Jump to content
Local
mac

Mikrotik как удаленный NAS

Recommended Posts

Добрый день, форумчане!

Хотелось бы услышать мнения как лучше реализовать связь биллинга и удаленного шлюза Mikrotik.

Зная, что ubilling поддерживает этот тип NAS, выбрали его.
Не разбираюсь в Mikrotik :( Но интересно связать это все до кучи.

Думаю архитектура системы будет такая как на рисунке. Я так понимаю, без тунеля не обойтись.

Потому как

  1. нужно чтобы работал кабинет пользователя и UHW (маршрутизировать в тунель обращение к 10.1.0.0/16 и 172.16.0.0)
  2. нужно передавать данные Mikrotik API. Ведь без тунеля они будут идти в открытом виде через Интернет.
    Или можно использовать шифрованный вариант API ?
  3. нужно все запросы DHCP релеить в тунель к серверу биллинга.
    Или можно настроить релеить только обращение с неизвестных MAC, а остальные обслужит локальный DHCP сервер ?

Но эта схема имеет большущий минус: при нарушении связности сети между Mikrotik и Ubilling, абоненты перестанут получать IP адреса через релей.

Или все таки Ubilling может задать пары MAC-IP локальному DHCP серверу через "модуль «Расширенная настройка MikroTik» - галочку напротив«Управлять DHCP»" и они сохраняются в конфиге???

Как можно предусмотреть автономность системы на Mikrotik, чтобы он, при потери связи с биллингом, автоматически продолжал предоставлять доступ в интернет и при этом получить нормальный функционал биллинга, когда со связью все в порядке?

Прошу поделится мыслями.
 

post-15601-0-61974200-1386773117_thumb.png

Edited by mac

Share this post


Link to post
Share on other sites

Да легко барин . Я вообще не представляю накой вам тот айписек ?  У вас удаленный роутер  на котором вы предоставляете доступ пользователям . Включайте радиус клиента на удаленном роутере и в бой .  у меня такие цяцьки работают годами , на удаленном роутере используется РРРоЕ туннели для клиентов , даже если биллинг отвалится авторизованные клиенты продолжают работать , вот только новые не авторизуются ибо радиус сервер не ответит .

Share this post


Link to post
Share on other sites

Я вообще не представляю накой вам тот айписек ?

Речь идет просто о необходимости шифрованного тунеля между сетями, чтобы был доступ к кабинету пользователя по его серому IP, использовать безопасно Mikrotik API, релеить запросы с, например, неизвестных мак адресов

Share this post


Link to post
Share on other sites

А как вы смотрите на вариант создания IPSec + EoIP (прозрачный L2-тоннель)?  ;)

Share this post


Link to post
Share on other sites

А как вы смотрите на вариант создания IPSec + EoIP (прозрачный L2-тоннель)?  ;)

Поправьте меня, но в этом случае весь трафик пойдет к биллингу, не только служебный к внутренним ресурсам?

Или можно настроить правила mikrotik firewall, чтобы трафик идущий на IP локального интерфейса сервера биллинга направить мимо NAT mikrotikа в IPSec тунель и аналогично обратно?

 

На всякий случай уточню по схеме, тунель - это или IPsec , или PPTP (но не один внутри другого).

Share this post


Link to post
Share on other sites

А вообще, попробовал стенд без использования туннеля, при пропадании связи между роутерами, Микротик автономно выдает IP абонентам и выпускает в Интернет, которым было разрешено ходить в Интернет до пропадания связи. Вполне автономно получается.

Share this post


Link to post
Share on other sites

EoIP просто позволяет пользоваться всеми дополнительными сервисами, такими как UHW, редирект должников.. EoIP-тоннель - это как эмуляция воткнутого кабеля прямо в сервер FreeBSD.. Но, при пропадании связи по одному из аплинковых подключений - связь разрывается.. 

Share this post


Link to post
Share on other sites

добрый день, посмотрел схему подключения связки Mikrotik и Ubilling на Вашем wiki. Не очень понятно зачем сделан линк между igb0 и интернет? достаточно ли будет на сервер Ubilling одного сетевого интерфейса. На сколько я помню, раньше была именно такая схема подключения, с одной сетевой картой в сервере Ubilling.

Share this post


Link to post
Share on other sites

Не очень понятно зачем сделан линк между igb0 и интернет?

Ну, мне так захотелось.. Может я хочу использовать его, как основной сервер ДНС или в случае краха какого либо из "серверов" MikroTik иметь возможность временно зароутить весь трафик через биллинг? 

 

достаточно ли будет на сервер Ubilling одного сетевого интерфейса. На сколько я помню, раньше была именно такая схема подключения, с одной сетевой картой в сервере Ubilling.

Да, достаточно... Как включить сервер в сеть - думать только вам.. Вот мне захотелось так...  ;)

Edited by jcomm

Share this post


Link to post
Share on other sites

Не очень понятно зачем сделан линк между igb0 и интернет? достаточно ли будет на сервер Ubilling одного сетевого интерфейса.

Самое интересное, что до появления картинки таких вопросов не возникало, несмотря на следующие строки в wiki:

  1. Сервер Ubilling:
    1. Установлен при помощи UBinstaller
    2. Параметры:
      1. Внешний интерфейс, igb0 - 63.163.105.6/29
      2. Локальный интерфейс, igb1 - 10.0.0.254/24
:) :) :)
 
Вывод: документацию читать никто не хочет и надо писать документацию в стиле "Установка NAS в картинках".. Может тогда начнем ее внимательно смотреть...
 
P.S. Просто мысли вслух..
Edited by jcomm

Share this post


Link to post
Share on other sites

EoIP просто позволяет пользоваться всеми дополнительными сервисами, такими как UHW, редирект должников.. EoIP-тоннель - это как эмуляция воткнутого кабеля прямо в сервер FreeBSD.. Но, при пропадании связи по одному из аплинковых подключений - связь разрывается.. 

Да, это все хорошо, это плюсы.

 

Как минусы этого решения:

  1. бродкаст от абонентов микротика тоже пойдет в туннель,
  2. неавтономность - если пропадет связь у только сервера биллинга, тогда не будут обновлятся лизы и не будет выхода в интернет,
  3. сильная дополнительная нагрузка на внешний канал сервера биллинга

Тема не закрыта. Сейчас бросил заниматься этим вопросом. Планирую вернутся позже...

 

П.С.

 

Вывод: документацию читать никто не хочет и надо писать документацию в стиле "Установка NAS в картинках".. Может тогда начнем ее внимательно смотреть...

ага, и еще видео желательно :D

Share this post


Link to post
Share on other sites

бродкаст от абонентов микротика тоже пойдет в туннель

Хмм, и что в этом плохого? собственно с этой целью и используется EoIP...

 

неавтономность - если пропадет связь у только сервера биллинга, тогда не будут обновлятся лизы и не будет выхода в интернет

Конечно, если поставить биллинг дома, за 80 грн. за 100 Мбит и выключать на ночь, чтобы за свет платить меньше пришлось...

 

Сильная дополнительная нагрузка на внешний канал сервера биллинга

А здесь можно поподробнее, чем же грузится внешний канал биллинга, при использовании EoIP? Лично у меня EoIP занимает ~100 Кбит/сек. трафика..

Edited by jcomm

Share this post


Link to post
Share on other sites

А здесь можно поподробнее, чем же грузится внешний канал биллинга, при использовании EoIP? Лично у меня EoIP занимает ~100 Кбит/сек. трафика..

 

Ваш вопрос наводить меня на мысль, что я протупил :)

 

EoIP-тоннель - это как эмуляция воткнутого кабеля прямо в сервер FreeBSD..

 

т.е. не весь трафик завернется в туннель (в смысле так можно сделать):

пользователи за Микротиком в инет будут ходить через его внешний канал, а бродкаст пользовательского бродкаст-домена и трафик в кабинет пользователя - через EoIP туннель?

Share this post


Link to post
Share on other sites

Поздравляю с открытием такой штуки как маршрутизация.

Share this post


Link to post
Share on other sites

Nightfly выразил всё мысли...  :)

p.s. Именно так и нужно сделать...

Share this post


Link to post
Share on other sites

Годы спустя  :) все было настроено и заработало как надо.

Спасибо всем тем форумчанам, кто отвечал на мои вопросы.

Как это выглядет в итоге можно почитать на этой страничке.

Написано для себя, чтобы не забыть, но может быть окажется полезным кому-то еще.

Share this post


Link to post
Share on other sites

 

 

Как это выглядет в итоге можно почитать на этой страничке. Написано для себя, чтобы не забыть, но может быть окажется полезным кому-то еще.

С вашего разрешения ;)добавил линк в вику.

Share this post


Link to post
Share on other sites

Доброго времени суток!
Почитал вики, почитал блог mac-a.
У меня практически такаяже схема подключения, только вместо опенвпна я тренируюсь с пптп(пока не взлетит на тестовом стенде).

При добавлении наса в убиллинг - видно в логе микротика, что по апи пользователь билинга конектится.
Настроил МТК по вики убиллинга, но на него нет выгрузки статик лиз и правил файрвола, неподскажите куда посмотреть?
Галочкина управление этими подсистемами в убилинге поставил.

В какой момент убиллинг делает выгрузку настроек в МТК? можно ли ее принудительно форсировать?

И еще подскажите, что нужно прописывать в разделе "Сервера доступа (NAS)" в поле "Ссылка на Bandwidthd" если насом является микротик(в вики не нашел)?

Заранее благодарен за пинок в нужную сторону.

Share this post


Link to post
Share on other sites

Доброго времени суток!

Почитал вики, почитал блог mac-a.

У меня практически такаяже схема подключения, только вместо опенвпна я тренируюсь с пптп(пока не взлетит на тестовом стенде).

 

При добавлении наса в убиллинг - видно в логе микротика, что по апи пользователь билинга конектится.

Настроил МТК по вики убиллинга, но на него нет выгрузки статик лиз и правил файрвола, неподскажите куда посмотреть?

Галочкина управление этими подсистемами в убилинге поставил.

В какой момент убиллинг делает выгрузку настроек в МТК? можно ли ее принудительно форсировать?

И еще подскажите, что нужно прописывать в разделе "Сервера доступа (NAS)" в поле "Ссылка на Bandwidthd" если насом является микротик(в вики не нашел)?

Заранее благодарен за пинок в нужную сторону.

Модуль «Сервера доступа»: появилась возможность для NAS типа Mikrotik Direct указывать URL Bandwidthd в виде http://nas/graphs/queue/

 

У меня заработали лизы после маленького исправления.

файл /etc/stargazer/system/executer/tpls/dhcp.ini

допишите к параметру address-list букву s (address-lists)

Share this post


Link to post
Share on other sites

Настроил МТК по вики убиллинга, но на него нет выгрузки статик лиз и правил файрвола, неподскажите куда посмотреть?

Версию RouterOS уточните. Проверьте, что user имеет права read, write, api и что биллингу разрешено управлять с ip адреса биллинга

 

В какой момент убиллинг делает выгрузку настроек в МТК? можно ли ее принудительно форсировать?

Биллинг передает настройки сразу после добавления НАС, но только пользователей с неотрицательным балансом на счету. Форсировать - ну можно рестарт stg сделать.

Edited by mac

Share this post


Link to post
Share on other sites

 

Настроил МТК по вики убиллинга, но на него нет выгрузки статик лиз и правил файрвола, неподскажите куда посмотреть?

Версию RouterOS уточните. Проверьте, что user имеет права read, write, api и что биллингу разрешено управлять с ip адреса биллинга

 

В какой момент убиллинг делает выгрузку настроек в МТК? можно ли ее принудительно форсировать?

Биллинг передает настройки сразу после добавления НАС, но только пользователей с неотрицательным балансом на счету. Форсировать - ну можно рестарт stg сделать.

 

ROS ver 6.32.4, также пробовал 6.34.2, 6.34.3.

Юзер имеет права write, согласно доке юбиллинга, в логе микротика вижу, что по апи пользователь биллинга логинится. В биллинге в настройках наса отображаются интерфейсы и инфо о роутере. Но АЦЛи не добавляются/правятся.

Полный ресет/ресет юзера тоже не помогает выгрузить АЦЛи.

Edited by FreeManGH

Share this post


Link to post
Share on other sites

Тогда проверьте напрямую, без туннеля.

Добавьте wan адрес вашего биллинга в микротик

/ip service set api address=IP.OF.BI.LL/32

а в настройках НАС - wan адрес микротик. Проверьте чтобы "API порт" микротика был открыт

Share this post


Link to post
Share on other sites

B догонку. У вас когда pptp туннель установлен пинг проходит между микротиком и убиллингом?

Edited by mac

Share this post


Link to post
Share on other sites

не сильно вникал во все что было написано.....но похожая ситуевина может быть если не указал интерфейс смотрящий в сторону людей в расширенных настройках микрота на убилле....

Share this post


Link to post
Share on other sites

B догонку. У вас когда pptp туннель установлен пинг проходит между микротиком и убиллингом?

если по API логинется значит они видят друг друга....только микрот не понимает что от него хотят

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By nukker
      настраивал опен впн по https://lantorg.com/article/nastrojka-vpn-cherez-mikrotik-openvpn статье при подключени к микротику в логах  ovpn duplicate packet dropping
      на клиенте
       
      перелопатил все что есть по этой теме
      фаил клиента на виндоус 7
       
       
      благодарю заранее
    • By bodik
      Куплю rb2011uias-2hnd-in
    • By 49rpam
      Продам остатки оборудования.
      mANTBox 19s (RB921GS-5HPacD-19S) новый 4000грн.
      UBIQUITI AIRMAX SECTOR 2G-16-90
      Б/у 1600грн.
      Edge-core ECS3528T б/у 1500грн.
      Sfp step4net 3km sc пара новые 400грн.
      Медиаконвертор FoxGate EC-SFP1000-FE/GE-LF новый 350грн.
      Торг, Ваши адекватные предложения
       
       
       
    • By flexz
      После модернизации остались антенны Mikrotik
       
      STX Lite 5
      STX Lite 2
       
      Комплект : Антенна + poe + БП.
      Цена 500грн за шт.
       



    • By bodik
      Куплю mikrotik rb 750up или hex poe или power box 2шт
×