[ Nostromo @ 28.12.2006. 12:20 ] @
|
| Prvo da kazem da sam procitao neke postove koji bi se mogli odnositi na moj problem
ali nisam uspeo ni jedan da nadjem u kojem bi pisalo bar nesto priblizno. Takodje sam trazio
i u prirucniku ali nisam uspeo da se snadjem ni tamo, vezano za problem koji cu izneti.
Koristim MK 2.9.27.
Konfiguracija bi trebalo ovako da izgleda:
LANusers-->(LANinterface)MIKROTIK(WANinterface bez IP broja)-->neka druga LAN mreza-->ISP
Prakticno ono sto meni treba jeste da korisnici iza mikrotika mogu da se konektuju na ISP preko pppoe
protokola i to svaki ponaosob sa svojim nalogom. Razlog zbog cega WAN interfejs nema IP adresu je taj
sto moj mikrotik ne treba da se vidi na ovoj drugoj mrezi. Ja sam ovo vec probao ali sa NAT translacijom
za lokalne masine iza mikrotika ali to nije radilo iz prostog razloga jer WAN interfejs nije imao IP adresu.
U sustini Masine sa jedne i druge mreze ne bi trebalo da se vide.
Pojednostavljeno, Mikrotik bi predstavljao zid izmedju ove dve mreze kroz koji bi prolazio iskljucivo pppoe do ISP.
Da li Mikrotik uopste podrzava pppoe-relay?
Da li je ovakvo nesto i na ovakav nacin moguce izvesti i ako nije koja druga opcija omogucava to?
Da li bi ovakvo nesto funkcionisalo u slucaju da WAN interfejs ima IP adresu i pri tome se koristi NAT?
|
[ broker @ 28.12.2006. 12:31 ] @
pppoe ne radi kroz rutere. Jedino sto mozes da probas to je da na tom MT-u podesis pppoe server i namestis ga da se kaci na radius provadjera.
Ako ppoe nije uslov onda probaj sa pptp, on radi kroz rutirane mreze.
[ sdurut @ 28.12.2006. 20:32 ] @
mozda bridge mod dva interfejsa pomogne
[ sheff @ 31.12.2006. 14:11 ] @
PPTP ? Ako se ne varam radi se o VPN-u? Koliko to opterecuje mrezu i sam racunar a i potreban je dodatni client software? Jel ovo OK rjesenje? Kakve su mogucnosti bandwidth shapinga s obzirom na enkripciju (po brzini i kolicini podtaka)?
[Ovu poruku je menjao sheff dana 31.12.2006. u 15:25 GMT+1]
[ broker @ 31.12.2006. 16:49 ] @
Mogucnosti su iste.
[ sheff @ 01.01.2007. 08:36 ] @
evo probao sam na pfsense i shaping nije moguch kad se koristi PPTP, rekli su mi da nije zbog enkripcije.... da li je moguche na mIkrotik ili LEAF/WISP dist?
Imam nesto sto me muci pa ako mozes sta pomoci... Dakle treba da stavim PPPoE+FreeRADIUS server za kontrolu i tarifiranje internet bandwidtha i AAA tako da se svi korisnici kace preko PPPoE. Mreza je povezana na internet i ima par lokalnih servera (npr Game). U tom slucaju bi sav promet (i lokalni i internet) isao kroz taj server sto bi kod veceg broja korisnika bespotrebno opteretilo PPPoE server tako da to moram rijesiti. Glavni cilj je da se omoguchi neogranicen lokalni pristup serverima (bez ogranicenja po pitanju brzine i kolicine podataka) i po mogucnosti bez u/p provjere a da se tarifira samo pristup internetu. E sad ne znam da li je to moguche i ako da, kako da podesim MTik tako da pristup lokalnim serverima treba da ide direktno bez potrebe koristenja PPPoE (da se eliminira nepotrebno opterecivanje AAA servera), ali kad korisnik zeli da pristupi internetu, mora da koristiti PPPoE, gdje bi nakon autorizacije korisnik bio omogucen da koristi internet, a sama cinjenica da koristi PPPoE mi omoguchava kontrolu i tarifiranje kao i ogranicenje brzine i kolicine podataka za svakog pojedinog korisnika.
Usput, da li Mtik podrzava VLAN management sa PPPoE korisnicima te definisanje dozvola za komunikaciju medju njima (ko smije s kim razgovarati a ko ne)?
Jutro je i potpuna je tisina...romantika ;-)
Sretna Nova Godina svima!
[Ovu poruku je menjao sheff dana 01.01.2007. u 11:42 GMT+1]
[Ovu poruku je menjao sheff dana 01.01.2007. u 14:44 GMT+1]
[ broker @ 01.01.2007. 22:51 ] @
Dodeli svakom korisniku IP preko DHCP-a u jednom adresnom opsegu i preko tih adresa mogu medjusobno da komuniciraju, kao i sa lokalnim serverima, a na PPPOE konekcije im stavi IP adrese iz drugog IP opsega i preko njih im pustaj Internet. Moguce je da ces imati malo petljanja kod podesavanja gateway-a kod korisnika, probaj da na DHCP ne dodeljujes gateway vec samo na PPPOE.
[ sheff @ 02.01.2007. 15:49 ] @
OK, ali sta ako korisnici zadaju default gateway kao onaj prema netu (sto naravno mogu uciniti, kao vlasnici kompova), onda ce ici ne internet for free, a to naravno ne zelim - inace mreza je Ethernet i svi su korisnici preko switcheva povezani na servere
[ gazdamitke @ 02.01.2007. 18:22 ] @
sto im ne postavish staticke IP adrese.pa dodash u listu IP adrese intrenet korisnike i dozvolish im izlaz na net,svi ostalima zatvorish izlaz,vezi mac adresu i IP i to je to.Naravno uvek postoji mogucnost,zloupotrebe,al kad tad ces ga provaliti i iskljuciti sa mreze(zauvek).
Ja sam tako uradio i nemam problema.
[ broker @ 02.01.2007. 19:08 ] @
Na ruteru mozes da kontrolises ko i kako moze na Internet. Recimo, dovoljno je da NAT ukljucis samo za opseg IP adresa koje dodeljujes preko PPPOE. Mogu oni d arucno stavljaj koji god zele gateway, ako taj gateway nece da im odradi posao, tu nista ne mogu da urade.
MT omogucava razne nacine kontrole korisnika, odnosno zastite mreze i na tebi je da to osmislis, prilagodjeno tvojim potrebama.
[ sheff @ 02.01.2007. 20:36 ] @
Hvala Pedja na ovim informacijama vezano za tik, fakat je ovo dobar koamd softwarea - ima sve: PPPoEserver, router, firewall, VPN, jos samo da se moze dodati FreeRADIUS u Squid kao moduli pa da bude sve kompletno i ravno do mora :-)
@gazdamitke: ma mogao sam ja sve to odraditi i bez ikakvih komplikacija (ionako je community mreza), ali nije u tome fazon i ovo mi nije radno mjesto pa da cijeli dan sjedim i lovim potencijalne korisnike koji pozele da zloupotrebljavaju mrezu - zelim da sve ovo podesim i onda prst u uho, sve dok nesto ne rikne (switch, disk, wireless...) znaci minimalno vremena za administraciju
[ broker @ 02.01.2007. 21:10 ] @
Ako ti je to community, ne vidim potrebu da komplikujes sa pppoe. Dovoljno je da segmentiras mrezu.
[ sheff @ 03.01.2007. 17:10 ] @
moze al koliko su L3 switchevi? a opet ako budem koristio samo L2 imam broadcast storm... ovak stavim sve L2 i PPPoE i smlatim 2 muhe jednim udarcem...
[ gazdamitke @ 07.01.2007. 06:36 ] @
ukoliko user promeni Ip i klonira mac adresu od usera koji ima izlaz na net uopste naznaci da ce moci da izadje net.
[ sheff @ 15.02.2007. 10:09 ] @
ne razumijem te - ako jedan user ima MAC i IP od korisnika kojem je dozvoljen pristup onda ce on de-facto moci izaci na net jer upravo bi te adrese sluzile za autentikaciju (mislim ovo su osnove, pa ne kontam o cemu govoris??).... zato mislim da je bolje PPPoE
[ okky 1 @ 15.02.2007. 19:26 ] @
Podesi eoip tunel na oba mikrotika kroz njega ide pppoe protokol imas uputstvo na mt_ovom sajtu.
[ sheff @ 16.02.2007. 05:57 ] @
ma to sam i uradio neg mi cudno ovo sto gazdamitke napisao....
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|