Catzzz Опубликовано 5 сентября, 2014 (изменено) · Жалоба Подскажите пожалуйста - сколько в реале может примерно потянуть клиентов пппое этот девайс (проц+память - насколько хватит), при следующих условиях: Тарифы в основном 4 мбита, где-то 20% пользователей качают торренты - остальные 80% в основном видео онлайн смотрят ну и так серфят - соц.сети+приложения (музыка)? И еще вот вопрос созрел: каким образом можно закрыть доступ на пппое по вебу? Например у меня сейчас стоит адрес пппое сервера - мне требуется чтобы клиенту была недоступна вообще веб-морда - а траффик инета при этом поступал? Решение сейчас есть конечно - если запаролена веб-морда, а нужно чтобы вообще ничего не выходило клиенту при его попытке ввести адрес сервера - но мне нужно самому заходить по веб - может можно даже прописать мой адрес для захода, а остальным всем забор... Вот пока не дошел до этого - как так сделать? Изменено 5 сентября, 2014 пользователем Catzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 сентября, 2014 · Жалоба Устройство этого класса по PPPoE тянет около 150-200 мегабит без ограничения скорости и ната. Соответственно если он делает НАТ, ограничивает скорость, то можно рассчитывать мегабит на 100, но так же и от пакетной нагрузки зависит. Как один из вариантов увеличения скорости - использование PCQ и ограничения скорости путем маркировки пакетов, сможете увеличить процентов на 20-30 производительность. Если же вынесете НАТ на отдельное устройство, получите еще 50 процентов сверху, т.к. connection tracking, который нужен для работы НАТ, отъедает много производительности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 5 сентября, 2014 (изменено) · Жалоба И еще вот вопрос созрел: каким образом можно закрыть доступ на пппое по вебу? Например у меня сейчас стоит адрес пппое сервера - мне требуется чтобы клиенту была недоступна вообще веб-морда - а траффик инета при этом поступал? Решение сейчас есть конечно - если запаролена веб-морда, а нужно чтобы вообще ничего не выходило клиенту при его попытке ввести адрес сервера - но мне нужно самому заходить по веб - может можно даже прописать мой адрес для захода, а остальным всем забор... Вот пока не дошел до этого - как так сделать? Настраивал вот по этому мануалу - http://www.lanmart.ru/blogs/how-to-become-isp/ Изменено 5 сентября, 2014 пользователем Catzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
igoryan Опубликовано 5 сентября, 2014 (изменено) · Жалоба Ip - services - www там прописываете свой ip для управления (эвейлибэл фром) Изменено 5 сентября, 2014 пользователем igoryan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 5 сентября, 2014 (изменено) · Жалоба Спасибо! А остальным будет доступ при этом? Или пропускать будет только меня? Сейчас доступно всем - пока испытываю все на себе - доведу до ума - буду ставить в реальную сеть. Сейчас немного пользователей 30. Планируется 60-70 - хватит ли его для шейпинга? Ресурсы ограничивать не планируется. Канал 100 мбит пока - далее 200 будет - но далее и аппарат по серьезнее поставим. Изменено 5 сентября, 2014 пользователем Catzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
igoryan Опубликовано 5 сентября, 2014 · Жалоба Если там укажете свой ip, то доступ будет только у вас Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 5 сентября, 2014 · Жалоба ок! Понял - спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 6 сентября, 2014 · Жалоба Сааб подскажи как сделать привязку по IP или MAC - это заместо авторизации пппое - допустим хочу сделать сейчас так: клиентские убнт - они на статике все у нас - вот я и хочу их на микротике прописать и применить к ним ограничение трафика (шейпер) - и чтобы они при этом были изолированы друг от друга (между собой небыло у них всех сети) - но инет при этом раздавался в соответствии с профилями тарифными. Просто сейчас если пппое сделать - во-первых это и ресурсов сейчас скушает больше думаю, да и всех объезжать надо, чтобы роутеры перенастроить на пппое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 6 сентября, 2014 · Жалоба Сааб подскажи как сделать привязку по IP или MAC - это заместо авторизации пппое - допустим хочу сделать сейчас так: клиентские убнт - они на статике все у нас - вот я и хочу их на микротике прописать и применить к ним ограничение трафика (шейпер) - и чтобы они при этом были изолированы друг от друга (между собой небыло у них всех сети) - но инет при этом раздавался в соответствии с профилями тарифными. Просто сейчас если пппое сделать - во-первых это и ресурсов сейчас скушает больше думаю, да и всех объезжать надо, чтобы роутеры перенастроить на пппое. Получается сейчас все абоненты получают адреса автоматически в общей сети где нет управляемого оборудования? Перенастройте все точки убнт в режим роутера удаленно и укажите вручную IP адрес каждой, такая схема тоже рабочая, только придется вести учет адресов, что бы случайно не установили одинаковые или, когда клиенты подключаются и отключаются, не оставалось много не использованных адресов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 7 сентября, 2014 · Жалоба Все на статике. Клиентские убнт настроены в роутер - т. е. адрес WLAN статика - а дальше роутер-режим и своя подсеть - они все за натом - поэтому сейчас нет между ними сети общей (что замечательно!) - управляет всеми абонами ТИ в режиме авторизации по IP. Хотел просто вместо ТИ Микротик поставить и также управлять ими по IP - шейпер, статистика и другие огранки... Но сейчас додумался уже сделать так, на микротике сделаю пппое с учетками и тарифами - а для того, чтобы не ездить по всем - я логины и пароли удаленно введу на самих УБНТ по части роутера, а изначально хотел на оконечном оборудовании - т. е. тп-линках, которые дома стоят - хотел туда учетки прописать - но пойдет и на сами убнт. Просто вопрос сейчас остается по нагрузке - что данная модель может показать? Ну, будем смотреть (и мониторить сидеть микротик) по реальным условиям - оценим. Далее мощнее возьмем если не хватит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 7 сентября, 2014 · Жалоба PPPoE нужно забивать на радио точках, которые стоят у абонентов на домах. Если в доме подключено несколько разных абонентов, тогда переводите убнт в режим бриджа, что бы он данные от абонентов запаковывал во влан, который выдаст в беспроводную сеть, соответственно у себя на микротике создадите такой же влан и в нем PPPoE сервер, что бы эти абоненты не рассылали мусор в сеть, ведь убнт не умеет фильтровать трафик на своих портах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 7 сентября, 2014 · Жалоба Сааб или еще знающие по микротику - подскажите такой момент: вот если я подниму сейчас пппое - будут ли клиенты пппое после подключения по секретам видеть друг друга в сети? Если да - то как их друг от друга изолировать? Схема такая: база (адрес ..12) - - - клиентская убнт (адрес в этой же подсети 13 по Wlan. включен режим роутер с другой подсетью) --- тп-линк дома в режиме WAN статика (настроен в подсеть убнт-роутера) --- дхсп тп-линк на клиентские устройства. Вопрос: когда они соединятся с пппое микротика - изолирует ли он их друг от друга? Ведь если он их изолирует - то и мусора не будет в сети... А если нет - то как тогда это реализовать в микротике? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 7 сентября, 2014 · Жалоба Вам нужно зайти на каждую точку, переключить в режим клиента PPPoE, а по кабелю раздать серую сеть, при этом оборудование клиента должно получать адреса автоматически. Далее они у вас в центре появятся под адресами, что вы им выдали и смогут общаться между собой, но сетевого мусора уже не будет, только полезные данные. Если хотите и их изолировать, просто создаете правило, которое запрещает передачу данных внутри сети. Например если адреса 192.168.0.0/16, то указываете src.address=192.168.0.0/16, dst.address=!192.168.0.0/16 и действие дроп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 7 сентября, 2014 (изменено) · Жалоба Сааб спасибо! Именно так и сделал уже все! Расчитал маску в онлайн-калькуляторе. Изменено 7 сентября, 2014 пользователем Catzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 сентября, 2014 · Жалоба Сааб спасибо! Именно так и сделал уже все! Расчитал маску в онлайн-калькуляторе. Если у вас сеть будет расширяться, лучше всего разделить сеть абонентов и оборудования далеко, что бы фильтровать только данные абонентов и не трогать оборудование. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 8 сентября, 2014 (изменено) · Жалоба А у нас сейчас и так далеко все - 1. Нат на микротике. 2. Нат на клиентской убнт (своя подсеть). 3. Нат на самом тп-линке у абона (тоже своя подсеть). Но ничего не тупит, пинги идеальные - единственное еще возможны проблемы при пробросах портов. А сейчас головняк пока следующий: после микротика стоят 3 сектора (2 активны из них) - проблема в том, что не могу из пппое достучаться до самиз баз, до клиентов без проблем (убнт клиентские) - т. к. микротик им адреса раздает - пппое сервер назначает - локалка без адресная - не стал делать на локалку дхсп или статику. Единственное, что без пппое подключения не достучаться до клиентских убнт и на базах они теперь ункновны - ну это ничего все, я их с микротика достану, а вот что пока делать с доступом на базы - не пойму, + еще требует как то промаршрутить видеонаблюдение на одного абона (оно через базу проходит) - также требуется урезать это наблюдение чтобы канал не хавало - выделить 5-6 мбит и все. Идей много как и что - но микротик это не то устройство, чтобы тыкать сидеть методом тыка - так можно и месяцы просидеть с ним - при этом косяча на уже работающую сеть. Изменено 8 сентября, 2014 пользователем Catzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 8 сентября, 2014 · Жалоба сааб тут проблемка небольшая есть... Как удобнее должников отключать? Я просто секрет отрубаю юзера - и выкидываю из активных подключений - - - но прикол в том, что в логах он потом постоянно долбится на сервер с авторизацией - из-за этого как я думаю инет тупить начинает у пользователей - инет то работает но с затыками секунд по 10. Минут 10 работает может и чуть больше и затык, и снова поехал на минут 10-15... Наблюдается это при долблении отключенного клиента - как его вообще попытки блокировать? Неужели удалять его полностью а при оплате создавать? Всяко уже пробовал - в логах одна краснота из-за него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 8 сентября, 2014 · Жалоба сааб тут проблемка небольшая есть... Как удобнее должников отключать? Я просто секрет отрубаю юзера - и выкидываю из активных подключений - - - но прикол в том, что в логах он потом постоянно долбится на сервер с авторизацией - из-за этого как я думаю инет тупить начинает у пользователей - инет то работает но с затыками секунд по 10. Минут 10 работает может и чуть больше и затык, и снова поехал на минут 10-15... Наблюдается это при долблении отключенного клиента - как его вообще попытки блокировать? Неужели удалять его полностью а при оплате создавать? Всяко уже пробовал - в логах одна краснота из-за него. При нескольких неудачных попытках авторизации, добавлять в адрес лист и блокировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 8 сентября, 2014 (изменено) · Жалоба Как это реализовать - просто я с МТ только 3 дня назад познакомился - сильно не пинайте. Он тупо - его убнт долбится постоянно на микротик в сервер-пппое - т. е. у меня настроен сервер и он же раздает адрес при подключении - т. е. по идее сейчас клиент-убнт вообще адреса не получает, а получает он его от самой убнт по умолчанию фаллбек т. к. учетка блокирована в микротике - но это не мешает ему долбиться в пппое с попытками авторизации и адресом убнт-фаллбек. До этого на ТИ сидели - но там с НДИС гемор задолбал уже - да утечки памяти. Изменено 8 сентября, 2014 пользователем Catzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 8 сентября, 2014 · Жалоба Как это реализовать - просто я с МТ только 3 дня назад познакомился - сильно не пинайте. Он тупо - его убнт долбится постоянно на микротик в сервер-пппое - т. е. у меня настроен сервер и он же раздает адрес при подключении - т. е. по идее сейчас клиент-убнт вообще адреса не получает, а получает он его от самой убнт по умолчанию фаллбек т. к. учетка блокирована в микротике - но это не мешает ему долбиться в пппое с попытками авторизации и адресом убнт-фаллбек. До этого на ТИ сидели - но там с НДИС гемор задолбал уже - да утечки памяти. wiki.mikrotik.com, изучайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 8 сентября, 2014 · Жалоба Чтобы вникнуть в это надо время - его нет сейчас - это сейчас физически невозможно быстро - для того и форумы чтобы делиться опытом в более простой форме и сразу по делу... А умников таких как вы, которые носом в вики тыкают - видали уже с три короба. Жеванул бы по делу что лучше. Но вижу уже - что логика вас не покидала судя из поста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 8 сентября, 2014 · Жалоба Чтобы вникнуть в это надо время - его нет сейчас - это сейчас физически невозможно быстро - для того и форумы чтобы делиться опытом в более простой форме и сразу по делу... А умников таких как вы, которые носом в вики тыкают - видали уже с три короба. Жеванул бы по делу что лучше. Но вижу уже - что логика вас не покидала судя из поста. Да вы батенька хам (с) Нет времени вникать, платите. Выше есть форум работа, предложений по настройке микротиков за деньги там достаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 8 сентября, 2014 (изменено) · Жалоба Ясно все с тобой. Микротик через пару месяцев (а то и раньше) - настрою еще быстрее и грамотнее чем ты. Речь идет о паре-тройке строчек написанного - дальше уже догоню... Мне нужно знать куда копать сейчас. А Вы меня на вики - в тьму... То, что там есть ответы на все мои вопросы и более того - это мне известно и без Вас. Другое дело, что здесь мне могут помочь гораздо быстрее - и указать верное направление в решении проблемы сразу, а с вики - это произойдет тоже, но гораздо позже... Да и изучать весь вопрос сейчас излишне - т. к. мой интерес сейчас узок исходя из требований настройки - зачем сейчас забивать голову и так забитую другими областями. Изменено 8 сентября, 2014 пользователем Catzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Catzzz Опубликовано 8 сентября, 2014 · Жалоба saab в логах вот что постоянно с рандомными пользователями: peer is not responding и pppoe connection established from отваливаются пользователи и реконнект - минут через 10 или более снова также все повторяется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 сентября, 2014 · Жалоба Нужно создать адрес лист в который помещать должников, для них правило фильтра, которое блокирует доступ. При этом соединение есть, а интернета нет. Можно даже на страничку переадресовывать что нет денег. /ip firewall address-list add address=10.10.10.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=balance_negative /ip firewall nat add action=redirect chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp src-address-list=balance_negative to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny redirect-to=192.168.0.2 Соответственно здесь подсеть 192.168.0.0/16 используется для внутренней адресации, при запросы на нее ничего не будет блокироваться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...