Терминация абонентов

[BelOnline]

Доброго всем времени суток. Думал в каком разделе создать тему, решил здесь, ибо большинство сети WiFi.(если, что перенесите тему плиз)

Используется FreeBSD - шейпер, NAT, DNS, DHCP. Привязка MAC-ip, ip статические. Шейпинг и FW по IP.

По причине роста сети все чаще посещает мысль перейти на PPTP или PPPoE. С раздачей ip(необязательно одинаковыми), тк внутри сети работает p2p сервер.

 

Что лучше, удобней?

[NewUse]

Что лучше, удобней?

VLAN-per-Client +DHCP

 

Ну, а если нужен именно тоннель, то в зависимости от структуры сети -- либо pppoe, либо l2tp, про pptp забудьте.

[Saab95]

Какой нафиг L2TP, только PPPoE. Если транспортная сеть на L3 есть EoIP туннели. Как сможете поставить везде управляемые коммутаторы перейдете на влан для клиента.

[BelOnline]

Какой нафиг L2TP, только PPPoE. Если транспортная сеть на L3 есть EoIP туннели. Как сможете поставить везде управляемые коммутаторы перейдете на влан для клиента.

У 90% клиентов стоят гриды/бриджы/нслоки, управляемых коммутаторов нет. В проводных сетях стоят максимум 1-2 мыльницы и на микротиках радиоканалом собираются в кучу. все.

Выходит только PPPoE.?

[BelOnline]

Собственно что поддерживает мой дистрибутив - VPN: IPsec, VPN: L2TP, OpenVPN: Server, VPN: VPN PPTP и VPN: PPPoE

[Constantin]

про pptp забудьте

почему? у мя рртр без шифрации данных работает за милую душу клиентов на концентраторе 500+

 

есть еще сеть там 1000+, уже уходим от этого конечно, но работает и жрать не просит.

[Negator]

Если есть мыльницы - PPPoE для Вас самое оно.

Хотя лучше всего иметь полностью управляемую сеть и IPOE.

[Saab95]

Какой нафиг L2TP, только PPPoE. Если транспортная сеть на L3 есть EoIP туннели. Как сможете поставить везде управляемые коммутаторы перейдете на влан для клиента.

У 90% клиентов стоят гриды/бриджы/нслоки, управляемых коммутаторов нет. В проводных сетях стоят максимум 1-2 мыльницы и на микротиках радиоканалом собираются в кучу. все.

Выходит только PPPoE.?

 

Наносы умеют работать PPPoE клиентом, сразу будет легкое управление - ведь адрес устройства = адресу клиента, не нужно вести дополнительно список адресов антенн.

[Constantin]

Если есть мыльницы - PPPoE для Вас самое оно.

 

точно точно, оно, ставлю свой рррое сервер и собераю со всего сигмента логин пароли

[Saab95]

Если есть мыльницы - PPPoE для Вас самое оно.

 

точно точно, оно, ставлю свой рррое сервер и собераю со всего сигмента логин пароли

 

У вас прямо мания преследования. Если PPPoE используется для подключения по радио к БС и все сидят за CPE, которые работают роутерами, то никто пароли не поймает. Если же где-то стоит CPE на дом, внутри тупой хаб и 5 клиентов, то они смогут только друг у друга пароли ловить, только вот никто не страдает такой ерундой.

[Negator]

точно точно, оно, ставлю свой рррое сервер и собераю со всего сигмента логин пароли

Во первых сЕгмент.

Во вторых ваше IPOE c DHCP тоже взламывается на раз. Режу кабель, ставлю в разрез свич или хаб - имею интернет на халяву.

Чтобы сделать второе - особых знаний не нужно. Поднять ложный PPPoE сервер посложнее будет, да и ищется оно на раз.

[big213]

Constantin

у тебя в сети много таких юзеров, которые ставят пппое сервер и грабят пароли?

ну не смеши..

когда хомяков до 1к еще возможно отследить.. а вот более.. тогда да, проблема.

зы. перешел на vlan dhcp и проблем не знаю)

Edited July 12, 2013 by big213

[Constantin]

Если PPPoE используется для подключения по радио к БС и все сидят за CPE, которые работают роутерами, то никто пароли не поймает

сааб ты клоун, в такой схеме ваще можно direct ip авторизацию делать и не вариться

 

Во вторых ваше IPOE c DHCP тоже взламывается на раз. Режу кабель, ставлю в разрез свич или хаб - имею интернет на халяву.

да??? это называется взлом? и когда работает только 1 адрес, тогда уж роутер ставить да и ищеться 100% просто, достаточно пройти по кабелю

да и ищется оно на раз.

 

в неуправляемой сети??? сервер который подымается на час от силы раз в пятилетку по потребности? ну как говориться счастливо

 

 

у тебя в сети много таких юзеров, которые ставят пппое сервер и грабят пароли?

ну не смеши..

когда хомяков до 1к еще возможно отследить.. а вот более.. тогда да, проблема.

зы. перешел на vlan dhcp и проблем не знаю)

 

на моей практике было, во времена когда еще на дядю работал, поэтому в неуправлялке только рртр как самый простой для настройки клиентов

 

в управляемой сети да либо рррое либо ipoe тут уж никто не спорит

[Saab95]

Если PPPoE используется для подключения по радио к БС и все сидят за CPE, которые работают роутерами, то никто пароли не поймает

сааб ты клоун, в такой схеме ваще можно direct ip авторизацию делать и не вариться

 

Ну да чем же удобнее? Представьте вам надо и белые и серые адреса раздавать, белых всего 16 штук - будете городить связку одна маска на всех + маршруты? Это не понятно и не удобно для новичков.

 

на моей практике было, во времена когда еще на дядю работал, поэтому в неуправлялке только рртр как самый простой для настройки клиентов

 

На моей практике был PPTP на неуправляемой сети, хорошо что не долго и перешли на PPPoE, т.к. в случае радио нужно было установить IP адрес на точке клиента, настроить адрес на компьютере клиента, настроить подключение и указать адрес сервера, и было очень весело когда этот адрес вдруг нужно было поменять. А абоненты любили устанавливать адрес вручную, вот веселуха была. В то время хоть PPPoE серверов не было распространенных, но как только появился микротик со своим PPPoE надобность в PPTP пропала.

[rdc]

Используется FreeBSD - шейпер, NAT, DNS, DHCP. Привязка MAC-ip, ip статические. Шейпинг и FW по IP.

По причине роста сети все чаще посещает мысль перейти на PPTP или PPPoE.

Нафига?

Делайте vlan per customer.

У 90% клиентов стоят гриды/бриджы/нслоки, управляемых коммутаторов нет.

Абонентские убики настраиваются на терминацию вланов. Каждому абоненту свой влан.

Настройка делается так: на беспроводном интерфейсе добавляется влан с тегом, выделенным под данного юзера, далее создаётся мост, объединяющий этот влан и проводной интерфейс.

Чтобы не делать это каждый раз руками, я сделал генератор конфига в биллинге - в абонентский убик заливается сгенерённый конфиг и он сразу готов к работе. В конфиге всего три переменных - префикс ip-адреса (в трёх местах - адрес, шлюз, и watchdog на шлюз), vlan tag (в пяти местах), и ssid. Если нет генератора - можно просто текстовым редактором править, это занимает минуту.

 

В неуправляемой проводной сети есть некоторый резон использования пппое.

Но я бы не рекомендовал этого делать - разумнее постепенно перевести проводную часть сети на управляемые свичи.

Один из решающих плюсов vlan per customer - отсутствие необходимости менять настройки у юзеров. Они вообще ничего не заметят.

 

Использовать пптп нельзя категорически. Это ад с вечными конфликтами локальных ip-адресов и занятым каким-нибудь болваном шлюзом.

 

Представьте вам надо и белые и серые адреса раздавать, белых всего 16 штук

Я как раз раздаю через vlan per customer серые и немного белых. Никаких проблем.

 

в неуправлялке только рртр как самый простой для настройки клиентов

пппое настраивается проще, чем пптп, и работает многократно надёжнее

в управляемой сети да либо рррое либо ipoe тут уж никто не спорит

В управляемой сети пппое вообще нафик не нужно))

[Saab95]

в неуправлялке только рртр как самый простой для настройки клиентов

пппое настраивается проще, чем пптп, и работает многократно надёжнее

в управляемой сети да либо рррое либо ipoe тут уж никто не спорит

В управляемой сети пппое вообще нафик не нужно))

 

PPPoE позволяет легко распределять нагрузку и делать резервирование. Если делать такое же на IPoE, то нужно ставить железки, которые будут снимать вланы и переводить клиентов на чистый L3, тогда в ядре можно поставить сколько угодно железок для резервирования и распределения нагрузки, но тут слабым звеном остаются терминаторы вланов, в таком случае в каждый дом нужно ставить маленький маршрутизатор, который будет локально работать с вланами в пределах своего коммутатора. При нагрузках в пределах 100мбит с дома вполне справляется RB750.

[rdc]

Можно точно так же распределить нагрузку и сделать резервирование. Разница только в том, что на пппое это делается проще, да.

Но я исхожу из парадигмы "услуга должна быть простой для абонента". Пусть я больше повожусь с настройкой, но зато избавлю тысячи людей от этой возни.

[BelOnline]

Наносы умеют работать PPPoE клиентом, сразу будет легкое управление - ведь адрес устройства = адресу клиента, не нужно вести дополнительно список адресов антенн.

Наносов малая часть, в основном гриды

 

Абонентские убики настраиваются на терминацию вланов. Каждому абоненту свой влан.

Настройка делается так: на беспроводном интерфейсе добавляется влан с тегом, выделенным под данного юзера, далее создаётся мост, объединяющий этот влан и проводной интерфейс.

Чтобы не делать это каждый раз руками, я сделал генератор конфига в биллинге - в абонентский убик заливается сгенерённый конфиг и он сразу готов к работе. В конфиге всего три переменных - префикс ip-адреса (в трёх местах - адрес, шлюз, и watchdog на шлюз), vlan tag (в пяти местах), и ssid. Если нет генератора - можно просто текстовым редактором править, это занимает минуту.

Можно подробнее? желательно с парой скринов, если можно. И пример конфига плизз. Буду очень признателен

[Saab95]

Наносы умеют работать PPPoE клиентом, сразу будет легкое управление - ведь адрес устройства = адресу клиента, не нужно вести дополнительно список адресов антенн.

Наносов малая часть, в основном гриды

 

Гриды то же умеют.

[NST]

Constantin

у тебя в сети много таких юзеров, которые ставят пппое сервер и грабят пароли?

ну не смеши..

А что, такие юзеры кричат на каждом шагу об этом? Сомневаюсь.В неуправляемом сегменте (или хотябы в том, где не режут PADI пакеты) при помощи любого роутера микротик можно заиметь себе беспалевный халявный интернет.Так что неуправляшки ставить не вариант.