[jone31]

Добрый день, коллеги!

Сейчас используем схему подключения для юриков IPoE, по которой выдаем каждому 30 подсеть, но сейчас выйгран большой тендер на 300 точек по области на включение и соответственно в этой схеме требуется аж 1200 IP адресов (300 раз по /30), что ощутимо бьет по карману за цену IP и нерационально в принципе. Думаю как все это сократить до 301 адреса, 1 IP шлюз и 300 клиентских IP.

 

собственно смотрю, что все крупные операторы отдают каналы в подсети /24 и более и защищены от спуфинга на уровне ACL коммутатора я так понимаю.

Но у меня другая ситуация, все точки включаться по L2TP+EoIP на микротик(x86), а на нем я так понимаю не реализована ACL фильтрация на порту(в данном случае на интерфейсе EoIP).

Соответственно если я кидают в общий бридж(где вся подсеть /23) EoIP тонель, то клиент может устраивать конфликты внутри этого бриджа и соответственно мешать работе всех клиентов в этой подсети.

 

вопрос как можно изолировать клиентов друг от друга в общем влане на микротик?

в качестве уникальных у меня получается IP + интерфейс_eoip или vlan_eoip

[TriKS]

Давайте /32. Правда не все роутеры  умеют их пользовать. Ну и влан на пользователя можно. Но у микротика грустновато с этим. Скрипты подбирают.

[LostSoul]

вы можете рассмотреть возможность использования linux ipoe от NuclearCat на центральной точке терминации туннелей.

Хорошо работает в продакшене уже много лет.

Каждый туннель представлен в linux как индивидуальное tap устройство, демон крутится в userspace и простой , буквально несколько строк кода.

Можно запускать один процесс на один туннель, можно несколько туннелей на процесс.

 

Имеет ряд преимуществ перед реализацией в routeros - может работать с динамическим IP на стороне клиента, подхватывая туннели на лету без скриптов и.т.п.

Удобно резервировать.

 

 

 

[EShirokiy]

Что мешает использовать ip unnumbered?

[NiTr0]

4 часа назад, EShirokiy сказал:

Что мешает использовать ip unnumbered?

очевидно же - микротик мешает :)

[EShirokiy]

@NiTr0 там есть нечто похожее на ip unnumbered и вполне себе работает, разве что руками надо все делать, с другой стороны простой скрипт на питоне для генерации конфига можно написать за десять минут

[NiTr0]

да оно-то понятно что можно все костыликами прилепить, забивая статик роуты (ну пожалуй кроме дхцп для unnumbered), но стоит ли оно того?...

[alibek]

17 часов назад, jone31 сказал:

что ощутимо бьет по карману за цену IP и нерационально в принципе

А при участии в конкурсе об этом не думали?

У крупных ЮЛ часто в ТЗ указывается требование статической маршрутизации /30 или /29.

И тогда придется делать.

[jone31]

ip unnumbered реализация в микротике я так понимаю это просто маршрут в нужный влан, который вроде как должен решить возможность подмны IP клиентом. Но какие могут быть подводные камни здесь? является ли это достаточным?

 

я попробовал это работает на микротике, но немогу найти в инете сведения на сколько этот unnumbered в реализации микротик, соответствует unnumbered в класическом понимании в плане безопасности.

 

10 минут назад, alibek сказал:

У крупных ЮЛ часто в ТЗ указывается требование статической маршрутизации /30 или /29.

 

нет. такого требования к каналу нет. Это уже тонкости реализации с нашей стороны.

Нам дешевле поставить сервер на линухе и поднять там роутер, чем платить за огромную IP подсеть для клиента.

 

но т.к. у нас довольное мощное железо под микротик стоит, хотелось реализовать все на нем, по отточенным шаблонным схемам.

Да я и ранее подумывал об отказе от /30 на клиента, в плане дефицита IP.

[ShyLion]

1 minute ago, jone31 said:

ip unnumbered реализация в микротике я так понимаю это просто маршрут в нужный влан, который вроде как должен решить возможность подмны IP клиентом. Но какие могут быть подводные камни здесь? является ли это достаточным?

 

я попробовал это работает на микротике, но немогу найти в инете сведения на сколько этот unnumbered в реализации микротик, соответствует unnumbered в класическом понимании в плане безопасности.

Понятия безопасности у всех разные. Что подразумевается под безопасностью? Возможность "угона" чужого IP? Для этого можно разделять абонентов на отдельные броадкаст-домены, по VLAN например.

Еще можно руками приколачивать ARP записи и MAC-фильры. Тут все от топологии зависит и от степени параноидальности.

[kuterye]

В 21.07.2019 в 20:37, jone31 сказал:

Соответственно если я кидают в общий бридж(где вся подсеть /23) EoIP тонель, то клиент может устраивать конфликты внутри этого бриджа и соответственно мешать работе всех клиентов в этой подсети.

 

Чтобы изолировать клиентов, используйте split horizon в brige

[pingz]

@jone31 как писали выше либо статикой, либо эту статику городить через скрипты. 

 

Проблема будет если нужна связанность между клиентами.

 

Пример vlan2 ip 192.168.0.1 маска 192.168.0.2 клиент может уже прописать ip 192.168.0.2 шлюз 192.168.0.1 при этом маску можно указать хоть /24 скорее всего так и будет

 

vlan3 ip 192.168.0.1 маска 192.168.0.3

 

Если у клиента железо не позволяет прописывать /32 маску, то придется использовать /30 или больше, связанности между клиентами не будет.

 

Имхо либо использовать туннели либо убирать из схемы микротик ставить cisco или juniper 

 

 

[disappointed]

На еоип есть же прокси-арп, включить его, наставить статик роутов к клиентам в эти еоип в центре.

В общий бридж их кидать не нужно. На стороне клиента ставить замаршрутизированный к нему адрес

маской /23 под 300 клиентов, гейтом любой адрес на микротике желательно внутри этой /23)

 

Со стороны клиента внутри этой /23 будет выглядеть как л2 коммутация, на деле будет маршрутизация,

никаких ACL не нужно.

[Saab95]

Тут и вланы с EoIP не нужны - вешаете адреса просто на удаленных микротиках на порт и все, через OSPF маршрутизируете все в центр. Что бы была связанность между абонентами, включаете везде прокси арп и всего делов.

[myst]

3 часа назад, Saab95 сказал:

Тут и вланы с EoIP не нужны - вешаете адреса просто на удаленных микротиках на порт и все, через OSPF маршрутизируете все в центр. Что бы была связанность между абонентами, включаете везде прокси арп и всего делов.

Ага, OSPF на абонента, более идиотской затеи сгенерировать просто невозможно.

[Saab95]

Зато это все работает и каши не просит. Многие проблемы с зависаниями и странностями микротика связаны с L2 трафиком, который он пропускает или который на него приходит. Уйдя от L2 уйдут и все проблемы.

[myst]

16 минут назад, Saab95 сказал:

Зато это все работает и каши не просит. Многие проблемы с зависаниями и странностями микротика связаны с L2 трафиком, который он пропускает или который на него приходит. Уйдя от L2 уйдут и все проблемы.

хватит звиздеть. в такой топологии работать оно будет пока у тебя 100-200-300 клиентов, потом это все дело накроется мохнатой причем не у одного, а у всех.

[Saab95]

Такие сети работают и на большом количестве клиентов. Какая вообще разница где терминируется абонент? На порту своего же устройства, куда он подключен, или когда на поне 300 клиентов, каждый в своем влане, и терминируется на подключенном к пон станции микротике, где эти 300 вланов заведены и на каждый повешен IP?

 

Могу вам сказать по секрету, что таких сетей на микротиках превеликое множество и ничего ни у кого не глючит. Просто уже давно пора уйти от старых схем с вечно глючащими коммутаторами.

[semop]

От L2 фик уйдешь.

 

В эпоху глобальной головной импотенции одминов (особенно если религиозно ужаленых латвийским вендором) и  обслуживающих юр.лиц чаще всего спрашивают вопрос по "второй дырке". То есть отсюда, до туда.

Начинаешь им предлагать л3 или туннели, или хотя бы транк. Всё, ахтунг.

Кладешь на это все, ставишь коммутатор у аб. и сам бросаешь вланчики. Выделяешь порты и тд. Порой даже отдельное волокно задействуется.

А потоооооооооом, приходит одмин и ставит там микротик с настроенной с завода 192.168.88.0.

Чтоб блин, надежно. Навсегда. И тд.

Через месяц одмин может позвонить и попросить объединить его 2 сетки. Локальных. 

 

У нас есть абонент с батареей микротиков.

Около 30 штук. В одном месте. 

Не лезу)

 

[Saab95]

2 часа назад, semop сказал:

Начинаешь им предлагать л3 или туннели, или хотя бы транк. Всё, ахтунг.

Имея сеть на микротиках всегда можно EoIP прокинуть, без всяких вланов и транков.

Мы вообще L2 в чистом виде давным давно не используем.

[myst]

18 часов назад, Saab95 сказал:

Такие сети работают и на большом количестве клиентов. Какая вообще разница где терминируется абонент? На порту своего же устройства, куда он подключен, или когда на поне 300 клиентов, каждый в своем влане, и терминируется на подключенном к пон станции микротике, где эти 300 вланов заведены и на каждый повешен IP?

 

Могу вам сказать по секрету, что таких сетей на микротиках превеликое множество и ничего ни у кого не глючит. Просто уже давно пора уйти от старых схем с вечно глючащими коммутаторами.

Я не хочу даже объяснять что-то клоуну, который элементарных вещей в OSPF не понимает. И ещё более элементарных вещей в дизайне.

[Saab95]

15 часов назад, myst сказал:

Я не хочу даже объяснять что-то клоуну, который элементарных вещей в OSPF не понимает. И ещё более элементарных вещей в дизайне.

У нас один сотрудник был с сертификатами циски, он тоже любил говорить что никто не понимает элементарных вещей и т.п. Уволился через неделю=)

[myst]

7 часов назад, Saab95 сказал:

У нас один сотрудник был с сертификатами циски, он тоже любил говорить что никто не понимает элементарных вещей и т.п. Уволился через неделю=)

я рад за твой сексуальный опыт но он никак не отменяет того факта что ты не понимаешь для чего оспф создан, как он работает и что включать в маршрутизацию абонентские устройства может только клинический критин.

[Saab95]

Он создан для облегчения работы администратора. Если вы привыкли работать с цисками, то сложно будет определить все прелести работы с микротиком.

На микротике выделение адресов в любом месте и анонс через OSPF самая оптимальная схема, которая без проблем работает даже на слабеньких RB750. И здорово облегчает жизнь администратору сети.

[GrandPr1de]

В 22.11.2019 в 10:55, semop сказал:

Начинаешь им предлагать л3 или туннели, или хотя бы транк. Всё, ахтунг.

л2впн придумали уже весьма давно, научитесь уже в xconnect/eompls/vpls.

В 22.11.2019 в 13:25, Saab95 сказал:

Имея сеть на микротиках всегда можно EoIP прокинуть

имея сеть на микротиках можно прокинуть vpls, хватит советовать это говно в виде eoip

В 23.11.2019 в 19:29, Saab95 сказал:

Уволился через неделю=)

весьма показательно

12 часов назад, Saab95 сказал:

анонс через OSPF самая оптимальная схема

уймись уже, особенно с глючной реализацией на микротах

оспф не создан для редистрибьюции тонны \32 роутов особенно в одной area, а multiarea у тебя ж тоже легаси, да?