xphoenix Posted September 30, 2014 (edited) · Report post Здравствуйте, имеем сеть на микротиках и убиках далеко до 500 юзеров, в основном всё беспроводка. Авторизация по PPPoE (либо на СПЕ, либо на клиентских компах\роутерах если СПЕ в режиме моста), сейчас используем микротиковский UserManager, к деревянному web интерфейсу уже привыкли, и всё вроде бы устраивает за исключением моментов когда некоторые базы отваливаются и после реконнекта неправильно считывают статус пользователей с UM и соответственно не авторизуют их (помогает только перезагрузка), кроме того сам UM иногда тупит и приходится очищать логи, сессии и т.д. Хотим попробовать переход на mikrobill, юзаем пробную версию и сразу возникает много вопросов: 1) нам нравится идея вносить информацию о клиентах, тарифах, ограничениях в сам роутерОС, что позволяет им работать даже когда mikrobill недоступен (решаем проблему бывшего UserManagera), однако данный момент немного спорный - насколько может быть проблемным загрузка этой "лишней инфы" о всех пользователях во все базы, заливка адресс листов и т.д? 2) каков будет размер базы sql которая будет хранить инфу и пользователях, логи, трафик и т.д. скажем о 500 юзерах в течении 2-3х месяцев? 3) можно ли сделать бурсты только на входящий канал? (демку пощупали, пока не вкурили как это сделать) 4) как быть с личным кабинетом, в данный момент для удобства на СПЕ стоят логины и пароли идентичные клиентскому пппое, разумеется они не даются абонентам во избежании попадания на СПЕ. Отсюда вопрос, можно ли использовать разные пароли для пппое и личного кабинета? 5) основной момент. не являясь полномасштабным провайдеров имеем такую ситуацию что все базы расположены территориально в разных городах и аплинки от разных провайдеров, отсюда вытекающие последствия - все базы имеют pptp тунель до центрального роутера (с выделенным айпи) для управления и получают 192.168.80.x, раньше использовали статику для всех клиентских учеток, с установкой UM на каждой базе сделали профиль в котором задали пул 88.20-88.200, а ограничения идут с UM через simple queue, работает удовлетворительно. Но как быть теперь при переходе на микробилл? Ведь для доступа на заглушку и личный кабинет юзерам необходим прямой доступ к серверу? А в инет ходить они должны через те каналы которые есть на базах. Хочется услышать развернутые отзывы тех кто юзает данный, хоть и не совсем полноценный, билинг Edited September 30, 2014 by xphoenix Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 30, 2014 · Report post 1) нам нравится идея вносить информацию о клиентах, тарифах, ограничениях в сам роутерОС, что позволяет им работать даже когда mikrobill недоступен (решаем проблему бывшего UserManagera), однако данный момент немного спорный - насколько может быть проблемным загрузка этой "лишней инфы" о всех пользователях во все базы, заливка адресс листов и т.д? Микротику от такой нагрузки ничего не будет, естественно в адрес листы должны попадать только должники. 4) как быть с личным кабинетом, в данный момент для удобства на СПЕ стоят логины и пароли идентичные клиентскому пппое, разумеется они не даются абонентам во избежании попадания на СПЕ. Отсюда вопрос, можно ли использовать разные пароли для пппое и личного кабинета? Установите на всех устройствах пароль, отличный от абонентского, а в личный кабинет пускайте без пароля. Т.к. вас клиенты замучают звонками с напоминаниями. 5) основной момент. не являясь полномасштабным провайдеров имеем такую ситуацию что все базы расположены территориально в разных городах и аплинки от разных провайдеров, отсюда вытекающие последствия - все базы имеют pptp тунель до центрального роутера (с выделенным айпи) для управления и получают 192.168.80.x, раньше использовали статику для всех клиентских учеток, с установкой UM на каждой базе сделали профиль в котором задали пул 88.20-88.200, а ограничения идут с UM через simple queue, работает удовлетворительно. Но как быть теперь при переходе на микробилл? Ведь для доступа на заглушку и личный кабинет юзерам необходим прямой доступ к серверу? А в инет ходить они должны через те каналы которые есть на базах. Хочется услышать развернутые отзывы тех кто юзает данный, хоть и не совсем полноценный, билинг Включите OSPF между вашими устройствами, при этом анонсируйте адрес биллинга во всю сеть, на каждой базе/сервере включите перенаправление и всего делов. Соответственно по туннелям в центр побежит статистика трафика, запросы в личный кабинет и на заглушку. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xphoenix Posted September 30, 2014 · Report post Установите на всех устройствах пароль, отличный от абонентского, а в личный кабинет пускайте без пароля. Не хотелось бы делать единый пароль на все клиентские устройства и давать их монтажникам и настройщикам.. имеется ввиду "авто вход если IP адрес совпадает с адресом в профиле"? половина же роутерами сейчас сидят, будет работать? По поводу OSFP, что оно даст? все базы ведь и так в одной подсети (хотя в данный момент базы не пингуют сервер mikrobilla). Перенаправление с определнных портов базы (в случае c mikrobill 81 по умолчанию) на серв? Заглушку хотим поместить на фтп центрального роутера, личный кабинет туда не воткнуть, но он особо и не нужен, главное заглушку. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
laplundik Posted September 30, 2014 · Report post личный кабинет сделать на сервере с биллингом, повесить туда домен. и пусть люди ходят в лк, в билле поставить этот домен для доступа при минусовом балансе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 30, 2014 · Report post Не хотелось бы делать единый пароль на все клиентские устройства и давать их монтажникам и настройщикам.. Ставьте технический пароль, а после установки меняйте его самостоятельно. Тогда никто реальный пароль не утащит. И вообще не понятно, зачем этот пароль кому-то знать, кроме админа? имеется ввиду "авто вход если IP адрес совпадает с адресом в профиле"? половина же роутерами сейчас сидят, будет работать? Да, тогда при уходе в минус, достаточно на страничке заглушке указать ссылку на кабинет, и клиенты легко в него зайдут и возьмут обещанный платеж. Когда средства есть, они так же легко смогут зайти в кабинет проверить состояние счета. При этом не важно как подключены абоненты, нужен только адрес. По поводу OSFP, что оно даст? все базы ведь и так в одной подсети (хотя в данный момент базы не пингуют сервер mikrobilla). Перенаправление с определнных портов базы (в случае c mikrobill 81 по умолчанию) на серв? Заглушку хотим поместить на фтп центрального роутера, личный кабинет туда не воткнуть, но он особо и не нужен, главное заглушку. Он даст то, что все узнают кто где расположен. При этом требуется правильно настроить НАТ - только по отношению адресов клиентов в сторону не локальных адресов. В таком случае никакое перенаправление не требуется. Соответственно все другие решения будут не правильные. /ip firewall address-list add address=192.168.23.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=balance_negative /ip firewall nat add action=redirect chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp src-address-list=balance_negative to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny redirect-to=192.168.0.10 Соответственно все должники будут перенаправлены на указанный адрес 192.168.0.10, биллинг должен рассылать по устройствам правила в файрвол - то есть добавлять адрес абонента в адрес лист balance_negative. При этом интернет окажется у них заблокированным. Если все заплатили, то на роутере не должно быть никаких блокировок, а то обычно любят делать так - сначала все блокируют, а после разрешают доступ тем адресам, у которых в биллинге деньги есть. При этом в файрволе куча правил, которые тормозят работу. Абоненты же по PPPoE подключаются, следовательно никто кроме тех, кто заведен в учетках, доступ не получат. Есть так же очень важное и основное правило - страницу заглушку нельзя размещать на биллинге, т.к. в случае запуска какого-нито торрента, либо различных приложений и т.п., на нее постоянно будут долбиться должники, что может приводить к переполнению памяти веб сервера и зависаниям с перезагрузками, следует для этой цели выделять отдельный компьютер. В таком случае в ЛК будут переходы только у тех, кто вручную на ссылку нажмет. При этом страничка должна быть именно на HTTP, а не на FTP, т.к. зависания FTP сервера тоже ни к чему. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xphoenix Posted October 3, 2014 · Report post Возможно ли страничку заглушки разместить на одном из микротиков?(можно даже отдельный поставить для этого, бюджетный, 951 должно хватить) трафика как я понимаю на него будет немного, только пакеты от должников будут ломиться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 3, 2014 · Report post Возможно ли страничку заглушки разместить на одном из микротиков?(можно даже отдельный поставить для этого, бюджетный, 951 должно хватить) трафика как я понимаю на него будет немного, только пакеты от должников будут ломиться. Если настроить на нем хотспот, после заменить стандартную страничку - должно заработать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uraso Posted October 6, 2014 · Report post Я использую этот биллинг....Правда, не на 500 пользователей а до 100... В принципе устраивает .... Так что можете ставить микробил без сомнений . С управлением микробилла одним микротиком проблем нет. А вот как управлять, допустим, двумя микротиками, что б соблюдалось условие перенаправления на страницу-заглушку с обоих микротиков, пока не полностью разобрался. Надо ведь чтоб локальные подсети микротков были разными... Допустим на Мт1 подсеть 192.168.0.0/24 а на Мт2 подсеть 192.168.1.0/24 . Ип адресс микробилла 192.168.0.10, и пользователи этого микротика будут попадать на страницу заглушку без проблем. А вот Мт2 с подсетью 192.168.1.0/24 ????? Вот случайно попал на вашу страничку и прочитал некоторые советы . Но как их реализовать пока не все понятно.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Xaser Posted October 7, 2014 · Report post Я использую этот биллинг....Правда, не на 500 пользователей а до 100... В принципе устраивает .... Так что можете ставить микробил без сомнений . С управлением микробилла одним микротиком проблем нет. А вот как управлять, допустим, двумя микротиками, что б соблюдалось условие перенаправления на страницу-заглушку с обоих микротиков, пока не полностью разобрался. Надо ведь чтоб локальные подсети микротков были разными... Допустим на Мт1 подсеть 192.168.0.0/24 а на Мт2 подсеть 192.168.1.0/24 . Ип адресс микробилла 192.168.0.10, и пользователи этого микротика будут попадать на страницу заглушку без проблем. А вот Мт2 с подсетью 192.168.1.0/24 ????? Вот случайно попал на вашу страничку и прочитал некоторые советы . Но как их реализовать пока не все понятно.... Тоже пользуюсь микробилом, сделал вот так есть три микротика: 192.168.2.1 , 192.168.2.2 , 192.168.2.3 , адрес билинга 192.168.2.254 в самом билинге когда создаем клиента выбираем на каком интерфейсе его создать, следовательно выбираем нужный и вслучаи отключения клиента он будет попадать на тот микротик к которому был изначально привязан Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uraso Posted October 12, 2014 · Report post Если у Вас более 30 абонентов mikrotik перестает нормально справляться со стандартным фильтром пакетов (в моем случае CCR1016). Начинает тупить инет и т.д. Решение: Mikrotik -> Simple Queues -> Queue Types Выбираем: тип очереди "Default-small" параметр "kind" изменяем на "sfq". Параметр вместо стандартных 5 ставим 60 секунд. Это дает нам возможность подключения до 5.000 абонентов без потери качества. Вот нашел в интернете совет... Может кто то прокоментировать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted October 12, 2014 · Report post Man sfq. Параметр вместо стандартных 5 ставим 60 секунд. Имхо многовато, хотя сам не тестил на минуте, стоит 10. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...