Nevim z ceho by klient nemel radost, protoze pro neho se vubec nic nezmeni. To jestli ma router nakonfigurovany tak nebo tak mu mzue byt uplne jedno (stejne je i pro neho IP adresa pouze nejaky nesmyslny "jmeno"). Samozrejme ze vnitrni sit se klientovy nemeni, pro IPv4 je DHCP, pro IPv6 klasicky adv.
Jinak nemusis delat ani auth pres radius, ale pouzivat pouze na serveru primo overeni ze secretu PPP.
Jka pisu, muzes si to prece otestovat na stole, vzit si libovolny RB a udelat na nem PPPoE server a k tomu si pripojit cokoliv dalsiho (nevim snad o zarizeni co by neumelo PPPoE - mysleno routery apod.).
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Zase ten NAT 1:1 - může to fungovat i z vnitřní sítě?
ad radost: protože nemáme spoustu klientských routrů pod palcem a oni nejraději styl připojíš a jede, ne že budou opisovat ze smlouvy IP/auth do pppoe (proto ho má O2 ve firmwaru v defaultu) a dá se poslat dhcp na 1 IP z /30
ad testování: není potřeba, není proč by to nefungovalo tak jak říkáš, zajímá mě spíš logická architektura a vhodnost nasazení
a tady pokud mi to vysvětlíš lépe budu moc rád, přehled evidentně máš dobrý
řekněme topologie: PC Zákazníka ===> NAT Router Zákazníka ==> CPE bridge ===> AP bridge ===> AP Router ====> Páteřní rozvod ===> CGNat ===> NET
- proč používat pppoe? pokud ho chci k identifikaci zákazníka, tak musím používat něco centrálního ala radius a ne ppp profily na jednotklivých "AP Routrech" (třeba 100x "APRouter")
- použití k distribuci veřejné ip chápu, ale jak je to ptp tak tam potřebuješ udat /32 na zákazníka a /32 na straně "APRouteru" což znamená třeba 100xIP v čudu (jako variantu vidím protáhnout to přes vpls až někam do centrály a lidi s veřejkama prostě pustit přes 1 kontrolér ale to bylo zavrhnuto)
trošku se nám ta diskuze stáčí jiným směrem nežli zněl původní dotaz, pardón
ad testování: není potřeba, není proč by to nefungovalo tak jak říkáš, zajímá mě spíš logická architektura a vhodnost nasazení
a tady pokud mi to vysvětlíš lépe budu moc rád, přehled evidentně máš dobrý
řekněme topologie: PC Zákazníka ===> NAT Router Zákazníka ==> CPE bridge ===> AP bridge ===> AP Router ====> Páteřní rozvod ===> CGNat ===> NET
- proč používat pppoe? pokud ho chci k identifikaci zákazníka, tak musím používat něco centrálního ala radius a ne ppp profily na jednotklivých "AP Routrech" (třeba 100x "APRouter")
- použití k distribuci veřejné ip chápu, ale jak je to ptp tak tam potřebuješ udat /32 na zákazníka a /32 na straně "APRouteru" což znamená třeba 100xIP v čudu (jako variantu vidím protáhnout to přes vpls až někam do centrály a lidi s veřejkama prostě pustit přes 1 kontrolér ale to bylo zavrhnuto)
trošku se nám ta diskuze stáčí jiným směrem nežli zněl původní dotaz, pardón
0 x
Opravdu to tak trochu nabírá směr off topic
Co mám ku příkladu dělat, když routuju na L3 switchi? Ono každý router nemusí být mikrotik a na L3 switchi PPPoE server prostě neudělám. Pokud by to šlo formou NATu, asi bych se s tím spokojil. Nebo rozjedeme IPv6 a pak je to bude mrzet
Co mám ku příkladu dělat, když routuju na L3 switchi? Ono každý router nemusí být mikrotik a na L3 switchi PPPoE server prostě neudělám. Pokud by to šlo formou NATu, asi bych se s tím spokojil. Nebo rozjedeme IPv6 a pak je to bude mrzet
0 x
mikrotik nepodporuje policy based routing na ipv6, takže třeba mi to přináší ohromné komplikace, žádný TE na ipv6 
0 x
pgb píše:ad radost: protože nemáme spoustu klientských routrů pod palcem a oni nejraději styl připojíš a jede, ne že budou opisovat ze smlouvy IP/auth do pppoe (proto ho má O2 ve firmwaru v defaultu) a dá se poslat dhcp na 1 IP z /30
ad testování: není potřeba, není proč by to nefungovalo tak jak říkáš, zajímá mě spíš logická architektura a vhodnost nasazení
a tady pokud mi to vysvětlíš lépe budu moc rád, přehled evidentně máš dobrý
Tak hlavne se tady resilo, ze jak dat klientovi verejnou IP, tak jsem napsal jak. To ze klient nechce nic konfigurovat beru, ale tezko mu pak das verejnou (jasne muzes udelat DHCP /30 verejnych, ale dat jednomu klientovy 4 IP misto 1 je blbost... - jo moznost mit pak v jedne siti nekolik klientum, ale i tak je moc odpadu).
Jinak i nejaky nepocitacovy cloek zvladne zmenit na routeru a nastavit PPPoE, ty manulay jsou udelany fak dobre (vlastni zkusenost).
O2 funguje uplne jinak, to sem netahej, protoze neoveruji podle jmena a hesla (a to ty klidne taky nemusis, ale prvky na to rozhodne nemas, aby to umeli).
Ale jak jsem psal, kazdej at si to dela jak mu vyhovuje. Tot vse. Pokud ma nekdo zajem, tak at si najde na foru ty veci co se s tim resili.
0 x
forkman píše:Opravdu to tak trochu nabírá směr off topic
Co mám ku příkladu dělat, když routuju na L3 switchi? Ono každý router nemusí být mikrotik a na L3 switchi PPPoE server prostě neudělám. Pokud by to šlo formou NATu, asi bych se s tím spokojil. Nebo rozjedeme IPv6 a pak je to bude mrzet
No offtopic to zas tak neni, kdyz se resilo jak pridelovat verejny.
S L3 switchem: Bud si hodne majetny a divim se, ze delas ISP a nebo kecas.
Kdyz to vezmu kolem a kolem, tak jsou L3 switche co umi i PPPoE server (ano, a jsou drahy). Jinak zalezi samozrejme jak mas udelanou topologii, ale nemyslim si, ze mas na bode nekolik AP za za tim L3 switch a tak dal. To by bylo trochu neekonomicke.
Takze jak to teda je? Nebo zas tady nekdo placa a vymysli blbosti, ktery neexistuji? Pokud je L3 switch az nekde dal, tak prece muzes do toho switche pripojit PPPoE server, ktery to resi.
Jen se spis divim, ze tady opet vsichni pisou nesmyslny kraviny a jsou o tom presvedceni.
0 x
pgb píše:ad radost: protože nemáme spoustu klientských routrů pod palcem a oni nejraději styl připojíš a jede, ne že budou opisovat ze smlouvy IP/auth do pppoe (proto ho má O2 ve firmwaru v defaultu) a dá se poslat dhcp na 1 IP z /30
ad testování: není potřeba, není proč by to nefungovalo tak jak říkáš, zajímá mě spíš logická architektura a vhodnost nasazení
A jinak s tim O2 vymytim jeste jeden blud a v podstate u vsech XDSL linek. PPPoE tam opravdu neni jak si vetsina lidi mysli, aby se naemuloval nejaky ethernet apod. Vzhledem k tomu, ze je to "over Ethernet", tak to znamena ze tam ten "Ethernet" uz je, takze to slouzi opravdu jen pro AAA. DSL muze fungovat i bez PPPoE se statickou/dynamickou adresou bez PPPoE.
0 x
pgb píše:- proč používat pppoe? pokud ho chci k identifikaci zákazníka, tak musím používat něco centrálního ala radius a ne ppp profily na jednotklivých "AP Routrech" (třeba 100x "APRouter")
- použití k distribuci veřejné ip chápu, ale jak je to ptp tak tam potřebuješ udat /32 na zákazníka a /32 na straně "APRouteru" což znamená třeba 100xIP v čudu (jako variantu vidím protáhnout to přes vpls až někam do centrály a lidi s veřejkama prostě pustit přes 1 kontrolér ale to bylo zavrhnuto)
Tady by to chtelo rozdelit vlakno...
Proč PPPoE si najdi na foru, jinak ve stručnosti:
- je to dynamičtejsi nez DHCP
- uplny prehled o klientech
- nezavislost na vendoru (kdyz je udelany spravne)
- neplytva se IP
- historie
V pripade, kdy se chce dostat pouze verejna ke klientovi, tak staci lokalne uzivatele (to je co se tu resilo). Nekde muze byt radius skutecne problem (mala sit a nema svuj server).
Druhy dotaz moc nechapu. Ale zase zalezi jak to mas udelany. Vesmes stejne mas na tom AP nejakou verejnou IP a ta slouzi klidne jako brana pro vsechny PPPoE. Klienti pak dostavaji verejny/neverejny. Navic IP brany nemusi byt ani verejny (ale proc to delat, neni jediny duvod a vypada to pak skarede).
Takze priklad, pripojis 4 uzivatele z toho 2 maji mit neverejnou IP a 2 verejnou. Na AP uz ted kvuli routingu mas IP 1.1.1.1, takze to pouzijes i jako branu pro PPPoE. Takze klienti budou vypadat takto:
Neverejni: IP 100.64.0.254 + brana 1.1.1.1, IP 100.64.0.253 + brana 1.1.1.1
verejni: IP 2.2.2.254 + brana 1.1.1.1, IP 3.3.3.3 + brana 1.1.1.1
Jako ono nema tady cenu moc kolem toho resit, protoze vzdy se zas objevi nekdo kdo tomu nerozumi a nezkusil a bude do toho kecat.
Pokud by byl zajem a pokud se vlakno rozdeli, tak se muze udelat treba diskuzeo tom zda je zajem o tuhle problematiku a celkovyho navrhu site, ze by se nekde udelal sedanek a muze se to probrat i se konkretnim problemem situace + i zkusenosti a porovnani s tim kdo na PPPoE presel.
Klidne muzu tuhle problematiku osvetlit taky, ale sam urcite ne...
EDIT: na sedanku se muze i probrat jak to delaji velci operatori na xDSLkach, IP connect, transporty apod. pokud by byl zajem a jak je celkove udelany.
0 x
2 radik: díky za vyčerpávacící odpověď a i za ten príklad proč pppoe ano
Protože dle popisu topologie co jsem kreslil "AP Router" nemá veřejnou IP a je tam ještě CGNat. To, že je možné dát na PPPoE gw s neveřejnou IP mě od stolu vůbec nenapadlo a děkuji za narovnání představ.
ad lokálně ppp profil - už mi docvaklo, že mysliš na malou síť a pak redistribucí, ale v první chvíli mě takové zjednodušující řešení vůbec nenapadlo
Druhy dotaz moc nechapu. Ale zase zalezi jak to mas udelany. Vesmes stejne mas na tom AP nejakou verejnou IP a ta slouzi klidne jako brana pro vsechny PPPoE. Klienti pak dostavaji verejny/neverejny. Navic IP brany nemusi byt ani verejny (ale proc to delat, neni jediny duvod a vypada to pak skarede).
Protože dle popisu topologie co jsem kreslil "AP Router" nemá veřejnou IP a je tam ještě CGNat. To, že je možné dát na PPPoE gw s neveřejnou IP mě od stolu vůbec nenapadlo a děkuji za narovnání představ.
ad lokálně ppp profil - už mi docvaklo, že mysliš na malou síť a pak redistribucí, ale v první chvíli mě takové zjednodušující řešení vůbec nenapadlo
0 x
pgb píše:Protože dle popisu topologie co jsem kreslil "AP Router" nemá veřejnou IP a je tam ještě CGNat. To, že je možné dát na PPPoE gw s neveřejnou IP mě od stolu vůbec nenapadlo a děkuji za narovnání představ.
ad lokálně ppp profil - už mi docvaklo, že mysliš na malou síť a pak redistribucí, ale v první chvíli mě takové zjednodušující řešení vůbec nenapadlo
No, stejne pokud by jsi chtel dat verejnou primo klientovi, tak budes resit (muzes routovat i po neverejnych ale je to skaredy, RFC to neporusuje, ale je to hnus kvuli diagnostice z druhe strany) jak dostat na ten neverejnej router verejnou adresu (pak tam muzes delat NAT ostatnim a uz mas problem s tim, ze se vsme zmeni IP ven apod.). No a pak se ti to zase vsechno komplikuje a jen dalsi duvod proc PPPoE a tahat to necim dal az na PPPoE server. Tahle problematika je individualni sit od site a vse ma sve pro a proti.
Vesmes tim, ze dostanes verejnou az na klienta tak si usetris spoustu prace, protoze u sebe na routeru nemusis resit NAT 1/1 nebo NATovani jednotlivych portu k neomu. Vis ze ma klient nejakou IP a je to jeho zarizeni na kterym se pak delaji NATy. Potrebuje smerovat port, fajn dostnae verejnou IP (jo je to na jednu stranu plytvani, ale zas tolik lidi to nepotrebuje a usetri spoustu nervu a bordelu v NATu na brane). Takze asi nejcistejsi reseni a nejprehlednejsi.
0 x
děkuji, myslím že už jsi pochopil jak to myslím a co hledám, nějaké řešení mám, ale není nad to se neustále vzdělávat
Ano, routing /30 po neveřekách není hezký .... ale na tuhle možnost jsem uporoznil někde na začátku, funguje, ale plýtvá se.
Mě zajímala další varianta koncepce a rozšíření možných způsobů jak to udělat. To že dávat každému /30 je dneska v mém případě (málo IP) nesmyslné řeší nat1:1 (nebo PPPoE, u některé konkurence pro mě překomplikované /32 na wanu zák routeru s ospf a jiné podivuhodnosti). Takže teď si odlaboruji koncepci (předpokládám že lze pustit L3 i pppoe server na jednom rozhraní, budu laborovat, bude zábava )
Neveřejný klient => vzduch => AP Router privátní ip => privání páteř => Hraniční Router vč CGNAT => Internet
Veřejný klient => Vzduch => AP router + pppoe server + radius pro "veřejkáře"=> vpls tunel přes privátní páteř => Hraniční router bez nat => Internet
není v mé moci předělat všechny zákaznické wifiroutery na pppoe, ale ti s veřejkou by to přivítali určitě, že by měli přímou ip bez nat1:1
Ano, routing /30 po neveřekách není hezký .... ale na tuhle možnost jsem uporoznil někde na začátku, funguje, ale plýtvá se.
Mě zajímala další varianta koncepce a rozšíření možných způsobů jak to udělat. To že dávat každému /30 je dneska v mém případě (málo IP) nesmyslné řeší nat1:1 (nebo PPPoE, u některé konkurence pro mě překomplikované /32 na wanu zák routeru s ospf a jiné podivuhodnosti). Takže teď si odlaboruji koncepci (předpokládám že lze pustit L3 i pppoe server na jednom rozhraní, budu laborovat, bude zábava
)Neveřejný klient => vzduch => AP Router privátní ip => privání páteř => Hraniční Router vč CGNAT => Internet
Veřejný klient => Vzduch => AP router + pppoe server + radius pro "veřejkáře"=> vpls tunel přes privátní páteř => Hraniční router bez nat => Internet
není v mé moci předělat všechny zákaznické wifiroutery na pppoe, ale ti s veřejkou by to přivítali určitě, že by měli přímou ip bez nat1:1
0 x
Jo tak nejak to udelat muzes, ale casem zjistis, ze ti to prinese vic uzitku nez problemu a postupne premigrujes. Neni nad tu krasku, kdyz klient pak chce verejnou a ty v podstate nic neresis, jen v databazi/RB nastavis, ze klient ma adresu xyz a dostane ji(Nemusis resit pridavani adresy na routeru, kterou pak musis rucne NATovat). Potrebuje zmenit rychlost, tak zas nic moc neresis a zmenis jen v DB/RB a ma to nastaveno - nemusis hleda v queue apod (je to vlastnost, ze se queue dela dynamicky). Tyhle zmeny jsou teda az po reconnectu PPPoE.
Delat tunel nemusis, muzes klidne rutovat na to AP co neverejny (ale je to uz na tobe). Ani ten radius nemusis mit a resit zbytecne pokud nepotrebujes nutne. PPPoE kliedne muze bezet na iface, kde ti bezi IP provoz.
Delat tunel nemusis, muzes klidne rutovat na to AP co neverejny (ale je to uz na tobe). Ani ten radius nemusis mit a resit zbytecne pokud nepotrebujes nutne. PPPoE kliedne muze bezet na iface, kde ti bezi IP provoz.
0 x
Jo tak nejak to udelat muzes, ale casem zjistis, ze ti to prinese vic uzitku nez problemu a postupne premigrujes. Neni nad tu krasku, kdyz klient pak chce verejnou a ty v podstate nic neresis, jen v databazi/RB nastavis, ze klient ma adresu xyz a dostane ji(Nemusis resit pridavani adresy na routeru, kterou pak musis rucne NATovat). Potrebuje zmenit rychlost, tak zas nic moc neresis a zmenis jen v DB/RB a ma to nastaveno - nemusis hleda v queue apod (je to vlastnost, ze se queue dela dynamicky). Tyhle zmeny jsou teda az po reconnectu PPPoE.
Co tak pozoruji, tak spousta lidí má jako hlavní GW RouterOS, mám tam linux a je to tak mocný, že není s ničím problém a doprogramuji si co potřebuji. Teď je to udělané tak, že přidám v DB jednoho nového klienta a o víc se nestarám, když chci přidat veřejku tak pouze v DB přidám položku jakou ip má nat1:1 vytvořit. U pppoe to dostává ale trochu jiný hezčí rozměr.
0 x
Ano, musis mit ale nejaky slozitejsi system co ti to obhospodaruje (najde forntu, zmeni omezovac, priradi na DHCP IP apod). S radiusem to jen zapises do DB a uz se o vse postara za tebe. Nejsi zavisli v podstate na systemu (neotrebujes slozity system, ale jen v podstate tupy ktery ti zapise do tabulky radiusu) a ani vendoru (muzes pak misto Linuxu dat treba cisco, juniper, mikrotik ...).
0 x
jj, nemám osobně moc rád používání vlastností, které nejsou standardizované, protože když se to musí opravovat, je to práce navíc (jako moje gw na linuxu )
)
0 x