weedman Опубликовано 3 февраля, 2021 · Жалоба Здравствуйте. Строю сеть, вышестоящий оператор предложил свой сорм и фильтрацию, при условии использования его белых адресов, без NAT. Как в таком случае происходит шейпинг, блокировка\разблокировка? Нужно будет на каждого абонента кидать VLAN и резать по интерфейсам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 3 февраля, 2021 · Жалоба Ну вы же можете выдавать клиентам например /29 и каждую такю подсеть натит в отдельный белый IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 3 февраля, 2021 · Жалоба 1 час назад, VolanD666 сказал: Ну вы же можете выдавать клиентам например /29 и каждую такю подсеть натит в отдельный белый IP. Условия такие, что у меня вообще не будет ната Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 3 февраля, 2021 · Жалоба 1 час назад, weedman сказал: Условия такие, что у меня вообще не будет ната Почему? Если у вас клиент всегда натится в один и тот же адрес, вы всегда сможете понять что это за клиент. В чем проблема? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 3 февраля, 2021 · Жалоба 54 минуты назад, VolanD666 сказал: Почему? Если у вас клиент всегда натится в один и тот же адрес, вы всегда сможете понять что это за клиент. В чем проблема? Такие условия. Это не мой выбор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 3 февраля, 2021 · Жалоба раздавайте абонентам адреса через pppoe шейперу без разницы какая адресация блокируйте выдавая IP-адрес из локального блока адресов с доступом только на сайт для оплаты, заплатил денег - выдавайте реальник Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 4 февраля, 2021 · Жалоба 21 час назад, weedman сказал: Здравствуйте. Строю сеть, вышестоящий оператор предложил свой сорм и фильтрацию, при условии использования его белых адресов, без NAT. Как в таком случае происходит шейпинг, блокировка\разблокировка? Нужно будет на каждого абонента кидать VLAN и резать по интерфейсам? Вам надо адреса выдавать поштучно. Микротик это умеет. При этом варианты как уже писали PPPoE, привязка к маку, привязка к влану. В последних двух случаях на интерфейс вешаете адрес вида 1.1.1.1, а в поле нетворк адрес абонента 1.1.1.2. При такой схеме имея 254 адресов вы сможете все 254 адреса и раздать без потерь на маски подсети. Шейпер и блокировку так же делаете по белым адресам, тут никакой разницы нет. Вопрос будет стоять если у вас абонентов чуть больше, чем имеющихся белых адресов, тогда да тут выгоднее PPPoE, но и на маках или вланах тоже можно такое замутить при использовании радиуса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 4 февраля, 2021 · Жалоба 3 часа назад, Saab95 сказал: Вам надо адреса выдавать поштучно. Микротик это умеет. При этом варианты как уже писали PPPoE, привязка к маку, привязка к влану. В последних двух случаях на интерфейс вешаете адрес вида 1.1.1.1, а в поле нетворк адрес абонента 1.1.1.2. При такой схеме имея 254 адресов вы сможете все 254 адреса и раздать без потерь на маски подсети. Шейпер и блокировку так же делаете по белым адресам, тут никакой разницы нет. Вопрос будет стоять если у вас абонентов чуть больше, чем имеющихся белых адресов, тогда да тут выгоднее PPPoE, но и на маках или вланах тоже можно такое замутить при использовании радиуса. С радиусом не знаком, как посоветуете сделать, PPPoE? БольшАя часть абонентов на микротах, кто-то будет через коммутаторы, та часть, что на коммутаторах, будет практически с нуля делаться. Так что можно рассмотреть разные варианты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 4 февраля, 2021 · Жалоба Если можете статикой выдавать то радиус и не нужен. На коммутаторах просто делаете влан на порт, все вланы тянете на микротик, на каждом влане создаете IP и DHCP сервер, и он будет привязанный адрес выдавать во влан без привязки к маку. Если сейчас есть какие-то абоненты по радиоканалу, то так же им или статикой пропишите, или иным способом. /interface vlan add arp=reply-only interface=bridge_vlan name=vlan_23 vlan-id=23 /ip address add address=192.168.203.1/32 network=192.168.203.23 interface=vlan_23 /ip pool add name=dhcp_pool_23 ranges=192.168.203.23 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool_23 disabled=no interface=vlan_23 lease-time=5m name=dhcp_23 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 5 февраля, 2021 · Жалоба 20 часов назад, Saab95 сказал: Если можете статикой выдавать то радиус и не нужен. На коммутаторах просто делаете влан на порт, все вланы тянете на микротик, на каждом влане создаете IP и DHCP сервер, и он будет привязанный адрес выдавать во влан без привязки к маку. Если сейчас есть какие-то абоненты по радиоканалу, то так же им или статикой пропишите, или иным способом. /interface vlan add arp=reply-only interface=bridge_vlan name=vlan_23 vlan-id=23 /ip address add address=192.168.203.1/32 network=192.168.203.23 interface=vlan_23 /ip pool add name=dhcp_pool_23 ranges=192.168.203.23 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool_23 disabled=no interface=vlan_23 lease-time=5m name=dhcp_23 Спасибо. Есть еще вопрос- если делать так, то надо будет каждому маркировать пакеты и делать свой маршрут на выход, это не положит железку? абонентов пока будет мало, меньше 500, но мало ли что будет дальше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 6 февраля, 2021 · Жалоба Не надо ничего никому маркировать. Провайдер дает вам подсеть адресов - тут надо уточнить как он их дает. Просить надо маршрутизацию на ваш IP. То есть провайдер выделяет вам сеть /30 на белых адресах для доступа в интернет вашего устройства и у вас будет адрес шлюза провайдера, куда идет маршрут 0.0.0.0/0. А выданную вам сеть /24 или более он маршрутизирует на выданный вам адрес /30. Есть и другой вариант, когда провайдер вам не маршрутизирует сеть, а просто сливает на порт. В этом случае вы первый адрес сети ставите на вашем маршрутизаторе, и на этом же порту включаете прокси арп. Этот вариант очень плохой и его можно использовать если маршрутизацию вам не дают. Далее вы в сторону ваших клиентов на интерфейсах вешаете адреса по типу как я указал и все. Кстати в примере нет настройки сетей DHCP - там надо на вкладке Network добавить сеть для выдачи, где указать шлюз и днс сервера. Всем клиентам будет выдаваться ваш шлюз с 1, а маска подсети допустим /24 у всех. При такой схеме абоненты не смогут обмениваться данными напрямую между собой. Если нужно разрешить им обмен трафиком, тогда в настройках влана вместо арп репли онли нужно включать прокси арп. Более никаких маркировок и ничего не надо настраивать, только правило блокировки по IP должников. Но тут встает вопрос - если у вас НАТ нет, а для перенаправления на страницу блокировок он как бы нужен, что бы сделать редирект на тот же веб прокси. Тут можно как раз воспользоваться маркировкой маршрутов, что бы трафик должников отправлять не по маршруту в сторону интернета, а в другой порт роутера, куда подключен какой-то мелкий микротик типа RB750, на котором включен НАТ и он уже перенаправит на веб сервер где страничка с уведомлением. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 24 февраля, 2021 · Жалоба На мой вопрос - "Как проще организовать у нас работу, если мы планирум отдавать людям по PPPoE?" Служба поддержки предложила следующее решение - "Нужно зеркалить трафик с брасов во влан, далее мы его отзеркалим в сорм" Как это сделать? Я на этой локации еще не был... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 февраля, 2021 · Жалоба Вам надо поставить еще один микротик. То есть будет: Канал оператора - первый микротик - коммутатор (зеркало) - второй микротик PPPoE. Вот с этого коммутатора и будете передавать трафик во влан. Как это сделать? Нужен коммутатор микротика. Создаете бридж между портами 1 и 2 (куда будет подключен канал между микротиками), на порту 3 создаете влан с нужным номером, так же добавляете его в бридж. Отключаете изучение маков на порту и трафик побежит во влан. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 24 февраля, 2021 · Жалоба 5 часов назад, Saab95 сказал: Вам надо поставить еще один микротик. ой Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 25 февраля, 2021 · Жалоба 20 часов назад, Saab95 сказал: Вам надо поставить еще один микротик. То есть будет: Канал оператора - первый микротик - коммутатор (зеркало) - второй микротик PPPoE. Вот с этого коммутатора и будете передавать трафик во влан. Как это сделать? Нужен коммутатор микротика. Создаете бридж между портами 1 и 2 (куда будет подключен канал между микротиками), на порту 3 создаете влан с нужным номером, так же добавляете его в бридж. Отключаете изучение маков на порту и трафик побежит во влан. По этому вопросу вроде бы нашли общий язык, они сказали, что сами сделают. Остался вопрос с маршрутизацией, которую должен дать провайдер. Сейчас говорим о подсети их серых адресов. Тут вопрос ставится точно так же? - Мне нужна маршрутизация на мой адрес? как это будет выглядеть? DHCP у вышестоящего, а шлюз у меня? Я что-то запутался в этом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 25 февраля, 2021 · Жалоба 20 минут назад, weedman сказал: По этому вопросу вроде бы нашли общий язык, они сказали, что сами сделают. Остался вопрос с маршрутизацией, которую должен дать провайдер. Сейчас говорим о подсети их серых адресов. Тут вопрос ставится точно так же? - Мне нужна маршрутизация на мой адрес? как это будет выглядеть? DHCP у вышестоящего, а шлюз у меня? Я что-то запутался в этом В смысле подсеть серых адресов, в смысле они сами натить будут? Ну тогда вам ничего вышеописанного не надо. Берете здоровенную подсеть и раздаете ее как хотите клиенту. А провайдер эту подсеть маршрутизирует в вашу сторону. Тут вы уже можете сделать все по человечески vlan-per-user, если нужно еще и DHCP. Но тут есть такой тонкий момент. Получается вы становитесь придатком этого провайдера, думайте сами насколько это вас устраивает. И попросите провайдера отдельный VRF, если у него нормальное оборудование (а не микротик, он vrf не умеет) то думаю они сделают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 25 февраля, 2021 · Жалоба 14 минут назад, VolanD666 сказал: В смысле подсеть серых адресов, в смысле они сами натить будут? Ну тогда вам ничего вышеописанного не надо. Берете здоровенную подсеть и раздаете ее как хотите клиенту. А провайдер эту подсеть маршрутизирует в вашу сторону. Тут вы уже можете сделать все по человечески vlan-per-user, если нужно еще и DHCP. Но тут есть такой тонкий момент. Получается вы становитесь придатком этого провайдера, думайте сами насколько это вас устраивает. И попросите провайдера отдельный VRF, если у него нормальное оборудование (а не микротик, он vrf не умеет) то думаю они сделают. В планах было pppoe, чтобы не заморачиваться с vlan-per-user. PPPoE опят же резать скорость будет. Как при таком раскладе отключать абонентов, шейпить, делать какие-то прочие действия, если трафик пойдет весь мимо. Что там вообще нам то делать? Ну и повторюсь- Как отключать\включать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 февраля, 2021 · Жалоба 2 часа назад, weedman сказал: В планах было pppoe, чтобы не заморачиваться с vlan-per-user. PPPoE опят же резать скорость будет. Как при таком раскладе отключать абонентов, шейпить, делать какие-то прочие действия, если трафик пойдет весь мимо. Что там вообще нам то делать? Ну и повторюсь- Как отключать\включать? Это все идет от сети. Если у вас везде управляемые коммутаторы, и вы в их порты подключаете абонентов, то не нужен PPPoE. Достаточно каждый порт завести в свой уникальный влан, все эти вланы довести до микротика, на каждом влане повесить IP абонента (постоянный), через DHCP микротик выдаст в этот влан привязанный к нему IP, при этом привязки к маку не будет. Абонент может сам менять устройства, время аренды адреса 5 минут. Второй вариант это когда лень прокидывать каждый влан в центр, достаточно сделать влан на коммутатор, на коммутаторе заблокировать передачу трафика между абонентскими портами, в терминологии длинка это сегментация трафика - абоненты могут передавать только в магистральные порты. В этом случае на микротике заводится влан с коммутатора, вешается DHCP сервер и раздаются адреса. Тут уже от биллинга зависит, если он через радиус может выдавать IP, тогда на все не знакомые маки он отдает некую другую подсеть, с которой идет редирект на портал авторизации биллинга, после биллинг узнает мак и выдает ему постоянный IP. Шейпера вы указываете по IP адресу, отключаете путем добавления IP абонента в адрес лист, по которому фильтр блокирует доступ в интернет. 2 часа назад, VolanD666 сказал: Но тут есть такой тонкий момент. Получается вы становитесь придатком этого провайдера, думайте сами насколько это вас устраивает. И попросите провайдера отдельный VRF, если у него нормальное оборудование (а не микротик, он vrf не умеет) то думаю они сделают. Уже было много случаев, когда провайдер сначала чуть ли не бесплатно давал адреса, а через пол года - год работы, ставил оператора перед фактом - что больше он их давать не будет, или задирает стоимость. А провайдеру предлагает подключиться по BGP, зная, что своих адресов нет. Тут сразу вылезает проблема с СОРМ и прочими прелестями, после чего провайдер продает свою сеть или абонентскую базу другому оператору. 3 часа назад, weedman сказал: По этому вопросу вроде бы нашли общий язык, они сказали, что сами сделают. Остался вопрос с маршрутизацией, которую должен дать провайдер. Сейчас говорим о подсети их серых адресов. Тут вопрос ставится точно так же? - Мне нужна маршрутизация на мой адрес? как это будет выглядеть? DHCP у вышестоящего, а шлюз у меня? Я что-то запутался в этом Если зеркалировать он будет сам, второй микротик не нужен. Оператор просто выдает вам серую сеть /30, на этот адрес он и маршрутизирует большую подсеть. А дальше вы ее сами раздаете абонентам как хотите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 4 марта, 2021 · Жалоба В 06.02.2021 в 16:31, Saab95 сказал: Не надо ничего никому маркировать. Провайдер дает вам подсеть адресов - тут надо уточнить как он их дает. Просить надо маршрутизацию на ваш IP. То есть провайдер выделяет вам сеть /30 на белых адресах для доступа в интернет вашего устройства и у вас будет адрес шлюза провайдера, куда идет маршрут 0.0.0.0/0. А выданную вам сеть /24 или более он маршрутизирует на выданный вам адрес /30. Есть и другой вариант, когда провайдер вам не маршрутизирует сеть, а просто сливает на порт. В этом случае вы первый адрес сети ставите на вашем маршрутизаторе, и на этом же порту включаете прокси арп. Этот вариант очень плохой и его можно использовать если маршрутизацию вам не дают. Далее вы в сторону ваших клиентов на интерфейсах вешаете адреса по типу как я указал и все. Кстати в примере нет настройки сетей DHCP - там надо на вкладке Network добавить сеть для выдачи, где указать шлюз и днс сервера. Всем клиентам будет выдаваться ваш шлюз с 1, а маска подсети допустим /24 у всех. При такой схеме абоненты не смогут обмениваться данными напрямую между собой. Если нужно разрешить им обмен трафиком, тогда в настройках влана вместо арп репли онли нужно включать прокси арп. Более никаких маркировок и ничего не надо настраивать, только правило блокировки по IP должников. Но тут встает вопрос - если у вас НАТ нет, а для перенаправления на страницу блокировок он как бы нужен, что бы сделать редирект на тот же веб прокси. Тут можно как раз воспользоваться маркировкой маршрутов, что бы трафик должников отправлять не по маршруту в сторону интернета, а в другой порт роутера, куда подключен какой-то мелкий микротик типа RB750, на котором включен НАТ и он уже перенаправит на веб сервер где страничка с уведомлением. Здравствуйте. дали маршрутизацию на наш адрес. Какие дальше действия? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 4 марта, 2021 · Жалоба Не совсем понимаю как теперь пойдет трафик. От серой сети на шлюз большого, потом оттуда на мой белый и потом в интернет? мне нужно просто наделать вланов, на них адреса из серой подсети статикой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 4 марта, 2021 · Жалоба Дальше просто используете адреса на своей сети, можете раздать их через PPPoE, просто выдав абоненту, можете раздать через вланы поштучно - да как угодно. Для начала на роутере на бридж повесьте любой адрес из выданной сети, через пинг или трейс запустите проверку до любого адреса в интернете, указав в поле src address указанный на бридже адрес, или на тестовом компьютере проверьте сначала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 5 марта, 2021 · Жалоба 8 часов назад, Saab95 сказал: Дальше просто используете адреса на своей сети, можете раздать их через PPPoE, просто выдав абоненту, можете раздать через вланы поштучно - да как угодно. Для начала на роутере на бридж повесьте любой адрес из выданной сети, через пинг или трейс запустите проверку до любого адреса в интернете, указав в поле src address указанный на бридже адрес, или на тестовом компьютере проверьте сначала. Просто поднять dhcp-server с этой адресацией? нат не делать? Допустим, мне выдали сеть 10.0.0.0\22. Один адрес я привязываю на входящий влан, а остальные раздаю? какой шлюз указывать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 марта, 2021 · Жалоба В 9 сообщении от начала темы я привел пример раздачи сетей по схеме влан на абонента. Если у вас будет влан на коммутатор и вы хотите делать привязку к мак адресу - тогда нужно на каждый влан повесить сеть 10.10.0.1/22, абонентам раздавать IP поштучно, маску так же всем /22 и шлюз у всех один. То есть вешаете на влан эту сеть, в DHCP добавляете статическую запись на нужный IP и все. Если биллинг умеет авторизовывать по мак адресу и настроена связка с радиусом - можно по маку из биллинга адресовывать абонентов. Тут уже надо более точно знать как вы хотите абонентов подключать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BelOnline Опубликовано 6 марта, 2021 (изменено) · Жалоба del Изменено 6 марта, 2021 пользователем BelOnline Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 6 марта, 2021 · Жалоба 22 часа назад, Saab95 сказал: В 9 сообщении от начала темы я привел пример раздачи сетей по схеме влан на абонента. Если у вас будет влан на коммутатор и вы хотите делать привязку к мак адресу - тогда нужно на каждый влан повесить сеть 10.10.0.1/22, абонентам раздавать IP поштучно, маску так же всем /22 и шлюз у всех один. То есть вешаете на влан эту сеть, в DHCP добавляете статическую запись на нужный IP и все. Если биллинг умеет авторизовывать по мак адресу и настроена связка с радиусом - можно по маку из биллинга адресовывать абонентов. Тут уже надо более точно знать как вы хотите абонентов подключать. Спасибо за ответ. подключать скорее всего по PPPoE, просто под это дело готов самописный билинг и переделывать не хочется. хотя там через адрес листы сделано, это дает простор для маневра. Но именно понять хочется суть действий на примере обычной раздачи по dhcp. влан\не влан не так критично. Суть моего непонимания в следующем - Я могу просто как обычно создать бридж, дать ему адрес а-ля Х.Х.Х.1\24, включить на нем dhcp-server, раздать Х.Х.Х.2 - Х.Х.Х.254, сделать всем привязку по маку и все? Как тогда быть с натом? Или мне просто нужно повесить тем, или иным способом на клиентов адреса, не делая ни dhcp-server, ни натируя, запихнуть это все в тот влан, что дали и оно само завертится? какой шлюз в этом случае указать клиентам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...