Jump to content
Local
mac

Mikrotik как удаленный NAS

Recommended Posts

Добрый день, форумчане!

Хотелось бы услышать мнения как лучше реализовать связь биллинга и удаленного шлюза Mikrotik.

Зная, что ubilling поддерживает этот тип NAS, выбрали его.
Не разбираюсь в Mikrotik :( Но интересно связать это все до кучи.

Думаю архитектура системы будет такая как на рисунке. Я так понимаю, без тунеля не обойтись.

Потому как

  1. нужно чтобы работал кабинет пользователя и UHW (маршрутизировать в тунель обращение к 10.1.0.0/16 и 172.16.0.0)
  2. нужно передавать данные Mikrotik API. Ведь без тунеля они будут идти в открытом виде через Интернет.
    Или можно использовать шифрованный вариант API ?
  3. нужно все запросы DHCP релеить в тунель к серверу биллинга.
    Или можно настроить релеить только обращение с неизвестных MAC, а остальные обслужит локальный DHCP сервер ?

Но эта схема имеет большущий минус: при нарушении связности сети между Mikrotik и Ubilling, абоненты перестанут получать IP адреса через релей.

Или все таки Ubilling может задать пары MAC-IP локальному DHCP серверу через "модуль «Расширенная настройка MikroTik» - галочку напротив«Управлять DHCP»" и они сохраняются в конфиге???

Как можно предусмотреть автономность системы на Mikrotik, чтобы он, при потери связи с биллингом, автоматически продолжал предоставлять доступ в интернет и при этом получить нормальный функционал биллинга, когда со связью все в порядке?

Прошу поделится мыслями.
 

post-15601-0-61974200-1386773117_thumb.png

Edited by mac

Share this post


Link to post
Share on other sites

Да легко барин . Я вообще не представляю накой вам тот айписек ?  У вас удаленный роутер  на котором вы предоставляете доступ пользователям . Включайте радиус клиента на удаленном роутере и в бой .  у меня такие цяцьки работают годами , на удаленном роутере используется РРРоЕ туннели для клиентов , даже если биллинг отвалится авторизованные клиенты продолжают работать , вот только новые не авторизуются ибо радиус сервер не ответит .

Share this post


Link to post
Share on other sites

Я вообще не представляю накой вам тот айписек ?

Речь идет просто о необходимости шифрованного тунеля между сетями, чтобы был доступ к кабинету пользователя по его серому IP, использовать безопасно Mikrotik API, релеить запросы с, например, неизвестных мак адресов

Share this post


Link to post
Share on other sites

А как вы смотрите на вариант создания IPSec + EoIP (прозрачный L2-тоннель)?  ;)

Share this post


Link to post
Share on other sites

А как вы смотрите на вариант создания IPSec + EoIP (прозрачный L2-тоннель)?  ;)

Поправьте меня, но в этом случае весь трафик пойдет к биллингу, не только служебный к внутренним ресурсам?

Или можно настроить правила mikrotik firewall, чтобы трафик идущий на IP локального интерфейса сервера биллинга направить мимо NAT mikrotikа в IPSec тунель и аналогично обратно?

 

На всякий случай уточню по схеме, тунель - это или IPsec , или PPTP (но не один внутри другого).

Share this post


Link to post
Share on other sites

А вообще, попробовал стенд без использования туннеля, при пропадании связи между роутерами, Микротик автономно выдает IP абонентам и выпускает в Интернет, которым было разрешено ходить в Интернет до пропадания связи. Вполне автономно получается.

Share this post


Link to post
Share on other sites

EoIP просто позволяет пользоваться всеми дополнительными сервисами, такими как UHW, редирект должников.. EoIP-тоннель - это как эмуляция воткнутого кабеля прямо в сервер FreeBSD.. Но, при пропадании связи по одному из аплинковых подключений - связь разрывается.. 

Share this post


Link to post
Share on other sites

добрый день, посмотрел схему подключения связки Mikrotik и Ubilling на Вашем wiki. Не очень понятно зачем сделан линк между igb0 и интернет? достаточно ли будет на сервер Ubilling одного сетевого интерфейса. На сколько я помню, раньше была именно такая схема подключения, с одной сетевой картой в сервере Ubilling.

Share this post


Link to post
Share on other sites

Не очень понятно зачем сделан линк между igb0 и интернет?

Ну, мне так захотелось.. Может я хочу использовать его, как основной сервер ДНС или в случае краха какого либо из "серверов" MikroTik иметь возможность временно зароутить весь трафик через биллинг? 

 

достаточно ли будет на сервер Ubilling одного сетевого интерфейса. На сколько я помню, раньше была именно такая схема подключения, с одной сетевой картой в сервере Ubilling.

Да, достаточно... Как включить сервер в сеть - думать только вам.. Вот мне захотелось так...  ;)

Edited by jcomm

Share this post


Link to post
Share on other sites

Не очень понятно зачем сделан линк между igb0 и интернет? достаточно ли будет на сервер Ubilling одного сетевого интерфейса.

Самое интересное, что до появления картинки таких вопросов не возникало, несмотря на следующие строки в wiki:

  1. Сервер Ubilling:
    1. Установлен при помощи UBinstaller
    2. Параметры:
      1. Внешний интерфейс, igb0 - 63.163.105.6/29
      2. Локальный интерфейс, igb1 - 10.0.0.254/24
:) :) :)
 
Вывод: документацию читать никто не хочет и надо писать документацию в стиле "Установка NAS в картинках".. Может тогда начнем ее внимательно смотреть...
 
P.S. Просто мысли вслух..
Edited by jcomm

Share this post


Link to post
Share on other sites

EoIP просто позволяет пользоваться всеми дополнительными сервисами, такими как UHW, редирект должников.. EoIP-тоннель - это как эмуляция воткнутого кабеля прямо в сервер FreeBSD.. Но, при пропадании связи по одному из аплинковых подключений - связь разрывается.. 

Да, это все хорошо, это плюсы.

 

Как минусы этого решения:

  1. бродкаст от абонентов микротика тоже пойдет в туннель,
  2. неавтономность - если пропадет связь у только сервера биллинга, тогда не будут обновлятся лизы и не будет выхода в интернет,
  3. сильная дополнительная нагрузка на внешний канал сервера биллинга

Тема не закрыта. Сейчас бросил заниматься этим вопросом. Планирую вернутся позже...

 

П.С.

 

Вывод: документацию читать никто не хочет и надо писать документацию в стиле "Установка NAS в картинках".. Может тогда начнем ее внимательно смотреть...

ага, и еще видео желательно :D

Share this post


Link to post
Share on other sites

бродкаст от абонентов микротика тоже пойдет в туннель

Хмм, и что в этом плохого? собственно с этой целью и используется EoIP...

 

неавтономность - если пропадет связь у только сервера биллинга, тогда не будут обновлятся лизы и не будет выхода в интернет

Конечно, если поставить биллинг дома, за 80 грн. за 100 Мбит и выключать на ночь, чтобы за свет платить меньше пришлось...

 

Сильная дополнительная нагрузка на внешний канал сервера биллинга

А здесь можно поподробнее, чем же грузится внешний канал биллинга, при использовании EoIP? Лично у меня EoIP занимает ~100 Кбит/сек. трафика..

Edited by jcomm

Share this post


Link to post
Share on other sites

А здесь можно поподробнее, чем же грузится внешний канал биллинга, при использовании EoIP? Лично у меня EoIP занимает ~100 Кбит/сек. трафика..

 

Ваш вопрос наводить меня на мысль, что я протупил :)

 

EoIP-тоннель - это как эмуляция воткнутого кабеля прямо в сервер FreeBSD..

 

т.е. не весь трафик завернется в туннель (в смысле так можно сделать):

пользователи за Микротиком в инет будут ходить через его внешний канал, а бродкаст пользовательского бродкаст-домена и трафик в кабинет пользователя - через EoIP туннель?

Share this post


Link to post
Share on other sites

Поздравляю с открытием такой штуки как маршрутизация.

Share this post


Link to post
Share on other sites

Nightfly выразил всё мысли...  :)

p.s. Именно так и нужно сделать...

Share this post


Link to post
Share on other sites

Годы спустя  :) все было настроено и заработало как надо.

Спасибо всем тем форумчанам, кто отвечал на мои вопросы.

Как это выглядет в итоге можно почитать на этой страничке.

Написано для себя, чтобы не забыть, но может быть окажется полезным кому-то еще.

Share this post


Link to post
Share on other sites

 

 

Как это выглядет в итоге можно почитать на этой страничке. Написано для себя, чтобы не забыть, но может быть окажется полезным кому-то еще.

С вашего разрешения ;)добавил линк в вику.

Share this post


Link to post
Share on other sites

Доброго времени суток!
Почитал вики, почитал блог mac-a.
У меня практически такаяже схема подключения, только вместо опенвпна я тренируюсь с пптп(пока не взлетит на тестовом стенде).

При добавлении наса в убиллинг - видно в логе микротика, что по апи пользователь билинга конектится.
Настроил МТК по вики убиллинга, но на него нет выгрузки статик лиз и правил файрвола, неподскажите куда посмотреть?
Галочкина управление этими подсистемами в убилинге поставил.

В какой момент убиллинг делает выгрузку настроек в МТК? можно ли ее принудительно форсировать?

И еще подскажите, что нужно прописывать в разделе "Сервера доступа (NAS)" в поле "Ссылка на Bandwidthd" если насом является микротик(в вики не нашел)?

Заранее благодарен за пинок в нужную сторону.

Share this post


Link to post
Share on other sites

Доброго времени суток!

Почитал вики, почитал блог mac-a.

У меня практически такаяже схема подключения, только вместо опенвпна я тренируюсь с пптп(пока не взлетит на тестовом стенде).

 

При добавлении наса в убиллинг - видно в логе микротика, что по апи пользователь билинга конектится.

Настроил МТК по вики убиллинга, но на него нет выгрузки статик лиз и правил файрвола, неподскажите куда посмотреть?

Галочкина управление этими подсистемами в убилинге поставил.

В какой момент убиллинг делает выгрузку настроек в МТК? можно ли ее принудительно форсировать?

И еще подскажите, что нужно прописывать в разделе "Сервера доступа (NAS)" в поле "Ссылка на Bandwidthd" если насом является микротик(в вики не нашел)?

Заранее благодарен за пинок в нужную сторону.

Модуль «Сервера доступа»: появилась возможность для NAS типа Mikrotik Direct указывать URL Bandwidthd в виде http://nas/graphs/queue/

 

У меня заработали лизы после маленького исправления.

файл /etc/stargazer/system/executer/tpls/dhcp.ini

допишите к параметру address-list букву s (address-lists)

Share this post


Link to post
Share on other sites

Настроил МТК по вики убиллинга, но на него нет выгрузки статик лиз и правил файрвола, неподскажите куда посмотреть?

Версию RouterOS уточните. Проверьте, что user имеет права read, write, api и что биллингу разрешено управлять с ip адреса биллинга

 

В какой момент убиллинг делает выгрузку настроек в МТК? можно ли ее принудительно форсировать?

Биллинг передает настройки сразу после добавления НАС, но только пользователей с неотрицательным балансом на счету. Форсировать - ну можно рестарт stg сделать.

Edited by mac

Share this post


Link to post
Share on other sites

 

Настроил МТК по вики убиллинга, но на него нет выгрузки статик лиз и правил файрвола, неподскажите куда посмотреть?

Версию RouterOS уточните. Проверьте, что user имеет права read, write, api и что биллингу разрешено управлять с ip адреса биллинга

 

В какой момент убиллинг делает выгрузку настроек в МТК? можно ли ее принудительно форсировать?

Биллинг передает настройки сразу после добавления НАС, но только пользователей с неотрицательным балансом на счету. Форсировать - ну можно рестарт stg сделать.

 

ROS ver 6.32.4, также пробовал 6.34.2, 6.34.3.

Юзер имеет права write, согласно доке юбиллинга, в логе микротика вижу, что по апи пользователь биллинга логинится. В биллинге в настройках наса отображаются интерфейсы и инфо о роутере. Но АЦЛи не добавляются/правятся.

Полный ресет/ресет юзера тоже не помогает выгрузить АЦЛи.

Edited by FreeManGH

Share this post


Link to post
Share on other sites

Тогда проверьте напрямую, без туннеля.

Добавьте wan адрес вашего биллинга в микротик

/ip service set api address=IP.OF.BI.LL/32

а в настройках НАС - wan адрес микротик. Проверьте чтобы "API порт" микротика был открыт

Share this post


Link to post
Share on other sites

B догонку. У вас когда pptp туннель установлен пинг проходит между микротиком и убиллингом?

Edited by mac

Share this post


Link to post
Share on other sites

не сильно вникал во все что было написано.....но похожая ситуевина может быть если не указал интерфейс смотрящий в сторону людей в расширенных настройках микрота на убилле....

Share this post


Link to post
Share on other sites

B догонку. У вас когда pptp туннель установлен пинг проходит между микротиком и убиллингом?

если по API логинется значит они видят друг друга....только микрот не понимает что от него хотят

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By DAnEq
      root@nas-bras:~/ubinstaller/nas_preconf # ./autosetup.sh ./autosetup.sh: Permission denied.
      ладно, мы не гордые
      root@nas-bras:~/ubinstaller/nas_preconf # sh autosetup.sh The package management tool is not yet installed on your system. Do you want to fetch and install it now? [y/N]: y Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/FreeBSD:11:amd64/quarterly, please wait... Verifying signature with trusted certificate pkg.freebsd.org.2013102301... done Installing pkg-1.11.1... Extracting pkg-1.11.1: 100% pkg-1.11.1 Package manager pkgng.installer: pkg2ng: not found NAS_120_64.tar.gz 100% of 99 MB 8287 kBps 00m12s x NAS_120_64/trafshow-5.2.3_2,1.txz далее куча сообщений подобного рода
      и потом
      Installing bandwidthd-2.0.1_11...
      pkg: wrong architecture: FreeBSD:12:amd64 instead of FreeBSD:11:amd64
      и так еще 62 пакета
       
      потом соответственно куча FAIL! not found No such file or directory
       
      но
       
      uname -a
      FreeBSD nas-bras 11.2-RELEASE FreeBSD 11.2-RELEASE #0 r335510: Fri Jun 22 04:32:14 UTC 2018     root@releng2.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC  amd64

      такая же самая на которую на соседней виртуалке без проблем накатил убиллинг

      вопрос.
      что взять для наса ?
      11.0 или 11.1 ?
    • By vovam
      Продам залишки:
      1. mikrotik rb-750 - дохла мережа - 3шт
      2. mikrotik rb-750gl - дохла мережа - 1шт
      3. mikrotik omnitik 5fe - без копуса з припаяною антеною 2х2 - вмикається
      4.mikrotik rb-411 - вмикається, можна зайти winbox-ом, без радіокарти
       
      За все - 700грн
       
      5.корпус rb-2011rm - з вухами - 400грн
       


    • By Ronhel
      Приветствую всех!
      Между двумя удаленными офисами на микротах поднят впн SSTP. Офисы находятся в разных подсетях (192.168.2.0  и .5.0). Настроена маршрутизация, ничего сложного - компы одной подсети пингуют компы другой подсети и наоборот. При трасерте показывает две точки маршрутизатции (микрот офис1 192.168.2.1; микрот офис2 адрес sstp 10.200.201.11).
      Но в сети .2.0 стоит АТС-сервер Астериск .2.200. Из .5.0 есть юзеры которые регистрируют софт-фон на АТС и вот что происходит.
      По правилам маршрутизации айпи отправителя и получателя в пакете не меняются, меняются только маки отправителя и получателя. Т.е. например, на .2.200 должен прийти запрос на регистрацию от .5.10:5060 (порт регистрации в астере). А на самом деле приходит 192.168.2.1:5060! Но если пойдут запросы от других компов подсети .5.0 - они все регистрируются от 192.168.2.1, только под разными портами. В результате телефония не работает.
      Та же самая проблема с индивидуальными ВПН-клиентами, все они регистрируются из под .2.1.
      Я понял бы что они проходят НАТ, но они работают по туннелю и НАТ проходить не должны. Для тестов поднял ВПН на внутреннем интерфейсе микрота, он тоже зарегистрировался от .2.1.
      Итак, вопрос! Как сделать при ВПН так, чтобы пользователи из другой подсети регистрировались под своими айпи?
      Кстати, для теста поверх поднял EOIP и объединил удаленный офис во 2ю подсеть,  при трасерте маршрутизаторов нет, а компы из второго офиса начали регистрироваться под своими айпи (теперь уже тоже 2й подсети). Но такой вариант не подходит, ибо пула в дальнейшем не хватит на количество пользователей. Да и два туннеля заметно режут скорость.
    • By XaHa
      Продам б/в обладнання з РОЕ:
       
      Nanostation M5 - 1000 грн/шт
      Nanostation loco M5 - 800 грн/шт
      NanoBridge M5 - 1000 грн/шт
      Nanostation M2 - 1000 грн/шт
      NanoBridge M2 - 1000 грн/шт
       
      Mikrotik RB711-2Hn (mmcx) + Antenabox2 - 600 грн/шт
       
      В наявності - багато!
      На кількості - торг!
    • By kotqq
      Нужен новый, вопрос актуален сегодня
×