Blackus Опубликовано 11 марта, 2019 (изменено) · Жалоба Привет всем! Есть две машины (AMD 8350, 8 Gb, 2x intel 82576 dual-port) (Intel i7 8 Gb, 2x intel 82576 dual-port) Задача - правильно собрать PPPoE + NAT + RouterOS +Firewall. Три порта на каждой машине (по три белых адреса на порту) для NAT, четвертый порт на абонента. Будет ли стабильнее на Микротике, раньше с ним не работал все на FreeBSD и Ubuntu. Изменено 11 марта, 2019 пользователем Blackus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 марта, 2019 · Жалоба Поставьте на один сервер микротик, повесьте белые IP и настройте НАТ, второй сервер оставьте для шейпера и PPPoE терминации. Указанное железо легко прожует несколько гигов трафика. Файрвол не нужен, достаточно на НАТ закрыть доступ извне и все. На нем же будете блокировать IP абонентов, которые доступ в интернет иметь не должны. Сейчас тут набегут и скажут, что микротик глючит и виснет. Но все то, что вы хотите, на нем можно настроить и отладить за пол часа, даже без особых знаний. А на других системах все не так просто. Не забывайте про платные лицензии, для НАТ хватит L4, а для PPPoE сервера может и L6 потребоваться, если абонентов много будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Blackus Опубликовано 11 марта, 2019 (изменено) · Жалоба Saab95, День добрый! src-nat (по подсетям раскидали), но nat+ pppoe + firewall - все на одной машине. L5. Но есть траблы. Перешел на один белый айпи с маскарадом. Изменено 12 марта, 2019 пользователем Blackus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Blackus Опубликовано 12 марта, 2019 · Жалоба Сейчас работает на одном айпи. Но хотелось бы src-nat несколько белых, тогда - баги. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 марта, 2019 · Жалоба Посмотрите вот в этой теме обсуждался нат, при этом там не по подсетям раскидывают, а микротик сам делит всех абонентов на равные группы и пускает каждую через свой внешний IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 12 марта, 2019 · Жалоба @Saab95 Вы забыли переменную, как органам сказать, что этот Петя написал в интернете "Путин молодец" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 марта, 2019 · Жалоба Для этого нужно сохранять статистику по внутренним IP адресам. И это работает не зависимо от того, каким образом производится НАТ. Что по группам, что случайное распределение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 13 марта, 2019 · Жалоба @Saab95 Сударь вы снова уходите от ответа и не договариваете. Статистику нужно сохранять скриптами? Во флоу таких данных микротик не пишет. З.Ы. купите микротик за 60к + 60к на сервак под статистику. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Blackus Опубликовано 13 марта, 2019 (изменено) · Жалоба Вроде настроил на одной двух-портовой. Закинул 5 белых айпи на выходе. Все отлично! Но, включаю вторую двух-портовую. Первый порт на пользователей, все ок. Второй порт в инет с другими белыми айпи. Указываю явно кого натить (src-nat 10.101.0.50/24 iface inet to address x.x.x.x) и тут трабла. Натится все как х.з. что!! Уходит в интернет по одному белому приходит на две сетевухи на разные белые айпи. Как сделать НАТ на два-три порта с пятью белыми айпи на порт, но шлюз у всех один один? Изменено 13 марта, 2019 пользователем Blackus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 13 марта, 2019 · Жалоба @Blackus отсыпь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Blackus Опубликовано 13 марта, 2019 · Жалоба ip ether1=y.y.y.y ether2=z.z.z.z route x.x.x.x%ether1 x.x.x.x%ether2 nat src-nat 10.101.0.0/24 ether1 y.y.y.y src-nat 10.101.50.0/24 ether2 z.z.z.z Шляпа на выходе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 марта, 2019 · Жалоба 2 часа назад, pingz сказал: Статистику нужно сохранять скриптами? Во флоу таких данных микротик не пишет. Это не надо, микротик пишет статистику по серым адресам, этого достаточно. Можно, зная внешний IP ресурса (например сайта), определить какие серые IP на него ходили. Естественно, если будет запрос вида, кто в такой-то день выходил с таким-то внешним IP в интернет - то такой статистики не будет. Но она и не нужна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 13 марта, 2019 · Жалоба @Saab95 Шеф ты не в теме, я как понял ты не с рф и вроде еще не в операторе работаешь(на форуме уже 3-4 года не одного пруфа не видел) Пишет чел из органов в погонах письмо оператору: "Привет кто выходил с IP адреса 7.7.7.7? 13.03.2016" Ты ему в ответ: "Привет понимаете мы оператор связи и это у нас роутер с натом(за ним сидит 200 клиентов), не могли бы вы предоставить ресурс, на какой ресурс было обращение?" В ответ: "Да vk.ru" При статических записях ната это немного долго, но находится ( с этим работаю не я, но от меня зависит, через какой роутер выходит клиент) Вопрос, где хранятся эти данные? На самом микротике? Если он перезагрузится? То можно идти брать у детектора лицензию и использовать бумагу по назначению? З.Ы. Я забыл нюанс нужно клиенту выдавать статику, тогда таких проблем не будет. Точно забыл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 марта, 2019 · Жалоба Я вам доказывать ничего не собираюсь, что бы таких проблем не было есть СОРМ, и есть циклический буфер к нему. А на указанный вами запрос делается ответ, что просим сообщить IP адрес ресурса, на который было обращение. И уже по этому IP можно осуществить поиск по серым адресам. Т.к. если вы посмотрите по базе серых IP кто с этого адреса выходил, то получите список из 100-200 абонентов, а органам столько не надо. Кроме всего разговор был про НАТ, а не про организационные вопросы по поводу соответствию законодательству. Последнее время любят все кидать в одну кучу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Blackus Опубликовано 13 марта, 2019 · Жалоба Всё, вкурил. Сделал bonding на микротике, и на циска агрегацию, повесил 16 айпи - полет нормальный! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 13 марта, 2019 · Жалоба @Saab95 29к постов пустоты. @Blackus А зачем бондинг? У вас нагрузка 1+ gb\s? Вы вкурсе, что при бондинге нагрузка будет распределется по макам? У вас у шлюза всего 1 мак т.е. выше 1gb\s вы не прыгните. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Blackus Опубликовано 13 марта, 2019 (изменено) · Жалоба Мужики, я к Вам с траблой, а тему флудите....... Почему? Идет агрегация 1 + 1 Изменено 13 марта, 2019 пользователем Blackus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 13 марта, 2019 · Жалоба @Blackus Мужик, вот я не умею собирать на Linux софт роутеры, тебе завидую. Но переход с софт роутера, на софт роутер ROS странновато. Т.к. у микротик ограничен в своих возможностей. Результаты для микротика примерно 300-500 клиентов(в моем случае это PPPoE) 400-700 mb\s c 100-130k p/s с натом, чтобы добиться большего нужно поставить 2 один будет авторизировать, другой будет натить. Из моих знакомых и вообще на этом форуме, с софт роутеров народ переходит на ASR и MX. З.Ы. у меня 10-15 CCR разбросанных по сети, через OSPF связаны с MX80 и уже там настроен статический нат 16 клиентов на 1 реальный ip. Работает примерно 1.5-2 раза стабильней, чем с микротиком. Раньше часто играл в доту, мой тест сыграть катку в час пик при микротиках были фризы, с МХ такого нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 марта, 2019 · Жалоба Если с микротиком фризы, значит что-то не так сделано. Есть места где микротик до сих пор на серверах вида i3 установлен, и легко гигабит трафика лопатит на 1000-1500 клиентов. Жалоб на качество нет. А бывает так, что и 200 клиентов создают на него сильную нагрузку. Наверное по причине не верного дизайна сети, когда большие L2 сегменты, никакой фильтрации мусора и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 13 марта, 2019 · Жалоба @Saab95 Скриншот будет? Сеть сфрагментирована по vlan, 1 vlan на 3-4 дома, на доступе, через ацл пропускается только PPPoE. Перед микротиком так же включена фильтрация. Тарифы до 100 mb\s. З.Ы. 41 минуту назад, Saab95 сказал: Я вам доказывать ничего не собираюсь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 марта, 2019 · Жалоба 4 минуты назад, pingz сказал: Сеть сфрагментирована по vlan, 1 vlan на 3-4 дома, на доступе, через ацл пропускается только PPPoE. Перед микротиком так же включена фильтрация. Тарифы до 100 mb\s. Вот и ответ, что толку от сегментации на вланы, когда в центр идет большое количество вланов и маков. В наших сетях L3 доступ и в центр приходит большое количество EoIP туннелей, в каждом из них клиенты своей БС или клиенты за CPE (если это малоэтажный дом), на каждый туннель вешается свой PPPoE сервер и никаких проблем. Были и случаи переделок, когда сеть была разделена на вланы, а ее, путем установки дополнительных микротиков, перенастройки существующего оборудования, перевели на L3, и все те же самые клиенты и тот же самый центральный микротик, стали работать лучше - ушли потери, колебания задержки и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 13 марта, 2019 · Жалоба @Saab95 Вы вообще читаете посты? 27 минут назад, pingz сказал: чтобы добиться большего нужно поставить 2 один будет авторизировать, другой будет натить. Давайте не будет отходить от темы ТС у нас одна коробка и все. Можно поставить и отдельно: авторизация, шейпер, OSPF(можно BGP) агрегатор, натилка, BGP бордер и выходит это 6 отдельных устройств еще отдельно фаервол. 7*60k=420k @Blackus Мужик, теперь ты понял, что шутка про "Нужно больше микротиков" имеет долю шутки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...