IPoE Mikrotik+Radius

[NiTr0]

В 26.09.2020 в 21:45, Qlobus сказал:

То есть если абонент пропишет себе ip adress с того же пула, он будет получать интернет? 

 

если поставит мак соседа и ип соседа (статикой или дхцп) - да, будет получать интернет.

[VolanD666]

Запихайте клиента каждого в свой влан, в чем проблема? Не поможет вм тут arp reply-only.

[Qlobus]

В 15.10.2020 в 15:15, VolanD666 сказал:

Запихайте клиента каждого в свой влан, в чем проблема? Не поможет вм тут arp reply-only.

Ну некоторое свичи не управляемые... 

[VolanD666]

Ну в таком случае, как вы можете рулить процессом, если некоторыми частями вы совсем не рулите?

У вас клиент, воткнутый в этот неуправляемый свич можем большой сегмент положить и вы даже про это не узнаете и не узнаете кто это сделал.

[Qlobus]

В 15.10.2020 в 15:15, VolanD666 сказал:

Запихайте клиента каждого в свой влан, в чем проблема? Не поможет вм тут arp reply-only.

Saab95 говорит есть надежда 

 

В 17.10.2020 в 03:54, VolanD666 сказал:

Ну в таком случае, как вы можете рулить процессом, если некоторыми частями вы совсем не рулите?

У вас клиент, воткнутый в этот неуправляемый свич можем большой сегмент положить и вы даже про это не узнаете и не узнаете кто это сделал.

Тогда остаться на pppoe? 

[VolanD666]

14 часов назад, Qlobus сказал:

Saab95 говорит есть надежда 

 

Тогда остаться на pppoe? 

Вы частично сетью не рулите, в чем надежда? Вы конечно можете городить костыли в виде pppoe и прочего. но правильное решение- это поставить управляемые свичи.

[Qlobus]

8 часов назад, VolanD666 сказал:

Вы частично сетью не рулите, в чем надежда? Вы конечно можете городить костыли в виде pppoe и прочего. но правильное решение- это поставить управляемые свичи.

Да на счёт управляемые свичи согласен конечно.

Я всё таки проверю arp reply-only

 

[Qlobus]

@VolanD666 А что если создать bridge и порт посадит на этот bridge и ставит там галочку dhcp snooping. Это поможет?

[VolanD666]

25 минут назад, Qlobus сказал:

@VolanD666 А что если создать bridge и порт посадит на этот bridge и ставит там галочку dhcp snooping. Это поможет?

DHCP снупинг работает только при поступлении трафика на порт. Если этот порт отмечен как Untrusted, то запросы с предложениями IP настроек на нем будут блокироваться. В вашем же случае такие запросы не будут долетать до этого порта, т.к. зловредная машина может быть вообще на соседнем порту неуправляемого коммутатора.

Еще раз, самое правильное решение- это поставить управляемые коммутаторы (с поддержкой нужных технологий) по всей сети. В чем проблема? Пол года прошло, вам денег не дают или вы не знаете как? :)

[Utelecom]

В 13.09.2018 в 11:06, Saab95 сказал:

Заводите на микротике по влану для каждого абонента, начинать лучше с номера 2, а не городить схемы вида влан 1459 и т.п. То есть если у вас 10 мини узлов, куда подключаются абоненты, то пусть на каждом будет адресация со 2 влана и пошло вверх.

/interface vlan
add arp=reply-only interface=bridge_vlan name=vlan_2 vlan-id=2
add arp=reply-only interface=bridge_vlan name=vlan_3 vlan-id=3

/ip address
add address=10.10.30.1/32 network=10.10.30.2 interface=vlan_2
add address=10.10.30.1/32 network=10.10.30.3 interface=vlan_3

/ip pool
add name=dhcp_pool_2 ranges=10.10.30.2
add name=dhcp_pool_3 ranges=10.10.30.3

/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_2 disabled=no interface=vlan_2 lease-time=5m name=dhcp_2
add add-arp=yes address-pool=dhcp_pool_3 disabled=no interface=vlan_3 lease-time=5m name=dhcp_3

/ip dhcp-server network
add address=10.10.30.0/24 dns-server=8.8.8.8,8.8.7.7 gateway=10.10.30.1

 

На каждый влан вешается 1 IP адрес поштучно без подсетей, через OSPF адреса анонсируются по сети, в настройках area следует указать redistribute connected. В таком случае можно выдавать любые адреса абонентам, хотите белые, хотите серые и т.п. Время аренды 5 минут - всегда можно абоненту адрес поменять на роутере, и он через 5 минут его примет. Аналогично в плюсах защита от подмены мака - т.к. арп работает по статике, абонент не может поставить себе IP вручную, а если поменяет роутер или компьютер, то не сможет получить адрес, пока время аренды старого 5 минут не закончится.

 

Если хотите выдавать адреса по радиусу, тогда в скриптах выдачи и окончания аренды следует указать нужные команды, радиус будет принимать решение что выдать по имени интерфейса и адреса роутера, с которого пришел запрос. Единственный минус в том, что если роутер перезапустить, то выданные адреса с роутера уже не удалятся, и нужно в планировщике создать скрипт на удаление всех IP адресов и прочего при старте роутера. И только после включать DHCP сервера для абонентов (или запросы через радиус), что бы они смогли адреса получить.

 

Если же у вас радио и хотите уйти от PPPoE - то делать этого не следует, если можно поднять соединение на CPE. На микротике можно указать MTU = 1500 для PPPoE и никакой пакетной нагрузки увеличиваться не будет.

 

Поделитесь пожалуйста скриптом

[Utelecom]

Значит и не было ни какого скрипта...

[AKim]

В 05.06.2022 в 20:49, deltatelecom сказал:

Значит и не было ни какого скрипта...

Забудьте о vlan per user на микротике, если планируете 1000+ подключений.

при 3к вланов CCR1036 ребутится до 40 минут и с такой же скоростью поднимается .

Это не юзабельный детсад.

 

хотите нормальный vpu , используйте accel.

Есть деньги, поставьте MX80.

[Saab95]

В 27.06.2022 в 03:09, AKim сказал:

Забудьте о vlan per user на микротике, если планируете 1000+ подключений.

при 3к вланов CCR1036 ребутится до 40 минут и с такой же скоростью поднимается .

Это не юзабельный детсад.

Не юзабельный детсад это тянуть все вланы в центр. Вланы нужно терминировать на окраине сети, установив по микротику перед OLT или группой коммутаторов, что бы на нем не заводить более 500-1000 вланов. Проблем не будет.

 

RB4011 вполне нормально терминирует 1-2 гига трафика, стоит бюджетно, порт 10Г есть.