PPPoE koncentrator pre 300+ zakaznikov

[tuxisko]

No možná by jste se divili ale spousta userů toto bere jako výhodu, jelikož mají pocit, že jsou lépe zabezpečeni než u konkurence. Už několikrát si to pochválili a heslo? To si zapsali do smlouvy a hlavně těch lidí je pár co se hlásí na tvrdo bez routerů

[pixall]

tak jak bolo povedane, vacsina ludi ma router, a ten vytaca pppoe bez toho aby museli cokolvek robit. ich router im uz do loklanej siete poskytuje DHCP a teda klienti si pocitace pripajaju "plug and play". pre tychto klientov to ze sme ako provider presli na pppoe, neznamena v ich navykoch absolutne ziadnu zmenu.

iba velmi mala skupina zakaznikov (pod 10%) nema ziadny router a vytaca pripojenie priamo cez windows. a nepamatam si ani jeden pripad zeby s tym niekto mal problem, okritizoval to, atd. a keby slo len o to, nastavit automaticke vytocenie a automaticky reconnect je aj vo windowse trivialne a to uz uzivatel oproti DHCP uz taktiez nepostrehne prakticky ziadny rozdiel.

pri instalacii noveho windowsu je moznost priamo si zvolit, ci bude IP pridelovana cez DHCP alebo PPPoE, ani v takomto pripade pre uzivatela nie je ziadna komplikacia ze si klikne na iny radiobutton.

skratka, v praxi nevidim(e) problem s tym ze by uzivatelom pppoe akokolvek komplikovalo zivot. cez pppoe chodia na internet urcite stovky milionov uzivatelov, ak by to bolo naozaj take zle, asi by to takto nebolo, ze? provideri aj uzivatelia si nebudu vyberat technologiu ktora by bola horsia ako ostatne, nie? kym pre uzivatela je to plusminus jedno ci sa pripojit tak alebo onak, nam ako providerovi pppoe vyrazne zivot ulahcuje.

napriklad tym, ze pri pppoe presne vieme, odkedy dokedy bol uzivatel pripojeny svojim koncovym zariadenim k nasej sieti, co je potom rozhodujuce pri setreni pripadnej reklamacie. ked sa pripojil cez pppoe, som si isty ze to bol priamo ten uzivatel (je tam overenie heslom ktore dostal len uzivatel a nikto iny). smo si isty aj casom trvania, lebo pppoe si cez LCP kontroluje, ci je spojenie zive a ked nie, tak session po nastavenom case (u nas cca minuta) ukonci. ak by som tam mal DHCP, o case odhlasenia/odpojenia uzivatela sa spolahlivo nedozviem, ziadna kontrola typu LCP pri DHCP neexistuje a o tom ze user je alebo nie je onoine, sa od DHCP nedozviem. takze posudit pri reklamacii, kolko bola sluzba realne nedostupna, je pri DHCP problem. a ak aj pri DHCP najdem v logoch DHCP request, podla ktoreho by som mohol usudzovat ze user sa pripaja k sieti, nemozem si byt isty ze je to fakt opravneny uzivatel, lebo DHCP je viazane na MAC adresu, a MAC adresu si odsniffuje a nahodi na svoju sietovku ktorykolvek "advanced user".

suma sumarum, pre uzivatela to nepredstavuje podstatnu zmenu, ale pre providera ano.

[Tomáš Nesrsta]

máte toto někdo nasazene spolu se správou přes ISPadmin? Jde to vůbec? Jaké jsou s tím zkušenosti?

[okoun]

Nevíte jak se dá navázat na routování OSPF Radius? Konkrétně jde o to, když budu mít PPPoE server na AP a PPPoE klient bude u klienta třeba na SXT. PPPoE rozhraní bude mít /30 subnet a ten /30 subnet bych potřeboval aby se ukázal v routovací tabulce a to aby to nějak automaticky zařídil radius, šlo by?

[zdenek.svarc]

Každý nově navázaný PPP tunel vytvoří dynamický záznam v lokální routovací tabulce, to je jeho vlastnost. OSPF tedy nastavíme tak, aby importoval dynamické routovací záznamy (redistribute connected routes).

[okoun]

supr

[loopie]

Dobrý den,
předně bych rád poděkoval za velmi podnětné vlákno, které mě donutilo se zamyslet nad naší sítí:-) Narazil jsem na pár věcí, na které bych se rád zeptal zkušenějších kolegů. Podotýkám, že u mě je vše mikrotik, momentálně 5.15.

1. Do PPPoE koncentrátoru se mi na jeden interface sbíhá několik VLAN s PPPoE sessionami. Zatím konfiguruji PPPoE server nad každou VLANou, pokud ho dám přímo na interface, tak se k němu PPPoE requesty nedostanou. Zároveň u PPPoE serveru není možnost přidat víc interfaců. Dělám něco špatně, nebo tuto funkcionalitu ROS zatím nemá? Na linuxu to jde. Toto není až takový problém, ale jednoduchosti konfigurace by prospělo mít jenom jeden PPPoE server namísto třeba padesáti.
2. IPv6 problém s routami. Popíšu trochu mojí konfiguraci. Na koncentrátoru je pool /52 plný prefixů /63 pro klienty. Po úspěšném navázání PPPoE spojení se nahodí pro toto spojení dynamický DHCPv6 server, který klientovi pošle jeho /63 prefix. Na klientovi je puštěný DHCPv6 klient, který si vezme svůj prefix. Na LAN klienta se automaticky nastaví IPv6 adresa z prvního /64 prefixu obdrženého klientem a zapne se advertise. V tu chvíli začne na LAN segmentu u klienta fungovat autokonfigurace, takže jeho PC si nastaví adresu a IPv6 funguje. Zatím vše v pořádku. Problém je na koncentrátoru, kde se záhadně kromě routy na /63 klienta objevila i routa na jakoby "další /63 v pořadí z poolu /52 ", která ukazuje na toho samého klienta. Ta "správná" routa má jako gateway link local adresu klienta (což je IMHO špatně), ta "špatná" routa má gateway dynamický PPPoE interface, který se vytvořil při navázání spojení (což je IMHO dobře). Ta "správná" routa cca po půl hodině zmizí(!!) a tím pádem u klienta přestane fungovat IPv6. Možná je nesmysl to takhle používat, ale přijde mi to jako docela standardní způsob přidělování adres a mělo by to chodit. DHCP server i klient ukazují přidělení těch "správných" prefixů, jenom se takhle zblázní ty routy. Máte někdo podobnou zkušenost? Je to bug v ROSu? Možná by bylo lepší DHCP zrušit, přidělovat prefixy z poolu na radiusu a zaroutovat to OSPFv3.... I když mi nepřišlo, že by byl problém v tom DHCP...

Díky

[zdenek.svarc]

1. Do PPPoE koncentrátoru se mi na jeden interface sbíhá několik VLAN s PPPoE sessionami. Zatím konfiguruji PPPoE server nad každou VLANou, pokud ho dám přímo na interface, tak se k němu PPPoE requesty nedostanou. Zároveň u PPPoE serveru není možnost přidat víc interfaců. Dělám něco špatně, nebo tuto funkcionalitu ROS zatím nemá? Na linuxu to jde. Toto není až takový problém, ale jednoduchosti konfigurace by prospělo mít jenom jeden PPPoE server namísto třeba padesáti.

Popisovanou konfiguraci s multiVLANami nikde neprovozujeme, ale takto:
1) Nestačilo by použít pouze private VLAN (1 VLAN s izolovanými porty a jedním promiskutiním směrem k PPPoE serveru), jestli se tedy u vás používá 1 VLAN per klient? Nebo se jedná o shluky PPPoE sessions přes několik VLANů, pak viz bod 2.
2) PPPoE serverů může být na koncentrátoru spousta, toho bych se nebál.

Máte někdo podobnou zkušenost? Je to bug v ROSu? Možná by bylo lepší DHCP zrušit, přidělovat prefixy z poolu na radiusu a zaroutovat to OSPFv3.... I když mi nepřišlo, že by byl problém v tom DHCP...

DHCPv6 nepoužíváme, takže nedokážu posoudit. Přidělování IPv6 do PPPoE přes framed-ipv6-prefix ale funguje dobře.

[loopie]

Jedna VLAN v mém podání je třeba jeden sektor, jeden LAN segment, jeden FTTB switch. Variantu s více PPPoE servery na koncentrátor mám zrovna na stole a funguje to bez problémů, jenom mi přijde zbytečné jich tam mít tolik, když jsou všechny úplně stejně nastavené - veškeré nastavení klenta je v radiusu. Navíc i u od Mikrotiku chodí do radiusu dostatek informací (nas-ip, nas-port, realm, apod) na to abych si takový request přesně identifikoval a věděl odkud mi přišel. Pro zatím to budu brát jako vlastnost ROSu:)
Ad IPv6 - framed-ipv6-prefix funguje dobře, ale já bych raději přiřazoval dynamické prefixy. S tím se pojí další věc. Pokud použiju OSPFv3, tak se mi routa na klienta vypropaguje do sítě, ale pokud se klient odpojí, tak se propagace jeho routy do sítě nezruší. Připadá mi to podobné, jako problém, který jsem popisoval v minulém příspěvku a už jsem dohledal, že je to i hlášený bug. Zdá se, že v ROSu je IPv6 použitelné leda tak komplet staticky...

[okoun]

Měl bych dotaz, nevím čím to je, ale mám problém se získáním brány (GW) na PPPoE klientu, který je na W7. Když použiji klienta jako MK, tak problém není, routa se v MKčku načte dynamicky podobně jako u dhcp clienta.
Internet mi na W7 sice funguje, ale když se někdo na tu stanici chce dostat ze sítě, tak se tam nedostane protože na stanici je výchozí brána 0.0.0.0. IP z PPPoE je x.x.x.x/32.

[zdenek.svarc]

Síť /32 je vlastnost point to point protokolu. To však neznamená, že by se na koncovou stanici nedalo z venku dostat, takže chyba bude nejspíš jinde (IP filter ve W7?).

[Tomáš Nesrsta]

Hraju si s PPPoE a pripojeni mi funguje OK. Chtel jsem tedy pripojit jednoho testovaciho klienta ktery je pripojeny na vzdalenem AP a ten PPPoE server "nevidi" i kdyz ping od nej na server funguje. Vzhledem k tomu ze PPPoE protokol moc neznam dotaz je nasledujici:
Jak pripojit vzdaleneho klienta k PPPoE serveru ktery je na zacatku site, kdyz cela sit je routovana?

[zdenek.svarc]

Jak pripojit vzdaleneho klienta k PPPoE serveru ktery je na zacatku site, kdyz cela sit je routovana?

Jakékoliv zapouzdření L2, které propouští broadcast (k vůli PPPoE Discovery paketu). Takže třeba EoIP. A na diagnostiku je dobrý PPPoE Scan v RouterOS.

[okoun]

no mě by spíš zajímalo co se stane když pustím dva koncentrátory na stejné síti, jaký si potom klient vybere koncentrátor?

[krtko]

ten, ktory prvy odpovie ...