Jump to content
Калькуляторы

Сеть на белых адресах, без NAT

Здравствуйте. Строю сеть, вышестоящий оператор предложил свой сорм и фильтрацию, при условии использования его белых адресов, без NAT. Как в таком случае происходит шейпинг, блокировка\разблокировка? Нужно будет на каждого абонента кидать VLAN и резать по интерфейсам?

Share this post


Link to post
Share on other sites

Ну вы же можете выдавать клиентам например /29 и каждую такю подсеть натит в отдельный белый IP.

Share this post


Link to post
Share on other sites
1 час назад, VolanD666 сказал:

Ну вы же можете выдавать клиентам например /29 и каждую такю подсеть натит в отдельный белый IP.

Условия такие, что у меня вообще не будет ната

Share this post


Link to post
Share on other sites
1 час назад, weedman сказал:

Условия такие, что у меня вообще не будет ната

Почему? Если у вас клиент всегда натится в один и тот же адрес, вы всегда сможете понять что это за клиент. В чем проблема?

Share this post


Link to post
Share on other sites
54 минуты назад, VolanD666 сказал:

Почему? Если у вас клиент всегда натится в один и тот же адрес, вы всегда сможете понять что это за клиент. В чем проблема?

Такие условия. Это не мой выбор.

Share this post


Link to post
Share on other sites

раздавайте абонентам адреса через pppoe

шейперу без разницы какая адресация

блокируйте выдавая IP-адрес из локального блока адресов с доступом только на сайт для оплаты, заплатил денег - выдавайте реальник

Share this post


Link to post
Share on other sites
21 час назад, weedman сказал:

Здравствуйте. Строю сеть, вышестоящий оператор предложил свой сорм и фильтрацию, при условии использования его белых адресов, без NAT. Как в таком случае происходит шейпинг, блокировка\разблокировка? Нужно будет на каждого абонента кидать VLAN и резать по интерфейсам?

Вам надо адреса выдавать поштучно. Микротик это умеет.

При этом варианты как уже писали PPPoE, привязка к маку, привязка к влану. В последних двух случаях на интерфейс вешаете адрес вида 1.1.1.1, а в поле нетворк адрес абонента 1.1.1.2. При такой схеме имея 254 адресов вы сможете все 254 адреса и раздать без потерь на маски подсети.

 

Шейпер и блокировку так же делаете по белым адресам, тут никакой разницы нет.

Вопрос будет стоять если у вас абонентов чуть больше, чем имеющихся белых адресов, тогда да тут выгоднее PPPoE, но и на маках или вланах тоже можно такое замутить при использовании радиуса.

Share this post


Link to post
Share on other sites
3 часа назад, Saab95 сказал:

Вам надо адреса выдавать поштучно. Микротик это умеет.

При этом варианты как уже писали PPPoE, привязка к маку, привязка к влану. В последних двух случаях на интерфейс вешаете адрес вида 1.1.1.1, а в поле нетворк адрес абонента 1.1.1.2. При такой схеме имея 254 адресов вы сможете все 254 адреса и раздать без потерь на маски подсети.

 

Шейпер и блокировку так же делаете по белым адресам, тут никакой разницы нет.

Вопрос будет стоять если у вас абонентов чуть больше, чем имеющихся белых адресов, тогда да тут выгоднее PPPoE, но и на маках или вланах тоже можно такое замутить при использовании радиуса.

С радиусом не знаком, как посоветуете сделать, PPPoE? БольшАя часть абонентов на микротах, кто-то будет через коммутаторы, та часть, что на коммутаторах, будет практически с нуля делаться. Так что можно рассмотреть разные варианты.

Share this post


Link to post
Share on other sites

Если можете статикой выдавать то радиус и не нужен.

На коммутаторах просто делаете влан на порт, все вланы тянете на микротик, на каждом влане создаете IP и DHCP сервер, и он будет привязанный адрес выдавать во влан без привязки к маку.

Если сейчас есть какие-то абоненты по радиоканалу, то так же им или статикой пропишите, или иным способом.

 

/interface vlan
add arp=reply-only interface=bridge_vlan name=vlan_23 vlan-id=23

/ip address
add address=192.168.203.1/32 network=192.168.203.23 interface=vlan_23

/ip pool
add name=dhcp_pool_23 ranges=192.168.203.23

/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_23 disabled=no interface=vlan_23 lease-time=5m name=dhcp_23

 

Share this post


Link to post
Share on other sites
20 часов назад, Saab95 сказал:

Если можете статикой выдавать то радиус и не нужен.

На коммутаторах просто делаете влан на порт, все вланы тянете на микротик, на каждом влане создаете IP и DHCP сервер, и он будет привязанный адрес выдавать во влан без привязки к маку.

Если сейчас есть какие-то абоненты по радиоканалу, то так же им или статикой пропишите, или иным способом.

 


/interface vlan
add arp=reply-only interface=bridge_vlan name=vlan_23 vlan-id=23

/ip address
add address=192.168.203.1/32 network=192.168.203.23 interface=vlan_23

/ip pool
add name=dhcp_pool_23 ranges=192.168.203.23

/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_23 disabled=no interface=vlan_23 lease-time=5m name=dhcp_23

 

Спасибо. Есть еще вопрос- если делать так, то надо будет каждому маркировать пакеты и делать свой маршрут на выход, это не положит железку? абонентов пока будет мало, меньше 500, но мало ли что будет дальше.

Share this post


Link to post
Share on other sites

Не надо ничего никому маркировать.

 

Провайдер дает вам подсеть адресов - тут надо уточнить как он их дает. Просить надо маршрутизацию на ваш IP.

 

То есть провайдер выделяет вам сеть /30 на белых адресах для доступа в интернет вашего устройства и у вас будет адрес шлюза провайдера, куда идет маршрут 0.0.0.0/0. А выданную вам сеть /24 или более он маршрутизирует на выданный вам адрес /30.

Есть и другой вариант, когда провайдер вам не маршрутизирует сеть, а просто сливает на порт. В этом случае вы первый адрес сети ставите на вашем маршрутизаторе, и на этом же порту включаете прокси арп. Этот вариант очень плохой и его можно использовать если маршрутизацию вам не дают.

 

Далее вы в сторону ваших клиентов на интерфейсах вешаете адреса по типу как я указал и все. Кстати в примере нет настройки сетей DHCP - там надо на вкладке Network добавить сеть для выдачи, где указать шлюз и днс сервера. Всем клиентам будет выдаваться ваш шлюз с 1, а маска подсети допустим /24 у всех. При такой схеме абоненты не смогут обмениваться данными напрямую между собой. Если нужно разрешить им обмен трафиком, тогда в настройках влана вместо арп репли онли нужно включать прокси арп.

 

Более никаких маркировок и ничего не надо настраивать, только правило блокировки по IP должников.

Но тут встает вопрос - если у вас НАТ нет, а для перенаправления на страницу блокировок он как бы нужен, что бы сделать редирект на тот же веб прокси. Тут можно как раз воспользоваться маркировкой маршрутов, что бы трафик должников отправлять не по маршруту в сторону интернета, а в другой порт роутера, куда подключен какой-то мелкий микротик типа RB750, на котором включен НАТ и он уже перенаправит на веб сервер где страничка с уведомлением.

Share this post


Link to post
Share on other sites

На мой вопрос - "Как проще организовать у нас работу, если мы планирум отдавать людям по PPPoE?"

Служба поддержки предложила следующее решение - "Нужно зеркалить трафик с брасов во влан, далее мы его отзеркалим в сорм"

Как это сделать? Я на этой локации еще не был...

Share this post


Link to post
Share on other sites

Вам надо поставить еще один микротик. То есть будет:

 

Канал оператора - первый микротик - коммутатор (зеркало) - второй микротик PPPoE.

 

Вот с этого коммутатора и будете передавать трафик во влан. Как это сделать? Нужен коммутатор микротика. Создаете бридж между портами 1 и 2 (куда будет подключен канал между микротиками), на порту 3 создаете влан с нужным номером, так же добавляете его в бридж. Отключаете изучение маков на порту и трафик побежит во влан.

Share this post


Link to post
Share on other sites
5 часов назад, Saab95 сказал:

Вам надо поставить еще один микротик.

ой

Share this post


Link to post
Share on other sites
20 часов назад, Saab95 сказал:

Вам надо поставить еще один микротик. То есть будет:

 

Канал оператора - первый микротик - коммутатор (зеркало) - второй микротик PPPoE.

 

Вот с этого коммутатора и будете передавать трафик во влан. Как это сделать? Нужен коммутатор микротика. Создаете бридж между портами 1 и 2 (куда будет подключен канал между микротиками), на порту 3 создаете влан с нужным номером, так же добавляете его в бридж. Отключаете изучение маков на порту и трафик побежит во влан.

По этому вопросу вроде бы нашли общий язык, они сказали, что сами сделают. Остался вопрос с маршрутизацией, которую должен дать провайдер. Сейчас говорим о подсети их серых адресов. Тут вопрос ставится точно так же? - Мне нужна маршрутизация на мой адрес? как это будет выглядеть? DHCP у вышестоящего, а шлюз у меня? Я что-то запутался в этом

Share this post


Link to post
Share on other sites
20 минут назад, weedman сказал:

По этому вопросу вроде бы нашли общий язык, они сказали, что сами сделают. Остался вопрос с маршрутизацией, которую должен дать провайдер. Сейчас говорим о подсети их серых адресов. Тут вопрос ставится точно так же? - Мне нужна маршрутизация на мой адрес? как это будет выглядеть? DHCP у вышестоящего, а шлюз у меня? Я что-то запутался в этом

В смысле подсеть серых адресов, в смысле они сами натить будут? Ну тогда вам ничего вышеописанного не надо. Берете здоровенную подсеть и раздаете ее как хотите клиенту. А провайдер эту подсеть маршрутизирует в вашу сторону. Тут вы уже можете сделать все по человечески vlan-per-user, если нужно еще и DHCP.

 

Но тут есть такой тонкий момент. Получается вы становитесь придатком этого провайдера, думайте сами насколько это вас устраивает. И попросите провайдера отдельный VRF, если у него нормальное оборудование (а не микротик, он vrf не умеет) то  думаю они сделают.

Share this post


Link to post
Share on other sites
14 минут назад, VolanD666 сказал:

В смысле подсеть серых адресов, в смысле они сами натить будут? Ну тогда вам ничего вышеописанного не надо. Берете здоровенную подсеть и раздаете ее как хотите клиенту. А провайдер эту подсеть маршрутизирует в вашу сторону. Тут вы уже можете сделать все по человечески vlan-per-user, если нужно еще и DHCP.

 

Но тут есть такой тонкий момент. Получается вы становитесь придатком этого провайдера, думайте сами насколько это вас устраивает. И попросите провайдера отдельный VRF, если у него нормальное оборудование (а не микротик, он vrf не умеет) то  думаю они сделают.

В планах было pppoe, чтобы не заморачиваться с vlan-per-user. PPPoE опят же резать скорость будет. Как при таком раскладе отключать абонентов, шейпить, делать какие-то прочие действия, если трафик пойдет весь мимо. Что там вообще нам то делать? Ну и повторюсь- Как отключать\включать?

Share this post


Link to post
Share on other sites
2 часа назад, weedman сказал:

В планах было pppoe, чтобы не заморачиваться с vlan-per-user. PPPoE опят же резать скорость будет. Как при таком раскладе отключать абонентов, шейпить, делать какие-то прочие действия, если трафик пойдет весь мимо. Что там вообще нам то делать? Ну и повторюсь- Как отключать\включать?

Это все идет от сети. Если у вас везде управляемые коммутаторы, и вы в их порты подключаете абонентов, то не нужен PPPoE.

Достаточно каждый порт завести в свой уникальный влан, все эти вланы довести до микротика, на каждом влане повесить IP абонента (постоянный), через DHCP микротик выдаст в этот влан привязанный к нему IP, при этом привязки к маку не будет. Абонент может сам менять устройства, время аренды адреса 5 минут.

 

Второй вариант это когда лень прокидывать каждый влан в центр, достаточно сделать влан на коммутатор, на коммутаторе заблокировать передачу трафика между абонентскими портами, в терминологии длинка это сегментация трафика - абоненты могут передавать только в магистральные порты. В этом случае на микротике заводится влан с коммутатора, вешается DHCP сервер и раздаются адреса. Тут уже от биллинга зависит, если он через радиус может выдавать IP, тогда на все не знакомые маки он отдает некую другую подсеть, с которой идет редирект на портал авторизации биллинга, после биллинг узнает мак и выдает ему постоянный IP.

 

Шейпера вы указываете по IP адресу, отключаете путем добавления IP абонента в адрес лист, по которому фильтр блокирует доступ в интернет.

 

2 часа назад, VolanD666 сказал:

Но тут есть такой тонкий момент. Получается вы становитесь придатком этого провайдера, думайте сами насколько это вас устраивает. И попросите провайдера отдельный VRF, если у него нормальное оборудование (а не микротик, он vrf не умеет) то  думаю они сделают.

Уже было много случаев, когда провайдер сначала чуть ли не бесплатно давал адреса, а через пол года - год работы, ставил оператора перед фактом - что больше он их давать не будет, или задирает стоимость. А провайдеру предлагает подключиться по BGP, зная, что своих адресов нет. Тут сразу вылезает проблема с СОРМ и прочими прелестями, после чего провайдер продает свою сеть или абонентскую базу другому оператору.

 

3 часа назад, weedman сказал:

По этому вопросу вроде бы нашли общий язык, они сказали, что сами сделают. Остался вопрос с маршрутизацией, которую должен дать провайдер. Сейчас говорим о подсети их серых адресов. Тут вопрос ставится точно так же? - Мне нужна маршрутизация на мой адрес? как это будет выглядеть? DHCP у вышестоящего, а шлюз у меня? Я что-то запутался в этом

Если зеркалировать он будет сам, второй микротик не нужен. Оператор просто выдает вам серую сеть /30, на этот адрес он и маршрутизирует большую подсеть. А дальше вы ее сами раздаете абонентам как хотите.

Share this post


Link to post
Share on other sites
В 06.02.2021 в 16:31, Saab95 сказал:

Не надо ничего никому маркировать.

 

Провайдер дает вам подсеть адресов - тут надо уточнить как он их дает. Просить надо маршрутизацию на ваш IP.

 

То есть провайдер выделяет вам сеть /30 на белых адресах для доступа в интернет вашего устройства и у вас будет адрес шлюза провайдера, куда идет маршрут 0.0.0.0/0. А выданную вам сеть /24 или более он маршрутизирует на выданный вам адрес /30.

Есть и другой вариант, когда провайдер вам не маршрутизирует сеть, а просто сливает на порт. В этом случае вы первый адрес сети ставите на вашем маршрутизаторе, и на этом же порту включаете прокси арп. Этот вариант очень плохой и его можно использовать если маршрутизацию вам не дают.

 

Далее вы в сторону ваших клиентов на интерфейсах вешаете адреса по типу как я указал и все. Кстати в примере нет настройки сетей DHCP - там надо на вкладке Network добавить сеть для выдачи, где указать шлюз и днс сервера. Всем клиентам будет выдаваться ваш шлюз с 1, а маска подсети допустим /24 у всех. При такой схеме абоненты не смогут обмениваться данными напрямую между собой. Если нужно разрешить им обмен трафиком, тогда в настройках влана вместо арп репли онли нужно включать прокси арп.

 

Более никаких маркировок и ничего не надо настраивать, только правило блокировки по IP должников.

Но тут встает вопрос - если у вас НАТ нет, а для перенаправления на страницу блокировок он как бы нужен, что бы сделать редирект на тот же веб прокси. Тут можно как раз воспользоваться маркировкой маршрутов, что бы трафик должников отправлять не по маршруту в сторону интернета, а в другой порт роутера, куда подключен какой-то мелкий микротик типа RB750, на котором включен НАТ и он уже перенаправит на веб сервер где страничка с уведомлением.

Здравствуйте. дали маршрутизацию на наш адрес. Какие дальше действия?

 

Share this post


Link to post
Share on other sites

Не совсем понимаю как теперь пойдет трафик. От серой сети на шлюз большого, потом оттуда на мой белый и  потом в интернет? мне нужно просто наделать вланов, на них адреса из серой подсети статикой?

Share this post


Link to post
Share on other sites

Дальше просто используете адреса на своей сети, можете раздать их через PPPoE, просто выдав абоненту, можете раздать через вланы поштучно - да как угодно.

Для начала на роутере на бридж повесьте любой адрес из выданной сети, через пинг или трейс запустите проверку до любого адреса в интернете, указав в поле src address указанный на бридже адрес, или на тестовом компьютере проверьте сначала.

Share this post


Link to post
Share on other sites
8 часов назад, Saab95 сказал:

Дальше просто используете адреса на своей сети, можете раздать их через PPPoE, просто выдав абоненту, можете раздать через вланы поштучно - да как угодно.

Для начала на роутере на бридж повесьте любой адрес из выданной сети, через пинг или трейс запустите проверку до любого адреса в интернете, указав в поле src address указанный на бридже адрес, или на тестовом компьютере проверьте сначала.

Просто поднять dhcp-server с этой адресацией? нат не делать?

Допустим, мне выдали сеть 10.0.0.0\22. Один адрес я привязываю на входящий влан, а остальные раздаю? какой шлюз указывать?

Share this post


Link to post
Share on other sites

В 9 сообщении от начала темы я привел пример раздачи сетей по схеме влан на абонента.

Если у вас будет влан на коммутатор и вы хотите делать привязку к мак адресу - тогда нужно на каждый влан повесить сеть 10.10.0.1/22, абонентам раздавать IP поштучно, маску так же всем /22 и шлюз у всех один.

То есть вешаете на влан эту сеть, в DHCP добавляете статическую запись на нужный IP и все. Если биллинг умеет авторизовывать по мак адресу и настроена связка с радиусом - можно по маку из биллинга адресовывать абонентов.

 

Тут уже надо более точно знать как вы хотите абонентов подключать.

Share this post


Link to post
Share on other sites
22 часа назад, Saab95 сказал:

В 9 сообщении от начала темы я привел пример раздачи сетей по схеме влан на абонента.

Если у вас будет влан на коммутатор и вы хотите делать привязку к мак адресу - тогда нужно на каждый влан повесить сеть 10.10.0.1/22, абонентам раздавать IP поштучно, маску так же всем /22 и шлюз у всех один.

То есть вешаете на влан эту сеть, в DHCP добавляете статическую запись на нужный IP и все. Если биллинг умеет авторизовывать по мак адресу и настроена связка с радиусом - можно по маку из биллинга адресовывать абонентов.

 

Тут уже надо более точно знать как вы хотите абонентов подключать.

Спасибо за ответ. подключать скорее всего по PPPoE, просто под это дело готов самописный билинг и переделывать не хочется. хотя там через адрес листы сделано, это дает простор для маневра. 

Но именно понять хочется суть действий на примере обычной раздачи по dhcp. влан\не влан не так критично. Суть моего непонимания в следующем - Я могу просто как обычно создать бридж, дать ему адрес а-ля Х.Х.Х.1\24, включить на нем dhcp-server, раздать Х.Х.Х.2 - Х.Х.Х.254, сделать всем привязку по маку и все? Как тогда быть с натом? Или мне просто нужно повесить тем, или иным способом на клиентов адреса, не делая ни dhcp-server, ни натируя, запихнуть это все в тот влан, что дали и оно само завертится? какой шлюз в этом случае указать клиентам?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this