созданный адрес лист, установив восклицательный знак, заодно в него сможете добавлять и другие сети, если потребуется. Спасибо, сейчас попробую. Но когда я повесил на аплинк адрес из подсети антенн, то ничего не взлетело, с микротика антенны пинговались, а вот с pppoe клиента уже нет. Вот сейчас просто добавил адрес на аплинк и все взлетело. Спасибо еще раз) Edited December 7, 2015 by alexeevalexey Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexeevalexey Posted December 17, 2015 · Report post И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента? Нет, так сделать нельзя. И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6. А дальше все само заработает. Но лучше всего поменять им адресацию на какую-то из 10.х.х.х, т.к. тогда вы сможете отключить для них НАТ. Если хотите оставить все как есть, то доступ на антенны будет идти через нат, либо вам надо создать 2 адрес листа с одним именем, в пером указать 10.0.0.0/8 во втором 192.168.99.0/24, и в правиле ната убираете все из dst.address и на вкладке advanced в пункте dst.address list указываете созданный адрес лист, установив восклицательный знак, заодно в него сможете добавлять и другие сети, если потребуется. Как уже писал ранее, антенны с PPPoE клиента доступны, подскажите пожалуйста, как мне получить к ним доступ извне? Адресацию не менял, антенны по прежнему за NAT с адресацией 192.168.99.0/24 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 17, 2015 · Report post Извне только подключившись к сети по PPPoE, тогда получите доступ до всего оборудования. Обычно так все и делают, если не у себя, то устанавливают туннель в центр, если по месту постоянного пребывания, то ставят роутер микротик и его подключают к сети, через него получают и местный интернет, и доступ в сеть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexeevalexey Posted December 26, 2015 · Report post И еще вопрос, можно ли настроить UPnP для каждого PPPoE клиента? Нет, так сделать нельзя. И еще прошу помощи вот в каком вопросе. Интернет мне приходит через WDS мост (PowerBeam M5), на микротике поднят DHCP Client на 24 порту (провайдер авторизует по DHCP 85.141.40.0/25). Антенны сидят в подсети 192.168.99.0. Вопрос вот в чем, как мне с PPPoE клиента получить доступ на антенны? Первая часть ясна, на 24 порт вешаю адрес из подсети антенн, допустиv 192.168.99.1, а дальше как? У PPPoE клиента адрес 10.1.0.6. А дальше все само заработает. Но лучше всего поменять им адресацию на какую-то из 10.х.х.х, т.к. тогда вы сможете отключить для них НАТ. Если хотите оставить все как есть, то доступ на антенны будет идти через нат, либо вам надо создать 2 адрес листа с одним именем, в пером указать 10.0.0.0/8 во втором 192.168.99.0/24, и в правиле ната убираете все из dst.address и на вкладке advanced в пункте dst.address list указываете созданный адрес лист, установив восклицательный знак, заодно в него сможете добавлять и другие сети, если потребуется. Как уже писал ранее, антенны с PPPoE клиента доступны, подскажите пожалуйста, как мне получить к ним доступ извне? Адресацию не менял, антенны по прежнему за NAT с адресацией 192.168.99.0/24 Решил проблему с доступом к антеннам извне, не получалось из-за того, что был включен доступ к антеннам через https, просто отключил его и сделал проброс портов на микротике. Все заработало. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexeevalexey Posted June 26, 2016 · Report post Saab95, приветствую, подскажи пожалуйста, как сделать коммуникацию между клиентами PPPoE сервера на скорости порта а не на скорости указанной в профиле абонента, и вообще, можно ли такое сделать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted June 26, 2016 (edited) · Report post alexeevalexey, на скорости порта в CRS125-24G-1S можно делать только switching, L2 коммутацию. Протоколы точка-точка, среди которых и PPPoE, работают с использованием CPU. Соответственно, если CRS125-24G сам является PPPoE-сервером, то 1Гбит/с между клиентами PPPoE вы не получите даже при десяти клиентах, увы. Либо установить скорость порта 10Мбит/с, тогда да... ;-) Edited June 26, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 1, 2016 · Report post Saab95, приветствую, подскажи пожалуйста, как сделать коммуникацию между клиентами PPPoE сервера на скорости порта а не на скорости указанной в профиле абонента, и вообще, можно ли такое сделать? Можно, тогда нужно убрать из профилей ограничение скорости, и вынести PPPoE терминатор на отдельное устройство, а скорость уже ограничивать на пограничном маршрутизаторе, тогда в интернет им скорость обрежут, а внутри сети они смогут общаться на скорости порта. Вообще это стандартная схема по которой все операторы работают, кто подключает по таким туннелям. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nikos_M Posted July 3, 2016 · Report post Я у себя на CCR1016 поднял 4 pppoe сервера на 4 портах на 4 ликна но неполучилось увидеть локалку с одного линка на другой, не подскажите что не так сделал. что нужно прописать в НАТ если PPPoE допустим что 10.0.1.0/22 а локалка 192.168.88.0/24 . Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted July 3, 2016 (edited) · Report post Вообще это стандартная схема по которой все операторы работают, кто подключает по таким туннелям. Стандартная для нормальных операторов. В России же большинство работает по схеме двойного доступа. Тогда пофиг, где и как терминировать РРРоЕ ибо локальный трафик идёт отдельно. Edited July 3, 2016 by Diamont Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 3, 2016 · Report post Я у себя на CCR1016 поднял 4 pppoe сервера на 4 портах на 4 ликна но неполучилось увидеть локалку с одного линка на другой, не подскажите что не так сделал. что нужно прописать в НАТ если PPPoE допустим что 10.0.1.0/22 а локалка 192.168.88.0/24 . Надо что бы трафик с сети 10.0.1.0/22 шел на сеть 192.168.88.0/24 минуя НАТ. Для этого создаете адрес листы, куда помещаете все локальные и абонентские сети, в правиле ната вставляете уточнения, что если трафик идет на адреса, которые есть в адресном листе, то НАТ не делать. Тогда все смогут обмениваться данными. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...