Jump to content
Калькуляторы

951G-2HnD возможности... Количество клиентов пппое

Подскажите пожалуйста - сколько в реале может примерно потянуть клиентов пппое этот девайс (проц+память - насколько хватит), при следующих условиях: Тарифы в основном 4 мбита, где-то 20% пользователей качают торренты - остальные 80% в основном видео онлайн смотрят ну и так серфят - соц.сети+приложения (музыка)?

 

И еще вот вопрос созрел: каким образом можно закрыть доступ на пппое по вебу? Например у меня сейчас стоит адрес пппое сервера - мне требуется чтобы клиенту была недоступна вообще веб-морда - а траффик инета при этом поступал? Решение сейчас есть конечно - если запаролена веб-морда, а нужно чтобы вообще ничего не выходило клиенту при его попытке ввести адрес сервера - но мне нужно самому заходить по веб - может можно даже прописать мой адрес для захода, а остальным всем забор... Вот пока не дошел до этого - как так сделать?

Edited by Catzzz

Share this post


Link to post
Share on other sites

Устройство этого класса по PPPoE тянет около 150-200 мегабит без ограничения скорости и ната. Соответственно если он делает НАТ, ограничивает скорость, то можно рассчитывать мегабит на 100, но так же и от пакетной нагрузки зависит. Как один из вариантов увеличения скорости - использование PCQ и ограничения скорости путем маркировки пакетов, сможете увеличить процентов на 20-30 производительность. Если же вынесете НАТ на отдельное устройство, получите еще 50 процентов сверху, т.к. connection tracking, который нужен для работы НАТ, отъедает много производительности.

Share this post


Link to post
Share on other sites

И еще вот вопрос созрел: каким образом можно закрыть доступ на пппое по вебу? Например у меня сейчас стоит адрес пппое сервера - мне требуется чтобы клиенту была недоступна вообще веб-морда - а траффик инета при этом поступал? Решение сейчас есть конечно - если запаролена веб-морда, а нужно чтобы вообще ничего не выходило клиенту при его попытке ввести адрес сервера - но мне нужно самому заходить по веб - может можно даже прописать мой адрес для захода, а остальным всем забор... Вот пока не дошел до этого - как так сделать?

Настраивал вот по этому мануалу - http://www.lanmart.ru/blogs/how-to-become-isp/

Edited by Catzzz

Share this post


Link to post
Share on other sites

Ip - services - www там прописываете свой ip для управления (эвейлибэл фром)

Edited by igoryan

Share this post


Link to post
Share on other sites

Спасибо! А остальным будет доступ при этом? Или пропускать будет только меня? Сейчас доступно всем - пока испытываю все на себе - доведу до ума - буду ставить в реальную сеть. Сейчас немного пользователей 30. Планируется 60-70 - хватит ли его для шейпинга? Ресурсы ограничивать не планируется. Канал 100 мбит пока - далее 200 будет - но далее и аппарат по серьезнее поставим.

Edited by Catzzz

Share this post


Link to post
Share on other sites

Если там укажете свой ip, то доступ будет только у вас

Share this post


Link to post
Share on other sites

Сааб подскажи как сделать привязку по IP или MAC - это заместо авторизации пппое - допустим хочу сделать сейчас так: клиентские убнт - они на статике все у нас - вот я и хочу их на микротике прописать и применить к ним ограничение трафика (шейпер) - и чтобы они при этом были изолированы друг от друга (между собой небыло у них всех сети) - но инет при этом раздавался в соответствии с профилями тарифными. Просто сейчас если пппое сделать - во-первых это и ресурсов сейчас скушает больше думаю, да и всех объезжать надо, чтобы роутеры перенастроить на пппое.

Share this post


Link to post
Share on other sites

Сааб подскажи как сделать привязку по IP или MAC - это заместо авторизации пппое - допустим хочу сделать сейчас так: клиентские убнт - они на статике все у нас - вот я и хочу их на микротике прописать и применить к ним ограничение трафика (шейпер) - и чтобы они при этом были изолированы друг от друга (между собой небыло у них всех сети) - но инет при этом раздавался в соответствии с профилями тарифными. Просто сейчас если пппое сделать - во-первых это и ресурсов сейчас скушает больше думаю, да и всех объезжать надо, чтобы роутеры перенастроить на пппое.

 

Получается сейчас все абоненты получают адреса автоматически в общей сети где нет управляемого оборудования? Перенастройте все точки убнт в режим роутера удаленно и укажите вручную IP адрес каждой, такая схема тоже рабочая, только придется вести учет адресов, что бы случайно не установили одинаковые или, когда клиенты подключаются и отключаются, не оставалось много не использованных адресов.

Share this post


Link to post
Share on other sites

Все на статике. Клиентские убнт настроены в роутер - т. е. адрес WLAN статика - а дальше роутер-режим и своя подсеть - они все за натом - поэтому сейчас нет между ними сети общей (что замечательно!) - управляет всеми абонами ТИ в режиме авторизации по IP. Хотел просто вместо ТИ Микротик поставить и также управлять ими по IP - шейпер, статистика и другие огранки... Но сейчас додумался уже сделать так, на микротике сделаю пппое с учетками и тарифами - а для того, чтобы не ездить по всем - я логины и пароли удаленно введу на самих УБНТ по части роутера, а изначально хотел на оконечном оборудовании - т. е. тп-линках, которые дома стоят - хотел туда учетки прописать - но пойдет и на сами убнт. Просто вопрос сейчас остается по нагрузке - что данная модель может показать? Ну, будем смотреть (и мониторить сидеть микротик) по реальным условиям - оценим. Далее мощнее возьмем если не хватит.

Share this post


Link to post
Share on other sites

PPPoE нужно забивать на радио точках, которые стоят у абонентов на домах. Если в доме подключено несколько разных абонентов, тогда переводите убнт в режим бриджа, что бы он данные от абонентов запаковывал во влан, который выдаст в беспроводную сеть, соответственно у себя на микротике создадите такой же влан и в нем PPPoE сервер, что бы эти абоненты не рассылали мусор в сеть, ведь убнт не умеет фильтровать трафик на своих портах.

Share this post


Link to post
Share on other sites

Сааб или еще знающие по микротику - подскажите такой момент: вот если я подниму сейчас пппое - будут ли клиенты пппое после подключения по секретам видеть друг друга в сети? Если да - то как их друг от друга изолировать? Схема такая: база (адрес ..12) - - - клиентская убнт (адрес в этой же подсети 13 по Wlan. включен режим роутер с другой подсетью) --- тп-линк дома в режиме WAN статика (настроен в подсеть убнт-роутера) --- дхсп тп-линк на клиентские устройства. Вопрос: когда они соединятся с пппое микротика - изолирует ли он их друг от друга? Ведь если он их изолирует - то и мусора не будет в сети... А если нет - то как тогда это реализовать в микротике?

Share this post


Link to post
Share on other sites

Вам нужно зайти на каждую точку, переключить в режим клиента PPPoE, а по кабелю раздать серую сеть, при этом оборудование клиента должно получать адреса автоматически.

 

Далее они у вас в центре появятся под адресами, что вы им выдали и смогут общаться между собой, но сетевого мусора уже не будет, только полезные данные. Если хотите и их изолировать, просто создаете правило, которое запрещает передачу данных внутри сети. Например если адреса 192.168.0.0/16, то указываете src.address=192.168.0.0/16, dst.address=!192.168.0.0/16 и действие дроп.

Share this post


Link to post
Share on other sites

Сааб спасибо! Именно так и сделал уже все! Расчитал маску в онлайн-калькуляторе.

Edited by Catzzz

Share this post


Link to post
Share on other sites

Сааб спасибо! Именно так и сделал уже все! Расчитал маску в онлайн-калькуляторе.

 

Если у вас сеть будет расширяться, лучше всего разделить сеть абонентов и оборудования далеко, что бы фильтровать только данные абонентов и не трогать оборудование.

Share this post


Link to post
Share on other sites

А у нас сейчас и так далеко все - 1. Нат на микротике. 2. Нат на клиентской убнт (своя подсеть). 3. Нат на самом тп-линке у абона (тоже своя подсеть). Но ничего не тупит, пинги идеальные - единственное еще возможны проблемы при пробросах портов. А сейчас головняк пока следующий: после микротика стоят 3 сектора (2 активны из них) - проблема в том, что не могу из пппое достучаться до самиз баз, до клиентов без проблем (убнт клиентские) - т. к. микротик им адреса раздает - пппое сервер назначает - локалка без адресная - не стал делать на локалку дхсп или статику. Единственное, что без пппое подключения не достучаться до клиентских убнт и на базах они теперь ункновны - ну это ничего все, я их с микротика достану, а вот что пока делать с доступом на базы - не пойму, + еще требует как то промаршрутить видеонаблюдение на одного абона (оно через базу проходит) - также требуется урезать это наблюдение чтобы канал не хавало - выделить 5-6 мбит и все. Идей много как и что - но микротик это не то устройство, чтобы тыкать сидеть методом тыка - так можно и месяцы просидеть с ним - при этом косяча на уже работающую сеть.

Edited by Catzzz

Share this post


Link to post
Share on other sites

сааб тут проблемка небольшая есть... Как удобнее должников отключать? Я просто секрет отрубаю юзера - и выкидываю из активных подключений - - - но прикол в том, что в логах он потом постоянно долбится на сервер с авторизацией - из-за этого как я думаю инет тупить начинает у пользователей - инет то работает но с затыками секунд по 10. Минут 10 работает может и чуть больше и затык, и снова поехал на минут 10-15... Наблюдается это при долблении отключенного клиента - как его вообще попытки блокировать? Неужели удалять его полностью а при оплате создавать? Всяко уже пробовал - в логах одна краснота из-за него.

Share this post


Link to post
Share on other sites

сааб тут проблемка небольшая есть... Как удобнее должников отключать? Я просто секрет отрубаю юзера - и выкидываю из активных подключений - - - но прикол в том, что в логах он потом постоянно долбится на сервер с авторизацией - из-за этого как я думаю инет тупить начинает у пользователей - инет то работает но с затыками секунд по 10. Минут 10 работает может и чуть больше и затык, и снова поехал на минут 10-15... Наблюдается это при долблении отключенного клиента - как его вообще попытки блокировать? Неужели удалять его полностью а при оплате создавать? Всяко уже пробовал - в логах одна краснота из-за него.

При нескольких неудачных попытках авторизации, добавлять в адрес лист и блокировать.

Share this post


Link to post
Share on other sites

Как это реализовать - просто я с МТ только 3 дня назад познакомился - сильно не пинайте. Он тупо - его убнт долбится постоянно на микротик в сервер-пппое - т. е. у меня настроен сервер и он же раздает адрес при подключении - т. е. по идее сейчас клиент-убнт вообще адреса не получает, а получает он его от самой убнт по умолчанию фаллбек т. к. учетка блокирована в микротике - но это не мешает ему долбиться в пппое с попытками авторизации и адресом убнт-фаллбек. До этого на ТИ сидели - но там с НДИС гемор задолбал уже - да утечки памяти.

Edited by Catzzz

Share this post


Link to post
Share on other sites

Как это реализовать - просто я с МТ только 3 дня назад познакомился - сильно не пинайте. Он тупо - его убнт долбится постоянно на микротик в сервер-пппое - т. е. у меня настроен сервер и он же раздает адрес при подключении - т. е. по идее сейчас клиент-убнт вообще адреса не получает, а получает он его от самой убнт по умолчанию фаллбек т. к. учетка блокирована в микротике - но это не мешает ему долбиться в пппое с попытками авторизации и адресом убнт-фаллбек. До этого на ТИ сидели - но там с НДИС гемор задолбал уже - да утечки памяти.

wiki.mikrotik.com, изучайте.

Share this post


Link to post
Share on other sites

Чтобы вникнуть в это надо время - его нет сейчас - это сейчас физически невозможно быстро - для того и форумы чтобы делиться опытом в более простой форме и сразу по делу... А умников таких как вы, которые носом в вики тыкают - видали уже с три короба. Жеванул бы по делу что лучше. Но вижу уже - что логика вас не покидала судя из поста.

Share this post


Link to post
Share on other sites

Чтобы вникнуть в это надо время - его нет сейчас - это сейчас физически невозможно быстро - для того и форумы чтобы делиться опытом в более простой форме и сразу по делу... А умников таких как вы, которые носом в вики тыкают - видали уже с три короба. Жеванул бы по делу что лучше. Но вижу уже - что логика вас не покидала судя из поста.

Да вы батенька хам (с)

 

Нет времени вникать, платите. Выше есть форум работа, предложений по настройке микротиков за деньги там достаточно.

Share this post


Link to post
Share on other sites

Ясно все с тобой. Микротик через пару месяцев (а то и раньше) - настрою еще быстрее и грамотнее чем ты. Речь идет о паре-тройке строчек написанного - дальше уже догоню... Мне нужно знать куда копать сейчас. А Вы меня на вики - в тьму... То, что там есть ответы на все мои вопросы и более того - это мне известно и без Вас. Другое дело, что здесь мне могут помочь гораздо быстрее - и указать верное направление в решении проблемы сразу, а с вики - это произойдет тоже, но гораздо позже... Да и изучать весь вопрос сейчас излишне - т. к. мой интерес сейчас узок исходя из требований настройки - зачем сейчас забивать голову и так забитую другими областями.

Edited by Catzzz

Share this post


Link to post
Share on other sites

saab в логах вот что постоянно с рандомными пользователями: peer is not responding и pppoe connection established from отваливаются пользователи и реконнект - минут через 10 или более снова также все повторяется.

Share this post


Link to post
Share on other sites

Нужно создать адрес лист в который помещать должников, для них правило фильтра, которое блокирует доступ. При этом соединение есть, а интернета нет. Можно даже на страничку переадресовывать что нет денег.

 

/ip firewall address-list
add address=10.10.10.10 list=balance_negative
/ip firewall filter
add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=balance_negative
/ip firewall nat
add action=redirect chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp src-address-list=balance_negative to-ports=8123
/ip proxy
set enabled=yes port=8123
/ip proxy access
add action=deny redirect-to=192.168.0.2

 

Соответственно здесь подсеть 192.168.0.0/16 используется для внутренней адресации, при запросы на нее ничего не будет блокироваться.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this