Jump to content
Калькуляторы

Доброго времени суток! У кого нибудь есть рабочая схема IPoE на микротиках? У микротика появился DHCP radius accounting, но не совсем понятно как реализовать IPoE. Option 82 не везде можем использовать т.к. часть сети на радио. Vlan на абонента не представляю как реализовать, получается что на каждый vlan нужно вешать свой DHCP сервер. Vlan на дом/бс как быть с подсетями? Была идея при схеме vlan на дом/БС, вешать на все vlan один ip например 192.168.0.1/16, настроить DHCP server на каждом vlan, выдачу IP оставить за биллингом, привязку в биллинге делать по MAC. Вроде все неплохо, но смущает что один IP (он же шлюз) на всех VLAN, как считаете схема рабочая? Или может кто поделится своими наработками?

Share this post


Link to post
Share on other sites

Если сильно хочется, влан на клиента, через скрипты имхо самый разумный вариант, да геморный, да после ребуда будет долго подымается, но будет работать без велосипеда@Timax .

Share this post


Link to post
Share on other sites

Только что, pingz сказал:

Если сильно хочется, влан на клиента, через скрипты имхо самый разумный вариант, да геморный, да после ребуда будет долго подымается, но будет работать без велосипеда@Timax .

Влан на клиента не обязательно. Интересует именно нормальная и без костыльная схема. 

Share this post


Link to post
Share on other sites

15 минут назад, pingz сказал:

@Timax в микротике ipoe без костылей не как

Неужели все так печально?:) А предложенная мной схема не имеет право жить?

Share this post


Link to post
Share on other sites

Заводите на микротике по влану для каждого абонента, начинать лучше с номера 2, а не городить схемы вида влан 1459 и т.п. То есть если у вас 10 мини узлов, куда подключаются абоненты, то пусть на каждом будет адресация со 2 влана и пошло вверх.

/interface vlan
add arp=reply-only interface=bridge_vlan name=vlan_2 vlan-id=2
add arp=reply-only interface=bridge_vlan name=vlan_3 vlan-id=3

/ip address
add address=10.10.30.1/32 network=10.10.30.2 interface=vlan_2
add address=10.10.30.1/32 network=10.10.30.3 interface=vlan_3

/ip pool
add name=dhcp_pool_2 ranges=10.10.30.2
add name=dhcp_pool_3 ranges=10.10.30.3

/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_2 disabled=no interface=vlan_2 lease-time=5m name=dhcp_2
add add-arp=yes address-pool=dhcp_pool_3 disabled=no interface=vlan_3 lease-time=5m name=dhcp_3

/ip dhcp-server network
add address=10.10.30.0/24 dns-server=8.8.8.8,8.8.7.7 gateway=10.10.30.1

 

На каждый влан вешается 1 IP адрес поштучно без подсетей, через OSPF адреса анонсируются по сети, в настройках area следует указать redistribute connected. В таком случае можно выдавать любые адреса абонентам, хотите белые, хотите серые и т.п. Время аренды 5 минут - всегда можно абоненту адрес поменять на роутере, и он через 5 минут его примет. Аналогично в плюсах защита от подмены мака - т.к. арп работает по статике, абонент не может поставить себе IP вручную, а если поменяет роутер или компьютер, то не сможет получить адрес, пока время аренды старого 5 минут не закончится.

 

Если хотите выдавать адреса по радиусу, тогда в скриптах выдачи и окончания аренды следует указать нужные команды, радиус будет принимать решение что выдать по имени интерфейса и адреса роутера, с которого пришел запрос. Единственный минус в том, что если роутер перезапустить, то выданные адреса с роутера уже не удалятся, и нужно в планировщике создать скрипт на удаление всех IP адресов и прочего при старте роутера. И только после включать DHCP сервера для абонентов (или запросы через радиус), что бы они смогли адреса получить.

 

Если же у вас радио и хотите уйти от PPPoE - то делать этого не следует, если можно поднять соединение на CPE. На микротике можно указать MTU = 1500 для PPPoE и никакой пакетной нагрузки увеличиваться не будет.

 

Share this post


Link to post
Share on other sites

3 часа назад, Saab95 сказал:

Заводите на микротике по влану для каждого абонента, начинать лучше с номера 2, а не городить схемы вида влан 1459 и т.п. То есть если у вас 10 мини узлов, куда подключаются абоненты, то пусть на каждом будет адресация со 2 влана и пошло вверх.


/interface vlan
add arp=reply-only interface=bridge_vlan name=vlan_2 vlan-id=2
add arp=reply-only interface=bridge_vlan name=vlan_3 vlan-id=3

/ip address
add address=10.10.30.1/32 network=10.10.30.2 interface=vlan_2
add address=10.10.30.1/32 network=10.10.30.3 interface=vlan_3

/ip pool
add name=dhcp_pool_2 ranges=10.10.30.2
add name=dhcp_pool_3 ranges=10.10.30.3

/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_2 disabled=no interface=vlan_2 lease-time=5m name=dhcp_2
add add-arp=yes address-pool=dhcp_pool_3 disabled=no interface=vlan_3 lease-time=5m name=dhcp_3

/ip dhcp-server network
add address=10.10.30.0/24 dns-server=8.8.8.8,8.8.7.7 gateway=10.10.30.1

 

На каждый влан вешается 1 IP адрес поштучно без подсетей, через OSPF адреса анонсируются по сети, в настройках area следует указать redistribute connected. В таком случае можно выдавать любые адреса абонентам, хотите белые, хотите серые и т.п. Время аренды 5 минут - всегда можно абоненту адрес поменять на роутере, и он через 5 минут его примет. Аналогично в плюсах защита от подмены мака - т.к. арп работает по статике, абонент не может поставить себе IP вручную, а если поменяет роутер или компьютер, то не сможет получить адрес, пока время аренды старого 5 минут не закончится.

 

Если хотите выдавать адреса по радиусу, тогда в скриптах выдачи и окончания аренды следует указать нужные команды, радиус будет принимать решение что выдать по имени интерфейса и адреса роутера, с которого пришел запрос. Единственный минус в том, что если роутер перезапустить, то выданные адреса с роутера уже не удалятся, и нужно в планировщике создать скрипт на удаление всех IP адресов и прочего при старте роутера. И только после включать DHCP сервера для абонентов (или запросы через радиус), что бы они смогли адреса получить.

 

Если же у вас радио и хотите уйти от PPPoE - то делать этого не следует, если можно поднять соединение на CPE. На микротике можно указать MTU = 1500 для PPPoE и никакой пакетной нагрузки увеличиваться не будет.

 

Интересно... Скриптом не поделитесь? А почему нельзя сделать как я выше предложил при схеме vlan на дом/БС?

Share this post


Link to post
Share on other sites

1 час назад, Timax сказал:

Интересно... Скриптом не поделитесь? А почему нельзя сделать как я выше предложил при схеме vlan на дом/БС?

Подозреваю чисто из-за секурности, ибо в большом пуле на один влан есть опасность широковещательного шторма.

Edited by Ace63

Share this post


Link to post
Share on other sites

59 минут назад, Ace63 сказал:

Подозреваю чисто из-за секурности, ибо в большом пуле на один влан есть опасность широковещательного шторма.

 

Ну я имел ввиду один пул на много VLAN, только схема vlan на дом. L2 сегменты то небольшие будут, 20-30 абонов на один L2 сегмент.

Share this post


Link to post
Share on other sites

7 минут назад, Timax сказал:

Ну я имел ввиду один пул на много VLAN, только схема vlan на дом. L2 сегменты то небольшие будут, 20-30 абонов на один L2 сегмент.

Ну так ничего не мешает, тут уже как вам удобно.. Я ка понял верхняя метка на дом, а нижние для клиентов. Вполне нормальная схема.

Share this post


Link to post
Share on other sites

@Timax полноценный ipoe он не умеет как у Джуна и циске т.е. собрать динамически интерфейс влан + дсшп.

Т.е. нужно будет собрать интерфейс с ИП и дсшп, клиенту религия позволит прописать статический ИП и шлюз и мелеть бесплатно. При влан перюзер так не получится.

Share this post


Link to post
Share on other sites

18 часов назад, Timax сказал:

А почему нельзя сделать как я выше предложил при схеме vlan на дом/БС?

Потому что в одном влане будет несколько абонентов, и для отделения их друг от друга нужно делать привязку по маку.

Поэтому тут все просто - если коммутаторы не умеют влан на порт, то делайте PPPoE.

Если коммутаторы умеют влан на порт, то делайте IPoE по одному абоненту во влане.

 

Есть 2 подхода к строительству сети, первый и правильный это такой, когда вся сеть сделана так, что вообще не создает проблем, второй подход это когда из-за маленькой экономии страдает вся сеть, что и не позволяет ей развиваться.

Share this post


Link to post
Share on other sites

В 14.09.2018 в 14:09, Saab95 сказал:

Потому что в одном влане будет несколько абонентов, и для отделения их друг от друга нужно делать привязку по маку.

Поэтому тут все просто - если коммутаторы не умеют влан на порт, то делайте PPPoE.

Если коммутаторы умеют влан на порт, то делайте IPoE по одному абоненту во влане.

 

Есть 2 подхода к строительству сети, первый и правильный это такой, когда вся сеть сделана так, что вообще не создает проблем, второй подход это когда из-за маленькой экономии страдает вся сеть, что и не позволяет ей развиваться.

Допустим делаем vlan на абонента. Получается что авторизация идет не по mac, не opt82, не по ip, а по vlan? Как реализовать данную схему в биллинге, например carbon 4/5? 

Share this post


Link to post
Share on other sites

Не рекомендую, но Интеграция АСР LANBilling и оборудования Mikrotik (IPoE) - тут всю роль делает проприетарный DHCP от биллинга.

Share this post


Link to post
Share on other sites

2 часа назад, saaremaa сказал:

Не рекомендую, но Интеграция АСР LANBilling и оборудования Mikrotik (IPoE) - тут всю роль делает проприетарный DHCP от биллинга.

Вообщем почитал, поковырял. Рабочаея схема без костылей одна! DHCP + radius + mac. Т.е. только по mac адресу. Все остальные схемы на микротик без костылей никак, увы.

Share this post


Link to post
Share on other sites

В той схеме что я предложил, IP адреса абонентам устанавливаются на оборудовании. В биллинг абоненты заводятся по IP адресу и более никаких классификаторов.

 

Биллинг отправляет ограничения скорости и блокировки на центральный шлюз. Если надо автоматизировать изменения IP адресов, например заменять серые на белые, то это так же делается по командам из биллинга, но уже идет привязка к маршрутизатору, на котором адреса абонентов установлены.

 

На практике, даже на сетях с 10 тысячами абонентов, вполне возможно вести локальные IP на микротиках, в плюсах то, что все работает без биллинга и никакой радиус не нужен.

 

Желание сделать RADIUS для авторизации это уход в тупиковую схему развития сети.

Share this post


Link to post
Share on other sites

В 13.09.2018 в 16:06, Saab95 сказал:

Заводите на микротике по влану для каждого абонента, начинать лучше с номера 2, а не городить схемы вида влан 1459 и т.п. То есть если у вас 10 мини узлов, куда подключаются абоненты, то пусть на каждом будет адресация со 2 влана и пошло вверх.


/interface vlan
add arp=reply-only interface=bridge_vlan name=vlan_2 vlan-id=2
add arp=reply-only interface=bridge_vlan name=vlan_3 vlan-id=3

/ip address
add address=10.10.30.1/32 network=10.10.30.2 interface=vlan_2
add address=10.10.30.1/32 network=10.10.30.3 interface=vlan_3

/ip pool
add name=dhcp_pool_2 ranges=10.10.30.2
add name=dhcp_pool_3 ranges=10.10.30.3

/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_2 disabled=no interface=vlan_2 lease-time=5m name=dhcp_2
add add-arp=yes address-pool=dhcp_pool_3 disabled=no interface=vlan_3 lease-time=5m name=dhcp_3

/ip dhcp-server network
add address=10.10.30.0/24 dns-server=8.8.8.8,8.8.7.7 gateway=10.10.30.1

 

На каждый влан вешается 1 IP адрес поштучно без подсетей, через OSPF адреса анонсируются по сети, в настройках area следует указать redistribute connected. В таком случае можно выдавать любые адреса абонентам, хотите белые, хотите серые и т.п. Время аренды 5 минут - всегда можно абоненту адрес поменять на роутере, и он через 5 минут его примет. Аналогично в плюсах защита от подмены мака - т.к. арп работает по статике, абонент не может поставить себе IP вручную, а если поменяет роутер или компьютер, то не сможет получить адрес, пока время аренды старого 5 минут не закончится.

 

Если хотите выдавать адреса по радиусу, тогда в скриптах выдачи и окончания аренды следует указать нужные команды, радиус будет принимать решение что выдать по имени интерфейса и адреса роутера, с которого пришел запрос. Единственный минус в том, что если роутер перезапустить, то выданные адреса с роутера уже не удалятся, и нужно в планировщике создать скрипт на удаление всех IP адресов и прочего при старте роутера. И только после включать DHCP сервера для абонентов (или запросы через радиус), что бы они смогли адреса получить.

 

Если же у вас радио и хотите уйти от PPPoE - то делать этого не следует, если можно поднять соединение на CPE. На микротике можно указать MTU = 1500 для PPPoE и никакой пакетной нагрузки увеличиваться не будет.

 

Допустим делаем так как вы предложили. Мы юзаем 5-й карбон. Как идентифицировать пользователей в биллинге? Или уже в момент подключения смотреть какой абону выдан IP и указывать его в биллинге? Можно выдавать IP с биллинга, но надо как то идентифицировать абонента, чтобы биллинг выдал правильный IP.

Share this post


Link to post
Share on other sites

Биллинг ничего не выдает. Выдаете вы, когда абонента заводите на оборудовании и устанавливаете ему IP адрес. В карбон просто заводите IP абонента и ставите авторизацию по IP адресу.

Share this post


Link to post
Share on other sites

В 13.09.2018 в 12:06, Saab95 сказал:

арп работает по статике, абонент не может поставить себе IP вручную

Это как? Можете объяснить? 

Share this post


Link to post
Share on other sites

2 часа назад, Qlobus сказал:

Это как? Можете объяснить? 

Допустим есть сеть /24 и в ней большая помойка. Абоненты получают IP адрес автоматически от микротика и выходят в интернет. Привязка, например, по маку.

Ясно дело что найдутся умники, которые захотят на халяву пользоваться чужим интернетом, поставив сете его IP адрес.

И вот если в настройках микротика на интерфейсе установить arp - reply only, то микротик будет только отвечать на запросы, но принимать чужие ARP не будет. Поэтому если некая связка IP - MAC на микротике не существует, то злоумышленник не сможет воспользоваться чужим адресом. Он, конечно, может себе еще и мак адрес подменить - но тут уже нужна сегментация на вланы - тогда никто никого не увидит, никто мак поменять не сможет.

 

В 15.09.2018 в 17:33, Timax сказал:

Вообщем почитал, поковырял. Рабочаея схема без костылей одна! DHCP + radius + mac. Т.е. только по mac адресу. Все остальные схемы на микротик без костылей никак, увы.

Привязку по маку делают когда не могут контролировать порты. Например есть 1000 многоквартирных домов с коммутаторами, в каждом по 48 вортов - такое количество сложно контролировать, что бы каждый абонент был подключен в свой порт. Тогда и делают привязку по маку, то есть абонент авторизуется на сети и к его маку привязывается некий IP и он имеет доступ в сеть. Так же сохраняется привязка к порту. Если этот же мак появится на сети в другом порту, то это так же посчитается как новый абонент и попросит авторизоваться.

 

В случае, если влан жестко задан, например на поне - тогда можно без привязки по маку просто выдавать некий IP в свой порт. Вот и все дела.

Share this post


Link to post
Share on other sites

@Saab95 

7 часов назад, Saab95 сказал:

И вот если в настройках микротика на интерфейсе установить arp - reply only, то микротик будет только отвечать на запросы, но принимать чужие ARP не будет.

То что вы объяснили - это очень полезное информация. 

Но унас возникла случии что в некоторых местах вынуждены были установит веб свичи которое нет возможности на dhcp snooping и тд. 

Так вот - мне интересно то что, если кто-то из абонентов поменять будет в настройках роутера тип подключения с динамика на статик - точнее пропишит ип адреса с той же пула, может получат доступ к интернету? Тоесть arp - reply only на интерфейсе защитить? 

 

7 часов назад, Saab95 сказал:

Поэтому если некая связка IP - MAC на микротике не существует, то злоумышленник не сможет воспользоваться чужим адресом.

А если маки на make static стоит и ип адрес - не сам ип адрес, а из пула...? То что? 

Share this post


Link to post
Share on other sites

12 часов назад, Qlobus сказал:

Но унас возникла случии что в некоторых местах вынуждены были установит веб свичи которое нет возможности на dhcp snooping и тд. 

Это совершенно не нужно, если свич может порт во влан загнать, этого достаточно. Если свич вообще ничего не может - то настроить его как тупой свич и все.

 

12 часов назад, Qlobus сказал:

Так вот - мне интересно то что, если кто-то из абонентов поменять будет в настройках роутера тип подключения с динамика на статик - точнее пропишит ип адреса с той же пула, может получат доступ к интернету? Тоесть arp - reply only на интерфейсе защитить? 

Если на интерфейсе arp - reply only, в настройках DHCP сервера стоит так же выдача статической записи arp, то пользователь может получить доступ в интернет только 2-мя способами:

1. Реальный абонент со своим реальным MAC адресом.

2. Фейковый абонент, который узнал мак адрес реального и подставил его себе. Но у него будет работать только тогда, когда основной абонент выключил свое устройство, если у него роутер и он постоянно включен, то дубликат маков приведет к постоянным перебоям интернета у одного и у другого, что они заметят.

 

12 часов назад, Qlobus сказал:

А если маки на make static стоит и ип адрес - не сам ип адрес, а из пула...? То что? 

Тогда микротик будет выдавать адреса из пула этим абонентам с их статическими мак адресами. То есть если в пуле 10 адресов и заведено 10 статических записей - все они будут получать адреса из пула при запросах. При этом если они все разом не работают, то каждый в разное время получит разный IP адрес.

Share this post


Link to post
Share on other sites

7 часов назад, Saab95 сказал:

Если свич вообще ничего не может - то настроить его как тупой свич и все.

Так и сделано 

 

7 часов назад, Saab95 сказал:

Если на интерфейсе arp - reply only, в настройках DHCP сервера стоит так же выдача статической записи arp, то пользователь может получить доступ в интернет только 2-мя способами:

1. Реальный абонент со своим реальным MAC адресом.

То есть если абонент пропишет себе ip adress с того же пула, он будет получать интернет? 

Edited by Qlobus

Share this post


Link to post
Share on other sites

19 часов назад, Qlobus сказал:

То есть если абонент пропишет себе ip adress с того же пула, он будет получать интернет? 

Нет, он будет получать интернет лишь в случае, если микротик ему выдаст IP адрес. Установив аренду 5 минут можно полностью исключить использования адреса злоумышленником.

 

Если же ваши коммутаторы можно настроить на сегментацию портов, то есть что бы абоненты могли передавать лишь данные в центр, а не между собой, то и просканировать сеть им будет сложнее на предмет поиска других IP адресов в сегменте.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.