SlipKo Posted December 18, 2016 (edited) · Report post Добрый день! Тема будет сборная. На данный момент имеем более 200 абонентов и большинство из них это жители многоквартирных домов которые подключаются по PPPoE (данные берутся из Freeradius+MySQL+DaloRadius), остальные подключаются по беспроводке на базе MikroTik, адрес получают по DHCP с абонентской точки доступа и скорость режется там же путем ручного создания Simple Queue на интерфейс ether1, точка доступа получает адрес от базы (если народу не много) или от маршрутера (если народу на базовой много, или баз несколько ставится RB3011 и базовые выполняют роль базовых станции и в маршрутизации не участвуют). Никакого биллинга нет, все происходит вручную (знаю, что это не тру - это не обсуждаем). Хотим: внедрить биллинг и легализоваться. Идея использовать Abills подкупает его сертифицированностью и бесплатностью. По поводу использования PPPoE вопросов пока не возникает, а вот как авторизовывать абонентов по беспроводке это вопрос: PPPoE для авторизации беспроводных клиентов делать не хотелось бы. В ближайшее время появится CCR1016 к которому будет приходить канал от оператора, а также VLAN для подключения базовых станции и многоквартирок. Хотим на CCR1016 повесить PPPoE сервер + как-то авторизовывать Беспроводчиков. У вышестоящего оператора берем пул белых IP. Вопрос: какую схему авторизации выбрать для беспроводных абонентов? Если DHCP то как реализовать? Что вы скажете про Abills в качестве биллинга для данной задачи? P.S. При использовании DHCP для беспроводки, VLAN на абонента не очень хотелось бы. Edited December 18, 2016 by SlipKo Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Svyatoybog Posted December 18, 2016 (edited) · Report post Единственное решение удачное это Pppoe, а авторизация должна быть одинакова для всех, так легче и правильнее Edited December 18, 2016 by Svyatoybog Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ancient Posted December 19, 2016 · Report post Чем вас смущает реализация схемы vlan на абонента? У вас нет никакой автоматизации и вы все ваши железки "ручками" настраиваете что ли? Ну так почитайте форум тут уже предлагалось множество решений. Вопрос то всё равно в том что вам придётся даже PPPoE-клиентов делить сначала на сегменты, а потом и на vlan на абонента переходить, иначе один малейший косяк где-нибудь в конфиге железки и вы получаете кучу веселья в одном общем vlan с PPPoE. Чем по-вашему отличаются клиенты которые работают по радио от проводных? Если вы сделаете радиус-авторизацию на базовых станциях ваши клиенты не смогут зайти за инет заплатить с отрицательным балансом, если это вас и их устраивает то вполне рабочая схема, еще и БС разгрузится, но будучи на месте абонента сами понимаете как это "удобно". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
~AsmodeuS~ Posted December 19, 2016 · Report post 1. для ABillS нет разницы как подключены клиенты и сколько логических схем используется, для оператора службы поддержки абоненты выглядять одинаково плюс есть информация по их физическому подключению. 2. для mikrotik wifi лучше всего использовать модуль Freeradius DHCP (он платный) разадача адресов по DHCP + шейпер + атворегистрация абонентов + страница негативного баланса 3. VLAN per User очень хорошая схема но для провайдеров с неочень опытными администраторами и большим парком оборудования, мы не советуем её использовать, процес внедрения очень размыт. но если конечно есть желание, при помощи ABillS этот процес упрощается в разы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SlipKo Posted December 20, 2016 · Report post Спасибо что откликнулись! Давайте разбираться. На данный момент у меня сделано так: есть 3011, от него есть несколько радиомостов до домов, там стоят D-Link 3026, 3028, 1210-28. На порту 3011 который смотрит в радиомост висит сервер PPPoE отдельный со своим пулом IP адресов, на коммутаторах крому loopdetectов и portsecurity есть изоляция портов, но по факту все в пределах дома в одном VLANе - это плохо? Это то, что касается многоквартирок. Чем мне не нравилась схема с PPPoE у клиента беспроводки - если по какой-то причине у него на мнгновение пропал сигнал радио, то PPPoE сессия оставалась активной, а инета не было пока она не отвалится и роутер абонента не поднимет ее вновь (роутер не наше хозяйство). Редкие случаи, но бывали. Рассматриваю вариант того что на точке доступа у абонента будет подниматься PPPoE сервер, а там уже поднять динамическую маршрутизацию и PPPoE с белым IP пригонять на центральный маршрутер, но мне кажется это с одной стороны идеей хорошее (в том что ограничение скорости будет резаться на абонентском устройстве), с другой стороны какой-то громоздкой + всех нужно будет пробежать и перенастроить. Я правильно понимаю, что вариант с DHCP не нравится никому? Ведь для конечного пользователя это удобно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted December 20, 2016 · Report post а идентифицировать абонов на вафле как будете? по маку, который может любой школьник сменить? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
udaffrzn Posted December 20, 2016 · Report post VLAN-PER-USER. Купите какой-нибудь каталист 3550/3560. Поставьте его в центр. От него тащите клиентские VLANы по беспроводке до конечного порта Ethernet CPE, управление этими CPE - в management vlan. На коммутаторе настройте IP-unnumbered, Option 82 и релейте запросы на DHCP сервер (можно развернуть на сервере с биллингом). Так вы идентифицируете клиента и присвоите ему адрес. Все манипуляции с трафиком - на 3011. Может быть не очень удобный, но реально рабочий вариант. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted December 20, 2016 · Report post VLAN-PER-USER. на вайфае? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Svyatoybog Posted December 20, 2016 · Report post Написал в Л/с Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SlipKo Posted December 20, 2016 · Report post Option 82 штука хорошая, можно ли как-то реализовать нечто подобное на CPE? Ведь они находятся под нашим управлением и мы точно знаем где они стоят. Т.е. делаем vlan для DHCP с изоляцией клиентов на всех уровнях, а адреса сервер dhcp будет выдавать на основании мак адресов и идентификатора cpe. Есть что-то подобное или я двигаюсь в неправильном направлении? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted December 20, 2016 · Report post Option 82 штука хорошая, можно ли как-то реализовать нечто подобное на CPE? нет. только онанизм с EoIP внутри которых гонять вланы. ну или каждую CPE превратить в брас - что есть бредом в случае раздачи белых адресов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
udaffrzn Posted December 21, 2016 · Report post VLAN-PER-USER. на вайфае? :) Так точно. Пример реализации я написал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted December 21, 2016 · Report post у меня что-то большие сомнения, что вланы пролезут в 802.11 - по стандарту там нет поля тега, может конечно какой-то вендор и реализовал свой костыль, но у меня что-то в этом сомнения. а заниматься онанизмом с вланами через EoIP или подобные туннели - как по мне бред. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
udaffrzn Posted December 21, 2016 (edited) · Report post В Ubnt и Mikrotik отлично лезут через bridge как для PTP, так и в случае PTMP. Без использования каких-либо костылей. Edited December 21, 2016 by udaffrzn Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted December 22, 2016 · Report post у меня что-то большие сомнения, что вланы пролезут в 802.11 - по стандарту там нет поля тега, может конечно какой-то вендор и реализовал свой костыль, но у меня что-то в этом сомнения. а заниматься онанизмом с вланами через EoIP или подобные туннели - как по мне бред. На UBNT лезет прозрачно, но можно снять тэг, можно навесить. Но Vlan на юзера в случае радио, имхо, бессмысленный геморрой Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted December 22, 2016 · Report post Но Vlan на юзера в случае радио, имхо, бессмысленный геморрой Почему же? Когда делаете vlan-per-user на обычном свитче вместо запихивания всех портов в один user-vlan, что получаете? (не надо добавлять opt82 для IPoE идентификации, нехороший человек с петлёй/маком шлюза/соседа не испортит жизнь другим, можно задешево сделать per-vlan полисеры на линукс-сервер, ...). Вот те же самые проблемы вы решите и на wifi. Другое дело, лично я не видел на всяком шлаке аля микротик как сделать vlan-per-wifi-client на ихних AP Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted December 23, 2016 (edited) · Report post разделяемая полудуплексная среда. Плюсы сводятся почти к нулю. Edited December 23, 2016 by myth Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
udaffrzn Posted December 23, 2016 · Report post разделяемая полудуплексная среда. Плюсы сводятся почти к нулю. Чем разделяемая полудуплексная среда с vlan-per-user отличается от разделяемая полудуплексная среда без vlan-per-user? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted December 23, 2016 · Report post лишним геморроем при настройке. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted December 23, 2016 · Report post лишним геморроем при настройке. Я так и знал, что будет слив. По сути, это спор vlan-per-user vs shared vlan и к wifi отношения не умеет. Если Wi-Fi умеет делать vlan-per-user, то почему нет? Ну и в провайдинге никто полностью вручную не настраивает каждую железку. Все используют шаблоны и меняют значения или пишут тривиальные конфиг-генераторы на каком-нибудь perl/python/etc. Так что геморрой в настройке одинаков, нужно один раз потратить время на создание шаблона. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted December 24, 2016 · Report post А чем не мила простая изоляция клиентов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted December 24, 2016 · Report post определить кто есть кто не получится. хотя вообще-то по уму это делается прикручиванием радиуса к самой AP, но как оно на тике работает - вопрос... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Svyatoybog Posted December 24, 2016 · Report post Использую авторизацию на базах по протоколу радиус и проблем нет, и там же на базе pppoe server + ospf по сети Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...