jone31 Опубликовано 21 июля, 2019 · Жалоба Добрый день, коллеги! Сейчас используем схему подключения для юриков IPoE, по которой выдаем каждому 30 подсеть, но сейчас выйгран большой тендер на 300 точек по области на включение и соответственно в этой схеме требуется аж 1200 IP адресов (300 раз по /30), что ощутимо бьет по карману за цену IP и нерационально в принципе. Думаю как все это сократить до 301 адреса, 1 IP шлюз и 300 клиентских IP. собственно смотрю, что все крупные операторы отдают каналы в подсети /24 и более и защищены от спуфинга на уровне ACL коммутатора я так понимаю. Но у меня другая ситуация, все точки включаться по L2TP+EoIP на микротик(x86), а на нем я так понимаю не реализована ACL фильтрация на порту(в данном случае на интерфейсе EoIP). Соответственно если я кидают в общий бридж(где вся подсеть /23) EoIP тонель, то клиент может устраивать конфликты внутри этого бриджа и соответственно мешать работе всех клиентов в этой подсети. вопрос как можно изолировать клиентов друг от друга в общем влане на микротик? в качестве уникальных у меня получается IP + интерфейс_eoip или vlan_eoip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 21 июля, 2019 · Жалоба Давайте /32. Правда не все роутеры умеют их пользовать. Ну и влан на пользователя можно. Но у микротика грустновато с этим. Скрипты подбирают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 21 июля, 2019 · Жалоба вы можете рассмотреть возможность использования linux ipoe от NuclearCat на центральной точке терминации туннелей. Хорошо работает в продакшене уже много лет. Каждый туннель представлен в linux как индивидуальное tap устройство, демон крутится в userspace и простой , буквально несколько строк кода. Можно запускать один процесс на один туннель, можно несколько туннелей на процесс. Имеет ряд преимуществ перед реализацией в routeros - может работать с динамическим IP на стороне клиента, подхватывая туннели на лету без скриптов и.т.п. Удобно резервировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 21 июля, 2019 · Жалоба Что мешает использовать ip unnumbered? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 21 июля, 2019 · Жалоба 4 часа назад, EShirokiy сказал: Что мешает использовать ip unnumbered? очевидно же - микротик мешает :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 22 июля, 2019 · Жалоба @NiTr0 там есть нечто похожее на ip unnumbered и вполне себе работает, разве что руками надо все делать, с другой стороны простой скрипт на питоне для генерации конфига можно написать за десять минут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 22 июля, 2019 · Жалоба да оно-то понятно что можно все костыликами прилепить, забивая статик роуты (ну пожалуй кроме дхцп для unnumbered), но стоит ли оно того?... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 июля, 2019 · Жалоба 17 часов назад, jone31 сказал: что ощутимо бьет по карману за цену IP и нерационально в принципе А при участии в конкурсе об этом не думали? У крупных ЮЛ часто в ТЗ указывается требование статической маршрутизации /30 или /29. И тогда придется делать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jone31 Опубликовано 22 июля, 2019 · Жалоба ip unnumbered реализация в микротике я так понимаю это просто маршрут в нужный влан, который вроде как должен решить возможность подмны IP клиентом. Но какие могут быть подводные камни здесь? является ли это достаточным? я попробовал это работает на микротике, но немогу найти в инете сведения на сколько этот unnumbered в реализации микротик, соответствует unnumbered в класическом понимании в плане безопасности. 10 минут назад, alibek сказал: У крупных ЮЛ часто в ТЗ указывается требование статической маршрутизации /30 или /29. нет. такого требования к каналу нет. Это уже тонкости реализации с нашей стороны. Нам дешевле поставить сервер на линухе и поднять там роутер, чем платить за огромную IP подсеть для клиента. но т.к. у нас довольное мощное железо под микротик стоит, хотелось реализовать все на нем, по отточенным шаблонным схемам. Да я и ранее подумывал об отказе от /30 на клиента, в плане дефицита IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 22 июля, 2019 · Жалоба 1 minute ago, jone31 said: ip unnumbered реализация в микротике я так понимаю это просто маршрут в нужный влан, который вроде как должен решить возможность подмны IP клиентом. Но какие могут быть подводные камни здесь? является ли это достаточным? я попробовал это работает на микротике, но немогу найти в инете сведения на сколько этот unnumbered в реализации микротик, соответствует unnumbered в класическом понимании в плане безопасности. Понятия безопасности у всех разные. Что подразумевается под безопасностью? Возможность "угона" чужого IP? Для этого можно разделять абонентов на отдельные броадкаст-домены, по VLAN например. Еще можно руками приколачивать ARP записи и MAC-фильры. Тут все от топологии зависит и от степени параноидальности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kuterye Опубликовано 24 июля, 2019 · Жалоба В 21.07.2019 в 20:37, jone31 сказал: Соответственно если я кидают в общий бридж(где вся подсеть /23) EoIP тонель, то клиент может устраивать конфликты внутри этого бриджа и соответственно мешать работе всех клиентов в этой подсети. Чтобы изолировать клиентов, используйте split horizon в brige Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 27 июля, 2019 · Жалоба @jone31 как писали выше либо статикой, либо эту статику городить через скрипты. Проблема будет если нужна связанность между клиентами. Пример vlan2 ip 192.168.0.1 маска 192.168.0.2 клиент может уже прописать ip 192.168.0.2 шлюз 192.168.0.1 при этом маску можно указать хоть /24 скорее всего так и будет vlan3 ip 192.168.0.1 маска 192.168.0.3 Если у клиента железо не позволяет прописывать /32 маску, то придется использовать /30 или больше, связанности между клиентами не будет. Имхо либо использовать туннели либо убирать из схемы микротик ставить cisco или juniper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 27 июля, 2019 · Жалоба На еоип есть же прокси-арп, включить его, наставить статик роутов к клиентам в эти еоип в центре. В общий бридж их кидать не нужно. На стороне клиента ставить замаршрутизированный к нему адрес маской /23 под 300 клиентов, гейтом любой адрес на микротике желательно внутри этой /23) Со стороны клиента внутри этой /23 будет выглядеть как л2 коммутация, на деле будет маршрутизация, никаких ACL не нужно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 21 ноября, 2019 · Жалоба Тут и вланы с EoIP не нужны - вешаете адреса просто на удаленных микротиках на порт и все, через OSPF маршрутизируете все в центр. Что бы была связанность между абонентами, включаете везде прокси арп и всего делов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 21 ноября, 2019 · Жалоба 3 часа назад, Saab95 сказал: Тут и вланы с EoIP не нужны - вешаете адреса просто на удаленных микротиках на порт и все, через OSPF маршрутизируете все в центр. Что бы была связанность между абонентами, включаете везде прокси арп и всего делов. Ага, OSPF на абонента, более идиотской затеи сгенерировать просто невозможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 ноября, 2019 · Жалоба Зато это все работает и каши не просит. Многие проблемы с зависаниями и странностями микротика связаны с L2 трафиком, который он пропускает или который на него приходит. Уйдя от L2 уйдут и все проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 22 ноября, 2019 · Жалоба 16 минут назад, Saab95 сказал: Зато это все работает и каши не просит. Многие проблемы с зависаниями и странностями микротика связаны с L2 трафиком, который он пропускает или который на него приходит. Уйдя от L2 уйдут и все проблемы. хватит звиздеть. в такой топологии работать оно будет пока у тебя 100-200-300 клиентов, потом это все дело накроется мохнатой причем не у одного, а у всех. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 ноября, 2019 · Жалоба Такие сети работают и на большом количестве клиентов. Какая вообще разница где терминируется абонент? На порту своего же устройства, куда он подключен, или когда на поне 300 клиентов, каждый в своем влане, и терминируется на подключенном к пон станции микротике, где эти 300 вланов заведены и на каждый повешен IP? Могу вам сказать по секрету, что таких сетей на микротиках превеликое множество и ничего ни у кого не глючит. Просто уже давно пора уйти от старых схем с вечно глючащими коммутаторами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 22 ноября, 2019 · Жалоба От L2 фик уйдешь. В эпоху глобальной головной импотенции одминов (особенно если религиозно ужаленых латвийским вендором) и обслуживающих юр.лиц чаще всего спрашивают вопрос по "второй дырке". То есть отсюда, до туда. Начинаешь им предлагать л3 или туннели, или хотя бы транк. Всё, ахтунг. Кладешь на это все, ставишь коммутатор у аб. и сам бросаешь вланчики. Выделяешь порты и тд. Порой даже отдельное волокно задействуется. А потоооооооооом, приходит одмин и ставит там микротик с настроенной с завода 192.168.88.0. Чтоб блин, надежно. Навсегда. И тд. Через месяц одмин может позвонить и попросить объединить его 2 сетки. Локальных. У нас есть абонент с батареей микротиков. Около 30 штук. В одном месте. Не лезу) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 ноября, 2019 · Жалоба 2 часа назад, semop сказал: Начинаешь им предлагать л3 или туннели, или хотя бы транк. Всё, ахтунг. Имея сеть на микротиках всегда можно EoIP прокинуть, без всяких вланов и транков. Мы вообще L2 в чистом виде давным давно не используем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 23 ноября, 2019 · Жалоба 18 часов назад, Saab95 сказал: Такие сети работают и на большом количестве клиентов. Какая вообще разница где терминируется абонент? На порту своего же устройства, куда он подключен, или когда на поне 300 клиентов, каждый в своем влане, и терминируется на подключенном к пон станции микротике, где эти 300 вланов заведены и на каждый повешен IP? Могу вам сказать по секрету, что таких сетей на микротиках превеликое множество и ничего ни у кого не глючит. Просто уже давно пора уйти от старых схем с вечно глючащими коммутаторами. Я не хочу даже объяснять что-то клоуну, который элементарных вещей в OSPF не понимает. И ещё более элементарных вещей в дизайне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 23 ноября, 2019 · Жалоба 15 часов назад, myst сказал: Я не хочу даже объяснять что-то клоуну, который элементарных вещей в OSPF не понимает. И ещё более элементарных вещей в дизайне. У нас один сотрудник был с сертификатами циски, он тоже любил говорить что никто не понимает элементарных вещей и т.п. Уволился через неделю=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 24 ноября, 2019 · Жалоба 7 часов назад, Saab95 сказал: У нас один сотрудник был с сертификатами циски, он тоже любил говорить что никто не понимает элементарных вещей и т.п. Уволился через неделю=) я рад за твой сексуальный опыт но он никак не отменяет того факта что ты не понимаешь для чего оспф создан, как он работает и что включать в маршрутизацию абонентские устройства может только клинический критин. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 ноября, 2019 · Жалоба Он создан для облегчения работы администратора. Если вы привыкли работать с цисками, то сложно будет определить все прелести работы с микротиком. На микротике выделение адресов в любом месте и анонс через OSPF самая оптимальная схема, которая без проблем работает даже на слабеньких RB750. И здорово облегчает жизнь администратору сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 25 ноября, 2019 · Жалоба В 22.11.2019 в 10:55, semop сказал: Начинаешь им предлагать л3 или туннели, или хотя бы транк. Всё, ахтунг. л2впн придумали уже весьма давно, научитесь уже в xconnect/eompls/vpls. В 22.11.2019 в 13:25, Saab95 сказал: Имея сеть на микротиках всегда можно EoIP прокинуть имея сеть на микротиках можно прокинуть vpls, хватит советовать это говно в виде eoip В 23.11.2019 в 19:29, Saab95 сказал: Уволился через неделю=) весьма показательно 12 часов назад, Saab95 сказал: анонс через OSPF самая оптимальная схема уймись уже, особенно с глючной реализацией на микротах оспф не создан для редистрибьюции тонны \32 роутов особенно в одной area, а multiarea у тебя ж тоже легаси, да? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...