[konst37]

Имеется такая сеть.

Хочу вместо Traffic Inspectora (TI) поставить имеющийся в наличии Mikrotik RB2011UAS и разобраться с приоритизацией трафика и настроить биллинг.

Интернет канал - спутниковый с негарантированной скоростью 2048/512.

На этом канале VoIP телефония, ИТР и рядовые "серфингисты". Всего - около 200 пользователей.

Привелигированные пользователи (ИТР) имеют круглосуточный доступ в интернет, а рядовые - по расписанию.

Естественно, все органичены шейпером TI.

Приоритетной задачей является обеспечение нормальной телефонной связи без "бульканий" и "кваканий", а так же максимально удобной (быстрой) работы ИТР с программой, запускаемой посредством терминального подключения. Еще хотелось бы избавиться от паразитного трафика (системные обновления, обновления скайпа, обновления всевозможного ПО) и максимально утилизировать канал.

Существующий биллинг используется не по прямому назначению (так так счета пользователям не выставляем), а для того, чтоб пользоваться расписанием для предоставления доступа, шейпингом и встроенными фильтрами баннеров.

В связи с задумкой такого перехода возникают вопросы:

1. С чего все начинать? :)

2. Как авторизировать пользователей?

3. Какой биллинг использовать для наших нужд и как его прикрутить к Mikrotik?

Заранее спасибо за советы.

[Saab95]

1. С чего все начинать? :)

 

Поставить микротик.

 

2. Как авторизировать пользователей?

 

Через PPPoE - будут изолированные каналы до каждого, вы сможете удобно делать приоритеты просто по IP, т.к. важным абонентам дадите например 10.10.0.х а низкоприоритетным 10.11.0.х и легко распределите трафик. Поменять адреса сможете легко и не понадобится трогать оборудование абонентов.

 

3. Какой биллинг использовать для наших нужд и как его прикрутить к Mikrotik?

 

Биллинг Carbon в режиме управления оборудования.

 

Естественно, если у вас спутниковый канал, то можно рассмотреть упаковку трафика со сжатием во время передачи, для этого нужен еще один микротик на сети кабельного оператора, до которого ваш будет поднимать туннель через интернет. Так вы сможете увеличить скорость существующего канала.

[alibek]

Интернет канал - спутниковый с негарантированной скоростью 2048/512.

Всего - около 200 пользователей.

Хорошо не будет никак.

Кто подключен по беспроводной сети? Только серфингисты или все?

Если это работники, а не клиенты, зачем биллинг?

[Liner's]

Через PPPoE

если организация - то читый идиотизм

[konst37]

Хорошо не будет никак.

Кто подключен по беспроводной сети? Только серфингисты или все?

Это точно - в такой ситуации всем не угодишь. Хочется в первую очередь обеспечить нормальное качество IP-телефонии и работы приложения в терминальном подключении. Все остальные "хотелки" менее приоритетны.

По беспроводной сети подключены все - ИТР, рядовые пользователи. Причем с разношерстными девайсами - ноуты, планшеты, телефоны.

 

Если это работники, а не клиенты, зачем биллинг?

Это артель - геологи, добытчики, работающие в полевых условиях. Единственная связь с миром - это спутниковый канал связи.

Плату не берем, но некоторые возможности системы биллинга используем - фильтры, планировщик.

Сейчас, возможно, прийдется брать плату - слишком увеличились аппетиты до шарового интернета.

 

если организация - то читый идиотизм

Это толпа народа в лесотундре :) И хочется сделать канал управляемым, а не стихийным. Тут все средства хороши.

Edited April 24, 2014 by konst37

[YuryD]

Это толпа народа в лесотундре :) И хочется сделать канал управляемым, а не стихийным. Тут все средства хороши.

Тогда так, пилить полосу согласно качеству голоса, исходя из худшего 64Кбит, умножая на количество одноврененных разговоров. Это отдать голосовой сети, остальной - остальное, что достанется. Но для нормального разговора голосом вам придется таки пообщаться с провайдером, вы способны ограничить исходящий траффик, но входящий - вам неподвластен, захотят - заддосят, захотят - торрентами угробят, где-то так...

[alibek]

IP-телефония это отдельные устройства (терминалы), подключенные отдельно?

Или это программные клиенты на компьютерах?

Если первое, то попробовать приоритезировать трафик можно.

[konst37]

Но для нормального разговора голосом вам придется таки пообщаться с провайдером, вы способны ограничить исходящий траффик, но входящий - вам неподвластен, захотят - заддосят, захотят - торрентами угробят, где-то так...

Входящего 30-70Кбит хватает - труба одна, никаких одновременных разговоров. Торренты пока контролируем визуально - по монитору загрузки в TI

 

IP-телефония это отдельные устройства (терминалы), подключенные отдельно?

Отдельное. На схеме изображено.

 

Меня больше волнует это...

Через PPPoE - будут изолированные каналы до каждого, вы сможете удобно делать приоритеты просто по IP, т.к. важным абонентам дадите например 10.10.0.х а низкоприоритетным 10.11.0.х и легко распределите трафик. Поменять адреса сможете легко и не понадобится трогать оборудование абонентов.

Есть еще локальная сеть - хорошо бы предоставить доступ ноутам и стационарам доступ к общим ресурсам.

К примеру, настрою DHCP на выдачу адресов из диапазона 192.168.1.2- 192.168.1.254 (локалка)

Если на ноуте и стационарном компе можно настроить PPPoE для подключения к сети 10.10.0.х и к 10.11.0.х, то

как тогда определить приоритетность клиента с планшетом или телефоном, получившим адрес по DHCP?

[alibek]

Тогда лучше оставить TI.

IP-телефон и VIP-клиентов пустить через NAT.

Всех остальных пускать только через HTTP-прокси, тогда можно будет не допускать перегрузки входящего канала.

[konst37]

IP-телефон и VIP-клиентов пустить через NAT.

Тут не понял. Это в разрыв Спутнивовый модем - TI подключить микротик, а к нему IP-телефон? Это можно сделать, а вот VIP клиентов пустить через микротик сложнее - если б они подключались только к одной AP, то можно. А так они и по кабелю и по любой из AP могут подключиться (с ноута или планшета).

Для начала попробую в разрыв подключить микротик и на нем настроить приоритет для телефонного трафика и подключения по 443 порту для пользователей терминала.

 

 

Всех остальных пускать только через HTTP-прокси, тогда можно будет не допускать перегрузки входящего канала.

Уж очень не хочется бегать по всем клиентам и на каждой железке прописывать проксик. Может можно как-то силами микротика запретить обновления skype, антивирусов, windows и android?

[Liner's]

ерез HTTP-прокси, тогда можно будет не допускать перегрузки входящего канала.

прозрачный прокси, с кешированием данных, с таким каналом и таким кол-вом пользователей, наверно будет проще организовать прозрачный прокси на писюке, винты будете менять раз в год-два, зато за счёт кеша получите прирост

Уж очень не хочется бегать по всем клиентам и на каждой железке прописывать проксик. Может можно как-то силами микротика запретить обновления skype, антивирусов, windows и android?

это и на трафик инспекторе можно

[Saab95]

Все IP телефоны поддерживают подключение по PPPoE.

 

Если каждый абонент будет подключаться так же через PPPoE, то можно сделать им и локалку через сервер. Иначе кто-то один зафлудит сеть и она перестанет работать, если конечно везде управляемые коммутаторы не стоят=)

 

С PPPoE сможете выделить отдельную сеть для телефонов с приоритетами, остальные просто интернет + локалка поверх PPPoE, самая удобная схема в таких сетях.

[alibek]

Уж очень не хочется бегать по всем клиентам и на каждой железке прописывать проксик.

Если проблема только в этом, то можно и прозрачный прокси сделать.

 

Это можно сделать, а вот VIP клиентов пустить через микротик сложнее - если б они подключались только к одной AP, то можно. А так они и по кабелю и по любой из AP могут подключиться (с ноута или планшета).

Я считал, что VIP-ы подключены проводом.

Но раз випы и обычные пользователи в одном сегменте, то значит авторизация нужна по логину/маку.

Если есть локалка, PPPoE я бы использовать не советовал, обслуживать будет неудобно.

[Saab95]

Если есть локалка, PPPoE я бы использовать не советовал, обслуживать будет неудобно.

 

Как раз удобно - вся локалка через центр, легко контролировать и отключать в случае проблем. Если локалку дать прямо так, например раздав адреса автоматом, или дать это на откуп клиентам, будет большая помойка и рассадник вирусов.

[konst37]

Уважаемые, Saab95, alibek, что-то я запутался.

Знаний у меня пока маловато для полноценного революционного перехода на связку Mikrotik (в качестве NAS) и какого-либо linux-based биллинга. Микротик, как впрочем и основы линукса, у меня пока на стадии освоения.

Может оставить в качестве биллинга TI, а в роли NASа подключить микротик? И прописывать правила для приоритезации трафика для каждого пользователя? Вижу плюс в том, что можно "на гарячую", (при работе TI) пробовать "причесать" трафик от клиентов. На крайний случай всегда можно воспользоваться шейпером TI. А как прочувствую "на пальцах" работу микротика, так и избавлюсь от TI.

[Saab95]

Тогда заводите всех клиентов на микротике, а биллинг ТИ будет делать НАТ и резать скорость. Такая схема вполне рабочая. Но новые версии ТИ могут вроде как управлять сторонним оборудованием, можно и этой возможностью воспользоваться.

[NiTr0]

Тогда заводите всех клиентов на микротике, а биллинг ТИ будет делать НАТ и резать скорость.

А может сразу в тетради в клеточку "биллинг" вести? Чего уж мелочиться :)

Ну и да, непонятно накой тут микротик, если с ним работать будет ровно так же как и без него - только гемора вдвое больше.

[Saab95]

А может сразу в тетради в клеточку "биллинг" вести? Чего уж мелочиться :)

Ну и да, непонятно накой тут микротик, если с ним работать будет ровно так же как и без него - только гемора вдвое больше.

 

Микротик будет пропускать трафик через себя и освободит ТИ от решения не профильных задач.

[konst37]

Микротик будет пропускать трафик через себя и освободит ТИ от решения не профильных задач.

А какой тогда смысл в приоритезации трафика на микротике, если он попадет далее на TI и тот с ним поступит на свое усмотрение? И на выходе с микротика получим трафик преобразованный NATом c адресом назначения = WAN микротика? Или не пропускать через NAT микротика?

[Saab95]

А какой тогда смысл в приоритезации трафика на микротике, если он попадет далее на TI и тот с ним поступит на свое усмотрение? И на выходе с микротика получим трафик преобразованный NATом c адресом назначения = WAN микротика? Или не пропускать через NAT микротика?

 

Когда давным давно работал с ТИ, то перед ним стоял микротик, а нат делал ТИ, потому что иначе он тогда не мог вести учет трафика и отключать клиентов. Такая схема была намного более эффективная, чем пускать клиентов напрямую в ТИ, т.к. весь мусор оставался на микротике и на ТИ ничего лишнего не летело. Собственно когда микротика не было, ТИ зависал примерно раз в неделю=)

[konst37]

Когда давным давно работал с ТИ, то перед ним стоял микротик, а нат делал ТИ, потому что иначе он тогда не мог вести учет трафика и отключать клиентов. Такая схема была намного более эффективная, чем пускать клиентов напрямую в ТИ, т.к. весь мусор оставался на микротике и на ТИ ничего лишнего не летело. Собственно когда микротика не было, ТИ зависал примерно раз в неделю=)

Точно моя ситуация, особенно с подвисающим ТИ. :)

Определились с тем, что ставлю микротик перед ТИ. Теперь буду мучить наводящими вопросами :).

Как лучше авторизировать пользователей на микротике чтоб настроить приоритезацию трафика?

[Saab95]

Если у вас клиенты по радио в виде наносов/микротиков, то самое удобное это PPPoE.

 

Приоритезацию трафика вы конечно можете попробовать сделать, но надо будет указать скорость процентов на 15 меньше, чем скорость входящего канала.

[konst37]

Если у вас клиенты по радио в виде наносов/микротиков, то самое удобное это PPPoE.

 

Создал на интерфейсе ether8_VPN PPPoE сервер. Клиент подключается. Но до ТИ пинг не догодит.

Вот интерфейсы микротика

0   192.168.1.33/32    192.168.1.0     ether9_test                            
1   192.168.10.1/32    192.168.10.0    ether8_VPN                             
2 D 192.168.1.33/32    192.168.1.101   <pppoe-test> 

ether9_test - интерфейс для подключения к ТИ. Пользователи 192.168.1.33 и 192.168.1.101 есть в ТИ, но подключения не видит.

Вот маршруты

0 A S  0.0.0.0/0                          ether9_test               1
1 ADC  192.168.1.0/32     192.168.1.33    ether9_test               0
2 ADC  192.168.1.101/32   192.168.1.33    <pppoe-test>              0
3 ADC  192.168.10.0/32    192.168.10.1    ether8_VPN                0

Думаю, к ТИ должны приходить пакеты от 192.168.1.101 чтоб можно было управлять подключением?

[Saab95]

Вам надо на ТИ включить службу маршрутизация и удаленный доступ если он на винде 2003 сервер (или аналогичной) а на XP например прописать статические постоянные маршруты в сторону микротика, иначе трафик и не пойдет.

 

То есть надо на ТИ прописать адрес 192.168.0.1, на микротике на порту, подключенному в сторону ТИ адрес 192.168.0.2. На винде указываете маршрут на 192.168.0.0/16 на адрес 192.168.0.2, а на микротике маршрут 0.0.0.0/0 на адрес 192.168.0.1.

 

Соответственно ТИ будет отправлять запросы на всю сеть 192.168.0.0/16 на микротик и вы можете использовать ее для клиентской адресации и адресации оборудования.

[konst37]

Сейчас работает схема, как на РИС1. Хочется перейти на схему, как на РИС2, чтоб ТИ мог управлять пользователями, подключившимися по PPPоE.

Edited May 3, 2014 by konst37