Více NATů v routeru

[rsaf]

pgb: i účetní ví, že když koukne do evidence a má tam u zákazníka jen jednu IP adresu, musí jí pingnout. Pak musí ještě pingnout ve stejném Cčku .1. Pokud má zákazník uvedenou i IP zařízení, zkouší PINGat vše. Je to alesoň nějaká diagnostika...
iTomB: option 82 v kombinaci s DHCP snoopingem a ARP inspection je fajn, je to ale dost složité na implementaci a pokud se nemýlím, Mikrotik podle tohoto option neumí adresy přidělovat. Na FTTB síti kde jsou stovky zákazníků na desítkách switchů je to určitě dobrý nápad, pro jednu bytovku bych se s tím ale nebabral.
Pokud má zákazník v bytě více zásuvek a všechny končí v centrálním racku pro celý dům, přijde mi VLANa a samostatný NAT pro každý byt jako vcelku dobré řešení.
Pokud jsou tam jenom jednozásuvky a stačí 100Mbit tak bych ještě uvažoval o tom, že internet pošlu po jednom UTP do bytu do routeru (po 2 párech) a po dalších 2 párech pošlu zákazníkovu LAN zpátky do RACKu, kde mu do switche (do VLANy) zapojím všechny jeho ostatní zásuvky.

[iTomB]

Co do toho motas mikrotika?

Jednou jsem zprovoznil a ted jen dam switch a mam vyreseno ... nemusim na nem nastavovat 20 VLAN, na mikrotiku 20x IP, 20x DHCP, 20x NAT, ....

Jen si na serveru zkopiruju konfigurak, zmenim v nem IP a 2 dalsi promenne a pridam do DHCP serveru a hotovo ...
A implementace, kdyz vis jak na to, je hodne jednoducha ... switch nastavis cca do minuty a server taky +- ...

[rsaf]

Co ty tady taháš nějaký (asi linuxový) DHCP server? Vypadá to, že tazatel dělá takovou věc poprvé a nebude jich mít desítky, takže nejspíše ten DHCP server ani nemá. Kvůli pár lidem v bytovkách bude vyrábět virtuálku (pokud vůbec má na čem), leta ji udržovat... Zprovozňoval jsem to na Ciscu a Hua GPON a první zprovoznění rozhodně není na pár minut. U Cisca se musí "vyzkoumat" co za čísla přijdou pro který port (pokud se nepletu tam tak chodí IfIndex a zdaleka není pravidlem, že port 1 má IfIndex=1.
Jak je v tom tvém řešení zajištěno, aby si lidi nelezli vzájemně do domácí LAN?

[iTomB]

Co ty tady taháš nějaký (asi linuxový) DHCP server? Vypadá to, že tazatel dělá takovou věc poprvé a nebude jich mít desítky, takže nejspíše ten DHCP server ani nemá. Kvůli pár lidem v bytovkách bude vyrábět virtuálku (pokud vůbec má na čem), leta ji udržovat... Zprovozňoval jsem to na Ciscu a Hua GPON a první zprovoznění rozhodně není na pár minut. U Cisca se musí "vyzkoumat" co za čísla přijdou pro který port (pokud se nepletu tam tak chodí IfIndex a zdaleka není pravidlem, že port 1 má IfIndex=1.
Jak je v tom tvém řešení zajištěno, aby si lidi nelezli vzájemně do domácí LAN?

Nainstalovat maly linux server by mohl zvladnout a k tomu DHCP server taky ...
A jak je to omezene? staci omezeni mezi portama ci pridat IP Source Guard...
Si porovnej, kolik informaci nastavujes napriklad na 24 portovem switchi ...
Jednotlive VLANy:
24x IP
24x DHCP
24x DHCP network
24x IP pool
24x WAN IP
24x NAT
24x VLANu na switchi
24x VLANu na porty
+ pravidla, aby si lidi nelezli do domaci LAN ...

Pri DHCP a 24 portech:
1x VLANu na switchi (pokud na pateri, tak jeste cestou)
1x IP adresu
1x DHCP na VLANe
1x DHCP snooping
1x omezeni mezi portama (coz zalezi na switchi, zda je to klikacka nebo napises uplink 25 down 1-24)
1x soubor na serveru pro DHCP - zkopirovat, zmenit VLANu, className, IP, coz se da najdi a nahrad
1x pridani radku do DHCP konfigurace
1x reload DHCP serveru
+ 2 pravidla pro zamezeni domaci LAN vuci ostatnim

Na serveru si muze udelat maly WWW server, SMTP, DNS, ....

Mno a nevim co sem cpes HUA a Cisco ... to on asi nasazovat na te bytovce nebude ...
Me to trva cca 10minut, nastavit mikrotika jako prijimac, udelat routovani v siti, nastavit switch, DHCP a vse co je potrebne ...

[pgb]

Oki, takovýhle setup využívám třeba ve školních třídách. Prosím o inspiraci jak v tomhle chceš rozlišovat zákazníky? Per port to nejde, per IP taky ne a DHCP jim chceš pustit a neudržovat seznam mac adres

[hapi]

iTomB to udělal fikaně, všude napsal 1x nicméně to je dobrej příklad toho jak vyzdvihovat jedno řešení. 1x soubor na serveru pro DHCP.. a neni tam náhodou uvnitř 24 položek? Ten script si můžeš lehce pomocí "for" udělal i pro mikrotika.

Vim co je option 82 a to prakticky DHCP relay se značkou a bohužel nevidím v tomhle případě rozdíl mezi 82 a dhcp peer port protože i tak je to "24 dhcp serverů"/"24 konfigurací dhcp serveru" a to ještě jenom v případě že dáváš koncákovy 1 IP adresu pro wan port routeru zákazníka a tedy tu konečnou pro ISPíka. Pokud tam máš víc kabelových vývodů na víc konců jednoho zákazníka tak už zase použiješ na routeru src-nat.

[iTomB]

iTomB to udělal fikaně, všude napsal 1x nicméně to je dobrej příklad toho jak vyzdvihovat jedno řešení. 1x soubor na serveru pro DHCP.. a neni tam náhodou uvnitř 24 položek? Ten script si můžeš lehce pomocí "for" udělal i pro mikrotika.

Vim co je option 82 a to prakticky DHCP relay se značkou a bohužel nevidím v tomhle případě rozdíl mezi 82 a dhcp peer port protože i tak je to "24 dhcp serverů"/"24 konfigurací dhcp serveru" a to ještě jenom v případě že dáváš koncákovy 1 IP adresu pro wan port routeru zákazníka a tedy tu konečnou pro ISPíka. Pokud tam máš víc kabelových vývodů na víc konců jednoho zákazníka tak už zase použiješ na routeru src-nat.

Pro kazdej switch mam jeden soubor, ktery je pomoci include vlozen do hlavniho konfiguracniho souboru DHCP serveru (coz jsem tam i psal).
Takze ano, zkopiruju si nejaky soubor, v nem dam najit a nahradit (neprepisuju 24 polozek ... ale dam jen nahradit).
Na zakaznika vetsinou davam /28, ale muzes to rozrezat jak chces a zakaznika identifikuju jako /28 atd. ..

Rozdil je v tom, ze cela bytovka sdili jednu /24, pokud je to panelak a je potreba vice, tak treba 2x /24.
DHCP server prideluje dany pool dle portu.

[iTomB]

Oki, takovýhle setup využívám třeba ve školních třídách. Prosím o inspiraci jak v tomhle chceš rozlišovat zákazníky? Per port to nejde, per IP taky ne a DHCP jim chceš pustit a neudržovat seznam mac adres

Prave ze per port to jde A nepotrebuju udrzovat seznam MAC adres, proste zalezi z jakeho portu to doleze, tak dle toho dostane IP z jeho poolu a hotovo ...

Z cehoz vychazi, ze takovy setup nepouzivas. Mas tam nastaven DHCP option 82? a na zaklade toho nastaven DHCP server? Ne mas tam obyc switch a zakladni DHCP server ...

[iTomB]

Oki, takovýhle setup využívám třeba ve školních třídách. Prosím o inspiraci jak v tomhle chceš rozlišovat zákazníky? Per port to nejde, per IP taky ne a DHCP jim chceš pustit a neudržovat seznam mac adres

Treba si to projdi tady

circuit-id obsahuje VLANu, port, stack ....
remote-id obsahuje v zakladu MAC switche, ale da se zmenit na nazev atd. ...

[pgb]

Oki, takovýhle setup využívám třeba ve školních třídách. Prosím o inspiraci jak v tomhle chceš rozlišovat zákazníky? Per port to nejde, per IP taky ne a DHCP jim chceš pustit a neudržovat seznam mac adres

Prave ze per port to jde A nepotrebuju udrzovat seznam MAC adres, proste zalezi z jakeho portu to doleze, tak dle toho dostane IP z jeho poolu a hotovo ...

Z cehoz vychazi, ze takovy setup nepouzivas. Mas tam nastaven DHCP option 82? a na zaklade toho nastaven DHCP server? Ne mas tam obyc switch a zakladni DHCP server ...

Nemám stejný, ale podobný
Mám tam switch na kterým definuji politiku portu, skupiny, uplink port a dhcp snooping, vlany pouze přívodní pro definované skupiny portů, izolace mezi porty a jeden/dva dhcp servery. Velké bytovky nevedu a nikdy vzhledem k mé lokalitě mít nebudu. Počítat dat a dělat qos per pooly je další krok který tomu přidává další spoustu konfigurace a hapi to napsal dobře o tom kopírování ...... to snad nebylo předmětem otázky. Kopírovat/vytvořit si skripty umím taky a pokud to někdo nedělá, přidává si práci sám sobě. Nicméně děkuji za inspiraci, ten option 82 si projdu a vylepším si vzdělání. Celé tohle super dhcp op. 82 řešení musí být ale někde zakončeno a to je v případě většiny místního osazenstva to je v mikrotiku, kde nakonec stejně musí mít ten qos nějak nasazený, nebo shapovat v linuxu a zase si skriptovat qos .........

[iTomB]

Staci aby to koncilo na DHCP co to podporuje, takze pres DHCP relay to tam dostanes ...
QoS muzes resit kde chces a jak chces, misto a.b.c.d/32 pouzijes e.f.g.h/28 napriklad.

Takze jak jsi psal, pocitani dat ci QoS je uplne stejne, jen misto jedne adresy, pouzijes pool To umi jak mikrotik, tak Linux.

To je cele

[rsaf]

Pokud mám FTTB síť, paneláky s desítkama lidí takže se mi tam vyplatí dát solidní switche, jedna zásuvka v každém bytě... je option82 skvělá věc. Do CRM si k zákazníkovi napíšu číslo portu a přidělím IP adresu, na základě těchto dat vygeneruju (automaticky) konfigurák pro DHCP server a (automaticky) ho naliju na server. Je potřeba tam dát poměrně krátké časy přidělení adresy (aby to nedělalo velké problémy, když zákazník vymění svůj router), na switchi je potřeba mít věci jako DHCP snooping a ARP inspection... a zákazník proste vždy dostane stejnou IP adresu - na základě portu do kterého je fyzicky připojen (to si sám asi nepřehodí), zároveň ho to samo omezí na jediné připojené zařízení (má tam mít router).
Pro tři malé bytovky kde mi stačí dát nejlevnější TPLINK s VLANama bych se s tím ale fakt nedrbal.

[iTomB]

Pro tři malé bytovky kde mi stačí dát nejlevnější TPLINK s VLANama bych se s tím ale fakt nedrbal.

Pro me by to bylo vic prace delat to jinak A i ten TPLINK s VLANama to umi, jen me se kousali, takze sli do prcic (starsi rada jetstream) ...

[Jenya]

Je tam ten NAT opravdu nutny? Vzdyt ho delas stejne jeste na shaperu, nebo jinem stroji predpokladam. Na kazdou VLANu bych dal DHCP s jinym rozsahem, pocet IP podle gusta treba /24 a mel bych vymalovano. A pochopitelne pridal sumarni routu s pouzitymi rozsahy.

[hapi]

a jde vůbec třeba na bridgovaný hap lite nastavit aby přes sebe přidávala option 82?