Перейти к содержимому
Калькуляторы

Проброс белой IP сети через микротик к клиентам

вышестоящий провайдер выделил белую подсеть ХХХ.ХХХ.122.192/27, шлюз сети ХХХ.ХХХ.122.193 у провайдера.

задача: пробросить сквозь микротик пользователям подсети 10.0.122.192/27 один к одному.  На роутере мониторить полосу, трафик и возможность блокировки по каждому белому IP.

сделано:

1. IP-Adresess  на внешем интерфейсе повесил все адреса: ХХХ.ХХХ.122.194 - ХХХ.ХХХ.122.222 - 28 штук

2. IP-Adresess  на внутреннем интерфейсе ( шлюз 10.0.122.193 и подсеть 10.0.122.192/27)

3. IP-firewall-NAT сделал два правила netmap между сетями 1:1

4. IP-Routes  прописал маршрут 

все работает.

Вопросы:

1. на какой сети резать скорость: внутренней или внешней?

2. каким образом лучше блокировать трафик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Входящий на внешнем, исходящий на внутреннем ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 минут назад, EDA_SPB сказал:

1. Входящий на внешнем, исходящий на внутреннем ;)

т.е надо создавать две записи в Queues на канал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ваша задача в корне не верная. Если провайдер выделил белую сеть, то можно раздать ее напрямую абонентам. А провайдера просите смаршрутизировать ее вам на IP роутера, если он это не может, то анонсите ему адреса через прокси-арп. Тогда все прозрачно и нет проблем с шейперами - абоненты у себя видят белые адреса напрямую и никакой нат не нужен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 часов назад, Saab95 сказал:

Ваша задача в корне не верная. Если провайдер выделил белую сеть, то можно раздать ее напрямую абонентам. А провайдера просите смаршрутизировать ее вам на IP роутера, если он это не может, то анонсите ему адреса через прокси-арп. Тогда все прозрачно и нет проблем с шейперами - абоненты у себя видят белые адреса напрямую и никакой нат не нужен.

1. дело в том, что для этой пачки адресов провом ограничена скорость. Поэтому мне необходимо назначить каждому IP свою скорость, чтобы какой-нибудь юзер на своем IP не положил весь канал.

2. и, в случае генерации исходящего трафика (вирус словил и пр) необходима блокировка трафика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Послушайте Сааба, дайте пользователям белые адреса, а остальные вопросы - по мере поступления решайте...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 31.10.2017 в 20:57, shaper сказал:

т.е надо создавать две записи в Queues на канал?

/queue type
add kind=pcq name=pcq_40_down pcq-classifier=dst-address \
    pcq-dst-address6-mask=64 pcq-rate=41M pcq-src-address6-mask=64 \
    pcq-total-limit=64000
add kind=pcq name=pcq_40_up pcq-classifier=src-address \
    pcq-dst-address6-mask=64 pcq-rate=41M pcq-src-address6-mask=64 \
    pcq-total-limit=64000
add kind=pcq name=pcq_55_down pcq-classifier=dst-address \
    pcq-dst-address6-mask=64 pcq-rate=57M pcq-src-address6-mask=64 \
    pcq-total-limit=64000
add kind=pcq name=pcq_55_up pcq-classifier=src-address \
    pcq-dst-address6-mask=64 pcq-rate=57M pcq-src-address6-mask=64 \
    pcq-total-limit=64000
/queue tree
add name=Total_download parent=global-out priority=1
add name=Total_upload parent=global-out priority=1
add name=queue_40_up packet-mark=mark_40_up parent=Total_upload \
    priority=1 queue=pcq_40_up
add name=queue_40_down packet-mark=mark_40_down parent=\
    Total_download priority=1 queue=pcq_40_down
add name=queue_55_up packet-mark=mark_55_up parent=Total_upload \
    priority=1 queue=pcq_55_up
add name=queue_55_down packet-mark=mark_55_down parent=\
    Total_download priority=1 queue=pcq_55_down
/ip firewall address-list
add address=10.10.1.1 list=list_40
add address=10.10.1.2 list=list_40
add address=10.10.1.3 list=list_55
add address=10.10.1.4 list=list_55
/ip firewall mangle
add action=mark-packet chain=forward comment=list_40_up \
    new-packet-mark=mark_40_up passthrough=no src-address-list=\
    list_40
add action=mark-packet chain=forward comment=list_40_down \
    dst-address-list=list_40 new-packet-mark=mark_40_down \
    passthrough=no
add action=mark-packet chain=forward comment=list_55_up \
    new-packet-mark=mark_55_up passthrough=no src-address-list=\
    list_55
add action=mark-packet chain=forward comment=list_55_down \
    dst-address-list=list_55 new-packet-mark=mark_55_down \
    passthrough=no

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 01.11.2017 в 16:58, shaper сказал:

1. дело в том, что для этой пачки адресов провом ограничена скорость. Поэтому мне необходимо назначить каждому IP свою скорость, чтобы какой-нибудь юзер на своем IP не положил весь канал.

2. и, в случае генерации исходящего трафика (вирус словил и пр) необходима блокировка трафика.

1. Так раздаете абонентам белые адреса, на микротике создаете простое правило шейпера, где указываете его IP и ограничение скорости на прием/передачу.

2. В этом случае создаете правило блокировки, где на вкладке advanced указываете src-address-list, в него и помещаете белые IP тех, кому доступ должен быть запрещен.

 

Если стоит задача просто дать всем любую скорость, но что бы кто-то один не забрал весь канал так еще проще - создаете одно простое правило, указав в нем подсеть, которую выдал провайдер. Сделаете ей тип шейпера PCQ с классификаторами по адресу абонента, естественно буфера побольше. Лучше сделать 2 правила PCQ, одно на исходящий, второе на входящий, тогда можно указать соответственно адрес источника и адрес назначения, что бы правило ограничивало трафик только по IP абоненту, а не по связки IP абонента и IP сервера в интернете.

 

А всякие там деревья очередей уже отжили себя. Т.к. на больших объемах трафика, более 1гб, создают большую нагрузку на оборудование, да и не очень удобно управлять трафиком, то есть нет возможности изменять скорости индивидуально по разным критериям, обязательно нужно трафик маркировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

54 минуты назад, Saab95 сказал:

нет возможности изменять скорости индивидуально по разным критериям

а это как?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 часов назад, maxkst сказал:

Послушайте Сааба, дайте пользователям белые адреса, а остальные вопросы - по мере поступления решайте...

не хочу я давать им белые адреса. На оборудовании адреса прописываются статически. Вдруг мне надо будет сменить им маршрут - загнать в другой канал и пр. Нет возможности добраться до оборудования физически и по времени. Выдам белые - останусь без манёвра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, Saab95 сказал:

1. Так раздаете абонентам белые адреса, на микротике создаете простое правило шейпера, где указываете его IP и ограничение скорости на прием/передачу.

2. В этом случае создаете правило блокировки, где на вкладке advanced указываете src-address-list, в него и помещаете белые IP тех, кому доступ должен быть запрещен.

 

1. оставил НАТ. Я просил совета, как лучше резать скорость. Проще и изящнее. Создал правило шейпера на внутреннем адреса на вход/выход - по одному правилу на IP - покритикуйте, если накосячил.

2. Да. сделал через адрес-лист.

 

"Когда человек не понимает суть проблемы, он пытается много объяснять и пишет много формул, поняв же, оставляет всего одну" (Нильс Хенрик Давид Бор)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 03.11.2017 в 11:54, sheft сказал:

а это как?

Допустим при деревьях очередей жестко задаются скорости каждой тарифной группы. То есть имея скорости 5М, 10М и 50М, можно только перекидывать абонентов между группами, либо менять скорость всей группе сразу. Если нужно одному абоненту указать отличную от имеющихся скоростей - требуется создать еще одну группу с нужной скоростью.

 

Когда скорость ограничивается простыми правилами, можно любому абоненту указать какую угодно скорость, при этом не требуется более ничего изменять в других настройках.

 

Вообще с такими проблемами сталкиваются в больших сетях, когда абонентов более 1000 хотя бы. Если смотреть по настройкам вида кривые инструкции, в таких случаях требуется 1000 разрешающих правил файрвола на доступ, 1000 правил манглов.

 

В 03.11.2017 в 20:05, shaper сказал:

1. оставил НАТ. Я просил совета, как лучше резать скорость. Проще и изящнее. Создал правило шейпера на внутреннем адреса на вход/выход - по одному правилу на IP - покритикуйте, если накосячил.

2. Да. сделал через адрес-лист.

 

"Когда человек не понимает суть проблемы, он пытается много объяснять и пишет много формул, поняв же, оставляет всего одну" (Нильс Хенрик Давид Бор)

Так вам и ответили. Что надо выдавать реальные адреса абонентам - это самое верное и правильное решение. Тут в плюсах и снижение нагрузки на оборудование, и простота отладки. Форум на то и есть, что бы направить на верный путь, а не подсказывать как забить гвоздь кирпичом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Благодарю всех за помощь и потраченное время.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 11/3/2017 в 11:47, shaper сказал:

не хочу я давать им белые адреса. На оборудовании адреса прописываются статически. Вдруг мне надо будет сменить им маршрут - загнать в другой канал и пр. Нет возможности добраться до оборудования физически и по времени. Выдам белые - останусь без манёвра.

Ну параллельно с белыми адресами из публичного влана выдайте еще и серые адреса из влана управления, не понял я суть фразы :остаться без маневра:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

18 часов назад, maxkst сказал:

Не понял я суть фразы :остаться без маневра:

может понадобится передать адрес другому пользователю (естественно, забрать у предыдущего). Адреса прописаны на оборудовании статически. И доступа к нему может не быть. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 часов назад, myth сказал:

dhcp же

Ага, давно так делаем с временем аренды 5-10 минут. Тут и адрес всегда поменять можно, и отобрать. Выдача поштучно без потерь, хоть 0 адрес можно выдать, хоть 255.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тут... до меня делали.... в пользовательском ВЛАНе аж ТРИ сети: белая и две серых. И пару неуправляемых железок посередине.  Не готов пока разгребать.

 

а если машинка в сети с терминальной сессией? как отразится на сеансе постоянная выдача адреса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

никак. Адрес то будет выдаваться тот же самый

 

Кроме того, есть статические записи для dhcp

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

связка по маку? А как защитится от дубля?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а можно в одном ВЛАНе поднять два DHCP сервера для разных подсетей. На одном "прибить" связки MAC+IP, на другом - для "проходимцев", случайно поставивших получение адреса (с маршрутом на страничку "НИИИИЗЯ!!!!)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не надо поднимать два DHCP сервера, на микротике он может раздавать любые настройки - для этого в нетворках создаете записи для нужных сетей (шлюз там и т.п.) И основную оставляете раздачу серых адресов, на которые делаете перенаправление. А те, маки которых известны, просто забиваете их статикой и выдаете адреса из другого пула, например белых адресов. Однако самое правильное это управляемое оборудование поставить и сделать схему влан на абонента.

 

2 часа назад, shaper сказал:

а если машинка в сети с терминальной сессией? как отразится на сеансе постоянная выдача адреса?

Когда аренда заканчивается у абонента никто адрес не забирает, у него есть время на повторный запрос, вдруг по какой-то причине сервер не успеет ответить сразу. Поэтому никаких обрывов не происходит, а просто переподтверждение аренды.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.