Перейти к содержимому
Калькуляторы

Сеть на белых адресах, без NAT

Здравствуйте. Строю сеть, вышестоящий оператор предложил свой сорм и фильтрацию, при условии использования его белых адресов, без NAT. Как в таком случае происходит шейпинг, блокировка\разблокировка? Нужно будет на каждого абонента кидать VLAN и резать по интерфейсам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вы же можете выдавать клиентам например /29 и каждую такю подсеть натит в отдельный белый IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, VolanD666 сказал:

Ну вы же можете выдавать клиентам например /29 и каждую такю подсеть натит в отдельный белый IP.

Условия такие, что у меня вообще не будет ната

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, weedman сказал:

Условия такие, что у меня вообще не будет ната

Почему? Если у вас клиент всегда натится в один и тот же адрес, вы всегда сможете понять что это за клиент. В чем проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

54 минуты назад, VolanD666 сказал:

Почему? Если у вас клиент всегда натится в один и тот же адрес, вы всегда сможете понять что это за клиент. В чем проблема?

Такие условия. Это не мой выбор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

раздавайте абонентам адреса через pppoe

шейперу без разницы какая адресация

блокируйте выдавая IP-адрес из локального блока адресов с доступом только на сайт для оплаты, заплатил денег - выдавайте реальник

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 час назад, weedman сказал:

Здравствуйте. Строю сеть, вышестоящий оператор предложил свой сорм и фильтрацию, при условии использования его белых адресов, без NAT. Как в таком случае происходит шейпинг, блокировка\разблокировка? Нужно будет на каждого абонента кидать VLAN и резать по интерфейсам?

Вам надо адреса выдавать поштучно. Микротик это умеет.

При этом варианты как уже писали PPPoE, привязка к маку, привязка к влану. В последних двух случаях на интерфейс вешаете адрес вида 1.1.1.1, а в поле нетворк адрес абонента 1.1.1.2. При такой схеме имея 254 адресов вы сможете все 254 адреса и раздать без потерь на маски подсети.

 

Шейпер и блокировку так же делаете по белым адресам, тут никакой разницы нет.

Вопрос будет стоять если у вас абонентов чуть больше, чем имеющихся белых адресов, тогда да тут выгоднее PPPoE, но и на маках или вланах тоже можно такое замутить при использовании радиуса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, Saab95 сказал:

Вам надо адреса выдавать поштучно. Микротик это умеет.

При этом варианты как уже писали PPPoE, привязка к маку, привязка к влану. В последних двух случаях на интерфейс вешаете адрес вида 1.1.1.1, а в поле нетворк адрес абонента 1.1.1.2. При такой схеме имея 254 адресов вы сможете все 254 адреса и раздать без потерь на маски подсети.

 

Шейпер и блокировку так же делаете по белым адресам, тут никакой разницы нет.

Вопрос будет стоять если у вас абонентов чуть больше, чем имеющихся белых адресов, тогда да тут выгоднее PPPoE, но и на маках или вланах тоже можно такое замутить при использовании радиуса.

С радиусом не знаком, как посоветуете сделать, PPPoE? БольшАя часть абонентов на микротах, кто-то будет через коммутаторы, та часть, что на коммутаторах, будет практически с нуля делаться. Так что можно рассмотреть разные варианты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если можете статикой выдавать то радиус и не нужен.

На коммутаторах просто делаете влан на порт, все вланы тянете на микротик, на каждом влане создаете IP и DHCP сервер, и он будет привязанный адрес выдавать во влан без привязки к маку.

Если сейчас есть какие-то абоненты по радиоканалу, то так же им или статикой пропишите, или иным способом.

 

/interface vlan
add arp=reply-only interface=bridge_vlan name=vlan_23 vlan-id=23

/ip address
add address=192.168.203.1/32 network=192.168.203.23 interface=vlan_23

/ip pool
add name=dhcp_pool_23 ranges=192.168.203.23

/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_23 disabled=no interface=vlan_23 lease-time=5m name=dhcp_23

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 часов назад, Saab95 сказал:

Если можете статикой выдавать то радиус и не нужен.

На коммутаторах просто делаете влан на порт, все вланы тянете на микротик, на каждом влане создаете IP и DHCP сервер, и он будет привязанный адрес выдавать во влан без привязки к маку.

Если сейчас есть какие-то абоненты по радиоканалу, то так же им или статикой пропишите, или иным способом.

 


/interface vlan
add arp=reply-only interface=bridge_vlan name=vlan_23 vlan-id=23

/ip address
add address=192.168.203.1/32 network=192.168.203.23 interface=vlan_23

/ip pool
add name=dhcp_pool_23 ranges=192.168.203.23

/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_23 disabled=no interface=vlan_23 lease-time=5m name=dhcp_23

 

Спасибо. Есть еще вопрос- если делать так, то надо будет каждому маркировать пакеты и делать свой маршрут на выход, это не положит железку? абонентов пока будет мало, меньше 500, но мало ли что будет дальше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не надо ничего никому маркировать.

 

Провайдер дает вам подсеть адресов - тут надо уточнить как он их дает. Просить надо маршрутизацию на ваш IP.

 

То есть провайдер выделяет вам сеть /30 на белых адресах для доступа в интернет вашего устройства и у вас будет адрес шлюза провайдера, куда идет маршрут 0.0.0.0/0. А выданную вам сеть /24 или более он маршрутизирует на выданный вам адрес /30.

Есть и другой вариант, когда провайдер вам не маршрутизирует сеть, а просто сливает на порт. В этом случае вы первый адрес сети ставите на вашем маршрутизаторе, и на этом же порту включаете прокси арп. Этот вариант очень плохой и его можно использовать если маршрутизацию вам не дают.

 

Далее вы в сторону ваших клиентов на интерфейсах вешаете адреса по типу как я указал и все. Кстати в примере нет настройки сетей DHCP - там надо на вкладке Network добавить сеть для выдачи, где указать шлюз и днс сервера. Всем клиентам будет выдаваться ваш шлюз с 1, а маска подсети допустим /24 у всех. При такой схеме абоненты не смогут обмениваться данными напрямую между собой. Если нужно разрешить им обмен трафиком, тогда в настройках влана вместо арп репли онли нужно включать прокси арп.

 

Более никаких маркировок и ничего не надо настраивать, только правило блокировки по IP должников.

Но тут встает вопрос - если у вас НАТ нет, а для перенаправления на страницу блокировок он как бы нужен, что бы сделать редирект на тот же веб прокси. Тут можно как раз воспользоваться маркировкой маршрутов, что бы трафик должников отправлять не по маршруту в сторону интернета, а в другой порт роутера, куда подключен какой-то мелкий микротик типа RB750, на котором включен НАТ и он уже перенаправит на веб сервер где страничка с уведомлением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На мой вопрос - "Как проще организовать у нас работу, если мы планирум отдавать людям по PPPoE?"

Служба поддержки предложила следующее решение - "Нужно зеркалить трафик с брасов во влан, далее мы его отзеркалим в сорм"

Как это сделать? Я на этой локации еще не был...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вам надо поставить еще один микротик. То есть будет:

 

Канал оператора - первый микротик - коммутатор (зеркало) - второй микротик PPPoE.

 

Вот с этого коммутатора и будете передавать трафик во влан. Как это сделать? Нужен коммутатор микротика. Создаете бридж между портами 1 и 2 (куда будет подключен канал между микротиками), на порту 3 создаете влан с нужным номером, так же добавляете его в бридж. Отключаете изучение маков на порту и трафик побежит во влан.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, Saab95 сказал:

Вам надо поставить еще один микротик.

ой

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 часов назад, Saab95 сказал:

Вам надо поставить еще один микротик. То есть будет:

 

Канал оператора - первый микротик - коммутатор (зеркало) - второй микротик PPPoE.

 

Вот с этого коммутатора и будете передавать трафик во влан. Как это сделать? Нужен коммутатор микротика. Создаете бридж между портами 1 и 2 (куда будет подключен канал между микротиками), на порту 3 создаете влан с нужным номером, так же добавляете его в бридж. Отключаете изучение маков на порту и трафик побежит во влан.

По этому вопросу вроде бы нашли общий язык, они сказали, что сами сделают. Остался вопрос с маршрутизацией, которую должен дать провайдер. Сейчас говорим о подсети их серых адресов. Тут вопрос ставится точно так же? - Мне нужна маршрутизация на мой адрес? как это будет выглядеть? DHCP у вышестоящего, а шлюз у меня? Я что-то запутался в этом

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 минут назад, weedman сказал:

По этому вопросу вроде бы нашли общий язык, они сказали, что сами сделают. Остался вопрос с маршрутизацией, которую должен дать провайдер. Сейчас говорим о подсети их серых адресов. Тут вопрос ставится точно так же? - Мне нужна маршрутизация на мой адрес? как это будет выглядеть? DHCP у вышестоящего, а шлюз у меня? Я что-то запутался в этом

В смысле подсеть серых адресов, в смысле они сами натить будут? Ну тогда вам ничего вышеописанного не надо. Берете здоровенную подсеть и раздаете ее как хотите клиенту. А провайдер эту подсеть маршрутизирует в вашу сторону. Тут вы уже можете сделать все по человечески vlan-per-user, если нужно еще и DHCP.

 

Но тут есть такой тонкий момент. Получается вы становитесь придатком этого провайдера, думайте сами насколько это вас устраивает. И попросите провайдера отдельный VRF, если у него нормальное оборудование (а не микротик, он vrf не умеет) то  думаю они сделают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 минут назад, VolanD666 сказал:

В смысле подсеть серых адресов, в смысле они сами натить будут? Ну тогда вам ничего вышеописанного не надо. Берете здоровенную подсеть и раздаете ее как хотите клиенту. А провайдер эту подсеть маршрутизирует в вашу сторону. Тут вы уже можете сделать все по человечески vlan-per-user, если нужно еще и DHCP.

 

Но тут есть такой тонкий момент. Получается вы становитесь придатком этого провайдера, думайте сами насколько это вас устраивает. И попросите провайдера отдельный VRF, если у него нормальное оборудование (а не микротик, он vrf не умеет) то  думаю они сделают.

В планах было pppoe, чтобы не заморачиваться с vlan-per-user. PPPoE опят же резать скорость будет. Как при таком раскладе отключать абонентов, шейпить, делать какие-то прочие действия, если трафик пойдет весь мимо. Что там вообще нам то делать? Ну и повторюсь- Как отключать\включать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, weedman сказал:

В планах было pppoe, чтобы не заморачиваться с vlan-per-user. PPPoE опят же резать скорость будет. Как при таком раскладе отключать абонентов, шейпить, делать какие-то прочие действия, если трафик пойдет весь мимо. Что там вообще нам то делать? Ну и повторюсь- Как отключать\включать?

Это все идет от сети. Если у вас везде управляемые коммутаторы, и вы в их порты подключаете абонентов, то не нужен PPPoE.

Достаточно каждый порт завести в свой уникальный влан, все эти вланы довести до микротика, на каждом влане повесить IP абонента (постоянный), через DHCP микротик выдаст в этот влан привязанный к нему IP, при этом привязки к маку не будет. Абонент может сам менять устройства, время аренды адреса 5 минут.

 

Второй вариант это когда лень прокидывать каждый влан в центр, достаточно сделать влан на коммутатор, на коммутаторе заблокировать передачу трафика между абонентскими портами, в терминологии длинка это сегментация трафика - абоненты могут передавать только в магистральные порты. В этом случае на микротике заводится влан с коммутатора, вешается DHCP сервер и раздаются адреса. Тут уже от биллинга зависит, если он через радиус может выдавать IP, тогда на все не знакомые маки он отдает некую другую подсеть, с которой идет редирект на портал авторизации биллинга, после биллинг узнает мак и выдает ему постоянный IP.

 

Шейпера вы указываете по IP адресу, отключаете путем добавления IP абонента в адрес лист, по которому фильтр блокирует доступ в интернет.

 

2 часа назад, VolanD666 сказал:

Но тут есть такой тонкий момент. Получается вы становитесь придатком этого провайдера, думайте сами насколько это вас устраивает. И попросите провайдера отдельный VRF, если у него нормальное оборудование (а не микротик, он vrf не умеет) то  думаю они сделают.

Уже было много случаев, когда провайдер сначала чуть ли не бесплатно давал адреса, а через пол года - год работы, ставил оператора перед фактом - что больше он их давать не будет, или задирает стоимость. А провайдеру предлагает подключиться по BGP, зная, что своих адресов нет. Тут сразу вылезает проблема с СОРМ и прочими прелестями, после чего провайдер продает свою сеть или абонентскую базу другому оператору.

 

3 часа назад, weedman сказал:

По этому вопросу вроде бы нашли общий язык, они сказали, что сами сделают. Остался вопрос с маршрутизацией, которую должен дать провайдер. Сейчас говорим о подсети их серых адресов. Тут вопрос ставится точно так же? - Мне нужна маршрутизация на мой адрес? как это будет выглядеть? DHCP у вышестоящего, а шлюз у меня? Я что-то запутался в этом

Если зеркалировать он будет сам, второй микротик не нужен. Оператор просто выдает вам серую сеть /30, на этот адрес он и маршрутизирует большую подсеть. А дальше вы ее сами раздаете абонентам как хотите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 06.02.2021 в 16:31, Saab95 сказал:

Не надо ничего никому маркировать.

 

Провайдер дает вам подсеть адресов - тут надо уточнить как он их дает. Просить надо маршрутизацию на ваш IP.

 

То есть провайдер выделяет вам сеть /30 на белых адресах для доступа в интернет вашего устройства и у вас будет адрес шлюза провайдера, куда идет маршрут 0.0.0.0/0. А выданную вам сеть /24 или более он маршрутизирует на выданный вам адрес /30.

Есть и другой вариант, когда провайдер вам не маршрутизирует сеть, а просто сливает на порт. В этом случае вы первый адрес сети ставите на вашем маршрутизаторе, и на этом же порту включаете прокси арп. Этот вариант очень плохой и его можно использовать если маршрутизацию вам не дают.

 

Далее вы в сторону ваших клиентов на интерфейсах вешаете адреса по типу как я указал и все. Кстати в примере нет настройки сетей DHCP - там надо на вкладке Network добавить сеть для выдачи, где указать шлюз и днс сервера. Всем клиентам будет выдаваться ваш шлюз с 1, а маска подсети допустим /24 у всех. При такой схеме абоненты не смогут обмениваться данными напрямую между собой. Если нужно разрешить им обмен трафиком, тогда в настройках влана вместо арп репли онли нужно включать прокси арп.

 

Более никаких маркировок и ничего не надо настраивать, только правило блокировки по IP должников.

Но тут встает вопрос - если у вас НАТ нет, а для перенаправления на страницу блокировок он как бы нужен, что бы сделать редирект на тот же веб прокси. Тут можно как раз воспользоваться маркировкой маршрутов, что бы трафик должников отправлять не по маршруту в сторону интернета, а в другой порт роутера, куда подключен какой-то мелкий микротик типа RB750, на котором включен НАТ и он уже перенаправит на веб сервер где страничка с уведомлением.

Здравствуйте. дали маршрутизацию на наш адрес. Какие дальше действия?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не совсем понимаю как теперь пойдет трафик. От серой сети на шлюз большого, потом оттуда на мой белый и  потом в интернет? мне нужно просто наделать вланов, на них адреса из серой подсети статикой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дальше просто используете адреса на своей сети, можете раздать их через PPPoE, просто выдав абоненту, можете раздать через вланы поштучно - да как угодно.

Для начала на роутере на бридж повесьте любой адрес из выданной сети, через пинг или трейс запустите проверку до любого адреса в интернете, указав в поле src address указанный на бридже адрес, или на тестовом компьютере проверьте сначала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, Saab95 сказал:

Дальше просто используете адреса на своей сети, можете раздать их через PPPoE, просто выдав абоненту, можете раздать через вланы поштучно - да как угодно.

Для начала на роутере на бридж повесьте любой адрес из выданной сети, через пинг или трейс запустите проверку до любого адреса в интернете, указав в поле src address указанный на бридже адрес, или на тестовом компьютере проверьте сначала.

Просто поднять dhcp-server с этой адресацией? нат не делать?

Допустим, мне выдали сеть 10.0.0.0\22. Один адрес я привязываю на входящий влан, а остальные раздаю? какой шлюз указывать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 9 сообщении от начала темы я привел пример раздачи сетей по схеме влан на абонента.

Если у вас будет влан на коммутатор и вы хотите делать привязку к мак адресу - тогда нужно на каждый влан повесить сеть 10.10.0.1/22, абонентам раздавать IP поштучно, маску так же всем /22 и шлюз у всех один.

То есть вешаете на влан эту сеть, в DHCP добавляете статическую запись на нужный IP и все. Если биллинг умеет авторизовывать по мак адресу и настроена связка с радиусом - можно по маку из биллинга адресовывать абонентов.

 

Тут уже надо более точно знать как вы хотите абонентов подключать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

del

Изменено пользователем BelOnline

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 часа назад, Saab95 сказал:

В 9 сообщении от начала темы я привел пример раздачи сетей по схеме влан на абонента.

Если у вас будет влан на коммутатор и вы хотите делать привязку к мак адресу - тогда нужно на каждый влан повесить сеть 10.10.0.1/22, абонентам раздавать IP поштучно, маску так же всем /22 и шлюз у всех один.

То есть вешаете на влан эту сеть, в DHCP добавляете статическую запись на нужный IP и все. Если биллинг умеет авторизовывать по мак адресу и настроена связка с радиусом - можно по маку из биллинга адресовывать абонентов.

 

Тут уже надо более точно знать как вы хотите абонентов подключать.

Спасибо за ответ. подключать скорее всего по PPPoE, просто под это дело готов самописный билинг и переделывать не хочется. хотя там через адрес листы сделано, это дает простор для маневра. 

Но именно понять хочется суть действий на примере обычной раздачи по dhcp. влан\не влан не так критично. Суть моего непонимания в следующем - Я могу просто как обычно создать бридж, дать ему адрес а-ля Х.Х.Х.1\24, включить на нем dhcp-server, раздать Х.Х.Х.2 - Х.Х.Х.254, сделать всем привязку по маку и все? Как тогда быть с натом? Или мне просто нужно повесить тем, или иным способом на клиентов адреса, не делая ни dhcp-server, ни натируя, запихнуть это все в тот влан, что дали и оно само завертится? какой шлюз в этом случае указать клиентам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.