Megas Опубликовано 5 июля, 2011 · Жалоба Так как Rocket M5 пока нету и будут не скоро в связи с нехваткой процессоров на заводе производители по словам поставщика, двигаемся в строну Nanostation M5 в качестве точки доступа порядка 3-5шт в кольцо для мак покрытия и клиентов Ubiquiti NanoStation Loco M5. Возник вопрос, а в строну какого билинга из бесплатных версий можно в этом случае посмотреть? но судя по всему проще написать что-то небольшое своё с прикручиванием внешней системы мониторинга. Также, как будет лучше построить сеть, использовать VPN на базе pppd или mpd, а может PPPOE, какое решение будет все таки более менее оптимальным особенно при росте числа абонентов до 500чел, ведь от правильной архитектуры сначала зависит количество гемороя потом. Естественно думаю увязать это под radius с хранением в mysql и набросать какую нибудь морду для администрирования. Еще интересует такой момент, как настраивать политики и где лучше в этом случае, к примеру: чел купил инет, дальше шарит своё локальное соединение в сетке где пингуются другие челы, звонит другу и тот юзает его в качестве gateway и получает выход в инет по каналу прова. Понимаю тупая картинка, но пару раз попадал на такое. В общем, поделитесь плиз опытом, куда смотреть и что копнуть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 5 июля, 2011 · Жалоба Есть же wpa2-enterprice режим, когда от клиента до авторизации запросы могу ходить только для авторизации на радиус сервере. Авторизовался - юзай сеть, нет - даже пакеты до соседа не дойдут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 5 июля, 2011 · Жалоба isolated AP - если есть, юзеры будут ходить только в мир, но не друг к другу (отрежет желающих поменяться фильмами на максимальной скорости). По поводу биллинга - возможно, свое и проще будет, если нет мегатребований по части огромного функционала. Я под чиллиспот ваял набросок, дня 3-4 заняло (радиус-сервер + простое управление акками - таблица аккаунтов, таблица с логинами-паролями на чеках, таблица с сессиями, ну и + скрипт генерации логинов-паролей в базе и вывод с управляющими символами для печати на POS принтер). Освободится время от более срочных задач - доделаю туда еще RPC, прилеплю php веб-морду к этому RPC и куда-то выложу. Собссно, первоочередная цель этого недобиллинга - обкатка решений для последующего написания полновесной биллинговой системы, в замен работающей сейчас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
qwertzy Опубликовано 6 июля, 2011 · Жалоба isolated AP - если есть, юзеры будут ходить только в мир, но не друг к другу (отрежет желающих поменяться фильмами на максимальной скорости). Да, только Isolated AP работает в приделах одной точки доступа, пользователей разных точек надо будет по другому отгораживать друг от друга. Есть же wpa2-enterprice режим, когда от клиента до авторизации запросы могу ходить только для авторизации на радиус сервере. Авторизовался - юзай сеть, нет - даже пакеты до соседа не дойдут. Можно еще через открытый второй SSID и автоматический http redirect сделать доступ к рекламе и инструкциям как купить/стать абонентом, проводить акции, etc. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 6 июля, 2011 · Жалоба Доступ по PPPoE избавит от всех проблем. Если каждую базу завести в свой влан и прокинуть до центрального сервера, клиенты между собой мимо сервера общаться не смогут. Если использовать в качестве баз микротик, то там можно зафильтровать все кроме PPPoE пакетов. Так же при такой схеме удобно подключать многоквартирные дома - поставили там коммутатор за 500р, на точке доступа зарезали фильтрами все лишнее и все. Пусть они там сами у себя фильмы качают, но на сеть это не повлияет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 июля, 2011 · Жалоба В чём тут профит от пппое? Оборудование и клиенты уже умеют авторизовываться на доступе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 6 июля, 2011 · Жалоба В чём тут профит от пппое? Оборудование и клиенты уже умеют авторизовываться на доступе. Обсуждалось. Получается единая система wired/wireless. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 6 июля, 2011 · Жалоба В чём тут профит от пппое? Оборудование и клиенты уже умеют авторизовываться на доступе. Многие Wi-Fi базовые станции (например, тот же Rocket) не умеют делать per-user нарезку скорости (по RADIUS-атрибуту), а это часто надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 6 июля, 2011 · Жалоба Isolated AP работает в приделах одной точки доступа, пользователей разных точек надо будет по другому отгораживать друг от друга. Само собой, сегментация. Ну или шейпинг на точке доступа, если ресурсы/софт позволяют. Доступ по PPPoE избавит от всех проблем. А в контексте точек доступа - еще и создаст массу новых. Часто ли вы видели КПК/планшеты/коммуникаторы/консоли/etc с PPPoE клиентом? :) Такой способ аутентификации даже китайцам, которые специалисты рвать гланды через анус, в голову еще не приходил... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 6 июля, 2011 · Жалоба Мимо кассы. КПК/планшеты/коммуникаторы/консоли/etc с PPPoE клиентом? Под это барахло абонент себе сохо раутер поставит. Наша цель довести инет "до места", в условиях неприменимости оптики. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 6 июля, 2011 (изменено) · Жалоба Доступ по PPPoE избавит от всех проблем. А в контексте точек доступа - еще и создаст массу новых. Часто ли вы видели КПК/планшеты/коммуникаторы/консоли/etc с PPPoE клиентом? :) Такой способ аутентификации даже китайцам, которые специалисты рвать гланды через анус, в голову еще не приходил... Тут вроде бы говорили о 5 ГГц, по-этому модель CPE в любом случае форсируется провайдером, в Nanostation с PPPoE на WLAN есть некоторые нюансы, но в целом схема работает. Из того, что не нравится: При отбое от RADIUS NS M5 практически без задержки отсылает следующий запрос на поднятие PPPoE-сессии: в начале месяца RADIUS зафлуживается логами, проблему можно лечить чем-то вроде sessions per-mac throttle Нельзя форсировать MS-CHAPv2, если клиент зацепится на левую станцию, с него можно выцепить пароль по PAP Изменено 6 июля, 2011 пользователем troyand Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 6 июля, 2011 · Жалоба В чём тут профит от пппое? Оборудование и клиенты уже умеют авторизовываться на доступе. Многие Wi-Fi базовые станции (например, тот же Rocket) не умеют делать per-user нарезку скорости (по RADIUS-атрибуту), а это часто надо. Практического смысла не имеет. Т.к. скорость режется на базе, а с ппс там не густо - загнётся сразу. Потому ограничиваем макс. полосу на клиенте, а требуемое значение выставляем в конкретном туннеле. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 6 июля, 2011 (изменено) · Жалоба Потому ограничиваем макс. полосу на клиенте, а требуемое значение выставляем в конкретном туннеле. А если клиент меняет тариф, какая процедура обновления параметров на CPE (особенно если учесть, что клиент может не работать в данный момент)? И что будет, если пользователь снимет со своей CPE ограничения (или у клиентов нет доступа на CPE)? Изменено 6 июля, 2011 пользователем troyand Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 6 июля, 2011 · Жалоба На CPE ограничиваем макс. полосу, чтоб не флудил. Всё остальное - в туннеле, ну а смена тарифа - через личный кабинет, что для wired, что для wireless. Чем и хорош PPPoE(читай VPN) - единая, мультивендорная система. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 6 июля, 2011 · Жалоба На CPE ограничиваем макс. полосу, чтоб не флудил. Всё остальное - в туннеле, ну а смена тарифа - через личный кабинет, что для wired, что для wireless. Чем и хорош PPPoE(читай VPN) - единая, мультивендорная система. Логика всё равно не до конца ясна: макс. означает, что если в линейке тарифов самый дорогой имеет ограничение в, например, 5 МБит/с, то на всех CPE при инсталляции прописывается лимит в 5 МБит/с, и эта цифра будет корректной для любого тарифа? И второй вопрос состоял в следующем: может ли пара умников зайти на свою CPE и отключить у себя ограничение полосы (на рейт-лимит PPPoE-соединения это не повлияет никак, естественно), получив себе "безлимитную локалку"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 6 июля, 2011 · Жалоба Ок. Максимальная полоса определяется не продажниками, а реальными условиями на местности. Есть 1 база, обслуживает ~30 клиентов. Больше 2MBps мы им дать не сможем, в реальных условиях, да и это то многовато, но пусть так. Вот и ограничиваем на клиенте ~2.4MBps, а в туннель выдаём линейку тарифов, типа 0.25/0.5/0.75/1/1.5/2 MBps. НЕТ! Не может, т.к. управление и клиентский трафик должны быть в разных VLAN-ах. Максимум что сможет чел, считающий себя самым умным - убить себе доступ в инет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 6 июля, 2011 · Жалоба Ок. Максимальная полоса определяется не продажниками, а реальными условиями на местности. Есть 1 база, обслуживает ~30 клиентов. Больше 2MBps мы им дать не сможем, в реальных условиях, да и это то многовато, но пусть так. Вот и ограничиваем на клиенте ~2.4MBps, а в туннель выдаём линейку тарифов, типа 0.25/0.5/0.75/1/1.5/2 MBps. С этим прояснилось. НЕТ! Не может, т.к. управление и клиентский трафик должны быть в разных VLAN-ах. Максимум что сможет чел, считающий себя самым умным - убить себе доступ в инет. Wi-Fi CPE с management vlan - это, пожалуй, из распространенного только MikroTik, а как быть с клиентскими Nanostation? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 6 июля, 2011 · Жалоба Вот блин! ) Там линух внутри - крути как хочешь. А на WEB-морду - сразу забей, пока её допилят - уже не надо будет. ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 6 июля, 2011 · Жалоба Вот блин! ) Там линух внутри - крути как хочешь. А на WEB-морду - сразу забей, пока её допилят - уже не надо будет. ) А так, то, конечно, подпилить можно, но только не совсем понятно, как такое сдавать в эксплуатацию: подобная схема слишком подвержена "эффекту грузовика". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 6 июля, 2011 · Жалоба Сдавать как обычно. Есть оборудование в списке(а UBNT есть) - сдашь без проблем, нет в списке - ну придётся сдавать методом заноса. Что за "эффект грузовика"? Линух как линух, кто хоть раз делал софтовый раутер - разберётся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 6 июля, 2011 · Жалоба Сдавать как обычно. Есть оборудование в списке(а UBNT есть) - сдашь без проблем, нет в списке - ну придётся сдавать методом заноса. Что за "эффект грузовика"? Линух как линух, кто хоть раз делал софтовый раутер - разберётся. Я не про сдачу в органы (как раз на Ubiquiti, в отличие от MikroTik, есть сертификаты), а про сдачу своим коллегам, которым с этим счастьем жить потом. Эффект грузовика Есть такое устойчивое словосочетание «Эффект грузовика». Это ситуация, когда устройство какого-то критичного модуля знал один человек, модуль большой, разобраться в нем не просто, человек тот кодировал, как ему удобно, а не как это принято в команде. И все было ОК, т. к. он брал на себя ответственность за модуль, и все всегда работало. Пока его не переехал грузовик… Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 июля, 2011 · Жалоба Получается единая система wired/wireless. Можно ссылку? В том что я предлагал она тоже единая: все ТД умеют через радиус авторизовывать клиентов. Под клиентами я подразумевал конечные абонентские устройства с WiFi, типа ноута. Вы подразумевали что клиенту отдаётся эзернет порт который дальше беспроводной? Многие Wi-Fi базовые станции (например, тот же Rocket) не умеют делать per-user нарезку скорости (по RADIUS-атрибуту), а это часто надо. И? Юзер точно также насрёт в пппое на выход, как и без пппое, а на той стороне шейперу без разницы резать по ип или ещё и в туннель пихать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 6 июля, 2011 · Жалоба Абоненту отдаётся именно эзернет, как он к нему пришёл(wired/wireless) - по барабану. В собственной заднице клиент может хоть ломом ковыряться, а нам свою надо прикрыть. Потому - нах зоопарк дивайсов, ставим проверенные решения и исключаем всякую возможность поковыряться в настройках(от большого ума или просто от делать нех). Биллинг же - любой, имеющий в арсенале VPN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 6 июля, 2011 (изменено) · Жалоба Возник вопрос, а в строну какого билинга из бесплатных версий можно в этом случае посмотреть? но судя по всему проще написать что-то небольшое своё с прикручиванием внешней системы мониторинга.Также, как будет лучше построить сеть, использовать VPN на базе pppd или mpd, а может PPPOE, какое решение будет все таки более менее оптимальным особенно при росте числа абонентов до 500чел, ведь от правильной архитектуры сначала зависит количество гемороя потом. Естественно думаю увязать это под radius с хранением в mysql и набросать какую нибудь морду для администрирования. Я как раз немного подпилил FreeNIBS, теперь он подружися с FreeRADIUS2 и MySQL 5х, собственно у этой идеи, имхо, есть потенциал но по хорошему надо переписывать всё под чистую... Потихоньку к этому и прихожу, но в программирование не силён, так что всё движится очень медленно. по 802.1x можно авторизировать и по проводу.... В качестве ТД -- пики на 5.5 уже вполне вминяемы, но очень жду динамических ВЛАНОВ, тогда с билингом попроще будет Изменено 6 июля, 2011 пользователем NewUse Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 7 июля, 2011 · Жалоба резать по ип если не садить клиента в отдельный VLAN, подвержено spoofing-атакам (так же, как и Hotspot), инструкции прилагаются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...