Jump to content
Калькуляторы

Проброс белой IP сети через микротик к клиентам

вышестоящий провайдер выделил белую подсеть ХХХ.ХХХ.122.192/27, шлюз сети ХХХ.ХХХ.122.193 у провайдера.

задача: пробросить сквозь микротик пользователям подсети 10.0.122.192/27 один к одному.  На роутере мониторить полосу, трафик и возможность блокировки по каждому белому IP.

сделано:

1. IP-Adresess  на внешем интерфейсе повесил все адреса: ХХХ.ХХХ.122.194 - ХХХ.ХХХ.122.222 - 28 штук

2. IP-Adresess  на внутреннем интерфейсе ( шлюз 10.0.122.193 и подсеть 10.0.122.192/27)

3. IP-firewall-NAT сделал два правила netmap между сетями 1:1

4. IP-Routes  прописал маршрут 

все работает.

Вопросы:

1. на какой сети резать скорость: внутренней или внешней?

2. каким образом лучше блокировать трафик?

Share this post


Link to post
Share on other sites

18 минут назад, EDA_SPB сказал:

1. Входящий на внешнем, исходящий на внутреннем ;)

т.е надо создавать две записи в Queues на канал?

Share this post


Link to post
Share on other sites

Ваша задача в корне не верная. Если провайдер выделил белую сеть, то можно раздать ее напрямую абонентам. А провайдера просите смаршрутизировать ее вам на IP роутера, если он это не может, то анонсите ему адреса через прокси-арп. Тогда все прозрачно и нет проблем с шейперами - абоненты у себя видят белые адреса напрямую и никакой нат не нужен.

Share this post


Link to post
Share on other sites

16 часов назад, Saab95 сказал:

Ваша задача в корне не верная. Если провайдер выделил белую сеть, то можно раздать ее напрямую абонентам. А провайдера просите смаршрутизировать ее вам на IP роутера, если он это не может, то анонсите ему адреса через прокси-арп. Тогда все прозрачно и нет проблем с шейперами - абоненты у себя видят белые адреса напрямую и никакой нат не нужен.

1. дело в том, что для этой пачки адресов провом ограничена скорость. Поэтому мне необходимо назначить каждому IP свою скорость, чтобы какой-нибудь юзер на своем IP не положил весь канал.

2. и, в случае генерации исходящего трафика (вирус словил и пр) необходима блокировка трафика.

Share this post


Link to post
Share on other sites

В 31.10.2017 в 20:57, shaper сказал:

т.е надо создавать две записи в Queues на канал?

/queue type
add kind=pcq name=pcq_40_down pcq-classifier=dst-address \
    pcq-dst-address6-mask=64 pcq-rate=41M pcq-src-address6-mask=64 \
    pcq-total-limit=64000
add kind=pcq name=pcq_40_up pcq-classifier=src-address \
    pcq-dst-address6-mask=64 pcq-rate=41M pcq-src-address6-mask=64 \
    pcq-total-limit=64000
add kind=pcq name=pcq_55_down pcq-classifier=dst-address \
    pcq-dst-address6-mask=64 pcq-rate=57M pcq-src-address6-mask=64 \
    pcq-total-limit=64000
add kind=pcq name=pcq_55_up pcq-classifier=src-address \
    pcq-dst-address6-mask=64 pcq-rate=57M pcq-src-address6-mask=64 \
    pcq-total-limit=64000
/queue tree
add name=Total_download parent=global-out priority=1
add name=Total_upload parent=global-out priority=1
add name=queue_40_up packet-mark=mark_40_up parent=Total_upload \
    priority=1 queue=pcq_40_up
add name=queue_40_down packet-mark=mark_40_down parent=\
    Total_download priority=1 queue=pcq_40_down
add name=queue_55_up packet-mark=mark_55_up parent=Total_upload \
    priority=1 queue=pcq_55_up
add name=queue_55_down packet-mark=mark_55_down parent=\
    Total_download priority=1 queue=pcq_55_down
/ip firewall address-list
add address=10.10.1.1 list=list_40
add address=10.10.1.2 list=list_40
add address=10.10.1.3 list=list_55
add address=10.10.1.4 list=list_55
/ip firewall mangle
add action=mark-packet chain=forward comment=list_40_up \
    new-packet-mark=mark_40_up passthrough=no src-address-list=\
    list_40
add action=mark-packet chain=forward comment=list_40_down \
    dst-address-list=list_40 new-packet-mark=mark_40_down \
    passthrough=no
add action=mark-packet chain=forward comment=list_55_up \
    new-packet-mark=mark_55_up passthrough=no src-address-list=\
    list_55
add action=mark-packet chain=forward comment=list_55_down \
    dst-address-list=list_55 new-packet-mark=mark_55_down \
    passthrough=no

 

Share this post


Link to post
Share on other sites

В 01.11.2017 в 16:58, shaper сказал:

1. дело в том, что для этой пачки адресов провом ограничена скорость. Поэтому мне необходимо назначить каждому IP свою скорость, чтобы какой-нибудь юзер на своем IP не положил весь канал.

2. и, в случае генерации исходящего трафика (вирус словил и пр) необходима блокировка трафика.

1. Так раздаете абонентам белые адреса, на микротике создаете простое правило шейпера, где указываете его IP и ограничение скорости на прием/передачу.

2. В этом случае создаете правило блокировки, где на вкладке advanced указываете src-address-list, в него и помещаете белые IP тех, кому доступ должен быть запрещен.

 

Если стоит задача просто дать всем любую скорость, но что бы кто-то один не забрал весь канал так еще проще - создаете одно простое правило, указав в нем подсеть, которую выдал провайдер. Сделаете ей тип шейпера PCQ с классификаторами по адресу абонента, естественно буфера побольше. Лучше сделать 2 правила PCQ, одно на исходящий, второе на входящий, тогда можно указать соответственно адрес источника и адрес назначения, что бы правило ограничивало трафик только по IP абоненту, а не по связки IP абонента и IP сервера в интернете.

 

А всякие там деревья очередей уже отжили себя. Т.к. на больших объемах трафика, более 1гб, создают большую нагрузку на оборудование, да и не очень удобно управлять трафиком, то есть нет возможности изменять скорости индивидуально по разным критериям, обязательно нужно трафик маркировать.

Share this post


Link to post
Share on other sites

19 часов назад, maxkst сказал:

Послушайте Сааба, дайте пользователям белые адреса, а остальные вопросы - по мере поступления решайте...

не хочу я давать им белые адреса. На оборудовании адреса прописываются статически. Вдруг мне надо будет сменить им маршрут - загнать в другой канал и пр. Нет возможности добраться до оборудования физически и по времени. Выдам белые - останусь без манёвра.

Share this post


Link to post
Share on other sites

8 часов назад, Saab95 сказал:

1. Так раздаете абонентам белые адреса, на микротике создаете простое правило шейпера, где указываете его IP и ограничение скорости на прием/передачу.

2. В этом случае создаете правило блокировки, где на вкладке advanced указываете src-address-list, в него и помещаете белые IP тех, кому доступ должен быть запрещен.

 

1. оставил НАТ. Я просил совета, как лучше резать скорость. Проще и изящнее. Создал правило шейпера на внутреннем адреса на вход/выход - по одному правилу на IP - покритикуйте, если накосячил.

2. Да. сделал через адрес-лист.

 

"Когда человек не понимает суть проблемы, он пытается много объяснять и пишет много формул, поняв же, оставляет всего одну" (Нильс Хенрик Давид Бор)

Share this post


Link to post
Share on other sites

В 03.11.2017 в 11:54, sheft сказал:

а это как?

Допустим при деревьях очередей жестко задаются скорости каждой тарифной группы. То есть имея скорости 5М, 10М и 50М, можно только перекидывать абонентов между группами, либо менять скорость всей группе сразу. Если нужно одному абоненту указать отличную от имеющихся скоростей - требуется создать еще одну группу с нужной скоростью.

 

Когда скорость ограничивается простыми правилами, можно любому абоненту указать какую угодно скорость, при этом не требуется более ничего изменять в других настройках.

 

Вообще с такими проблемами сталкиваются в больших сетях, когда абонентов более 1000 хотя бы. Если смотреть по настройкам вида кривые инструкции, в таких случаях требуется 1000 разрешающих правил файрвола на доступ, 1000 правил манглов.

 

В 03.11.2017 в 20:05, shaper сказал:

1. оставил НАТ. Я просил совета, как лучше резать скорость. Проще и изящнее. Создал правило шейпера на внутреннем адреса на вход/выход - по одному правилу на IP - покритикуйте, если накосячил.

2. Да. сделал через адрес-лист.

 

"Когда человек не понимает суть проблемы, он пытается много объяснять и пишет много формул, поняв же, оставляет всего одну" (Нильс Хенрик Давид Бор)

Так вам и ответили. Что надо выдавать реальные адреса абонентам - это самое верное и правильное решение. Тут в плюсах и снижение нагрузки на оборудование, и простота отладки. Форум на то и есть, что бы направить на верный путь, а не подсказывать как забить гвоздь кирпичом.

Share this post


Link to post
Share on other sites

В 11/3/2017 в 11:47, shaper сказал:

не хочу я давать им белые адреса. На оборудовании адреса прописываются статически. Вдруг мне надо будет сменить им маршрут - загнать в другой канал и пр. Нет возможности добраться до оборудования физически и по времени. Выдам белые - останусь без манёвра.

Ну параллельно с белыми адресами из публичного влана выдайте еще и серые адреса из влана управления, не понял я суть фразы :остаться без маневра:

Share this post


Link to post
Share on other sites

 

18 часов назад, maxkst сказал:

Не понял я суть фразы :остаться без маневра:

может понадобится передать адрес другому пользователю (естественно, забрать у предыдущего). Адреса прописаны на оборудовании статически. И доступа к нему может не быть. 

Share this post


Link to post
Share on other sites

13 часов назад, myth сказал:

dhcp же

Ага, давно так делаем с временем аренды 5-10 минут. Тут и адрес всегда поменять можно, и отобрать. Выдача поштучно без потерь, хоть 0 адрес можно выдать, хоть 255.

Share this post


Link to post
Share on other sites

тут... до меня делали.... в пользовательском ВЛАНе аж ТРИ сети: белая и две серых. И пару неуправляемых железок посередине.  Не готов пока разгребать.

 

а если машинка в сети с терминальной сессией? как отразится на сеансе постоянная выдача адреса?

Share this post


Link to post
Share on other sites

а можно в одном ВЛАНе поднять два DHCP сервера для разных подсетей. На одном "прибить" связки MAC+IP, на другом - для "проходимцев", случайно поставивших получение адреса (с маршрутом на страничку "НИИИИЗЯ!!!!)?

Share this post


Link to post
Share on other sites

Не надо поднимать два DHCP сервера, на микротике он может раздавать любые настройки - для этого в нетворках создаете записи для нужных сетей (шлюз там и т.п.) И основную оставляете раздачу серых адресов, на которые делаете перенаправление. А те, маки которых известны, просто забиваете их статикой и выдаете адреса из другого пула, например белых адресов. Однако самое правильное это управляемое оборудование поставить и сделать схему влан на абонента.

 

2 часа назад, shaper сказал:

а если машинка в сети с терминальной сессией? как отразится на сеансе постоянная выдача адреса?

Когда аренда заканчивается у абонента никто адрес не забирает, у него есть время на повторный запрос, вдруг по какой-то причине сервер не успеет ответить сразу. Поэтому никаких обрывов не происходит, а просто переподтверждение аренды.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.