Перейти к содержимому
Калькуляторы

PPPoE + NAT + RouterOS

Привет всем!

 

Есть две машины (AMD 8350, 8 Gb, 2x intel 82576 dual-port) (Intel i7 8 Gb, 2x intel 82576 dual-port)

 

Задача - правильно собрать PPPoE + NAT + RouterOS +Firewall.

Три порта на каждой машине (по три белых адреса на порту) для NAT, четвертый порт на абонента.

 

Будет ли стабильнее на Микротике, раньше с ним не работал все на FreeBSD и Ubuntu.

 

 

 

Изменено пользователем Blackus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставьте на один сервер микротик, повесьте белые IP и настройте НАТ, второй сервер оставьте для шейпера и PPPoE терминации. Указанное железо легко прожует несколько гигов трафика.

Файрвол не нужен, достаточно на НАТ закрыть доступ извне и все. На нем же будете блокировать IP абонентов, которые доступ в интернет иметь не должны.

 

Сейчас тут набегут и скажут, что микротик глючит и виснет. Но все то, что вы хотите, на нем можно настроить и отладить за пол часа, даже без особых знаний. А на других системах все не так просто.

 

Не забывайте про платные лицензии, для НАТ хватит L4, а для PPPoE сервера может и L6 потребоваться, если абонентов много будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95День добрый!

 

src-nat (по подсетям раскидали), но nat+ pppoe + firewall - все на одной машине. L5. Но есть траблы.

 

Перешел на один белый айпи с маскарадом.

 

 

 

 

 

 

Изменено пользователем Blackus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас работает на одном айпи. Но хотелось бы src-nat несколько белых, тогда - баги. 

Новый рисунок (8).jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посмотрите вот в этой теме обсуждался нат, при этом там не по подсетям раскидывают, а микротик сам делит всех абонентов на равные группы и пускает каждую через свой внешний IP.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Saab95  Вы забыли переменную, как органам сказать, что этот Петя написал в интернете "Путин молодец" 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для этого нужно сохранять статистику по внутренним IP адресам. И это работает не зависимо от того, каким образом производится НАТ. Что по группам, что случайное распределение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Saab95 Сударь вы снова уходите от ответа и не договариваете. 

 

Статистику нужно сохранять скриптами? Во флоу таких данных микротик не пишет. 

 

З.Ы. купите микротик за 60к + 60к на сервак под статистику. 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вроде настроил на одной двух-портовой.

 

Закинул 5 белых айпи на выходе. Все отлично!

 

Но, включаю вторую двух-портовую. Первый порт на пользователей, все ок.

 

Второй порт в инет с другими белыми айпи. Указываю явно кого натить (src-nat 10.101.0.50/24 iface inet to address x.x.x.x) и тут трабла. Натится все как х.з. что!!

 

Уходит в интернет по одному белому приходит на две сетевухи на разные белые айпи.

 

Как сделать НАТ на два-три порта с пятью белыми айпи на порт, но шлюз у всех один один? 

Изменено пользователем Blackus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Blackus отсыпь. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip

ether1=y.y.y.y

ether2=z.z.z.z

 

route

x.x.x.x%ether1

x.x.x.x%ether2

 

nat

src-nat 10.101.0.0/24 ether1 y.y.y.y

src-nat 10.101.50.0/24 ether2 z.z.z.z

 

 

Шляпа на выходе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, pingz сказал:

Статистику нужно сохранять скриптами? Во флоу таких данных микротик не пишет. 

Это не надо, микротик пишет статистику по серым адресам, этого достаточно. Можно, зная внешний IP ресурса (например сайта), определить какие серые IP на него ходили.

Естественно, если будет запрос вида, кто в такой-то день выходил с таким-то внешним IP в интернет - то такой статистики не будет. Но она и не нужна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Saab95  Шеф ты не в теме, я как понял ты не с рф и вроде еще не в операторе работаешь(на форуме уже 3-4 года не одного пруфа не видел)

 

Пишет чел из органов в погонах письмо оператору: "Привет кто выходил с IP адреса 7.7.7.7? 13.03.2016"

Ты ему в ответ: "Привет понимаете мы оператор связи и это у нас роутер с натом(за ним сидит 200 клиентов), не могли бы вы предоставить ресурс, на какой ресурс было обращение?" 

В ответ: "Да vk.ru"

 

При статических записях ната это немного долго, но находится ( с этим работаю не я, но от меня зависит, через какой роутер выходит клиент) 

 

Вопрос, где хранятся эти данные? На самом микротике? Если он перезагрузится? То можно идти брать у детектора лицензию и использовать бумагу по назначению? 

 

 

З.Ы. Я забыл нюанс нужно клиенту выдавать статику, тогда таких проблем не будет. Точно забыл. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я вам доказывать ничего не собираюсь, что бы таких проблем не было есть СОРМ, и есть циклический буфер к нему.

А на указанный вами запрос делается ответ, что просим сообщить IP адрес ресурса, на который было обращение. И уже по этому IP можно осуществить поиск по серым адресам. Т.к. если вы посмотрите по базе серых IP кто с этого адреса выходил, то получите список из 100-200 абонентов, а органам столько не надо.

 

Кроме всего разговор был про НАТ, а не про организационные вопросы по поводу соответствию законодательству. Последнее время любят все кидать в одну кучу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всё, вкурил. Сделал bonding на микротике, и на циска агрегацию, повесил 16 айпи - полет нормальный! 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Saab95 

 

29к постов пустоты. 

 

 

@Blackus  А зачем бондинг? У вас нагрузка 1+ gb\s? Вы вкурсе, что при бондинге нагрузка будет распределется по макам? У вас у шлюза всего 1 мак т.е. выше 1gb\s вы не прыгните. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мужики, я к Вам с траблой, а тему флудите.......

 

Почему?

 

 

Идет агрегация 1 + 1

Изменено пользователем Blackus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Blackus Мужик, вот я не умею собирать на Linux софт роутеры, тебе завидую. 

 

Но переход с софт роутера, на софт роутер ROS странновато. Т.к. у микротик ограничен в своих возможностей. 

 

Результаты для микротика примерно 300-500 клиентов(в моем случае это PPPoE) 400-700 mb\s c 100-130k p/s с натом, чтобы добиться большего нужно поставить 2 один будет авторизировать, другой будет натить. 

 

Из моих знакомых и вообще на этом форуме, с софт роутеров народ переходит на ASR и MX.

 

З.Ы. у меня 10-15 CCR разбросанных  по сети, через OSPF связаны с MX80 и уже там настроен статический нат 16 клиентов на 1 реальный ip. Работает примерно 1.5-2 раза стабильней, чем с микротиком. Раньше часто играл в доту, мой тест сыграть катку в час пик  при микротиках были фризы, с МХ такого нет. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если с микротиком фризы, значит что-то не так сделано. Есть места где микротик до сих пор на серверах вида i3 установлен, и легко гигабит трафика лопатит на 1000-1500 клиентов. Жалоб на качество нет.

А бывает так, что и 200 клиентов создают на него сильную нагрузку. Наверное по причине не верного дизайна сети, когда большие L2 сегменты, никакой фильтрации мусора и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Saab95  Скриншот будет? 

 

Сеть сфрагментирована по vlan, 1  vlan на 3-4 дома, на доступе, через ацл пропускается только PPPoE.

Перед микротиком так же включена фильтрация. 

Тарифы до 100 mb\s. 

 

З.Ы. 

41 минуту назад, Saab95 сказал:

Я вам доказывать ничего не собираюсь

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, pingz сказал:

Сеть сфрагментирована по vlan, 1  vlan на 3-4 дома, на доступе, через ацл пропускается только PPPoE.

Перед микротиком так же включена фильтрация. 

Тарифы до 100 mb\s. 

Вот и ответ, что толку от сегментации на вланы, когда в центр идет большое количество вланов и маков.

 

В наших сетях L3 доступ и в центр приходит большое количество EoIP туннелей, в каждом из них клиенты своей БС или клиенты за CPE (если это малоэтажный дом), на каждый туннель вешается свой PPPoE сервер и никаких проблем.

Были и случаи переделок, когда сеть была разделена на вланы, а ее, путем установки дополнительных микротиков, перенастройки существующего оборудования, перевели на L3, и все те же самые клиенты и тот же самый центральный микротик, стали работать лучше - ушли потери, колебания задержки и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Saab95  Вы вообще читаете посты? 

27 минут назад, pingz сказал:

чтобы добиться большего нужно поставить 2 один будет авторизировать, другой будет натить.

Давайте не будет отходить от темы ТС у нас одна коробка и все. Можно поставить и отдельно: авторизация, шейпер, OSPF(можно BGP) агрегатор, натилка, BGP бордер и выходит это 6 отдельных устройств еще отдельно фаервол. 7*60k=420k

 

@Blackus  Мужик, теперь ты понял, что шутка про "Нужно больше микротиков" имеет долю шутки? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.