Перейти до

Linux на сервер доступу (PopTop, Accel-Pptp, RP-PPPoE, ...)

Kremenets WDS ISP

Автор: Kremenets WDS ISP,
в Софт

 Share Подписчики 2

Рекомендованные сообщения

Kremenets WDS ISP

Kremenets WDS ISP 2

Опубликовано:
Опубликовано:

Доброго часу доби.

 

Задача: сервер доступу на Linux (CentOs). 500-700 юзерів онлайн, vlan-и, трафік 200-400 мбс. ксеон квад 2.0, мережева Інтел ЕТ, авторизація на радіусі.

 

Хочу просити Шановну Громаду про послугу (прохання по можливості із аргументами):

- що хто порадить на доступ по pptp;

- по pppoe.

 

Можливо є в заначці якїсь НОУ-ХАУ по швидкому моніторингу цього господарства (ссш, веб, він-утиліти аля вінбокс)...

 

Наперед вдячний за відповіді і потрачений час!

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 50
  • Створено
  • Остання відповідь

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

NiTr0

PPTP - accel-pptp, или accel-ppp PPPoE - rp-pppoe, или accel-ppp L2TP - accel-ppp   Хотя я бы на полновесном дистре это не держал бы; сами уже все роутерно-брасовое хозяйство на LEAF перевели (пос

mr.Scamp

mr.Scamp 41

Опубліковано:
Опубліковано:

Если карта ET - лучше PPTP, так как эта карта осуществляет RSS, исходя из IP-адресов.

На таком железе с этим трафиком достойно справится и freebsd+mpd, и mikrotik.

Если нет желания/времени ковыряться в терминале и править конфиги, могу предложить pfSense, там есть веб-интерфейс с графиками и крутилками.

Ссылка на сообщение
Поделиться на других сайтах
Kremenets WDS ISP

Kremenets WDS ISP 2

Опубліковано:
  • Автор
Опубліковано:

FreeBSD+MPD, Mikrotik

на цей момент практично 0 знань бсд + практично 0 часу на ковиряння :)

 

Прошу все-таки поради на реалізацію під Лінукс

Ссылка на сообщение
Поделиться на других сайтах
Kremenets WDS ISP

Kremenets WDS ISP 2

Опубліковано:
  • Автор
Опубліковано:

Если карта ET - лучше PPTP, так как эта карта осуществляет RSS, исходя из IP-адресов.

Яка реалізація ППТП?

На сервері має одночасно жити і ППТП і ПППоЕ

 

На таком железе с этим трафиком достйно справиться и freebsd+mpd, и mikrotik.

Если нет желания/времени ковыряться в терминале и править конфиги, могу предложить pfSense, там есть веб-интерфейс с графиками и крутилками.

на цей момент практично 0 знань бсд + практично 0 часу на ковиряння :)

 

Прошу все-таки поради на реалізацію під Лінукс

Ссылка на сообщение
Поделиться на других сайтах
andryas

andryas 1 058

Опубліковано:
Опубліковано:

Если карта ET - лучше PPTP, так как эта карта осуществляет RSS, исходя из IP-адресов.

Яка реалізація ППТП?

На сервері має одночасно жити і ППТП і ПППоЕ

 

На таком железе с этим трафиком достйно справиться и freebsd+mpd, и mikrotik.

Если нет желания/времени ковыряться в терминале и править конфиги, могу предложить pfSense, там есть веб-интерфейс с графиками и крутилками.

на цей момент практично 0 знань бсд + практично 0 часу на ковиряння :)

 

Прошу все-таки поради на реалізацію під Лінукс

 

Тоді Вам підійде Mikrotik або щось з Веб-інтерфейсом

Ссылка на сообщение
Поделиться на других сайтах
Kremenets WDS ISP

Kremenets WDS ISP 2

Опубліковано:
  • Автор
Опубліковано:

Тогда Mikrotik, или Vyatta однозначно.

Не хочу порівнювати мягке і тепле...

Відповідно знову ж прошу вибачення, але не про це питання (мікротік,вятта, бсд із мпд...).

Питання чисто по лінуксах...

Ссылка на сообщение
Поделиться на других сайтах
NiTr0

NiTr0 582

Опубліковано:
Опубліковано:

PPTP - accel-pptp, или accel-ppp

PPPoE - rp-pppoe, или accel-ppp

L2TP - accel-ppp

 

Хотя я бы на полновесном дистре это не держал бы; сами уже все роутерно-брасовое хозяйство на LEAF перевели (последними были бордюры) - не нарадуемся.

Ссылка на сообщение
Поделиться на других сайтах
twg

twg 871

Опубліковано:
Опубліковано:

Использую accel-ppp на centOse. И пптп и пппое в 1 флаконе. Радиус не использую. По сравнению с поптоп - намного приятнее. Ставить все на свежие ядра.

Ссылка на сообщение
Поделиться на других сайтах
Kremenets WDS ISP

Kremenets WDS ISP 2

Опубліковано:
  • Автор
Опубліковано:

Использую accel-ppp на centOse. И пптп и пппое в 1 флаконе. Радиус не использую. По сравнению с поптоп - намного приятнее. Ставить все на свежие ядра.

можна тоді зустрічні 3 питання? :)

1 - який білінг?

2 - шейпінг ацела використовуєш?

3 - яке управління юзер-інтерфейсами? (моніторинг, чим прибивати при потрібе, ...)

Ссылка на сообщение
Поделиться на других сайтах
twg

twg 871

Опубліковано:
Опубліковано:

1. самопис

2. нет. TBF. Но буду переделывать на IMQ+HTB. ТБФ работает нормально, но хочется динамически дать юзерам поболее при свободе.

3. Мониториг - у юзера обычный pppX интерфейс. Прибивать echo "terminate if $ppp_iface" | nc 127.0.0.1 2001

Ссылка на сообщение
Поделиться на других сайтах
Kremenets WDS ISP

Kremenets WDS ISP 2

Опубліковано:
  • Автор
Опубліковано:

1. самопис

2. нет. TBF. Но буду переделывать на IMQ+HTB. ТБФ работает нормально, но хочется динамически дать юзерам поболее при свободе.

3. Мониториг - у юзера обычный pppX интерфейс. Прибивать echo "terminate if $ppp_iface" | nc 127.0.0.1 2001

ясно. дякую за вичерпну відповідь.

Ссылка на сообщение
Поделиться на других сайтах
Abram

Abram 98

Опубліковано:
Опубліковано:

accel-ppp.

Є все і відразу.

Ще одна порада: піднімайте одразу L2TP і переводьте туди віндових користувачів. Набагато менше матимите проблем.

Ссылка на сообщение
Поделиться на других сайтах
Kremenets WDS ISP

Kremenets WDS ISP 2

Опубліковано:
  • Автор
Опубліковано:

Ще одна порада: піднімайте одразу L2TP і переводьте туди віндових користувачів. Набагато менше матимите проблем.

упс... Прошу вибачення за назойливість, але в чому вильється зменшення проблем?

Ссылка на сообщение
Поделиться на других сайтах
Kremenets WDS ISP

Kremenets WDS ISP 2

Опубліковано:
  • Автор
Опубліковано:
А почему не на pppoe сразу? На кой вообще L3 тоннели нужны в домашних сетях?

Так історично склалося. На початку був радіо-сегмент із різною топологією (по 2-3 проміжних ретранслятори до БС).

Маю думку. що термінувати пппое на кінцях - це маразм, тягнути їх через еоір також якось не то. От звідси і пптп.

На кабелях зараз одночасно живе і пптп і пппое - на вибір юзерам, хто як хоче - так і підключається...

Ссылка на сообщение
Поделиться на других сайтах
Kremenets WDS ISP

Kremenets WDS ISP 2

Опубліковано:
  • Автор
Опубліковано:

PPTP - accel-pptp, или accel-ppp

PPPoE - rp-pppoe, или accel-ppp

L2TP - accel-ppp

Дякую за пораду.

 

Хотя я бы на полновесном дистре это не держал бы; сами уже все роутерно-брасовое хозяйство на LEAF перевели (последними были бордюры) - не нарадуемся.

А можна детальніше про LEAF? Що це таке, з чим його їсти? :) Словом якусь додаткову інфу, якщо не затрудню...

Ссылка на сообщение
Поделиться на других сайтах
Abram

Abram 98

Опубліковано:
Опубліковано:

Ще одна порада: піднімайте одразу L2TP і переводьте туди віндових користувачів. Набагато менше матимите проблем.

упс... Прошу вибачення за назойливість, але в чому вильється зменшення проблем?

PPTP сам по собі складний і глюкавий, від природи. L2TP - хороша альтернатива для вінди (точніше, PPP over L2TP). Єдина незручність - в вінді потрібно відключати для L2TP IPSec.

Ссылка на сообщение
Поделиться на других сайтах
Kremenets WDS ISP

Kremenets WDS ISP 2

Опубліковано:
  • Автор
Опубліковано:

Ще одна порада: піднімайте одразу L2TP і переводьте туди віндових користувачів. Набагато менше матимите проблем.

упс... Прошу вибачення за назойливість, але в чому вильється зменшення проблем?

PPTP сам по собі складний і глюкавий, від природи. L2TP - хороша альтернатива для вінди (точніше, PPP over L2TP). Єдина незручність - в вінді потрібно відключати для L2TP IPSec.

ясно. дякую за відповідь.

Ссылка на сообщение
Поделиться на других сайтах
NiTr0

NiTr0 582

Опубліковано:
Опубліковано:

А можна детальніше про LEAF? Що це таке, з чим його їсти? :) Словом якусь додаткову інфу, якщо не затрудню...

http://leaf.sourceforge.net

ну или коротко на русском - http://dev.seti.kr.u...ring-uclibc-4_x

Ссылка на сообщение
Поделиться на других сайтах
Kremenets WDS ISP

Kremenets WDS ISP 2

Опубліковано:
  • Автор
Опубліковано:

пробую підняти accel-ppp... стаю на граблі :)

Питання:

- хтось може поділитися робочим конфігом із піднятими службами pptp, pppoe і авторизацією по радіусу (на іншому хості)

 

Наперед вдячний за допомогу... :)

Ссылка на сообщение
Поделиться на других сайтах
Kremenets WDS ISP

Kremenets WDS ISP 2

Опубліковано:
  • Автор
Опубліковано:

а гугль не работает?

на гуглі як відомо ще нікого не банили :)

Лан - поставлю питання конкретніше:

Включив авторизацію через радіус, і не паше....

[modules]
#path=/usr/local/lib/accel-ppp
log_file
#log_tcp
#log_pgsql
pptp
pppoe
#l2tp
radius
auth_mschap_v2
auth_mschap_v1
auth_chap_md5
auth_pap
ippool
sigchld
pppd_compat
#shaper_tbf
#chap-secrets
#net-snmp
#ipv6_nd
#ipv6_dhcp

[radius]
#dictionary=/usr/local/share/accel-ppp/radius/dictionary
nas-identifier=dl360-8-ppp
nas-ip-address=127.0.0.1
gw-ip-address=10.9.9.9
#auth-server=127.0.0.1:1812,testing123 (obsolete)
#acct-server=127.0.0.1:1813,testing123 (obsolete)
server=10.9.9.9,testing321
#dae-server=127.0.0.1:3799,testing123
verbose=1
#timeout=3
#max-try=3
#acct-timeout=120
#acct-delay-time=0

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 2
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Zend
      NAS хранилище Fujitsu ETERNUS DX 90 S2 24x900GB
      Від Zend
      Продам сабж.
      2 контроллера CA07336-C001, в каждом по одном интерфейсном модуле CA07336-C009 (2 x 1Gbps iSCSI)
      HDD: 24 x 900GB SAS 10K
      Исправен.
      С ним могу продать шкафчик того же вендора.
       
      Стоимость - $4000, торг
       

    • Dilan
      Установка Юбиллинг в облаке + удаленные нас
      Від Dilan
      Собственно ищу кто сделает такую связку с нуля под ключ. Тз высылаю в личку. Заранее спасибо.
    • Alain_MG
      GPON, Создание профиля пользователя на RADIUS-сервере
      Від Alain_MG
      Всем привет, Я работаю над проектом GPON с оборудованием OLT GP2508. Я пришел к этапу «АВТОРИЗАЦИЯ» на уровне сервера Freeradius. Мой сабик и вопрос в том, что я хочу создать профиль 512M например на сервере Freeradius, и еще я не хочу ограничение пропускной способности не на уровне сервера PPPoE а скорее на OLT, как сделать чтобы профиль создавался на OLT будет на уровне RADIUS? СПАСИБО
    • andrey326
      Выбираю NAS
      Від andrey326
      Здравствуйте. Есть желание поставить NAS для хранения некого объема информации.
      Реально нужно на 2-3 Тб места, но на сегодняшний день по дискам, думаю выбрать примерно так:
      Western Digital Red Pro NAS 6TB 7200rpm 256MB *4 = 24Тб 
      в raid 10 , соотв 12Тб , чего тоже с запасом хватит,
      Вот по самому NAS пока не определился.
      Какие условия:
      Решение именно NAS, а не ПК с дисками.
      Корзины для горячей замены дисков
      1Гбит медь/ оптика (+ WiFi как вариант)
      Новое.
       
      Для себя точно не решил.... 
      Лучше для монтажа в стойку, или настольное решение? Располагаться NAS на шкафу, на ушах от свитча в ящике, в мебельном шкафу, или в 1U шкафу - по ситуации. 
      Шумность не очень кретична, но и не то что бы не важна.
      Буджет на сам NAS я себе вижу 20-30 хотя бы. и соответственно рассматриваю вариант:
      QNAP TS-431XeU-2G
      https://e-server.com.ua/aktivnoe-setevoe/sistemy-hranenija-dannyh-shd/setevoj-nakopitel-qnap-ts-431xeu-2g-detail
       
      Или лучше NAS SYNOLOGY DX517 , SYNOLOGY DS923+ ? В чем принципиальная разница между первым, и вторым/третьим?
      Кто что посоветует?
    • apels1n
      CCR1036 PPPoE режет скорость абонентам
      Від apels1n
      Доброго времени суток, есть два микрота CCR1036 в качестве брасов. На первом ~800 абонов, на втором ~1000. Оба микрота имеют шейпер на simple queue и нат. С обоими микротами есть проблема, а именно при пппое скорость загрузки 950+ мегабит, а скорость отдачи еле достигает 350 мегабит. Если мерять минуя пппое и шейпер, воткнувшись в микрот напрямую и получув адрес по дхцп, то скорость стабильно 970 мегабит в обе стороны. Пробовал поменять pps для шейпера, поставил вместо 50 pps 500 и скорость отдачи начала доходить до 400 мегабит. У микротов аплинки 10г по оптике, средний трафик с микрота в районе 1.5 - 2 Гбита. Упора в процессор нет, средняя нагрузка в пределах 15-30%. Подскажите в чём может быть дело?
       
      Конфиг
      /interface bridge add admin-mac=08:55:31:B4:51:F8 auto-mac=no name=bridge1 add disabled=yes name=loopback /interface ethernet set [ find default-name=ether2 ] comment=Test_routers /interface vlan add interface=sfp-sfpplus2 name=vlan36 vlan-id=36 add interface=sfp-sfpplus2 name=vlan101 vlan-id=101 add interface=sfp-sfpplus2 name=vlan102 vlan-id=102 add interface=sfp-sfpplus2 name=vlan103 vlan-id=103 add interface=sfp-sfpplus2 name=vlan104 vlan-id=104 add interface=sfp-sfpplus2 name=vlan105 vlan-id=105 add interface=sfp-sfpplus2 name=vlan106 vlan-id=106 add interface=sfp-sfpplus2 name=vlan107 vlan-id=107 add interface=sfp-sfpplus2 name=vlan108 vlan-id=108 add interface=sfp-sfpplus2 name=vlan109 vlan-id=109 add interface=sfp-sfpplus2 name="vlan1426" vlan-id=1426 add interface=sfp-sfpplus2 name=vlan1543 vlan-id=1543 /interface list add name=management /ip pool add name=pool1 ranges=192.168.100.10-192.168.100.20 /ip dhcp-server add address-pool=pool1 interface=ether7 name=dhcp-88 /port set 0 name=serial0 set 1 name=serial1 /ppp profile add change-tcp-mss=yes dns-server=XX.XX.XX.1 local-address=198.18.0.1 name=\ PPPtP add change-tcp-mss=yes dns-server=XX.XX.XX.1 local-address=XX.XX.XX.100 \ name=PPPoE use-compression=no use-encryption=no /queue type set 0 pfifo-limit=500 /routing bgp template set default as=4XXX9 disabled=no input.filter=bgp-in nexthop-choice=\ force-self output.filter-chain=bgp-out .redistribute=connected router-id=\ XX.XX.XX.100 routing-table=main /interface bridge port add bridge=bridge1 interface=ether8 pvid=101 /ip neighbor discovery-settings set discover-interface-list=management /ip settings set max-neighbor-entries=8192 /ipv6 settings set disable-ipv6=yes forward=no max-neighbor-entries=8192 /interface list member add interface=ether8 list=management /interface pppoe-server server add default-profile=PPPoE disabled=no interface=vlan101 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan102 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan103 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan104 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan105 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan106 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan107 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan108 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan109 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan36 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 service-name=vlan36 add default-profile=PPPoE disabled=no interface=ether2 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 /interface pptp-server server set default-profile=PPPtP /ip address add address=XX.XX.XX.100/25 comment="UP IP (NAT no_money)" interface=\ sfp-sfpplus2 network=XX.XX.XX.0 add address=XX.XX.XX.59 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.59 add address=XX.XX.XX.60 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.60 add address=XX.XX.XX.61 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.61 add address=XX.XX.XX.62 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.62 add address=XX.XX.XX.63 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.63 add address=XX.XX.XX.64 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.64 add address=XX.XX.XX.65 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.65 add address=XX.XX.XX.66 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.66 add address=XX.XX.XX.67 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.67 add address=XX.XX.XX.68 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.68 add address=XX.XX.XX.69 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.69 add address=XX.XX.XX.70 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.70 add address=XX.XX.XX.71 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.71 add address=XX.XX.XX.72 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.72 add address=XX.XX.XX.73 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.73 add address=XX.XX.XX.74 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.74 add address=198.18.0.100 comment="For OSPF" disabled=yes interface=loopback \ network=198.18.0.100 add address=192.168.100.1/24 comment=test interface=ether7 network=\ 192.168.100.0 add address=XX.XX.XX.59/29 interface="vlan1426 " network=\ XX.XX.XX.56 add address=10.5.4.2/30 comment="local-management(DONT_TOUCH)" interface=\ ether8 network=10.5.4.0 add address=XX.XX.XX.4/29 interface=vlan1543 network=\ XX.XX.XX.0 /ip dhcp-server network add address=192.168.100.0/24 dns-server=XX.XX.XX.1 gateway=192.168.100.1 netmask=24 /ip dns set servers=XX.XX.XX.1 ip firewall address-list add address=XX.XX.XX.0/24 disabled=yes list=bgp-networks add address=city24.ua comment=city24.ua list=allow_negative add address=privat24.ua comment=privat24.ua list=allow_negative add address=next.privat24.ua comment=next.privat24.ua list=allow_negative /ip firewall nat add action=same chain=srcnat comment="Corp100 -> XX.XX.XX.100" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.100.0/24 to-addresses=XX.XX.XX.100 add action=same chain=srcnat comment="192.168.240.0/24 -> XX.XX.XX.59" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.240.0/24 to-addresses=XX.XX.XX.59 add action=same chain=srcnat comment="192.168.241.0/24 -> XX.XX.XX.60" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.241.0/24 to-addresses=XX.XX.XX.60 add action=same chain=srcnat comment="192.168.242.0/24 -> XX.XX.XX.61" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.242.0/24 to-addresses=XX.XX.XX.61 add action=same chain=srcnat comment="192.168.243.0/24 -> XX.XX.XX.62" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.243.0/24 to-addresses=XX.XX.XX.62 add action=same chain=srcnat comment="192.168.244.0/24 -> XX.XX.XX.63" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.244.0/24 to-addresses=XX.XX.XX.63 add action=same chain=srcnat comment="192.168.245.0/24 -> XX.XX.XX.64" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.245.0/24 to-addresses=XX.XX.XX.64 add action=same chain=srcnat comment="192.168.246.0/24 -> XX.XX.XX.65" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.246.0/24 to-addresses=XX.XX.XX.65 add action=same chain=srcnat comment="192.168.247.0/24 -> XX.XX.XX.66" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.247.0/24 to-addresses=XX.XX.XX.66 add action=same chain=srcnat comment="192.168.248.0/24 -> XX.XX.XX.67" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.248.0/24 to-addresses=XX.XX.XX.67 add action=same chain=srcnat comment="192.168.249.0/24 -> XX.XX.XX.68" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.249.0/24 to-addresses=XX.XX.XX.68 add action=same chain=srcnat comment="192.168.250.0/24 -> XX.XX.XX.69" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.250.0/24 to-addresses=XX.XX.XX.69 add action=same chain=srcnat comment="192.168.251.0/24 -> XX.XX.XX.70" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.251.0/24 to-addresses=XX.XX.XX.70 add action=same chain=srcnat comment="192.168.252.0/24 -> XX.XX.XX.71" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.252.0/24 to-addresses=XX.XX.XX.71 add action=same chain=srcnat comment="192.168.253.0/24 -> XX.XX.XX.72" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.253.0/24 to-addresses=XX.XX.XX.72 add action=same chain=srcnat comment="192.168.254.0/24 -> XX.XX.XX.73" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.254.0/24 to-addresses=XX.XX.XX.73 add action=same chain=srcnat comment="192.168.255.0/24 -> XX.XX.XX.74" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.255.0/24 to-addresses=XX.XX.XX.74 add action=same chain=dstnat disabled=yes dst-address-list=pub_dns \ same-not-by-dst=no to-addresses=XX.XX.XX.1 add action=same chain=srcnat comment="negative 192.168 -> XX.XX.XX.100" \ dst-address-list=allow_negative out-interface=sfp-sfpplus2 \ same-not-by-dst=yes src-address-list=negative to-addresses=XX.XX.XX.100 add action=dst-nat chain=dstnat comment="Negative redirect to Billing" \ dst-port=80,443 log-prefix=Negtive protocol=tcp src-address-list=negative \ to-addresses=XX.XX.XX.236 to-ports=2096 add action=masquerade chain=srcnat dst-address-list=fix-blocked-sites \ out-interface-list=bypass src-address-list=!negative to-addresses=\ 78.154.181.59 /ip firewall raw add action=drop chain=prerouting comment=Block-RU disabled=yes \ dst-address-list=block add action=drop chain=prerouting comment="Full block TCP negative (not WWW)" \ dst-address-list=!allow_negative dst-port=!53 protocol=tcp \ src-address-list=negative add action=drop chain=prerouting comment="Full block UDP negative (not WWW)" \ dst-address-list=!allow_negative dst-port=!53 protocol=udp \ src-address-list=negative add action=drop chain=prerouting comment=Block-WInBox-not-from-management \ dst-port=8291 protocol=tcp src-address-list=!allowed_management add action=drop chain=prerouting comment=Block-SSH-not-from-management \ dst-port=7722 protocol=tcp src-address-list=!allowed_management add action=drop chain=prerouting comment=Block-SNMP-not-from-zabbix dst-port=\ 161 protocol=udp src-address=!XX.XX.XX.236 /ip route add disabled=no dst-address=0.0.0.0/0 gateway=XX.XX.XX.1 /ppp aaa set interim-update=5m use-radius=yes /radius add address=XX.XX.XX.236 comment=Billing service=ppp /radius incoming set accept=yes port=XXXX /routing bgp connection add as=4XXX9 disabled=no input.filter=ospf-in listen=yes local.address=\ XX.XX.XX.100 .role=ibgp name=border nexthop-choice=force-self \ output.filter-chain=ospf-out .redistribute=connected remote.address=\ XX.XX.XX.1/25 .as=4XXX9 router-id=XX.XX.XX.100 routing-table=main \ templates=default add cisco-vpls-nlri-len-fmt=auto-bits connect=yes listen=yes local.role=ibgp \ name=mikrot101 nexthop-choice=force-self remote.address=XX.XX.XX.101 \ .as=4XXX9 .port=179 templates=default /routing filter rule add chain=ibgp-in disabled=no rule=\ "if (dst in XX.XX.XX.128/25 && dst-len==32) {accept} else {reject}" add chain=ibgp-out disabled=no rule=\ "if (dst in XX.XX.XX.128/25 && dst-len==32) {accept} else {reject}" /system logging set 0 topics=info,!ppp,!pppoe set 1 topics=error,!ppp /system ntp client set enabled=yes /system ntp client servers add address=0.ua.pool.ntp.org add address=1.ua.pool.ntp.org add address=2.ua.pool.ntp.org add address=3.ua.pool.ntp.org /tool bandwidth-server set enabled=no /tool mac-server set allowed-interface-list=management /tool mac-server mac-winbox set allowed-interface-list=management /tool mac-server ping set enabled=no  
×
×
  • Створити нове...