Blackus Posted March 11, 2019 (edited) · Report post Привет всем! Есть две машины (AMD 8350, 8 Gb, 2x intel 82576 dual-port) (Intel i7 8 Gb, 2x intel 82576 dual-port) Задача - правильно собрать PPPoE + NAT + RouterOS +Firewall. Три порта на каждой машине (по три белых адреса на порту) для NAT, четвертый порт на абонента. Будет ли стабильнее на Микротике, раньше с ним не работал все на FreeBSD и Ubuntu. Edited March 11, 2019 by Blackus Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted March 11, 2019 · Report post Поставьте на один сервер микротик, повесьте белые IP и настройте НАТ, второй сервер оставьте для шейпера и PPPoE терминации. Указанное железо легко прожует несколько гигов трафика. Файрвол не нужен, достаточно на НАТ закрыть доступ извне и все. На нем же будете блокировать IP абонентов, которые доступ в интернет иметь не должны. Сейчас тут набегут и скажут, что микротик глючит и виснет. Но все то, что вы хотите, на нем можно настроить и отладить за пол часа, даже без особых знаний. А на других системах все не так просто. Не забывайте про платные лицензии, для НАТ хватит L4, а для PPPoE сервера может и L6 потребоваться, если абонентов много будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Blackus Posted March 11, 2019 (edited) · Report post Saab95, День добрый! src-nat (по подсетям раскидали), но nat+ pppoe + firewall - все на одной машине. L5. Но есть траблы. Перешел на один белый айпи с маскарадом. Edited March 12, 2019 by Blackus Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Blackus Posted March 12, 2019 · Report post Сейчас работает на одном айпи. Но хотелось бы src-nat несколько белых, тогда - баги. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted March 12, 2019 · Report post Посмотрите вот в этой теме обсуждался нат, при этом там не по подсетям раскидывают, а микротик сам делит всех абонентов на равные группы и пускает каждую через свой внешний IP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 12, 2019 · Report post @Saab95 Вы забыли переменную, как органам сказать, что этот Петя написал в интернете "Путин молодец" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted March 12, 2019 · Report post Для этого нужно сохранять статистику по внутренним IP адресам. И это работает не зависимо от того, каким образом производится НАТ. Что по группам, что случайное распределение. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 13, 2019 · Report post @Saab95 Сударь вы снова уходите от ответа и не договариваете. Статистику нужно сохранять скриптами? Во флоу таких данных микротик не пишет. З.Ы. купите микротик за 60к + 60к на сервак под статистику. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Blackus Posted March 13, 2019 (edited) · Report post Вроде настроил на одной двух-портовой. Закинул 5 белых айпи на выходе. Все отлично! Но, включаю вторую двух-портовую. Первый порт на пользователей, все ок. Второй порт в инет с другими белыми айпи. Указываю явно кого натить (src-nat 10.101.0.50/24 iface inet to address x.x.x.x) и тут трабла. Натится все как х.з. что!! Уходит в интернет по одному белому приходит на две сетевухи на разные белые айпи. Как сделать НАТ на два-три порта с пятью белыми айпи на порт, но шлюз у всех один один? Edited March 13, 2019 by Blackus Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 13, 2019 · Report post @Blackus отсыпь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Blackus Posted March 13, 2019 · Report post ip ether1=y.y.y.y ether2=z.z.z.z route x.x.x.x%ether1 x.x.x.x%ether2 nat src-nat 10.101.0.0/24 ether1 y.y.y.y src-nat 10.101.50.0/24 ether2 z.z.z.z Шляпа на выходе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted March 13, 2019 · Report post 2 часа назад, pingz сказал: Статистику нужно сохранять скриптами? Во флоу таких данных микротик не пишет. Это не надо, микротик пишет статистику по серым адресам, этого достаточно. Можно, зная внешний IP ресурса (например сайта), определить какие серые IP на него ходили. Естественно, если будет запрос вида, кто в такой-то день выходил с таким-то внешним IP в интернет - то такой статистики не будет. Но она и не нужна. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 13, 2019 · Report post @Saab95 Шеф ты не в теме, я как понял ты не с рф и вроде еще не в операторе работаешь(на форуме уже 3-4 года не одного пруфа не видел) Пишет чел из органов в погонах письмо оператору: "Привет кто выходил с IP адреса 7.7.7.7? 13.03.2016" Ты ему в ответ: "Привет понимаете мы оператор связи и это у нас роутер с натом(за ним сидит 200 клиентов), не могли бы вы предоставить ресурс, на какой ресурс было обращение?" В ответ: "Да vk.ru" При статических записях ната это немного долго, но находится ( с этим работаю не я, но от меня зависит, через какой роутер выходит клиент) Вопрос, где хранятся эти данные? На самом микротике? Если он перезагрузится? То можно идти брать у детектора лицензию и использовать бумагу по назначению? З.Ы. Я забыл нюанс нужно клиенту выдавать статику, тогда таких проблем не будет. Точно забыл. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted March 13, 2019 · Report post Я вам доказывать ничего не собираюсь, что бы таких проблем не было есть СОРМ, и есть циклический буфер к нему. А на указанный вами запрос делается ответ, что просим сообщить IP адрес ресурса, на который было обращение. И уже по этому IP можно осуществить поиск по серым адресам. Т.к. если вы посмотрите по базе серых IP кто с этого адреса выходил, то получите список из 100-200 абонентов, а органам столько не надо. Кроме всего разговор был про НАТ, а не про организационные вопросы по поводу соответствию законодательству. Последнее время любят все кидать в одну кучу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Blackus Posted March 13, 2019 · Report post Всё, вкурил. Сделал bonding на микротике, и на циска агрегацию, повесил 16 айпи - полет нормальный! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 13, 2019 · Report post @Saab95 29к постов пустоты. @Blackus А зачем бондинг? У вас нагрузка 1+ gb\s? Вы вкурсе, что при бондинге нагрузка будет распределется по макам? У вас у шлюза всего 1 мак т.е. выше 1gb\s вы не прыгните. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Blackus Posted March 13, 2019 (edited) · Report post Мужики, я к Вам с траблой, а тему флудите....... Почему? Идет агрегация 1 + 1 Edited March 13, 2019 by Blackus Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 13, 2019 · Report post @Blackus Мужик, вот я не умею собирать на Linux софт роутеры, тебе завидую. Но переход с софт роутера, на софт роутер ROS странновато. Т.к. у микротик ограничен в своих возможностей. Результаты для микротика примерно 300-500 клиентов(в моем случае это PPPoE) 400-700 mb\s c 100-130k p/s с натом, чтобы добиться большего нужно поставить 2 один будет авторизировать, другой будет натить. Из моих знакомых и вообще на этом форуме, с софт роутеров народ переходит на ASR и MX. З.Ы. у меня 10-15 CCR разбросанных по сети, через OSPF связаны с MX80 и уже там настроен статический нат 16 клиентов на 1 реальный ip. Работает примерно 1.5-2 раза стабильней, чем с микротиком. Раньше часто играл в доту, мой тест сыграть катку в час пик при микротиках были фризы, с МХ такого нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted March 13, 2019 · Report post Если с микротиком фризы, значит что-то не так сделано. Есть места где микротик до сих пор на серверах вида i3 установлен, и легко гигабит трафика лопатит на 1000-1500 клиентов. Жалоб на качество нет. А бывает так, что и 200 клиентов создают на него сильную нагрузку. Наверное по причине не верного дизайна сети, когда большие L2 сегменты, никакой фильтрации мусора и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 13, 2019 · Report post @Saab95 Скриншот будет? Сеть сфрагментирована по vlan, 1 vlan на 3-4 дома, на доступе, через ацл пропускается только PPPoE. Перед микротиком так же включена фильтрация. Тарифы до 100 mb\s. З.Ы. 41 минуту назад, Saab95 сказал: Я вам доказывать ничего не собираюсь Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted March 13, 2019 · Report post 4 минуты назад, pingz сказал: Сеть сфрагментирована по vlan, 1 vlan на 3-4 дома, на доступе, через ацл пропускается только PPPoE. Перед микротиком так же включена фильтрация. Тарифы до 100 mb\s. Вот и ответ, что толку от сегментации на вланы, когда в центр идет большое количество вланов и маков. В наших сетях L3 доступ и в центр приходит большое количество EoIP туннелей, в каждом из них клиенты своей БС или клиенты за CPE (если это малоэтажный дом), на каждый туннель вешается свой PPPoE сервер и никаких проблем. Были и случаи переделок, когда сеть была разделена на вланы, а ее, путем установки дополнительных микротиков, перенастройки существующего оборудования, перевели на L3, и все те же самые клиенты и тот же самый центральный микротик, стали работать лучше - ушли потери, колебания задержки и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 13, 2019 · Report post @Saab95 Вы вообще читаете посты? 27 минут назад, pingz сказал: чтобы добиться большего нужно поставить 2 один будет авторизировать, другой будет натить. Давайте не будет отходить от темы ТС у нас одна коробка и все. Можно поставить и отдельно: авторизация, шейпер, OSPF(можно BGP) агрегатор, натилка, BGP бордер и выходит это 6 отдельных устройств еще отдельно фаервол. 7*60k=420k @Blackus Мужик, теперь ты понял, что шутка про "Нужно больше микротиков" имеет долю шутки? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...