Как запретить PPPoE соединения в MikroTik RouterOS?

Обсуждение ПО и его настройки
Аватара пользователя
NikolaiN
Сообщения: 14
Зарегистрирован: 16 мар 2017, 19:11
Откуда: РК

Насчет рано, Вы конечно правы, я дилетант в сфере администрирования локальных сетей. (проще говоря - ноль)
Роутер стоит на виртуальной машине, у него три интерфейса, один смотрит в локалку (10.113.32.0/23 то есть с 10.113.32.1 до 10.113.33.254 отданы клиентам) два интерфейса смотрят каждый на свой ДСЛ-модем с поднятыми на них PPPoE соединениями. Модемы находятся в диапазоне 10.113.34.0/24. Это конечно плохо что они в соседнем диапазоне торчат, это возможно и есть корень проблемы...

Еще, роутер и модемы физически удалены друг от друга, находятся в разных корпусах школы. Ибо сеть строилась долго, хаотично и непланомерно. Свести все вместе нет возможности.
Короче, мне наверное надо развести локалку и модемы "подальше" друг от друга? Хотя все же они в разных диапазонах...


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

То есть, если я правильно понял Вас (уточните если что):
1) у Вас два подключения (то есть у Вас два провайдера?)
1.1) Ваши подключения (РРРоЕ сессии) Ваши поднимаются проходя по физическим проводам локальной сети школы?
2) Если у Вас два канала (два РРРоЕ) то как Вы их "разруливаете"?
3) Если на пункт 1.1 - ответ "ДА", то Вам надо до роутера (связь между ДСЛь модемами и роутером) сделать так, чтобы она в рамках L2 уровня не была доступна

NB:
если по одним и тем же проводам бегает разный трафик (внешний,локальный, закрытый) то такие трафики надо отделять на L2 уровне,
а не делить это с помощью сегментации IP адресации.
Ну и пример: нельзя в одной трубе сразу пропускать и чистую и грязную воду, вот если внутри большой
трубы проложить вторую трубу - тогда по ней чистую можно.
А обычно провайдеры за скрещивание локальной сети и/или паразитный трафик - в сеть провайдера - очень ругают...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
NikolaiN
Сообщения: 14
Зарегистрирован: 16 мар 2017, 19:11
Откуда: РК

1) Да. Провайдер, фактически один, но на каждом модеме свое подключение (логин/пароль), поэтому можно считать что провайдера два.
1.1) Да, именно так, модемы подключены к одному из свитчей локалки.
2) Микротик и делит трафик на два модема, благо что обе линии с одинаковой пропускной способностью.
3) Ясно, вот только между роутером и модемами 4 свитча, причем последний, к которому модемы подключены, "тупой", неуправляемый.

Нашему провайдеру глубоко "фиолетово" как у нас все организовано... им лишь бы деньги платили. Они нас в интернет через NAT выпускают, на модемах серые ай-пи. Скорость на внешку 0,5 Мб/с, на казахстанские ресурсы 2 Мб/с и то если в нерабочие часы или дни, а так реально 0,3 Мб/с есть и ладно. В этом вопросе у нас все печально...


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Ужас...

1) Ясно
1.1) Ясно
теперь понятно откуда работает РРРоЕ авторизация и всё остальное...в локальной сети
2) Думаю не делит, чтобы делить нагрузку и каналы надо микротик настраивать и поверьте, это не простая тема...
3) Мда, сложно всё...

К сожалению у сейчас меня глубокая ночь, и подискутировать уже не могу (но отвечу завтра),
но совет мой будет всё также в рамках моих других советов - вам надо разделить/спрятать трафик провайдера,
поэтому вижу такую быструю и для вас простую реализацию (она очень не идеальна,но есть свои и плюсы)

а) заиметь второй микротик (с Вашими скоростями пойдёт самая простая 941 моделька)

б) микротики (каждый из них поставить) возле ДСЛь модема, коротким проводком соединить ДСЛь модем и микротик,
а уже сеть воткнуть в микротик. То есть создать в одном здании где стоит первый ДСЛь - сделать пару ДСЛь-Микротик,
и в другом здании сделать ДСЛь-Микротик.
ТО есть задача - не допустить попадания трафика с ДСЛь модема(ов) в сеть Вашу!
ЭТО вообще и не безопасно и так не делают (плохой тон считается).
А микротики будут стоят(какая разница где они будут стоять)
и уже отдавать "чистый" локальный трафик в локалку!

в) в итоге у вас будет два микротика, у одного один локальный адрес, у другого другой локальный адрес,
каждый будет держать канал (подключение).

г) ну и (очень по-простому и в ручном режиме) вы указываете шлюз на одних компах это адрес микротика1 и значит
те компы пойдут в тот канал который держит микротик1, а если указать на компах другой шлюз (айпи микротика2)
то пойдут по второму подключению.

Всё что я описал - делают на одном роутере, но в связи с тем что вы не можете обеспечить "физику", и разделить
сеть, у вас нет управляемых свитчей, нет возможности сделать виланы, то подключение двух роутеров непосредственно
к сети провайдера(как и положено обычно) прямо в ДСЛь - думаю такой единственный вариант в Вашем положении.
Ну и после подключения, роутеры надо обновить, сделать базовые настройки, включить НАТ, и так далее...
и всё будет работать и никаких РРРоЕ и халявы не будет.

Удачи Вам...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
NikolaiN
Сообщения: 14
Зарегистрирован: 16 мар 2017, 19:11
Откуда: РК

Большое спасибо за помощь! Источник проблемы определен, необходимо изолировать трафик от модемов к роутеру.
Сам подумывал в эту сторону, но наивно полагал, что с помощью сегментации IP адресации вопрос будет решен.

Решение с помощью приобретения какого либо оборудования, увы, отпадает сразу. Школа не имеет собственных финансов, вся бухгалтерия находится в РОО. А оттуда никогда, ничего не поступит. Сама техника поступает, но по целевым гос.программам а на содержание ее в рабочем состоянии из местного бюджета никогда, за все время моей работы, не поступало ни копейки... Если что-то выходит из строя, то нужно покупать за свой счет, или же машина с серьезной поломкой, становится "донором" для остальных. Тоже и с программным обеспечением, машина приходит с предустановленным антивирусом, ключ на год, потом лицензия заканчивается, и делай что хочешь... В общем в этом плане все тоже печально...
Хотя, что стоило бухгалтерии заложить в бюджет средства на ремонт и приобретение необходимого, но... создается впечатление что они экономят гос. бюджет как свой собственный. Хотя может для них это синонимы...

Да, был бы еще один управляемый свитч, можно было бы сделать вилан.

А микротик делит трафик на оба модема. Я, конечно, тот еще специалист по микротикам, но нашел описание схемы Микротик и 2 провайдера, скопировал все себе и, не сразу конечно, но все заработало. Судя по счетчикам на правилах, трафик делится поровну между интерфейсами смотрящими в WAN. Делалось с помощью маркирования трафика.

Еще раз спасибо за помощь! За терпение проявленное к такому "чайнику" как я!


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну а если даже у вас один Микротик, но попробовать поставить его сразу за модемами? Неужели нет возможности?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
NikolaiN
Сообщения: 14
Зарегистрирован: 16 мар 2017, 19:11
Откуда: РК

Там где телефонная линия заходит в школу и стоят модемы расположен компьютерный класс (мультимедийный кабинет). А микротик (х86) на виртуальной машине, на сервере, в другом корпусе, довольно далеко. Самое простое (и самое правильное) - продолжить телефонку до серверной и там все уже организовать. Но это только за мой счет, финансирования сверху не будет однозначно.
Это школа, здесь почти все держится на энтузиазме "чокнутых на работу" сотрудников, учителей. Они все тащат в школу, и покупают необходимое в классы за свои деньги. Сам такой был, когда преподавал... Короче - "Нам солнца не надо - нам партия светит, нам хлеба не надо - работу давай!" Вот наш девиз :))))


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Всё понимаю, но Вы описываете школу/объект/организацию в конце 1990х когда толком не было
ни света, ни тепла и ЗП давали раз в полгода.
Также понимаю что не дают не на что, но и медвежью услугу делать тоже нельзя.
Минимальные средства должны даваться, опять же, за услугу провайдеру ведь платят?
Можно позвонить провайдеру и договориться чтобы они в счёт за Интернет включили оборудование,
ну и также надо просто отключить сеть и показать что без техники и аппаратуры чуда не бывает.
В бюджетных конторах им положено экономить...
Да и живя на Дальнем Востоке у нас тут тоже не ахти как, одна радость..многие и не верили и кормили нас лет
12-15 обещаниями, но сбылать мечта и хоть оптика есть с материком есть, а то платили 1руб за 1 мегабайт.
И интернет стал, но школы всё же (по рассказам знакомых) - не такие уж как Вы описали.
И сервера есть, и упсы стоят, и классы есть....Так что надо выбивать...!

Ну и теперь о технических реалях:
купите за свой счёт роутер за 1400 рублей (серия 941), подключите один канал,
и используйте, если у Вас провайдер один, то резервирование каналов как бы бесполезно,
если у провайдера нет канала...нету и у вас его по обоим подключениям.
Виртуалка это хорошо, но и каналы и сервера должны стоят в серверной, а сейчас не пойми что...
А как раньше вообще было сделано?, то есть там, где находятся сейчас ДСЛь модемы - там раньше
как подключали(терминировали) Интернет? Там был сервер? свитч? роутер? ЧТО?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Как-то у вас уж очень все тяжело. Все-таки минимального финансирования можно добиться. На два hAP lite уж точно хватит. Попросите директора вам выписать премию, просто так, а вы на эти деньги купите микротик.


Аватара пользователя
NikolaiN
Сообщения: 14
Зарегистрирован: 16 мар 2017, 19:11
Откуда: РК

gmx писал(а):Как-то у вас уж очень все тяжело. Все-таки минимального финансирования можно добиться. На два hAP lite уж точно хватит. Попросите директора вам выписать премию, просто так, а вы на эти деньги купите микротик.

А что такое премия??? За 18 лет работы в школе я ее ни разу не получал... да и никто не получал в школе премий. Нет у нас такого. Вам это, конечно, трудно представить, но так оно и есть.
А ходатайств с просьбой выделить необходимое, я за эти годы написал вагон. Лично в руки зав. РОО отдавал, и тот клялся соседским поросенком, что все будет. Теперь уже смирился, эту "стену" не пробить. Да ладно, что нибудь придумаем. Причина установлена, понимание решения есть, уже хорошо.


Ответить