Раздача интернета по средствам Mikrotik RouterBoard 600A

[N4cer]

Уважаемые форумчане, помогите решить задачку, кому не сложно, расписать решение. Заранее благодарен.

Дано:

1) 5 Базовых станций на основе Mikrotik RouterBoard 600A с комплектом карт и антенн (карты: 4 х Atheros AR5413, антенны: 4 х RAS15W90, на каждую базу)

2) Выделенная линия интернета от Ростелеком, безлимит, шириной 10мегабит (не смеяться, город маленький, находится в Южной Якутии, и такое благо стоит ~ 300,000 руб. в месяц)

3) Топология сети - звезда, 5 оптоволоконных каналов, с использованием мультиконвертеров типа "рубитеч".

4) Интернет от Ростелеком конвертируется в "изернет" по средствам "рубитеча" и входит в 24х портовый маршрутизтор.

5) Каждый из 5ти оптоволонных каналов одним концом подключен к базе, вторым в тот же самый 24х портовый маршрутизатор. Преобразование оптики в изернет, опять таки по средствам медиаконвертеров типа "рубитеч" в паре.

Требуется:

Раздать интернет польователям по средствам вышеописанных базовых станций, главная загвоздка в настройке самих базовых станций.

Что мне удалось сделать по средствам найденных в интернете "документов"

1) Настроить беспроводные карты. (использовалась статья: http://asp24.ru/index.php?target=pages&amp...169&page=2)

2) Частично настроить некоторые параметры по вышеуказанной статье.

В данный момент, все это добро лежит у меня дома, подключено к интернету, который раздается с моего домашнего роутера Zyxel P-330W EE, получаемый по средствам поднятого на "зухеле" впн подключении, через городскую локальную сеть, и раздаваемый на 4 порта, встроенного коммутатора без ограничений по трафику и времени.

На домашнем роутере маку базы присвоен статический адрес 192.168.1.13, шлюз и днс заданы муршрутизатором как 192.168.1.1, эти настройки присвоены ether1 в IP-Addresses

 

Address 192.168.1.13/24

Network 192.168.1.0

Broadcast 192.168.1.13

 

Для созданного Bridge присвоен адрес

 

Address 10.10.10.10

Network 10.10.10.0

Broadcast 10.10.10.255

 

В бридж добавлены интерфейсы: WLAN_1, WLAN_2, WLAN_3, WLAN_4 и ether1, где WLAN_* - имена беспроводных интерфейсов, а ether1 соответственно кабель из домашнего роутера.

 

В итоге получилось непонять что, ноутбк видит точку, подключается без какиз либо запросов и ко всему в букете, сразу пашет интернет. Помогите настроить, чтобы к точке подключалось, но интернет был только после последующего подключения по VPN или PPPoE.

Заранее благодарен, с уважением Антон.

 

[-Ars-]

Извиняюсь за оффтоп, но не смог сдержаться:

Раздача интернета по средствам

От каждого - по способностям, каждому - по труду? ;)

[N4cer]

-Ars- Отличное начало с оффтопа, спасибо.

[terrible]

Раздавать интернет это конечно вы хорошо придумали, накупили железа и раздаёте, класс :)

Даже маленький зуксель впрягся в работу :)

 

Интернет от Ростелеком конвертируется в "изернет" по средствам "рубитеча" и входит в 24х портовый маршрутизтор

Ух ты, круто, ни разу не выдел 24-х портовых маршрутизаторов, может быть это свич? а что за моделька?

 

Где всё это г...но считать планируете? на чём? кто будет являться PPTP/PPPoE сервером? С какой операционкой? Биллинг запихнуть в структуру не забыли?

 

Простите за часть стёба, но по судя вашему сообщению трудно себе представляю логическую составляющую идеи раздавать инет, о технической промолчу.

[N4cer]

Тут на форуме есть люди без ЧСВ? Или тут одни евреи и любители придираться к словам?

[-Ars-]

Или тут одни евреи

А, что, в наше нелегкое время это - недостаток?

Врзможно кто-то так считает, но:

кто будет являться PPTP/PPPoE сервером? С какой операционкой?

на этот животрепещущий вопрос ответа так и не было. Хотя бы на этот. Теперь так и будете подозревать каждого, кто задаст этот вопрос в скрытом еврействе или гипертрофированном ЧСВ? Edited July 9, 2010 by -Ars-

[N4cer]

кто будет являться PPTP/PPPoE сервером? С какой операционкой?

Что за вопрос, ппц, вы вообще читали первый пост? Как настроить все это на роутербоард материнке 600й серии от микротик.

 

[-Ars-]

вы вообще читали первый пост?

А как же!

Как настроить все это на роутербоард материнке 600й серии от микротик.

Т.е. вы на каждой ТД хотите настраивать отдельную авторизацию??? Т.е. чтобы сначала клиенты подключались к ТД, а потом на ней же авторизировались через РРРоЕ, или РРТР? Вы точно именно этого хотите? Edited July 9, 2010 by -Ars-

[N4cer]

вы вообще читали первый пост?

А как же!

Как настроить все это на роутербоард материнке 600й серии от микротик.

Т.е. вы на каждой ТД хотите настраивать отдельную авторизацию??? Т.е. чтобы сначала клиенты подключались к ТД, а потом на ней же авторизировались через РРРоЕ, или РРТР? Вы точно именно этого хотите?

Я уже запутался окончательно. Поставим вопрос по другому. Есть оптическая сеть, звезда, все оптические каналы сведены в один управляемый свитч, в него же включен интернет от Ростелекома, в свитчь так же включен сервер для биллинга и администраторская машина. На другом конце каждой ветки оптики висит роутербоард, внимание вопрос, как он должен быть настроен?

[-Ars-]

висит роутербоард, внимание вопрос, как он должен быть настроен?

Зависит от того, что именно вы хотите Как по мне, дык, как сейчас - так нехай и будет. Просто между ростелекомовским кабелем и свичем есть смысл добавить пресловутый сервер для авторизации РРТР, или РРРоЕ (да хоть RADIUS)+биллинг. Вы почему-то зациклились на своих микротиках, а в данной схеме, как мне кажется, они никакой особой роли, кроме как быть ТД, играть не должны. Нет, можно, конечно, настроить РРРоЕ сервер на каждои МТ (и в статье достаточно подробно написано КАК) , но как вы потом будете считать траффик? И даже если не будете - каждый раз добавлять абонентов на все МТ? Да просто неудобно, ИМХО.

Кстати, в статье описана несколько другая схема подключения - Вы, как мне кажется, перепутали Ethernet-интерфейсы. Тот, который в бридже, не должен физически подключаться в свич, для этого есть другой интерфейс. Я вижу здесь однозначные еврейские козни.

Edited July 10, 2010 by -Ars-

[N4cer]

-Ars- Спасибо, я так и предполагал, что необходим сервер авторизации и биллинг. Настроил микротик как базовую станцию, что сделал:

1) настроил беспроводные карты

2) создал мост, в который объеденил все беспроводные карты и один изернет.

3) задал изернету адрес присвоенный моей домашней базой, по маку забитый в статик, задал адрес мосту.

4) добавил маршруты

5) настроил WPA/WPA2 и ключик.

В итоге получил возможность подключаться к базе и сразу попадать в интернет (на порт изернета идет интернет от поднятого на домашней базе впн соединения)

Так понимаю теперь самое веселое, надо ставит сервер авторизации на машину и настраивать радиус на машине и микротиках, так понимаю? Есть рецепты?

[-Ars-]

и настраивать радиус на машине и микротиках

На МТ не надо, только на машине. Просто надо ее поставить между интерфейсом в интернет и свичем. Т.е. я это вижу примерно так:

 

|МТ|\

|МТ|-\

|МТ|-|switch|-->--|PPPoE/PPTP server+Billing+etc|-->--Internet

|МТ|-/

|МТ|/

[Ilya Evseev]

Микротики надо настраивать как беспроводные мосты, без IP-маршрутизации, Радиус-авторизации и т.д.

От каждого микротика до Интернет-шлюза, он же биллинг и прочее, должен быть прокинут отдельный VLAN.

 

То есть задача Микротиков в данном случае - только wifi и ничего больше.

Всё остальное должен делать сервер.

Для 10 mbps можете в этом качестве смело использовать свою рабочую станцию.

[N4cer]

От каждого микротика до Интернет-шлюза, он же биллинг и прочее, должен быть прокинут отдельный VLAN.

как это реализовать на микротике?

 

|МТ|\

|МТ|-\

|МТ|-|switch|-->--|PPPoE/PPTP server+Billing+etc|-->--Internet

|МТ|-/

|МТ|/

т.е. канал от ростелекома пускаем в сервер непосредственно?

 

В идеале бы знать ясный список настроек, которые необходимо провести на самом прикротике, остальные настройки в виде сервера авторизации и биллинга будут делать люди продающие мне билинговую систему, сказали что им нужен сервер с линуксом, и настроенные микротики, остальное они берут на себя.

[N4cer]

Сейчас МК работает как прозрачный мост между изернетом и картами + WPA/WPA2 настроен и настроенны карты под антенны.

[Ilya Evseev]

От каждого микротика до Интернет-шлюза, он же биллинг и прочее, должен быть прокинут отдельный VLAN.

как это реализовать на микротике?

От Микротика тут специального ничего не требуется.

От него наружу уходит кабель, который приходит в нетегированный порт центрального коммутатора.

На центральном коммутаторе для каждого микротика - свой vlan.

Порт сервера делается тегированным, в него включаются все микротиковские vlan'ы.

 

т.е. канал от ростелекома пускаем в сервер непосредственно?

Физически лучше в коммутатор, для этого сделать отдельный vlan, этот vlan добавить в порт сервера.

 

В идеале бы знать ясный список настроек, которые необходимо провести на самом прикротике, остальные настройки в виде сервера авторизации и биллинга будут делать люди продающие мне билинговую систему, сказали что им нужен сервер с линуксом, и настроенные микротики, остальное они берут на себя.

Они должны быть настроены как беспроводные мосты.

SSID не публикуется, название и пароль позаковыристее, шифрация по максимуму.

Если нужны картинки, то ищем в Гугле: "wireless bridge site:mikrotik.com".

Находим: http://wiki.mikrotik.com/wiki/Transparentl...ge_two_Networks

[-Ars-]

Они должны быть настроены как беспроводные мосты.

SSID не публикуется, название и пароль позаковыристее, шифрация по максимуму.

Секундочку! Почему? Edited July 11, 2010 by -Ars-

[Ilya Evseev]

Они должны быть настроены как беспроводные мосты.

SSID не публикуется, название и пароль позаковыристее, шифрация по максимуму.

Секундочку! Почему?

Какая букоффка непонятна?

[-Ars-]

Какая букоффка непонятна?

Все выделенные :). Из написанного выше непонятно, будут на другом конце такие же мосты, или куча wireless-устройств клиентов. В приведенной статье - да, а у ТС - нет.

И до кучи - какой смысл в вланах на каждый МТ в данном сетапе?

Edited July 11, 2010 by -Ars-

[N4cer]

SSID не публикуется, название и пароль позаковыристее, шифрация по максимуму.

вот этого не понял, как это не публикуется? а к чему тогда юзеры будут подключаться? или вы имеете ввиду что сид скрывается, и вводится вручную, шифрование WPA/WPA2 хватит с длинным паролем?

Приведенная вами ссылка описывает подключение прозрачного моста между двумя точками, подойдет ли мне этот рецепт для подключения точки оптикой?

Что делает WDS и его что к каждому влану делать?

[nuclearcat]

WPA PSK - не безопасность, если он един на всех юзеров.

А вот если через радиус раздавать...

[N4cer]

WPA PSK - не безопасность, если он един на всех юзеров.

А вот если через радиус раздавать...

а мне он для чего вовсе?

[N4cer]

Можно подробнее про радиус, как реализовать и что дает?

[nuclearcat]

 

http://wiki.linuxformat.ru/index.php/LXF96....BE.D0.BC.D1.83

http://forum.ixbt.com/topic.cgi?id=14:49232

http://www.ixbt.com/comm/prac-wpa-eap_4.shtml

 

Собственно большая часть биллингов работает через radius. Погуглите еще материалов, почитайте, если будут какие-то конкретные вопросы которые там не изложены - спрашивайте.

[N4cer]

Запустили в работу, схема такая: подключаемся к БС, заводим впн, подключаемся с шифрованием. Биллинг поставили UTM5 на FreeBSD.