Jump to content
Калькуляторы

PPPoE + NAT + RouterOS

Привет всем!

 

Есть две машины (AMD 8350, 8 Gb, 2x intel 82576 dual-port) (Intel i7 8 Gb, 2x intel 82576 dual-port)

 

Задача - правильно собрать PPPoE + NAT + RouterOS +Firewall.

Три порта на каждой машине (по три белых адреса на порту) для NAT, четвертый порт на абонента.

 

Будет ли стабильнее на Микротике, раньше с ним не работал все на FreeBSD и Ubuntu.

 

 

 

Edited by Blackus

Share this post


Link to post
Share on other sites

Поставьте на один сервер микротик, повесьте белые IP и настройте НАТ, второй сервер оставьте для шейпера и PPPoE терминации. Указанное железо легко прожует несколько гигов трафика.

Файрвол не нужен, достаточно на НАТ закрыть доступ извне и все. На нем же будете блокировать IP абонентов, которые доступ в интернет иметь не должны.

 

Сейчас тут набегут и скажут, что микротик глючит и виснет. Но все то, что вы хотите, на нем можно настроить и отладить за пол часа, даже без особых знаний. А на других системах все не так просто.

 

Не забывайте про платные лицензии, для НАТ хватит L4, а для PPPoE сервера может и L6 потребоваться, если абонентов много будет.

Share this post


Link to post
Share on other sites

Saab95День добрый!

 

src-nat (по подсетям раскидали), но nat+ pppoe + firewall - все на одной машине. L5. Но есть траблы.

 

Перешел на один белый айпи с маскарадом.

 

 

 

 

 

 

Edited by Blackus

Share this post


Link to post
Share on other sites

Посмотрите вот в этой теме обсуждался нат, при этом там не по подсетям раскидывают, а микротик сам делит всех абонентов на равные группы и пускает каждую через свой внешний IP.

 

 

Share this post


Link to post
Share on other sites

@Saab95  Вы забыли переменную, как органам сказать, что этот Петя написал в интернете "Путин молодец" 

Share this post


Link to post
Share on other sites

Для этого нужно сохранять статистику по внутренним IP адресам. И это работает не зависимо от того, каким образом производится НАТ. Что по группам, что случайное распределение.

Share this post


Link to post
Share on other sites

@Saab95 Сударь вы снова уходите от ответа и не договариваете. 

 

Статистику нужно сохранять скриптами? Во флоу таких данных микротик не пишет. 

 

З.Ы. купите микротик за 60к + 60к на сервак под статистику. 

 

 

Share this post


Link to post
Share on other sites

Вроде настроил на одной двух-портовой.

 

Закинул 5 белых айпи на выходе. Все отлично!

 

Но, включаю вторую двух-портовую. Первый порт на пользователей, все ок.

 

Второй порт в инет с другими белыми айпи. Указываю явно кого натить (src-nat 10.101.0.50/24 iface inet to address x.x.x.x) и тут трабла. Натится все как х.з. что!!

 

Уходит в интернет по одному белому приходит на две сетевухи на разные белые айпи.

 

Как сделать НАТ на два-три порта с пятью белыми айпи на порт, но шлюз у всех один один? 

Edited by Blackus

Share this post


Link to post
Share on other sites

2 часа назад, pingz сказал:

Статистику нужно сохранять скриптами? Во флоу таких данных микротик не пишет. 

Это не надо, микротик пишет статистику по серым адресам, этого достаточно. Можно, зная внешний IP ресурса (например сайта), определить какие серые IP на него ходили.

Естественно, если будет запрос вида, кто в такой-то день выходил с таким-то внешним IP в интернет - то такой статистики не будет. Но она и не нужна.

Share this post


Link to post
Share on other sites

@Saab95  Шеф ты не в теме, я как понял ты не с рф и вроде еще не в операторе работаешь(на форуме уже 3-4 года не одного пруфа не видел)

 

Пишет чел из органов в погонах письмо оператору: "Привет кто выходил с IP адреса 7.7.7.7? 13.03.2016"

Ты ему в ответ: "Привет понимаете мы оператор связи и это у нас роутер с натом(за ним сидит 200 клиентов), не могли бы вы предоставить ресурс, на какой ресурс было обращение?" 

В ответ: "Да vk.ru"

 

При статических записях ната это немного долго, но находится ( с этим работаю не я, но от меня зависит, через какой роутер выходит клиент) 

 

Вопрос, где хранятся эти данные? На самом микротике? Если он перезагрузится? То можно идти брать у детектора лицензию и использовать бумагу по назначению? 

 

 

З.Ы. Я забыл нюанс нужно клиенту выдавать статику, тогда таких проблем не будет. Точно забыл. 

Share this post


Link to post
Share on other sites

Я вам доказывать ничего не собираюсь, что бы таких проблем не было есть СОРМ, и есть циклический буфер к нему.

А на указанный вами запрос делается ответ, что просим сообщить IP адрес ресурса, на который было обращение. И уже по этому IP можно осуществить поиск по серым адресам. Т.к. если вы посмотрите по базе серых IP кто с этого адреса выходил, то получите список из 100-200 абонентов, а органам столько не надо.

 

Кроме всего разговор был про НАТ, а не про организационные вопросы по поводу соответствию законодательству. Последнее время любят все кидать в одну кучу.

Share this post


Link to post
Share on other sites

@Saab95 

 

29к постов пустоты. 

 

 

@Blackus  А зачем бондинг? У вас нагрузка 1+ gb\s? Вы вкурсе, что при бондинге нагрузка будет распределется по макам? У вас у шлюза всего 1 мак т.е. выше 1gb\s вы не прыгните. 

Share this post


Link to post
Share on other sites

@Blackus Мужик, вот я не умею собирать на Linux софт роутеры, тебе завидую. 

 

Но переход с софт роутера, на софт роутер ROS странновато. Т.к. у микротик ограничен в своих возможностей. 

 

Результаты для микротика примерно 300-500 клиентов(в моем случае это PPPoE) 400-700 mb\s c 100-130k p/s с натом, чтобы добиться большего нужно поставить 2 один будет авторизировать, другой будет натить. 

 

Из моих знакомых и вообще на этом форуме, с софт роутеров народ переходит на ASR и MX.

 

З.Ы. у меня 10-15 CCR разбросанных  по сети, через OSPF связаны с MX80 и уже там настроен статический нат 16 клиентов на 1 реальный ip. Работает примерно 1.5-2 раза стабильней, чем с микротиком. Раньше часто играл в доту, мой тест сыграть катку в час пик  при микротиках были фризы, с МХ такого нет. 

Share this post


Link to post
Share on other sites

Если с микротиком фризы, значит что-то не так сделано. Есть места где микротик до сих пор на серверах вида i3 установлен, и легко гигабит трафика лопатит на 1000-1500 клиентов. Жалоб на качество нет.

А бывает так, что и 200 клиентов создают на него сильную нагрузку. Наверное по причине не верного дизайна сети, когда большие L2 сегменты, никакой фильтрации мусора и т.п.

Share this post


Link to post
Share on other sites

@Saab95  Скриншот будет? 

 

Сеть сфрагментирована по vlan, 1  vlan на 3-4 дома, на доступе, через ацл пропускается только PPPoE.

Перед микротиком так же включена фильтрация. 

Тарифы до 100 mb\s. 

 

З.Ы. 

41 минуту назад, Saab95 сказал:

Я вам доказывать ничего не собираюсь

 

Share this post


Link to post
Share on other sites

4 минуты назад, pingz сказал:

Сеть сфрагментирована по vlan, 1  vlan на 3-4 дома, на доступе, через ацл пропускается только PPPoE.

Перед микротиком так же включена фильтрация. 

Тарифы до 100 mb\s. 

Вот и ответ, что толку от сегментации на вланы, когда в центр идет большое количество вланов и маков.

 

В наших сетях L3 доступ и в центр приходит большое количество EoIP туннелей, в каждом из них клиенты своей БС или клиенты за CPE (если это малоэтажный дом), на каждый туннель вешается свой PPPoE сервер и никаких проблем.

Были и случаи переделок, когда сеть была разделена на вланы, а ее, путем установки дополнительных микротиков, перенастройки существующего оборудования, перевели на L3, и все те же самые клиенты и тот же самый центральный микротик, стали работать лучше - ушли потери, колебания задержки и т.п.

Share this post


Link to post
Share on other sites

@Saab95  Вы вообще читаете посты? 

27 минут назад, pingz сказал:

чтобы добиться большего нужно поставить 2 один будет авторизировать, другой будет натить.

Давайте не будет отходить от темы ТС у нас одна коробка и все. Можно поставить и отдельно: авторизация, шейпер, OSPF(можно BGP) агрегатор, натилка, BGP бордер и выходит это 6 отдельных устройств еще отдельно фаервол. 7*60k=420k

 

@Blackus  Мужик, теперь ты понял, что шутка про "Нужно больше микротиков" имеет долю шутки? 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.