ako mislis na linkove izmedju baznih stanica, moja preporuka ti je da ides na 2GHZ-5MHz, ili 5GHZ-5Mhz, jer sam ja licno testirao i veruj mi da su odlicni za linkove, kao i to da mogu cak i malo bez opticke vidljivosti ( barem kod mene ), al sve zavisi kolika ti je zagusenost etra u wirelessu, kao i to na kojoj freq. konkurencija radi, sve u svemu treba se izbegavati isti kanali koliko je to moguce, mada po meni ja bih presao samo na 5 Ghz jer je mnogo povoljnije za klienta ( mislim na vezu ka baznoj stanici ) jer sto je ping veci onda je i veza losija a u tome i mnogo uticu drugi AP koji emituju oko tebe, to si najverovatnije vec procitao al moj savet ti je da koristis ove frekfencije.

ja sam odavno prestao da net pustam kroz wireless, razlog je bio prevelik ping ( Previse AP u etru ) a pri tome i mnogi koriste neke pojacivace a neznajuci da tako pogorsavaju i sebi a i drugima net, sada sam pustio LAN to LAN, tako da na svakoj banderi stoji kutija sa swichem tako da je i dosta jeftino za klienta da se poveze na mrezu a i ping nikad ne ide vise od 1ms a uz to konekcija ide od 60-100 mb ( mislim na ethranet ), tako da imamo i ftp servere i jos puno toga, a sto je jos najvaznije jeste to da me ne zovu svaki put kad im se pomeri antena ili slicno...

ovo ti sve pricam sa jednim razlogom, ako ima bilo kakve mogucnosti sem wirelessa onda pokusaj nju da odradis, jer je wireless sada prezagusen.

ako ti treba jos nesto mozes mi se javiti na p.m ili na msn addressi naravno ako je zelis...

pozdrav

Prvo, hvala na brzom odgovoru ;)

Vidi, osnovni cilj je 5G mreža. Mreža na 2.4 je tu samo da pruži podršku ljudima koji već imaju nešto svoje stare opreme.

Slažem se u potpunosti za LAN to LAN, ali naravno dosta je slučajeva kada je to zaista neisplativa opcija (ruralna sredina itd). Ali recimo, kada je u pitanju zgrada, jedino razumno rešenje je jedan mali AP na krovu, a onda od stana do stana LAN.

Prema onome što vidim, dosta ljudi se opredeljuje za WDS (u smislu: kad već imaš Mikrotik, pa daj onda iskoristi sve što može ...). Imaš li iskustva sa tim? Meni je ovo prvi put da se hvatam sa nečim malo većeg obima od kancelarijskog umrežavanja, i već me hvata panika oko svih tih user management, QoS i sličnih pitanja.

Postoji li neki poseban razlog zašto su ljudi ljubitelji PPPoE-a? Da li je u pitanju samo olakšano centralizovano održavanje korisničkih naloga ili se tu krije još ponešto? Postoji li neka uobičajena alternativa PPPoE-u?



Hvala na odgovoru, još jednom.

Ljubomir

PPPoE je sigurniji, teze se "krade" password. Alternativa - HotSpot, koji kod mnogih dosta kvalitetno radi. I jedno i drugo rjesenje imaju svoje pozitivne i negativne strane.
PPPoE kao sto rekoh je sigurniji ali osnovni problem mu je sklonost ka gubljenju konekcije pri slabijim signalima i vecoj zagusenosti etera.
Kod HS je taj problem daleko manji, ali sam cuo da se dosta lako mogu da isnifuju korisnicki nalozi. Ja ne znam dal je to tacno, tako sam cuo :)
Centralizovano odrzavanje naloga mozes da odradis i na HS i na PPPoE, i sa i bez Radius servera. Ali ako zelis da postanes dobar ISP - onda je Radius apsolutno neophodan, pogotovo ako zelis da limitiras korisnike po kolicini prenetih podataka.
I vidim da se dvoumis izmedju WDS i EOiP - nemoj da se dvoumis, WDS je idealno rjesenje.

Pozdrav

Imas sasvim opravdanih razloga da te hvata panika. Da bi mogao da upravljas mrezom potrebno ti je dosta znanja i iskustva.

WDS zaboravi. To je samo jeftina varijanta da se ustedi na opremi na ustrb kvaliteta. LJudi se njim odusevljavaju uglavnom zato sto ga je lako nametiti. Ako ces da radis komercijalni provajding, onda to sebi ne bi smeo da dozvolis. Likove izmedju pristupnih tacaka radi kao obicne fizicke point to point veze.

PPPoE se koristi jer je jednostavnije namestiti ga. Umesto njega mozes da koristis i PPTP. Oba imaju istu namenu, da obezbede kontrolu pristupa mrezi. Hotspot je dobro resenje ali iziskuje vise podesavanja (snifovanje nije problem ako koristis HTTPS, ali to znaci da moras da imas i HTTPS server).

Aha, taman sam pomislio da sa WDS-om rešavam sve glavobolje, kad ono ne :) Postoji li neki poseban razlog zašto treba izbegavati WDS? U slučaju point to point veza, da li je potrebno odvojiti poseban interface za tu namenu? Na primer: imam tri interface-a konfigurisana kao AP i potreban mi je četvrti (recimo u bridžu sa njima) da bih ostvario point to point (slično i na drugoj stanici), ili jedan od ova tri može da se podesi za tu namenu? Šta se u tom smislu događa pravljenjem point to multipoint veza? Ovo pitam iz razloga što će stanice biti postavljene na dobro istaknutim tačkama i moći će jedna drugu da vide i bez usmerenih antena. Upravo iz tog razloga mi se WDS i učinio kao prirodno rešenje.

Ukoliko iko misli da nepotrebno opterećujem forum "prostim" pitanjima usled nedovljog iščitavanja dokumentacije, izvinuo bih se i skrenuo pažnju da na ovako "prosta" pitanja su nekako ljudi najmanje skloni da odgovaraju. Zaista nigde nisam uspeo da nađem pošten tutorial sa skoncentrisanim iskustvima i znanjem iz WISP-a. Hvala na strpljenju,

Ljubomir

Blah, sto ljudi sto cudi - jos nisam nasao 2 lika da isto misle :D
Samo ti uradi HS i WDS, sasvim dovoljno za nivo koji poznajes...

De mi navedi koja je usteda opreme na WDSu za razliku od Routinga? Ocito da si WDS u mikrotiku pomjesao sa repeaterom!!! Za tvoj info, imama wds mrezu sa preko 100 tikova, i sa kraja na kraj preko 10ak hopova uvjek mogu da proturim 30 mbita!


Ukoliko ne zelis svakodnevno primati pozive od korisnika koji se zale da imaju ostvaren promet koji oni nisu ostvarili i tratiti bezveze na istragu, onda definitivno zaboravi HS i izaberi PPPoE.


Netreba ti nikakv HTTPS server, dovoljno je da tu opciju aktiviras u postavkama HS profila. Kako god, ni to nije nikakava zastita, postoji nekoliko desetina nacina da se pokupe korisnicki podatci ukoliko se koristi hotspot.

Momci, zahvaljujem se na informacijama. Pretpostavljam da će u mom slučaju ipak ostati WDS. Da li neko ima iskustva u praksi sa dinamičkim WDS-om pošto sam čuo da dosta optereti MT? Hvala još jednom, ako se (kad se) rodi novi problem, pojaviću se na forumu ponovo ;)

Pozdrav,
Ljubomir

Kako si se resio broadcast saobracaja u wds-u? Hotspot je lako hackovati naravno. Pppoe je mnogo sigurniji jer koristi virtualne gateway-e.
Sto se tice moje mreze ja sam se odlucio na dynamic routing. U mrezi mi rutira RIP protokol. Mnogo lakse ga je podesiti a mnogo sam dobio na preformansama.
Ip adrese dodeljuje dhcp.
MESH nije losh. Na njemu radi winmax al meni se veoma loshe pokazao, pa zato ti savetujem da ne koristis to.

Cijela mreza je bridgana i svi racunari se vide na MAC nivou. U prosjeku, uvijek je aktivno bar 500 racunara i nemam, niti sam imao ikakvih problema sa broadcastom. Mreza pokriva nekoliko gradova, ping sa korisnickih racunara iz bilo kojeg grada do glavnog routera koji se nalazi u mom gradu se krece od 10-30 ms.

Kako znas da nemas problema sa broadcastom. Cime si merio :D
Nego moj druze instaliraj neki linux i na njemu iptraf pa proveri koliki ti je odnost broadcast saobracaja i korisnog.

bolji je ethercap :) bsd rules :) wds = repeating = 2x isti paket leti

Slazem se sa tobom. Zato ja koristim Gentoo :D koji je slican freeBSD-u ;)

Kada smo kod WDS-a ....

Pretpostavimo da imam tri bazne stanice: A, B i C, i neka je A povezana sa tamo nekim ruterom, tj. internet "curi" kroz A. Stanice B i C se u tom smislu kače na A. E sada, zamislimo jednog korisnika koji se kači preko stanice B (Kb) i jednog koji se kači preko stanice C (Kc). U slučaju da podignem dinamički WDS, da li će sav lokalni saobraćaj između korinika Kb i Kc ići direktno (fizički) između stanica B i C ? Dakle, ideja je da se sav lokalni saobraćaj što bolje raspodeli i da ne opterećuje neke fiksne tačke u wireless mreži. Ako dinamički WDS ovo ne rešava, ima li neko neki drugi predlog?

A kada je u pitanju broadcast, ako sam dobro shvatio samo dinamički WDS pati od nepotrebnog broadcast saobraćaja, ne i statički. Moguće je da grešim, može li neko da pojasni ovo sa broadcastom?


Hvala najlepše,
Ljubomir

Pa da bi uspostavio vezu sa nekim racunarom u subnetu moras da posaljes broadcast adresu svim racunarima tog subneta (ukratko)
A ako nema ruta, wds upitanju, kako ce znati sa kojim racunarom da se uspostavi veza a da ne posalje svima broadcast paket??? Nikako mora da salje svima, tako sam ja skontao. Do 100 usera radi fino, od 100 do 500 radi otezano i tu se menja sve, a od 500 do 2000 vec je gadno kada pocnu windowsi da broadcastuju po mrezi sa svojim smb servisom :D itd :D

Moje iskustvo.
Radio sam mrežu sa oko 15 AP baziranih na MT. AP su međusobno povezani point-to-point vezama na 5GHz. Krajnje tačke(antene) na koju se vezuju korisnici su na 2.4GHz.
Svakako je potrebno podesiti neki routing protokol, da se ne bi ubio ukucavanjem XYZ statičkih ruta na svakom AP. Ja sam odabrao OSPF koji u suštini radi samo da bi ruteri razmenili informacije
(kao EIGRP na Cisco), jer nema redundantnih linkova. Na izlaznom ruteru ka Internetu podignut je HS koji autorizuje korisnike preko RADIUS. Dalje mi je bilo potrebno napraviti program koji ce "trčati" kroz bazu korisnika
koju koristi RADIUS i isključivati korisnike nakon isteka perioda ili kada potroše određene GB. Sve je odrađeno kao web aplikacija, uz jedan dodatni program pisan u VB 6... nebitno.
Prethodno je umesto HS korišćen PPPoE, ali su se upravo dešavali problemi da konekcije ima, ali da nema protoka. Pokušano je i sa PPTP, ali je i tu bilo muka (korisnik obriše konekciju pa ti treba večnost da mu objasniš da je ponovo krerira). Da ne pričam o tome, kad zove korisnik da se žali kako mu ne radi net, a on se nije ulogovao na PPTP(PPPoE) server. Sve u svemu, vreme je pokazalo da je uvođenje HS bilo pravo rešenje.
Sve ovo je odradjeno još pre 2 god, do dana današnjeg to radi bez ikakvih problema (i mreža i accounting/billing aplikacija).
Svakako ćeš na forumu naći različite savete, problem je takav da nema jedinstvenog rešenja.

Ako je u mrezi postavljena centralna tacka autentifikacije PPPoE ili HOTSPOT, u mrezi se koristi routing umjesto WDSa, na koji nacin broadcast zahtjev usera prolazi do centrale tacke autentifikacije ako interface-i nisu postavljeni u bridge ?

Dobro pitanje :)

Ne prolazi nego na svaki ruter stavis pppoe server / hotspot koji se autentifikuje na centralnu bazu.

U tom slucaju je EoIP rjesenje, jer propusta layer2 saobracaj preko layer3 saobracaja, naravno jos podesiti na MT-u da propusta samo broadcast pppoe zahtjeve i problem je rijesen.

U tom slucaju je EoIP rjesenje, jer propusta layer2 saobracaj preko layer3 saobracaja, naravno jos podesiti na MT-u da propusta samo broadcast pppoe zahtjeve i problem je rijesen.

i kad kroz EiOP treba da prodje 10 mb (a na RB) - onda imas problem jer se CPU zakucava do 100%...

Kako ces podesiti da samo propusta broadcast pppoe zahteve ??? :D
Imal ko kakvu ideju ? u ostalom kako na mikrotiku uopste bilo sta raditi sa broadcast saobracajem a da se ne koristi bridge :D

PPPoE server i EoIP tunel stavi u bridge. U bridge filterima definiraj da ti propusta samo pppoe-session i pppoe-discovery.

Nisam stigao ranije da se zahvalim, zaista puno korisnih informacija sam saznao. Dakle evo, ovom prilikom se zahvaljujem svima koji ste potrošili svoje vreme i ostavili post.

Ne bih da pokrećem novu temu pošto ovo što bih želeo da pitam nekako potpada pod isto :)

Situacija: Podignut je jedan freeradius koji se nalazi na određenoj IP adresi i vidi se sa svakog mikrotika (naglašavam pošto se momentalno nalazi spolja). Ideja je da se na svakom MikroTiku podigne po jedan PPPoE server koji se obraća tom radiusu. Radius bi vozio sve vezano za accounting i pri pokretanju pppoe sesije setovao bi bandwith limit na mikrotiku. Ovo sve iz razloga da se bandwith limiting poveri upravo većem broju MT-ova kako bi se rasteretio ruter (linux mašina, nije toliko bitno za priču). Uglavnom, sve pomenuto radi, izuzev toga što ne postoji ruta od klijenta do glavnog rutera.
Pitanje: Kada PPPoE server spusti adresu klijentu, kako treba da izgleda ruta kako bi klijent mogao da vidi ruter (neka se na ruteru nalazi NAT ili nešto peto, samo me zanima kako uopšte sa klijenta da stignem do rutera u ovoj režiji, ukoliko je to uopšte moguće).


Hvala,
Ljubomir

Neznam jesam li te najbolje razumjeo, ali trebas definirati adrese u poolu. Na PPPoE serveru, ili radius serveru postaviti da koriste taj pool. Mikrotik ce klijentu dodjeliti IP adresu iz tog poola i napraviti dinamicku rutu. Ukoliko koristis lokalne adrese umjesto javnih, potrebno je da postavis masquerade za te adrese.
dalje sa tog APa ti treba ruta kojoj je destinacija 0.0.0.0/0 a gateway ip adresa tvog glavnog routera.

Vidi, PPPoE se obrati radiusu za pool (u konkretnom slučaju je to samo jedna testna adresa, ali radi i sa pool-om). MikroTik uspe tu adresu koju dobije od radiusa da prosledi i da je dodeli klijentu. Podigne se pppoe interface na MikroTiku i win klijentu se dodeli adresa. Napravi se i dinamička ruta. Masquerade stoji na glavnom ruteru. I stoji i ruta kojoj je destinacija 0.0.0.0/0 i za gateway ima adresu glavnog rutera. Znači to je sve ispunjeno.

Konkretan primer:
Glavni ruter: 10.0.0.1
Radius: 212.200.x.x (van lokalne mreže)
MikroTik AP: 10.0.0.2
Windows klijent koji se kači na MT AP: 10.0.0.15
Među adresama se nakon povezivanja windows klijenta pojavi adresa pppoe interface-a: 10.0.0.2, network: 10.0.0.15 (pretpostavljam zato što PPPoE pravi netmasku 255.255.255.255)

Sa AP-a do momenta povezivanja win klijenta je moguce videti i glavni ruter i internet. Kada se okaci win klijent, pojavi se dinamička ruta (neispravna pretpostavljam) i od tada se ne vidi internet ni gateway sa AP-a. Sa Win klijenta se vidi adresa 10.0.0.2 (remote strana PPP-a u njegovom slučaju).

Nadam se da sam detaljno opisao situaciju.

Hvala,
Ljubomir

Ovaj problem je rešen, problem je bio u povratnoj ruti (od rutera ka klijentu).


Sada se nameće jedno novo pitanje:
Ko brine o tome da se IP adrese klijentima dodeljuju jednoznačno? Na radiusu postoji recimo neki address pool. Ali kada se konkretan PPPoE server obrati radiusu za adresu, zar neće on od radiusa dobiti kompletan pool i slobodu da sam izabere IP adresu iz poola koju želi da dodeli klijentu pod sobom? U jednom od pređašnjih scenarija ovde je postojao jedan PPPoE i on sam je imao svoj pool i brinuo je o tome. Kako se to rešava u ovakvom slučaju kada postoji više PPPoE servera?

I jedno možda trivijalno pitanje:
Kako klijentu spustiti adresu DNS servera (bez da se ona setuje na svakom PPPoE serveru)? U listi reply argumenata koje Radius vraća drugar i ja nismo uspeli da nađemo parametar za DNS. Može li da se napravi neka sinteza PPPoE-a i DHCP-a gde bi svi pitali JEDAN DHCP i za adresu (rešen problem jednoznačne dodele adresa) i za DNS?


I ponovo hvala :)
Ljubomir

Dns podesavas na svakom APu. nevidim potreba za DHCP server i IP adrese na strani klijenta ako koristis PPPoE. Mislim da nemas nikakve koristi od DNS servera koji postavi DHCP server na ethernet/wireless interfejsu ako koristis PPPoE.

Ne, nije poenta bila u korišćenu DHCP-a uz PPPoE (jer to zaista nema smisla), nego je to samo bio predlog za centralizovano izdavanje adresa. Kako god, trenutno stoje fiksirani pool-ovi na svakom AP-u i unapred se brine o tome da se ne preklope, i na svakom AP stoji isti DNS. U svakom slučaju ako neko ima ideju kako se centralizovano mogu izdavati adrese bilo bi lepo da podeli sa nama :) Na primer, pouzdano znam da SBB na svakom svom koncentratoru drži po jedan PPPoE, ali njima to centralizovano izdavanje adresa ipak nekako radi. A da, i oni koriste MikroTik (doduše ne wireless :) ). Pozdrav i hvala.

Ljubomir

Pozdrav još jednom :)

U slučaju kada je neophodno dodeliti PPPoE serveru IP adresu, kako je najefikasnije starati se o sigurnosti takve mreže? Dakle, bridge na kom PPPoE sluša ujedno nosi i IP adresu samog AP-a. Pretpostavimo da je čovek nekako došao do WEP ili WPA ključa i da je uspeo da se nakači na wireless. Kako se odbraniti od toga da on "divlje" setuje sebi statičku adresu. Tj, ako je setuje da ne može nikoga sem sebe da vidi. Pretpostavljam da bi nekim firewallom koji stoji na svakom AP-u to moglo da se reši, ali kako se onda odbraniti od IP address konflikta?


Pozdrav,
Ljubomir

Pogledaj pod Static ARP, mada to nece raditi bas u svim situacijama.

Probao bih da se klonim ARP-a, deluje mi da nije toliko teško isklonirati MAC adresu itd itd ... Momentalno se kolega i ja mučimo ovde sa tim da se PPPoE server koji sluša na interface-u koji nema IP adresu, nekako predstavi radius-u (koji je naravno negde spolja i ima adresu). Dakle, je li ovo uopšte moguće: znači, PPPoE sluša na interface-u koji nema adresu a pri "predstavljanju" radiusu se "oslanja" na neki interface koji ima adresu (grubo opisno govoreći).

Pozdrav

Kao sto rekoh pogledaj pos Static ARP. Kada to namestis onda MT nece komunicirati ni sa jednim uredjajem u mrezi ciji IP i MAC par nema unapred podesen. Tako, ako neko pocne da divlja, nece nigde stici jer ce mu konekcija raditi samo ako pogodi IP i MAC par.

A moras da koristis IP na fizickim interfejsima preko kojih ide i PPPoE, recimo za komunikaciju izmedju rutera ili servera (mada ti to nikako nije dobr da radis), onda mozes da ogranicis IP opseg tako da onaj ko divlja ne moze da se uglavi u te IP adrese. Poslednja opcija je da dignes hotspor, posto on izoluje korisnike te tako taj sto divlja nema nista od divljana (hotspot cak moze da forsira korisniku IP adresu bez obzira sta on da podesi kod sebe).

Medjutim, mislim da si ti tu nesto pogresno zamislio, posto je to sto hoces da postignes nesto sto ne bi trebalo raditi.