Всем салют!
Тусовался раньше на цисках аристах и брокейдах. А теперь столкнулся лицом к лицу с микротиками (на долго).
Вопрос к трудящимся.
Опишу сразу ситуацию.
Есть любой юзер который хочет в данный момент выходить в сеть не через основной линк (назовем его wan), а через pppoe сервер.
А потом так же переключаться обратно.
И таких юзеров может быть много из одной большой сети.
Раньше это делалось за счет того, что просто зафиксировались за этими юзерами порты определенные, и эти юзеры сидели в определенном влане, и кода надо было интефейс на который они были повешаны, гасился pppoe и сетился бридж на wan, там еще своя подсеть на них назначалась, короче муть.
Сейчас появилась необходимость любому юзеру так делать. Подскажите, плз куда смотреть хотя бы
Автоматическое переключение любого айпи адреса в нужный тип ната/сети
Правила форума
Уважаемые Пользователи форума, обратите внимание!
Ни при каких обстоятельствах, Администрация форума, не несёт ответственности за какой-либо, прямой или косвенный, ущерб причиненный в результате использования материалов, взятых на этом Сайте или на любом другом сайте, на который имеется гиперссылка с данного Сайта. Возникновение неисправностей, потерю программ или данных в Ваших устройствах, даже если Администрация будет явно поставлена в известность о возможности такого ущерба.
Просим Вас быть предельно осторожными и внимательными, в использовании материалов раздела. Учитывать не только Ваши пожелания, но и границы возможностей вашего оборудования.
Уважаемые Пользователи форума, обратите внимание!
Ни при каких обстоятельствах, Администрация форума, не несёт ответственности за какой-либо, прямой или косвенный, ущерб причиненный в результате использования материалов, взятых на этом Сайте или на любом другом сайте, на который имеется гиперссылка с данного Сайта. Возникновение неисправностей, потерю программ или данных в Ваших устройствах, даже если Администрация будет явно поставлена в известность о возможности такого ущерба.
Просим Вас быть предельно осторожными и внимательными, в использовании материалов раздела. Учитывать не только Ваши пожелания, но и границы возможностей вашего оборудования.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну честно говоря по описанию смутно понятна задача. Но из того что я понял - оно так же и на микротик реализуется
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 185
- Зарегистрирован: 24 ноя 2016, 21:14
Попробую проговорить что я понял, а Вы поправьте:
1 Вы провайдер доступа в Интернет.
2 Есть большая группа пользователей из разных L3 пространств которые могу выбирать ( предположим в ЛK) как им выходить в сеть: через DHCP или через PPoE.
3 Тем кто выбрал сейчас PPoE надо попасть в другое пространство ( получить другие адреса, доступ в PPoE серверу) оставив доступ к ЛК.
И что за сеть сейчас, на чем оно ... кто куда воткнут и что Вы знаете об абоненте
Или, если было решение на кошке/аристе покажите конфиги - оно станет понятно что Вы хотите сотворить. P.S. нечто подобное было в одном провайдере на Окской улице в Москве, но там никаких сложностей не городили.
1 Вы провайдер доступа в Интернет.
2 Есть большая группа пользователей из разных L3 пространств которые могу выбирать ( предположим в ЛK) как им выходить в сеть: через DHCP или через PPoE.
3 Тем кто выбрал сейчас PPoE надо попасть в другое пространство ( получить другие адреса, доступ в PPoE серверу) оставив доступ к ЛК.
И что за сеть сейчас, на чем оно ... кто куда воткнут и что Вы знаете об абоненте
Или, если было решение на кошке/аристе покажите конфиги - оно станет понятно что Вы хотите сотворить. P.S. нечто подобное было в одном провайдере на Окской улице в Москве, но там никаких сложностей не городили.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Как оно заморочено то... Честно говоря не могу понять зачем это надо юзеру и самое главное, зачем это оператору. ну да ладно, наверное в этом есть какой то смысл.
Вы схемку изобразите ибо допустим если у вас например "влан на услугу" то соответственно каждый сервис вешаем на свой влан и перекидываем юзеров
Просто я понять не могу как вы трафик со всей сети собираете и как вы это на циске делали, с циски все довольно просто переносится на микротик, просто понять надо чего да как организованно
Вы схемку изобразите ибо допустим если у вас например "влан на услугу" то соответственно каждый сервис вешаем на свой влан и перекидываем юзеров
Просто я понять не могу как вы трафик со всей сети собираете и как вы это на циске делали, с циски все довольно просто переносится на микротик, просто понять надо чего да как организованно
Есть интересная задача и бюджет? http://mikrotik.site
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Дополню и я свои 5 копеек
1) никогда не видел, чтобы юзер мог диктовать свои условия, как подключаться к провайдеру.
1.1) не берём в расчёт юриков (хотя с ними порой ещё бывают жестче)
1.2) не берём в расчёт когда подключают какую-то специфическую железку и она "тупая".
2) Как у нас тут сделал местный крупный провайдер (и вроде и просто и логично, и вроде так сделано примерно
и у того же Билайна во многих разных городах)
а) клиент попадает/надо попасть в некую сеть провайдера
а.1) либо по DHCP Client это сделано
а.2) либо по статике (руками надо IP забить)
а.3) + также ещё может быть использована защита по МАКу
Клиент уже в сети провайдера, (в какой-то) серой, уже имеет адрес, есть доступ
к каким-то уже сервисам.
б) для доступа в Интернет (внутри этой сети) работает РРРоЕ сервер, и клиент,
если хочет оказаться уже в глобальной сети, поднимает РРРоЕ сессию и вуаля.
Таким образом местный провайдер достигал изоляции клиентов (у нас раньше трафик
был по-мегабайтный, а неопытность юзеров было и есть и наматывали тысячи).
Поэтому серая сеть провайдера это и изоляция, + локальный обмен трафиком + свои плюшки.
Хочешь в "глобал" = поднимай сессию, получай рррое-сессию и адресацию, и вуаля.
У Билайна на сколько я знаю всё также (почти), по DHCP роутер/комп получает адрес,
а потом уже поднимать надо L2TP сессию и будет глобал.
Поэтому не понимаю в чём сложность у ТС, кажется изобретать велосипед не надо.
Анонсировать РРРоЕ сервис у клиентов и если задача стоит = чтобы сам клиент
выбирал куда и как цепляться и работать = то так и делать.
Если стоит задача со стороны провайдера это делать, то проще уже на L3 уровне
маршрутизировать трафик и не мучать клиента с разными типами подключения,
пусть как пришёл с первого раза, так и работает.
P.S.
Всё выше - только моё и только личное мнение.
1) никогда не видел, чтобы юзер мог диктовать свои условия, как подключаться к провайдеру.
1.1) не берём в расчёт юриков (хотя с ними порой ещё бывают жестче)
1.2) не берём в расчёт когда подключают какую-то специфическую железку и она "тупая".
2) Как у нас тут сделал местный крупный провайдер (и вроде и просто и логично, и вроде так сделано примерно
и у того же Билайна во многих разных городах)
а) клиент попадает/надо попасть в некую сеть провайдера
а.1) либо по DHCP Client это сделано
а.2) либо по статике (руками надо IP забить)
а.3) + также ещё может быть использована защита по МАКу
Клиент уже в сети провайдера, (в какой-то) серой, уже имеет адрес, есть доступ
к каким-то уже сервисам.
б) для доступа в Интернет (внутри этой сети) работает РРРоЕ сервер, и клиент,
если хочет оказаться уже в глобальной сети, поднимает РРРоЕ сессию и вуаля.
Таким образом местный провайдер достигал изоляции клиентов (у нас раньше трафик
был по-мегабайтный, а неопытность юзеров было и есть и наматывали тысячи).
Поэтому серая сеть провайдера это и изоляция, + локальный обмен трафиком + свои плюшки.
Хочешь в "глобал" = поднимай сессию, получай рррое-сессию и адресацию, и вуаля.
У Билайна на сколько я знаю всё также (почти), по DHCP роутер/комп получает адрес,
а потом уже поднимать надо L2TP сессию и будет глобал.
Поэтому не понимаю в чём сложность у ТС, кажется изобретать велосипед не надо.
Анонсировать РРРоЕ сервис у клиентов и если задача стоит = чтобы сам клиент
выбирал куда и как цепляться и работать = то так и делать.
Если стоит задача со стороны провайдера это делать, то проще уже на L3 уровне
маршрутизировать трафик и не мучать клиента с разными типами подключения,
пусть как пришёл с первого раза, так и работает.
P.S.
Всё выше - только моё и только личное мнение.
-
- Сообщения: 5
- Зарегистрирован: 21 дек 2018, 14:09
Спасибо за ответы.
Попробую сформулировать как не осел)
1. Мы не провайдер
2. Циски, аристы и т.д. были лишь как лирическое вступление, конфиги на них не реализованы.
3. пппое и дхцп выходы были реализованы предыдущим админом и просто пока не хочу выпиливать его решения т.к. к миикротику пока только привыкаю и что-то "более простое" в голову не пришло.
Суть моих пыток-попыток это ссимулитровать, сэмулировать поведение нат1, нат2, нат3 для юзера.
Как было: юзеров жестко закрепили за их портами и дали им отдельные сети и вланы соответственно, они просто посещали некий сайт на котором жали нужный нат, летел запрос на Тик, отрабатывал скрипт и все типо счастливы.
Теперь хочется: Убрать жесткую привязку к портам, вланам, сетям, юзер заваливается на тот же сайт, жмет нужный нат, Тик как-то видимо скриптом выцарапывает из арп таблицы нужный мак-айпи и уже с ним работает дальше.
Скорее всего и пппое не нужен будет, я как вкурю микротик и его фишки, так че нить намучу.
Я просто думал, что можно как-то брать нужный айпи и например и пускать его через нат наружу, или выкидывать его в сеть с белым айпишником.
Может как нить через интерфейс лист это делать. У меня просто глаза разбегаются от всех кнопок, а язык и синтаксис тика я еще до конца освоил.
Надеюсь хуже не сделал, спасибо заранее за вашу ругань т.д. и т.п.
Попробую сформулировать как не осел)
1. Мы не провайдер
2. Циски, аристы и т.д. были лишь как лирическое вступление, конфиги на них не реализованы.
3. пппое и дхцп выходы были реализованы предыдущим админом и просто пока не хочу выпиливать его решения т.к. к миикротику пока только привыкаю и что-то "более простое" в голову не пришло.
Суть моих пыток-попыток это ссимулитровать, сэмулировать поведение нат1, нат2, нат3 для юзера.
Как было: юзеров жестко закрепили за их портами и дали им отдельные сети и вланы соответственно, они просто посещали некий сайт на котором жали нужный нат, летел запрос на Тик, отрабатывал скрипт и все типо счастливы.
Теперь хочется: Убрать жесткую привязку к портам, вланам, сетям, юзер заваливается на тот же сайт, жмет нужный нат, Тик как-то видимо скриптом выцарапывает из арп таблицы нужный мак-айпи и уже с ним работает дальше.
Скорее всего и пппое не нужен будет, я как вкурю микротик и его фишки, так че нить намучу.
Я просто думал, что можно как-то брать нужный айпи и например и пускать его через нат наружу, или выкидывать его в сеть с белым айпишником.
Может как нить через интерфейс лист это делать. У меня просто глаза разбегаются от всех кнопок, а язык и синтаксис тика я еще до конца освоил.
Надеюсь хуже не сделал, спасибо заранее за вашу ругань т.д. и т.п.
-
- Сообщения: 185
- Зарегистрирован: 24 ноя 2016, 21:14
то есть у Вас есть железка на которой настроено несколько выходов в Интернет. Вам надо создать страницу на которой пользователь будет выбирать каким именно выходом ему пользоваться.
Самое простое это определять как выходить в сеть через айпи листы фаервола и заносить туда по обращению в определенному порту внутреннего адреса миркротика. Такая конструкция нормально и понятно будет работать в одном адресном пространстве.
Для работы с влан если пользователь воткнут не в микротик ( а по дороге стоит какой-то свитч) придется городить скритпы по управлению всем этим хозяйством. Но с вланами оно весело получится, так как пользователю надо еще и адрес поменять ( VRF у микротика довольно загадочен и оставить пользователю тот же адрес не получится)
Самое простое это определять как выходить в сеть через айпи листы фаервола и заносить туда по обращению в определенному порту внутреннего адреса миркротика. Такая конструкция нормально и понятно будет работать в одном адресном пространстве.
Для работы с влан если пользователь воткнут не в микротик ( а по дороге стоит какой-то свитч) придется городить скритпы по управлению всем этим хозяйством. Но с вланами оно весело получится, так как пользователю надо еще и адрес поменять ( VRF у микротика довольно загадочен и оставить пользователю тот же адрес не получится)
-
- Сообщения: 5
- Зарегистрирован: 21 дек 2018, 14:09
В данном случае выход в инет будет только через один интерфейс, для эмуляции нат1 (так консольщики называют белый айпи), а остальные наты можно реализовать через локальную сеть, просто выкидывая обычным маскарадом. Оркестрировать вланами как раз не хочется , слишком геморно с oid возиться. Сайт на который юзеры(тестировщики) ходят уже есть. В моей голове все обрисовывалось, что скриптом можно повесить ip в адрес лист, что бы потом правилами фаервола указывать натиться им или нет, адрес лист в свою очередь хотелось бы например навешивать на интерфейс лист (что бы потом его выключать в скрипте ), но похоже некоторые функции могут быть не реализуемы. Поэтому и решил для начала спросить у опытных товарищей по микротикам.
-
- Сообщения: 5
- Зарегистрирован: 21 дек 2018, 14:09
Салют всем! Всех с наступившим НГ!
Сам только очнулся от криосна.
Если обмозговать задачу после праздников, то она теперь рисуется так (ж простите за мою изменчивость, я уже писал, что задача на меня упала с прошлого админа и я еще только вливаюсь)
Нужно что бы любой нужный айпи из локальной сети в нужный момент ходил наружу:
а) как буд-то он тусуется за натом
б) в другой момент начинал ходить наружу под белым айпи (есть отдельный диапозон белый айпишников под это дело)
Тем самым, я считаю будет с эмулирована ситуация, когда юзер в нужный нам момент юзает серый айпи и сервисы в сети это понимают, а когда сервисам нужно, что бы к ним обращались через белый айпи, то вуаля, проходите, милости просим.
Заранее всем спс.
Сам только очнулся от криосна.
Если обмозговать задачу после праздников, то она теперь рисуется так (ж простите за мою изменчивость, я уже писал, что задача на меня упала с прошлого админа и я еще только вливаюсь)
Нужно что бы любой нужный айпи из локальной сети в нужный момент ходил наружу:
а) как буд-то он тусуется за натом
б) в другой момент начинал ходить наружу под белым айпи (есть отдельный диапозон белый айпишников под это дело)
Тем самым, я считаю будет с эмулирована ситуация, когда юзер в нужный нам момент юзает серый айпи и сервисы в сети это понимают, а когда сервисам нужно, что бы к ним обращались через белый айпи, то вуаля, проходите, милости просим.
Заранее всем спс.
- Kato
- Сообщения: 271
- Зарегистрирован: 17 май 2016, 04:23
- Откуда: Primorye
непонятно, от нас то чего надо?
Задача явно не для этого раздела... Вам нужен специалист, которые поймет вашу задачу и ее настроит, если это возможно, конечно.
Задача явно не для этого раздела... Вам нужен специалист, которые поймет вашу задачу и ее настроит, если это возможно, конечно.