Перейти к содержимому
Local
mac

Mikrotik как удаленный NAS

Рекомендованные сообщения

Добрый день, форумчане!

Хотелось бы услышать мнения как лучше реализовать связь биллинга и удаленного шлюза Mikrotik.

Зная, что ubilling поддерживает этот тип NAS, выбрали его.
Не разбираюсь в Mikrotik :( Но интересно связать это все до кучи.

Думаю архитектура системы будет такая как на рисунке. Я так понимаю, без тунеля не обойтись.

Потому как

  1. нужно чтобы работал кабинет пользователя и UHW (маршрутизировать в тунель обращение к 10.1.0.0/16 и 172.16.0.0)
  2. нужно передавать данные Mikrotik API. Ведь без тунеля они будут идти в открытом виде через Интернет.
    Или можно использовать шифрованный вариант API ?
  3. нужно все запросы DHCP релеить в тунель к серверу биллинга.
    Или можно настроить релеить только обращение с неизвестных MAC, а остальные обслужит локальный DHCP сервер ?

Но эта схема имеет большущий минус: при нарушении связности сети между Mikrotik и Ubilling, абоненты перестанут получать IP адреса через релей.

Или все таки Ubilling может задать пары MAC-IP локальному DHCP серверу через "модуль «Расширенная настройка MikroTik» - галочку напротив«Управлять DHCP»" и они сохраняются в конфиге???

Как можно предусмотреть автономность системы на Mikrotik, чтобы он, при потери связи с биллингом, автоматически продолжал предоставлять доступ в интернет и при этом получить нормальный функционал биллинга, когда со связью все в порядке?

Прошу поделится мыслями.
 

post-15601-0-61974200-1386773117_thumb.png

Изменено пользователем mac

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да легко барин . Я вообще не представляю накой вам тот айписек ?  У вас удаленный роутер  на котором вы предоставляете доступ пользователям . Включайте радиус клиента на удаленном роутере и в бой .  у меня такие цяцьки работают годами , на удаленном роутере используется РРРоЕ туннели для клиентов , даже если биллинг отвалится авторизованные клиенты продолжают работать , вот только новые не авторизуются ибо радиус сервер не ответит .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я вообще не представляю накой вам тот айписек ?

Речь идет просто о необходимости шифрованного тунеля между сетями, чтобы был доступ к кабинету пользователя по его серому IP, использовать безопасно Mikrotik API, релеить запросы с, например, неизвестных мак адресов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как вы смотрите на вариант создания IPSec + EoIP (прозрачный L2-тоннель)?  ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как вы смотрите на вариант создания IPSec + EoIP (прозрачный L2-тоннель)?  ;)

Поправьте меня, но в этом случае весь трафик пойдет к биллингу, не только служебный к внутренним ресурсам?

Или можно настроить правила mikrotik firewall, чтобы трафик идущий на IP локального интерфейса сервера биллинга направить мимо NAT mikrotikа в IPSec тунель и аналогично обратно?

 

На всякий случай уточню по схеме, тунель - это или IPsec , или PPTP (но не один внутри другого).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вообще, попробовал стенд без использования туннеля, при пропадании связи между роутерами, Микротик автономно выдает IP абонентам и выпускает в Интернет, которым было разрешено ходить в Интернет до пропадания связи. Вполне автономно получается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

EoIP просто позволяет пользоваться всеми дополнительными сервисами, такими как UHW, редирект должников.. EoIP-тоннель - это как эмуляция воткнутого кабеля прямо в сервер FreeBSD.. Но, при пропадании связи по одному из аплинковых подключений - связь разрывается.. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

добрый день, посмотрел схему подключения связки Mikrotik и Ubilling на Вашем wiki. Не очень понятно зачем сделан линк между igb0 и интернет? достаточно ли будет на сервер Ubilling одного сетевого интерфейса. На сколько я помню, раньше была именно такая схема подключения, с одной сетевой картой в сервере Ubilling.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не очень понятно зачем сделан линк между igb0 и интернет?

Ну, мне так захотелось.. Может я хочу использовать его, как основной сервер ДНС или в случае краха какого либо из "серверов" MikroTik иметь возможность временно зароутить весь трафик через биллинг? 

 

достаточно ли будет на сервер Ubilling одного сетевого интерфейса. На сколько я помню, раньше была именно такая схема подключения, с одной сетевой картой в сервере Ubilling.

Да, достаточно... Как включить сервер в сеть - думать только вам.. Вот мне захотелось так...  ;)

Изменено пользователем jcomm

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не очень понятно зачем сделан линк между igb0 и интернет? достаточно ли будет на сервер Ubilling одного сетевого интерфейса.

Самое интересное, что до появления картинки таких вопросов не возникало, несмотря на следующие строки в wiki:

  1. Сервер Ubilling:
    1. Установлен при помощи UBinstaller
    2. Параметры:
      1. Внешний интерфейс, igb0 - 63.163.105.6/29
      2. Локальный интерфейс, igb1 - 10.0.0.254/24
:) :) :)
 
Вывод: документацию читать никто не хочет и надо писать документацию в стиле "Установка NAS в картинках".. Может тогда начнем ее внимательно смотреть...
 
P.S. Просто мысли вслух..
Изменено пользователем jcomm

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

EoIP просто позволяет пользоваться всеми дополнительными сервисами, такими как UHW, редирект должников.. EoIP-тоннель - это как эмуляция воткнутого кабеля прямо в сервер FreeBSD.. Но, при пропадании связи по одному из аплинковых подключений - связь разрывается.. 

Да, это все хорошо, это плюсы.

 

Как минусы этого решения:

  1. бродкаст от абонентов микротика тоже пойдет в туннель,
  2. неавтономность - если пропадет связь у только сервера биллинга, тогда не будут обновлятся лизы и не будет выхода в интернет,
  3. сильная дополнительная нагрузка на внешний канал сервера биллинга

Тема не закрыта. Сейчас бросил заниматься этим вопросом. Планирую вернутся позже...

 

П.С.

 

Вывод: документацию читать никто не хочет и надо писать документацию в стиле "Установка NAS в картинках".. Может тогда начнем ее внимательно смотреть...

ага, и еще видео желательно :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

бродкаст от абонентов микротика тоже пойдет в туннель

Хмм, и что в этом плохого? собственно с этой целью и используется EoIP...

 

неавтономность - если пропадет связь у только сервера биллинга, тогда не будут обновлятся лизы и не будет выхода в интернет

Конечно, если поставить биллинг дома, за 80 грн. за 100 Мбит и выключать на ночь, чтобы за свет платить меньше пришлось...

 

Сильная дополнительная нагрузка на внешний канал сервера биллинга

А здесь можно поподробнее, чем же грузится внешний канал биллинга, при использовании EoIP? Лично у меня EoIP занимает ~100 Кбит/сек. трафика..

Изменено пользователем jcomm

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А здесь можно поподробнее, чем же грузится внешний канал биллинга, при использовании EoIP? Лично у меня EoIP занимает ~100 Кбит/сек. трафика..

 

Ваш вопрос наводить меня на мысль, что я протупил :)

 

EoIP-тоннель - это как эмуляция воткнутого кабеля прямо в сервер FreeBSD..

 

т.е. не весь трафик завернется в туннель (в смысле так можно сделать):

пользователи за Микротиком в инет будут ходить через его внешний канал, а бродкаст пользовательского бродкаст-домена и трафик в кабинет пользователя - через EoIP туннель?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поздравляю с открытием такой штуки как маршрутизация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Nightfly выразил всё мысли...  :)

p.s. Именно так и нужно сделать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Годы спустя  :) все было настроено и заработало как надо.

Спасибо всем тем форумчанам, кто отвечал на мои вопросы.

Как это выглядет в итоге можно почитать на этой страничке.

Написано для себя, чтобы не забыть, но может быть окажется полезным кому-то еще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

Как это выглядет в итоге можно почитать на этой страничке. Написано для себя, чтобы не забыть, но может быть окажется полезным кому-то еще.

С вашего разрешения ;)добавил линк в вику.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго времени суток!
Почитал вики, почитал блог mac-a.
У меня практически такаяже схема подключения, только вместо опенвпна я тренируюсь с пптп(пока не взлетит на тестовом стенде).

При добавлении наса в убиллинг - видно в логе микротика, что по апи пользователь билинга конектится.
Настроил МТК по вики убиллинга, но на него нет выгрузки статик лиз и правил файрвола, неподскажите куда посмотреть?
Галочкина управление этими подсистемами в убилинге поставил.

В какой момент убиллинг делает выгрузку настроек в МТК? можно ли ее принудительно форсировать?

И еще подскажите, что нужно прописывать в разделе "Сервера доступа (NAS)" в поле "Ссылка на Bandwidthd" если насом является микротик(в вики не нашел)?

Заранее благодарен за пинок в нужную сторону.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго времени суток!

Почитал вики, почитал блог mac-a.

У меня практически такаяже схема подключения, только вместо опенвпна я тренируюсь с пптп(пока не взлетит на тестовом стенде).

 

При добавлении наса в убиллинг - видно в логе микротика, что по апи пользователь билинга конектится.

Настроил МТК по вики убиллинга, но на него нет выгрузки статик лиз и правил файрвола, неподскажите куда посмотреть?

Галочкина управление этими подсистемами в убилинге поставил.

В какой момент убиллинг делает выгрузку настроек в МТК? можно ли ее принудительно форсировать?

И еще подскажите, что нужно прописывать в разделе "Сервера доступа (NAS)" в поле "Ссылка на Bandwidthd" если насом является микротик(в вики не нашел)?

Заранее благодарен за пинок в нужную сторону.

Модуль «Сервера доступа»: появилась возможность для NAS типа Mikrotik Direct указывать URL Bandwidthd в виде http://nas/graphs/queue/

 

У меня заработали лизы после маленького исправления.

файл /etc/stargazer/system/executer/tpls/dhcp.ini

допишите к параметру address-list букву s (address-lists)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Настроил МТК по вики убиллинга, но на него нет выгрузки статик лиз и правил файрвола, неподскажите куда посмотреть?

Версию RouterOS уточните. Проверьте, что user имеет права read, write, api и что биллингу разрешено управлять с ip адреса биллинга

 

В какой момент убиллинг делает выгрузку настроек в МТК? можно ли ее принудительно форсировать?

Биллинг передает настройки сразу после добавления НАС, но только пользователей с неотрицательным балансом на счету. Форсировать - ну можно рестарт stg сделать.

Изменено пользователем mac

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Настроил МТК по вики убиллинга, но на него нет выгрузки статик лиз и правил файрвола, неподскажите куда посмотреть?

Версию RouterOS уточните. Проверьте, что user имеет права read, write, api и что биллингу разрешено управлять с ip адреса биллинга

 

В какой момент убиллинг делает выгрузку настроек в МТК? можно ли ее принудительно форсировать?

Биллинг передает настройки сразу после добавления НАС, но только пользователей с неотрицательным балансом на счету. Форсировать - ну можно рестарт stg сделать.

 

ROS ver 6.32.4, также пробовал 6.34.2, 6.34.3.

Юзер имеет права write, согласно доке юбиллинга, в логе микротика вижу, что по апи пользователь биллинга логинится. В биллинге в настройках наса отображаются интерфейсы и инфо о роутере. Но АЦЛи не добавляются/правятся.

Полный ресет/ресет юзера тоже не помогает выгрузить АЦЛи.

Изменено пользователем FreeManGH

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда проверьте напрямую, без туннеля.

Добавьте wan адрес вашего биллинга в микротик

/ip service set api address=IP.OF.BI.LL/32

а в настройках НАС - wan адрес микротик. Проверьте чтобы "API порт" микротика был открыт

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

B догонку. У вас когда pptp туннель установлен пинг проходит между микротиком и убиллингом?

Изменено пользователем mac

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не сильно вникал во все что было написано.....но похожая ситуевина может быть если не указал интерфейс смотрящий в сторону людей в расширенных настройках микрота на убилле....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

B догонку. У вас когда pptp туннель установлен пинг проходит между микротиком и убиллингом?

если по API логинется значит они видят друг друга....только микрот не понимает что от него хотят

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: dycost
      Такая проблема.
      Был написан модуль для получения mac абонента с порта коммутатора. Модуль перестал работать после обновления биллинга. Обновлялся точно не скажу с какого релиза, ориентировочно 0.8.9 или 0.9.0.
       
      Суть вот в чем.
      Модуль использует скрипт на питоне вызываемый через popen, в принципе весь код вот:
      if (cfr('GET_MAC')) { $inputs = wf_TextInput('switch_address', __('Enter switch address'), '', true, '10'); $inputs.= wf_TextInput('switch_port', __('Enter switch port'), '', true, '10'); $inputs.= wf_Submit(__('Get')); $form = wf_Form("", 'POST', $inputs, 'glamour'); show_window(__('Get mac address from switch port'), $form); if (isset ($_POST['switch_address'])) { $process = popen(escapeshellcmd('/usr/local/www/apache22/data/billing/modules/general/get_mac/get_mac.py ' . $_POST['switch_address'] . ' ' . $_POST['switch_port']), "r"); $mac = fread($process, 2096); show_window(__('Active mac address: '), $mac); pclose($process); }; } else { show_error(__('Access denied')); } Питон потому, что парсинг на php я не осилил..
      из питона вызывается snmpwalk через  popen (да, такая вот матрешка), собственно для получения mac.
      До обновления все работало, и сейчас если выполнить  из консоли что-то типа такого:
      <?php $process = popen(escapeshellcmd('/usr/local/www/apache22/data/billing/modules/general/get_mac/get_mac.py 172.16.0.182 2', "r"); $mac = fread($process, 2096); echo "$mac"; ?> то все работает.
      При выполнении из биллинга питон не создает процесс-потомок snmpwalk.
      Какие настройки php или биллинга копать?
    • Автор: Break
      Продаю Mikrotik Cloud Core Router CCR1036-8G-2S+  920 уе (24500 грн)
      Характеистики:
      8-ми портовый управляемый маршрутизатор с пассивным охлаждением. 8х10/100/1000 RJ45 ports, 2хSFP+ ports, 1xRS232 Serial port,  microUSB type AB port, microSD. Процессор TILE TLR4-03680CG-12CE-A3b, 36 cores, 1.2 GHz, ОЗУ 4 GB, флэш память 1 GB. Пропускная способность 28 Gbps, пакетная производительность 8 Mpps
       
      В наличии 4 шт – НОВЫЕ, только зашли!
      Все предложение пишите в личку
      Гарантия 1 год
      Отправка Новой Почтой в любой город
       
      Тел.  0681651360 Сергей Евгениевич            

    • Автор: salaga89
      Продам Маршрутизатор (роутер) Mikrotik RB1100AHx2. 
       
      Цена 7000 торг уместен
       
      Производитель:
      Mikrotik
      Тип устройства:
      Маршрутизатор (роутер)
      Вход (WAN порт):
      1x 10/100/1000 BASE-T Gigabit Ethernet (PoE), 2x 10/100/1000 BASE-T Gigabit Ethernet (Bypass)
      Интерфейс подключения (LAN-порт):
      10x 10/100/1000 BASE-T Gigabit Ethernet
      Маршрутизатор
      Межсетевой экран (Firewall):
      есть
      NAT:
      есть
      Поддержка VPN (виртуальных сетей):
      есть
      DHCP-сервер:
      есть
      Демилитаризованная зона (DMZ):
      есть
      Мониторинг и конфигурирование
      Веб-интерфейс:
      RouterOS v.6
      Telnet:
      нет
      Поддержка SNMP:
      есть
      Дополнительно
      Питание(PoE/адаптер):
      + / -
      Возможность установки вне помещения :
      нет
      Режим моста:
      есть
      Прочее:
      Процессор: PowerPC P2020 1066MГц, оперативная память: 2ГБ, флеш-память: 512МБ на чипе памяти NAND, последовательный порт RS232C, MicroSD.
      Размеры (мм):
      44x176x442
      Вес (г):
      1275
    • Автор: init
      Добрый день! Появилась необходимость обновить Ubilling с версии 0.7.2 до текущей, как бы это сделать быстро и безболезненно?
      Я так понимаю надо с версии на версию прыгать? или есть какой-то инструмент который инкрементно обновит до текущей версии?
      Благодарю
    • Автор: Turist
      куплю Mikrotik RB3011UiAS-RM, рабочий, можно б/у
×