Совместная работа микротик и трафик инспектор

Обсуждение оборудования и его настройки
Ответить
tarabukinivan
Сообщения: 4
Зарегистрирован: 24 дек 2013, 16:51

Здравствуйте Уважаемые Администраторы!

Вот у меня такая проблема. Стоит сервер (win server 2008r2) с внутренний ip 192.168.1.1 и раздает в локалку с 192.168.1.3 по 192.168.1.254. На нем стоит traffic inspector 2.0.0.644. Еще в прошлом году ставил. Все работает никто до него не дотрагивается. Нынче осеню сказали в общагу поставить wifi (работаю в техникуме. Хотят студентам продавать мегабайты). Купили микротики rb751u-2HnD.
Изображение

До этого никогда их не ставил. Не знаю как надо было сделать. Вобщем сделал так:
Микротики сами занимают ip 192.168.1.18-192.168.1.23. И раздают на свой внутренний интерфейс с 192.168.88.2-*.254. Авторизацию в трафик инспекторе сделал через логин и пароль (не ip). Получилась такая вещь: если один клиент зашел через трафик агент, то если второй человек хочет зайти через свой агент, то агент выдает ошибку «С вашего устройства уже работают под другим именем». И трафик агент не авторизуется, но интернет все равно появляется и мобильные устройства спокойно могут зайти (на самом деле они вообще зайти не должны). А весь трафик идет с первого авторизовавшегося.
Настройка микротик:
микротик имеет один внешний айпи (например 192.168.1.24) и на внутренний интерфейс автоматически без пароля, без wep, без ничего раздает айпи с 192.168.88.2-192.168.88.254 (По замыслу пусть будет холявный внутренний сеть (не объязательно, но если появится ничего страшного), а на выход инет холявщиков должен остановить трафик инспектор).
Если подумать один микротик имеет один айпи, но подключает несколько устройств (см. настройка микротик) поэтому чтоли трафик инспектор думает один и тот же клиент. Я подумал если авторизация в трафик инспектор происходит по логину и паролю, а не по айпи, то должно получится.
Подумал в трафике авторизацию по mac сделать, но если логин и пароль не подошло, то наверное и это не пройдет.
Пожалуйста посоветуйте как правильно надо организовать такую сеть. Рыл кучу статей, форумов даже похожего не нашел (Ищу уже несколько дней). Если у кого найдется подробная инструкция вообще прекрасно было бы. Совсем ничего в голову не заходит.
Посоветовали так:
Не надо никаких вланов. Поставьте после сервера микротик, включите OSPF. На трафик инспекторе пропишите маршрут, что сеть вида 192.168.0.0/16 находится на микротике, с другой стороны обратное действие, что сеть 0.0.0.0/0 на трафик инспекторе. Далее на всех микротиках в сети выключаете нат, маршрутизация сама поднимется по OSPF. После чего все клиенты смогут работать со своими адресами.
Следующий шаг переход на PPPoE. создайте базу учеток на микротике, а на трафик инспекторе только ведите базу адресов с логинами. Это позволить увеличить стабильность работы сети, а вас избавит от необходимости выдавать IP адреса абонентам с других устройств.
Но я неразбираюсь в них. Может у Вас есть подробная инструкция по настройке. Ни один я же микротик с ТИ совмещаю.Заранее благодарен за ответ.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

вы бы для начала сходили на сайт трафик инспектора и почитали там. потому что основной вопрос тут у вас с биллингом, и на их форуме у вас больше шансов найти ответ.
лет 7 назад скрещивание ТИ с Микротиком было одним большим приключением, что там сейчас не знаю. По хорошему ТИ - это система которая предполагает, что ПО стоит на самом сервере, и authentication, authorization, accounting выполняет одно устройство. раньше там было что то вроде режима прослушки, когда сервер стоял рядом со сторонним шлюзом, слушал (снифил) трафик пользователей, считал его и управлял через запуск скриптов. что там сейчас не знаю, но беглый просмотр документации подсказывает мне, что ничего не изменилось.

кстати, самый главный вопрос, который я не понял ни из вашего описания, ни из вашей картинки.
кто все таки изначально раздаёт интернет?
я понял, что пользователи у вас объединены в группы через микротики, а откуда сами микротики берут интернет?


tarabukinivan
Сообщения: 4
Зарегистрирован: 24 дек 2013, 16:51

А можно ли микротик настроить так, чтобы он просто пропускал устройств через себя на сервер. (Чтобы работал просто как хаб)
Например: сервер с ТИ имеет ip 192.168.1.1/24 в локальный интерфейс. От него в хаб и от него уже раздается. С хаба сеть по витой паре на пк1,пк2...пкN на которых стоит 192.168.1.ххх/24 и шлюз 192.168.1.1 нормально авторизуются и работает.
Как бы у пк подключенных через вай фай был 192.168.1.ххх/24 и авторизацию проходилы как обычные пк с хаба. Или что нибудь в этом роде. ДНСП всякое не нужно. Чтобы просто пропускал под своими ip.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну по умолчанию, микротик и так пропускает всех со своими адресами. просто в общем случае ( не в вашем, нет никаких ТИ) нужно локальную сеть закрывать от внешнего мира
единственное, вы пишете, что за каждым микротиком сеть 192.168.88.0/24 - если вы захотите, чтобы каждый из микротиков пропускал людей прозрачно, и ТИ определял каждого пользователя, то вам за каждым микротиком надо сделать уникальную сеть.
а так, вообще, у вас на каждом из микротиков в IP - FIREWALL - NAT должно быть правило src-nat или masquarade, которое собственно говоря подменяет реальный адрес пользователя, на адрес самого микротика. его то и надо убрать. и будет микротик работать не как свитч, а как роутер, но который не будет nat'ить пользователей. ну и на самом сервере с ТИ надо будет создать статические маршруты до каждой из подсетей пользователей, т.е.:
192.168.88.0/24 via 192.168.1.20, 192.168.89.0/24 via 192.168.1.21


tarabukinivan
Сообщения: 4
Зарегистрирован: 24 дек 2013, 16:51

Спасибо большое за ответ. А как сделать чтобы пользователи одного микротика не видели друг друга а то будут все друг у друга перекачивать при раздаче моей айпи вида 192.168.88.ххх.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Что значит перекачивать? Раскройте свою мысль. Вообще это делается фаерволом, но я не уверен что понимаю вас.


tarabukinivan
Сообщения: 4
Зарегистрирован: 24 дек 2013, 16:51

Имел виду кто угодно будут использовать микротик для своих нужд. видеть друг друга и соединится между собой и играть. Или нет?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

tarabukinivan писал(а):Имел виду кто угодно будут использовать микротик для своих нужд. видеть друг друга и соединится между собой и играть. Или нет?

Абракадабра какая-то


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

tarabukinivan писал(а):Имел виду кто угодно будут использовать микротик для своих нужд. видеть друг друга и соединится между собой и играть. Или нет?

Ну как настроите так и будет.


Ответить