Timax Posted September 12, 2018 · Report post Доброго времени суток! У кого нибудь есть рабочая схема IPoE на микротиках? У микротика появился DHCP radius accounting, но не совсем понятно как реализовать IPoE. Option 82 не везде можем использовать т.к. часть сети на радио. Vlan на абонента не представляю как реализовать, получается что на каждый vlan нужно вешать свой DHCP сервер. Vlan на дом/бс как быть с подсетями? Была идея при схеме vlan на дом/БС, вешать на все vlan один ip например 192.168.0.1/16, настроить DHCP server на каждом vlan, выдачу IP оставить за биллингом, привязку в биллинге делать по MAC. Вроде все неплохо, но смущает что один IP (он же шлюз) на всех VLAN, как считаете схема рабочая? Или может кто поделится своими наработками? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted September 12, 2018 · Report post Если сильно хочется, влан на клиента, через скрипты имхо самый разумный вариант, да геморный, да после ребуда будет долго подымается, но будет работать без велосипеда@Timax . Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted September 12, 2018 · Report post Только что, pingz сказал: Если сильно хочется, влан на клиента, через скрипты имхо самый разумный вариант, да геморный, да после ребуда будет долго подымается, но будет работать без велосипеда@Timax . Влан на клиента не обязательно. Интересует именно нормальная и без костыльная схема. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted September 12, 2018 · Report post @Timax в микротике ipoe без костылей не как Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted September 12, 2018 · Report post 15 минут назад, pingz сказал: @Timax в микротике ipoe без костылей не как Неужели все так печально?:) А предложенная мной схема не имеет право жить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted September 13, 2018 · Report post Никто не реализовывал? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 13, 2018 · Report post Заводите на микротике по влану для каждого абонента, начинать лучше с номера 2, а не городить схемы вида влан 1459 и т.п. То есть если у вас 10 мини узлов, куда подключаются абоненты, то пусть на каждом будет адресация со 2 влана и пошло вверх. /interface vlan add arp=reply-only interface=bridge_vlan name=vlan_2 vlan-id=2 add arp=reply-only interface=bridge_vlan name=vlan_3 vlan-id=3 /ip address add address=10.10.30.1/32 network=10.10.30.2 interface=vlan_2 add address=10.10.30.1/32 network=10.10.30.3 interface=vlan_3 /ip pool add name=dhcp_pool_2 ranges=10.10.30.2 add name=dhcp_pool_3 ranges=10.10.30.3 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool_2 disabled=no interface=vlan_2 lease-time=5m name=dhcp_2 add add-arp=yes address-pool=dhcp_pool_3 disabled=no interface=vlan_3 lease-time=5m name=dhcp_3 /ip dhcp-server network add address=10.10.30.0/24 dns-server=8.8.8.8,8.8.7.7 gateway=10.10.30.1 На каждый влан вешается 1 IP адрес поштучно без подсетей, через OSPF адреса анонсируются по сети, в настройках area следует указать redistribute connected. В таком случае можно выдавать любые адреса абонентам, хотите белые, хотите серые и т.п. Время аренды 5 минут - всегда можно абоненту адрес поменять на роутере, и он через 5 минут его примет. Аналогично в плюсах защита от подмены мака - т.к. арп работает по статике, абонент не может поставить себе IP вручную, а если поменяет роутер или компьютер, то не сможет получить адрес, пока время аренды старого 5 минут не закончится. Если хотите выдавать адреса по радиусу, тогда в скриптах выдачи и окончания аренды следует указать нужные команды, радиус будет принимать решение что выдать по имени интерфейса и адреса роутера, с которого пришел запрос. Единственный минус в том, что если роутер перезапустить, то выданные адреса с роутера уже не удалятся, и нужно в планировщике создать скрипт на удаление всех IP адресов и прочего при старте роутера. И только после включать DHCP сервера для абонентов (или запросы через радиус), что бы они смогли адреса получить. Если же у вас радио и хотите уйти от PPPoE - то делать этого не следует, если можно поднять соединение на CPE. На микротике можно указать MTU = 1500 для PPPoE и никакой пакетной нагрузки увеличиваться не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted September 13, 2018 · Report post 3 часа назад, Saab95 сказал: Заводите на микротике по влану для каждого абонента, начинать лучше с номера 2, а не городить схемы вида влан 1459 и т.п. То есть если у вас 10 мини узлов, куда подключаются абоненты, то пусть на каждом будет адресация со 2 влана и пошло вверх. /interface vlan add arp=reply-only interface=bridge_vlan name=vlan_2 vlan-id=2 add arp=reply-only interface=bridge_vlan name=vlan_3 vlan-id=3 /ip address add address=10.10.30.1/32 network=10.10.30.2 interface=vlan_2 add address=10.10.30.1/32 network=10.10.30.3 interface=vlan_3 /ip pool add name=dhcp_pool_2 ranges=10.10.30.2 add name=dhcp_pool_3 ranges=10.10.30.3 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool_2 disabled=no interface=vlan_2 lease-time=5m name=dhcp_2 add add-arp=yes address-pool=dhcp_pool_3 disabled=no interface=vlan_3 lease-time=5m name=dhcp_3 /ip dhcp-server network add address=10.10.30.0/24 dns-server=8.8.8.8,8.8.7.7 gateway=10.10.30.1 На каждый влан вешается 1 IP адрес поштучно без подсетей, через OSPF адреса анонсируются по сети, в настройках area следует указать redistribute connected. В таком случае можно выдавать любые адреса абонентам, хотите белые, хотите серые и т.п. Время аренды 5 минут - всегда можно абоненту адрес поменять на роутере, и он через 5 минут его примет. Аналогично в плюсах защита от подмены мака - т.к. арп работает по статике, абонент не может поставить себе IP вручную, а если поменяет роутер или компьютер, то не сможет получить адрес, пока время аренды старого 5 минут не закончится. Если хотите выдавать адреса по радиусу, тогда в скриптах выдачи и окончания аренды следует указать нужные команды, радиус будет принимать решение что выдать по имени интерфейса и адреса роутера, с которого пришел запрос. Единственный минус в том, что если роутер перезапустить, то выданные адреса с роутера уже не удалятся, и нужно в планировщике создать скрипт на удаление всех IP адресов и прочего при старте роутера. И только после включать DHCP сервера для абонентов (или запросы через радиус), что бы они смогли адреса получить. Если же у вас радио и хотите уйти от PPPoE - то делать этого не следует, если можно поднять соединение на CPE. На микротике можно указать MTU = 1500 для PPPoE и никакой пакетной нагрузки увеличиваться не будет. Интересно... Скриптом не поделитесь? А почему нельзя сделать как я выше предложил при схеме vlan на дом/БС? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ace63 Posted September 13, 2018 (edited) · Report post 1 час назад, Timax сказал: Интересно... Скриптом не поделитесь? А почему нельзя сделать как я выше предложил при схеме vlan на дом/БС? Подозреваю чисто из-за секурности, ибо в большом пуле на один влан есть опасность широковещательного шторма. Edited September 13, 2018 by Ace63 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted September 13, 2018 · Report post 59 минут назад, Ace63 сказал: Подозреваю чисто из-за секурности, ибо в большом пуле на один влан есть опасность широковещательного шторма. Ну я имел ввиду один пул на много VLAN, только схема vlan на дом. L2 сегменты то небольшие будут, 20-30 абонов на один L2 сегмент. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ace63 Posted September 13, 2018 · Report post 7 минут назад, Timax сказал: Ну я имел ввиду один пул на много VLAN, только схема vlan на дом. L2 сегменты то небольшие будут, 20-30 абонов на один L2 сегмент. Ну так ничего не мешает, тут уже как вам удобно.. Я ка понял верхняя метка на дом, а нижние для клиентов. Вполне нормальная схема. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted September 13, 2018 · Report post @Timax полноценный ipoe он не умеет как у Джуна и циске т.е. собрать динамически интерфейс влан + дсшп. Т.е. нужно будет собрать интерфейс с ИП и дсшп, клиенту религия позволит прописать статический ИП и шлюз и мелеть бесплатно. При влан перюзер так не получится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 14, 2018 · Report post 18 часов назад, Timax сказал: А почему нельзя сделать как я выше предложил при схеме vlan на дом/БС? Потому что в одном влане будет несколько абонентов, и для отделения их друг от друга нужно делать привязку по маку. Поэтому тут все просто - если коммутаторы не умеют влан на порт, то делайте PPPoE. Если коммутаторы умеют влан на порт, то делайте IPoE по одному абоненту во влане. Есть 2 подхода к строительству сети, первый и правильный это такой, когда вся сеть сделана так, что вообще не создает проблем, второй подход это когда из-за маленькой экономии страдает вся сеть, что и не позволяет ей развиваться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted September 15, 2018 · Report post В 14.09.2018 в 14:09, Saab95 сказал: Потому что в одном влане будет несколько абонентов, и для отделения их друг от друга нужно делать привязку по маку. Поэтому тут все просто - если коммутаторы не умеют влан на порт, то делайте PPPoE. Если коммутаторы умеют влан на порт, то делайте IPoE по одному абоненту во влане. Есть 2 подхода к строительству сети, первый и правильный это такой, когда вся сеть сделана так, что вообще не создает проблем, второй подход это когда из-за маленькой экономии страдает вся сеть, что и не позволяет ей развиваться. Допустим делаем vlan на абонента. Получается что авторизация идет не по mac, не opt82, не по ip, а по vlan? Как реализовать данную схему в биллинге, например carbon 4/5? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted September 15, 2018 · Report post Не рекомендую, но Интеграция АСР LANBilling и оборудования Mikrotik (IPoE) - тут всю роль делает проприетарный DHCP от биллинга. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted September 15, 2018 · Report post 2 часа назад, saaremaa сказал: Не рекомендую, но Интеграция АСР LANBilling и оборудования Mikrotik (IPoE) - тут всю роль делает проприетарный DHCP от биллинга. Вообщем почитал, поковырял. Рабочаея схема без костылей одна! DHCP + radius + mac. Т.е. только по mac адресу. Все остальные схемы на микротик без костылей никак, увы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 16, 2018 · Report post В той схеме что я предложил, IP адреса абонентам устанавливаются на оборудовании. В биллинг абоненты заводятся по IP адресу и более никаких классификаторов. Биллинг отправляет ограничения скорости и блокировки на центральный шлюз. Если надо автоматизировать изменения IP адресов, например заменять серые на белые, то это так же делается по командам из биллинга, но уже идет привязка к маршрутизатору, на котором адреса абонентов установлены. На практике, даже на сетях с 10 тысячами абонентов, вполне возможно вести локальные IP на микротиках, в плюсах то, что все работает без биллинга и никакой радиус не нужен. Желание сделать RADIUS для авторизации это уход в тупиковую схему развития сети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted September 18, 2018 · Report post В 13.09.2018 в 16:06, Saab95 сказал: Заводите на микротике по влану для каждого абонента, начинать лучше с номера 2, а не городить схемы вида влан 1459 и т.п. То есть если у вас 10 мини узлов, куда подключаются абоненты, то пусть на каждом будет адресация со 2 влана и пошло вверх. /interface vlan add arp=reply-only interface=bridge_vlan name=vlan_2 vlan-id=2 add arp=reply-only interface=bridge_vlan name=vlan_3 vlan-id=3 /ip address add address=10.10.30.1/32 network=10.10.30.2 interface=vlan_2 add address=10.10.30.1/32 network=10.10.30.3 interface=vlan_3 /ip pool add name=dhcp_pool_2 ranges=10.10.30.2 add name=dhcp_pool_3 ranges=10.10.30.3 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool_2 disabled=no interface=vlan_2 lease-time=5m name=dhcp_2 add add-arp=yes address-pool=dhcp_pool_3 disabled=no interface=vlan_3 lease-time=5m name=dhcp_3 /ip dhcp-server network add address=10.10.30.0/24 dns-server=8.8.8.8,8.8.7.7 gateway=10.10.30.1 На каждый влан вешается 1 IP адрес поштучно без подсетей, через OSPF адреса анонсируются по сети, в настройках area следует указать redistribute connected. В таком случае можно выдавать любые адреса абонентам, хотите белые, хотите серые и т.п. Время аренды 5 минут - всегда можно абоненту адрес поменять на роутере, и он через 5 минут его примет. Аналогично в плюсах защита от подмены мака - т.к. арп работает по статике, абонент не может поставить себе IP вручную, а если поменяет роутер или компьютер, то не сможет получить адрес, пока время аренды старого 5 минут не закончится. Если хотите выдавать адреса по радиусу, тогда в скриптах выдачи и окончания аренды следует указать нужные команды, радиус будет принимать решение что выдать по имени интерфейса и адреса роутера, с которого пришел запрос. Единственный минус в том, что если роутер перезапустить, то выданные адреса с роутера уже не удалятся, и нужно в планировщике создать скрипт на удаление всех IP адресов и прочего при старте роутера. И только после включать DHCP сервера для абонентов (или запросы через радиус), что бы они смогли адреса получить. Если же у вас радио и хотите уйти от PPPoE - то делать этого не следует, если можно поднять соединение на CPE. На микротике можно указать MTU = 1500 для PPPoE и никакой пакетной нагрузки увеличиваться не будет. Допустим делаем так как вы предложили. Мы юзаем 5-й карбон. Как идентифицировать пользователей в биллинге? Или уже в момент подключения смотреть какой абону выдан IP и указывать его в биллинге? Можно выдавать IP с биллинга, но надо как то идентифицировать абонента, чтобы биллинг выдал правильный IP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 18, 2018 · Report post Биллинг ничего не выдает. Выдаете вы, когда абонента заводите на оборудовании и устанавливаете ему IP адрес. В карбон просто заводите IP абонента и ставите авторизацию по IP адресу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Qlobus Posted September 25, 2020 · Report post В 13.09.2018 в 12:06, Saab95 сказал: арп работает по статике, абонент не может поставить себе IP вручную Это как? Можете объяснить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 25, 2020 · Report post 2 часа назад, Qlobus сказал: Это как? Можете объяснить? Допустим есть сеть /24 и в ней большая помойка. Абоненты получают IP адрес автоматически от микротика и выходят в интернет. Привязка, например, по маку. Ясно дело что найдутся умники, которые захотят на халяву пользоваться чужим интернетом, поставив сете его IP адрес. И вот если в настройках микротика на интерфейсе установить arp - reply only, то микротик будет только отвечать на запросы, но принимать чужие ARP не будет. Поэтому если некая связка IP - MAC на микротике не существует, то злоумышленник не сможет воспользоваться чужим адресом. Он, конечно, может себе еще и мак адрес подменить - но тут уже нужна сегментация на вланы - тогда никто никого не увидит, никто мак поменять не сможет. В 15.09.2018 в 17:33, Timax сказал: Вообщем почитал, поковырял. Рабочаея схема без костылей одна! DHCP + radius + mac. Т.е. только по mac адресу. Все остальные схемы на микротик без костылей никак, увы. Привязку по маку делают когда не могут контролировать порты. Например есть 1000 многоквартирных домов с коммутаторами, в каждом по 48 вортов - такое количество сложно контролировать, что бы каждый абонент был подключен в свой порт. Тогда и делают привязку по маку, то есть абонент авторизуется на сети и к его маку привязывается некий IP и он имеет доступ в сеть. Так же сохраняется привязка к порту. Если этот же мак появится на сети в другом порту, то это так же посчитается как новый абонент и попросит авторизоваться. В случае, если влан жестко задан, например на поне - тогда можно без привязки по маку просто выдавать некий IP в свой порт. Вот и все дела. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Qlobus Posted September 25, 2020 · Report post @Saab95 7 часов назад, Saab95 сказал: И вот если в настройках микротика на интерфейсе установить arp - reply only, то микротик будет только отвечать на запросы, но принимать чужие ARP не будет. То что вы объяснили - это очень полезное информация. Но унас возникла случии что в некоторых местах вынуждены были установит веб свичи которое нет возможности на dhcp snooping и тд. Так вот - мне интересно то что, если кто-то из абонентов поменять будет в настройках роутера тип подключения с динамика на статик - точнее пропишит ип адреса с той же пула, может получат доступ к интернету? Тоесть arp - reply only на интерфейсе защитить? 7 часов назад, Saab95 сказал: Поэтому если некая связка IP - MAC на микротике не существует, то злоумышленник не сможет воспользоваться чужим адресом. А если маки на make static стоит и ип адрес - не сам ип адрес, а из пула...? То что? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 26, 2020 · Report post 12 часов назад, Qlobus сказал: Но унас возникла случии что в некоторых местах вынуждены были установит веб свичи которое нет возможности на dhcp snooping и тд. Это совершенно не нужно, если свич может порт во влан загнать, этого достаточно. Если свич вообще ничего не может - то настроить его как тупой свич и все. 12 часов назад, Qlobus сказал: Так вот - мне интересно то что, если кто-то из абонентов поменять будет в настройках роутера тип подключения с динамика на статик - точнее пропишит ип адреса с той же пула, может получат доступ к интернету? Тоесть arp - reply only на интерфейсе защитить? Если на интерфейсе arp - reply only, в настройках DHCP сервера стоит так же выдача статической записи arp, то пользователь может получить доступ в интернет только 2-мя способами: 1. Реальный абонент со своим реальным MAC адресом. 2. Фейковый абонент, который узнал мак адрес реального и подставил его себе. Но у него будет работать только тогда, когда основной абонент выключил свое устройство, если у него роутер и он постоянно включен, то дубликат маков приведет к постоянным перебоям интернета у одного и у другого, что они заметят. 12 часов назад, Qlobus сказал: А если маки на make static стоит и ип адрес - не сам ип адрес, а из пула...? То что? Тогда микротик будет выдавать адреса из пула этим абонентам с их статическими мак адресами. То есть если в пуле 10 адресов и заведено 10 статических записей - все они будут получать адреса из пула при запросах. При этом если они все разом не работают, то каждый в разное время получит разный IP адрес. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Qlobus Posted September 26, 2020 (edited) · Report post 7 часов назад, Saab95 сказал: Если свич вообще ничего не может - то настроить его как тупой свич и все. Так и сделано 7 часов назад, Saab95 сказал: Если на интерфейсе arp - reply only, в настройках DHCP сервера стоит так же выдача статической записи arp, то пользователь может получить доступ в интернет только 2-мя способами: 1. Реальный абонент со своим реальным MAC адресом. То есть если абонент пропишет себе ip adress с того же пула, он будет получать интернет? Edited September 26, 2020 by Qlobus Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 27, 2020 · Report post 19 часов назад, Qlobus сказал: То есть если абонент пропишет себе ip adress с того же пула, он будет получать интернет? Нет, он будет получать интернет лишь в случае, если микротик ему выдаст IP адрес. Установив аренду 5 минут можно полностью исключить использования адреса злоумышленником. Если же ваши коммутаторы можно настроить на сегментацию портов, то есть что бы абоненты могли передавать лишь данные в центр, а не между собой, то и просканировать сеть им будет сложнее на предмет поиска других IP адресов в сегменте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...