PPPoE koncentrator pre 300+ zakaznikov

[Tomáš Nesrsta]

Me pripada jednoduzsi, kdyz chces zabezpecit wifi nezavisle pro jednotlive uzivatele, pouzit nejaky ustaleny industry standard, coz rozhodne neni PPPoE over wifi, ale napr. radius. Miliony firem po svete to pouziva a funguje to, kazdy wifi klient to umi. vyhody josu zrejme: zadna dodatecna zatez routeru a hlavne zadny overhead, zadne tunely.

Nepletes si to trochu? Radius preci sam zadnym zabezpecenim neni. Je to jenom databaze a je uplne jedno jestli si ty informace z ni vycita radiova cast nebo pppoe.

[Hatatitla]

Me pripada jednoduzsi, kdyz chces zabezpecit wifi nezavisle pro jednotlive uzivatele, pouzit nejaky ustaleny industry standard, coz rozhodne neni PPPoE over wifi, ale napr. radius. Miliony firem po svete to pouziva a funguje to, kazdy wifi klient to umi. vyhody josu zrejme: zadna dodatecna zatez routeru a hlavne zadny overhead, zadne tunely.

Nepletes si to trochu? Radius preci sam zadnym zabezpecenim neni. Je to jenom databaze a je uplne jedno jestli si ty informace z ni vycita radiova cast nebo pppoe.

Toto nevie strašne veľa ludí. Kopec si myslí že je to super bomba metóda zabezpečenia , ale skoro nikto nevie že ako.

[Walkeer]

Samozrejme mam na mysli RADIUS+WPA2-EAP, myslel jsem, ze to je jasne.

[zdenek.svarc]

Omlouvam se za svoji nekonecnou hloupost.

Není potřeba se omlouvat. Bohatě postačí netvrdit věci, kterým nerozumím. Na serveru je spousta témat, do kterých bych se ani já po 13 letech praxe nepouštěl, protože to prostě není moje parketa. A tak chovám respekt k těm kolegům, kteří jim rozumí a nechám si pokorně poradit. A to samé bych si přál od ostatních, už k vůli tomu, abychom neplýtvali časem na vyvracení zcestných tvrzení.

Presto si neodpustim par poznamek: kdyz na fyzicke vrstve, ktera je, jak se asi dohodneme, nutna, pustim EoIP (jak zde zaznelo), coz je i podle wiki tunel a na tom pustim dalsi tunel, tedy PPPoE, tak to neni tunel v tunelu, jak jsem tvrdil? Reknu to asi takhle: klidne si na tom jeste pust OpenVPN, pripadne to muzes pro jistotiu jeste hnat pres IPsec, pripadne pro jistotu, jeste treba SSH tunel. Sichr je sichr

O fyzické vrstvě nebyla ani řeč a není tunel jako tunel. Po EoIP/GRE někteří bez problémů hrnou i IPTV multicast.

Me pripada jednoduzsi, kdyz chces zabezpecit wifi nezavisle pro jednotlive uzivatele, pouzit nejaky ustaleny industry standard, coz rozhodne neni PPPoE over wifi, ale napr. radius. Miliony firem po svete to pouziva a funguje to, kazdy wifi klient to umi. vyhody josu zrejme: zadna dodatecna zatez routeru a hlavne zadny overhead, zadne tunely.

Toto už je silný kalibr i na mě. Vzdávám se

[Walkeer]

Toto už je silný kalibr i na mě. Vzdávám se

ok, reknu kolegum sysadminum a securitakum, at ty cisco APcka u nas v DHL na chodove s WPA2-EAP s certifikatem (to bylo mysleno tim radiusem, pripadalo mi to zrejme) prekopou na EoIP+PPPoE, ze to doporucuje jeden odbornik na foru, ze to je daleko lepsi. Jen nevim, co tomu vytaceni dvou tunelu reknou useri s noutasama
Proc pouzivat ustalene a fungujici postupy, kdyz to muzem nahradit tunelem v tunelu!

ted vazne: uznavam, ze v tomto tematu nejsem kovanym odbrnikem, ale kdyz vidim evidentni kravinu, kterou IMO tunel v tunelu je, tak se proste ozvu. Tim spis, kdyz existuje prumyslovy standard, tedy WPA(2)-EAP + radius. Samozrejme je mozne, ze jen kvuli vlastni hloupisti nevidim tu genialitu dvou tunelu v sobe oproti primitivnimu WPA2-EAP s pripadne navazanym pridelovanim IP

[krtko]

@walkeer

sa tu bavia ludia o pppoe pre klientov na wifinach, kde je predpoklad ze 95% ludi ma nejake CPE co zvlada pppoe a nie o WIFI AP vo firmach. (treba rozlisit retail a firemny segment)
dovolim si tvrdit, ze napr. EoIP tunel na koncentrator s filtrom na pppoe-discovery a pppoe-session plus sifrovany pppoe /32 tunel per user je vysoko secure vec, plus pre paranoikov je mozne pouzit este wpa2 cez radius na wifi part, pod tym EoIP alebo GRE moze kludne bezat L3 routovana siet aby boli spokojni aj zastanci routingu (ospf, L3 redundacia, atd..)

Btw. tunel v tunelu je bezny standard, ked uz tu chces "slovickarit" (QinQ)

[Walkeer]

@walkeer

sa tu bavia ludia o pppoe pre klientov na wifinach, kde je predpoklad ze 95% ludi ma nejake CPE co zvlada pppoe a nie o WIFI AP vo firmach. (treba rozlisit retail a firemny segment)
dovolim si tvrdit, ze napr. EoIP tunel na koncentrator s filtrom na pppoe-discovery a pppoe-session plus sifrovany pppoe /32 tunel per user je vysoko secure vec, plus pre paranoikov je mozne pouzit este wpa2 cez radius na wifi part, pod tym EoIP alebo GRE moze kludne bezat L3 routovana siet aby boli spokojni aj zastanci routingu (ospf, L3 redundacia, atd..)

Netvrdim, ze to neni secure. Tvrdim, ze tunel v tunelu neni dobry napad specialne na wifi a ze WPA2-EAP + RADIUS staci a nema zadny overhead a nezatezuje APcka. Muze zde prosim nekdo znaly napsat vyhody EoIP + PPPoE oproti WPA2-EAP + RADIUS?

[zdenek.svarc]

ok, reknu kolegum sysadminum a securitakum, at ty cisco APcka u nas v DHL na chodove s WPA2-EAP s certifikatem (to bylo mysleno tim radiusem, pripadalo mi to zrejme) prekopou na EoIP+PPPoE, ze to doporucuje jeden odbornik na foru, ze to je daleko lepsi. Jen nevim, co tomu vytaceni dvou tunelu reknou useri s noutasama
Proc pouzivat ustalene a fungujici postupy, kdyz to muzem nahradit tunelem v tunelu!

Podívej se pozorně do adresního řádku svého prohlížeče. Tady jsi na serveru ISPforum.cz. To znamená diskusní server Internet Service Providerů. My nestavíme průmyslové sítě, ale přístupové sítě. Na Chodově řešíte enterprise standardy, my řešíme carrier standardy. To jsou ustálené termíny, na které si koukám, stejně jako já, potrpíš. Proto bys je měl chápat.

ted vazne: uznavam, ze v tomto tematu nejsem kovanym odbrnikem, ale kdyz vidim evidentni kravinu, kterou IMO tunel v tunelu je, tak se proste ozvu.

Jestli je tunel v tunelu kravina, tak napiš na IEEE, ať okamžitě zruší standard 802.1ad, MPLS a další vychytávky, o kterých jste na Chodově nejspíš dodnes neslyšeli.

Tim spis, kdyz existuje prumyslovy standard, tedy WPA(2)-EAP + radius. Samozrejme je mozne, ze jen kvuli vlastni hloupisti nevidim tu genialitu dvou tunelu v sobe oproti primitivnimu WPA2-EAP s pripadne navazanym pridelovanim IP

Pokud chceš být mermomocí chytrolín, tak mluv o standardu 802.1x. Jenže bezdrátová implementace 802.1x skrze WPA2 není vhodná do operátorského nasazení. Rozhodně ne jako jediné AAA. Množina atributů, které jsi schopný skrze 802.1x dostat k autorizaci je malá, a nepokrývá potřeby operátorů, protože 802.1x bylo vytvářeno pro potřeby enterpise prostředí. Maximálně můžeš 802.1x nasadit jako doplněk k PPPoE nebo DHCP.

Skutečně mi nevadí, že se tady veřejně ztrapňuješ, koneckonců je to tvoje vizitka. Pouze mě sere, že plýtváš časem, který bychom mohli věnovat podstatným věcem, nikoliv tě učit základům sítí.

[zdenek.svarc]

Muze zde prosim nekdo znaly napsat vyhody EoIP + PPPoE oproti WPA2-EAP + RADIUS?

Pokračování diskuze na téma PPPoE vs 802.1x viz viewtopic.php?f=51&t=9887

[zdenek.svarc]

Pokud by se našla jedna dobrá duše, která by z téhle neuvěřitelné kupy hnoje vybrala těch 5% podstatných příspěvků a myšlenek, budu strašně rád. Pošlete mi to na zdenek.svarc@freebone.cz a já bych založil nové vlákno. Děkuju nastokrát.

[okoun]

Člověk nemusí bejt ani moc chytrej aby věděl že PPPoE server na RBčku musí logicky zatížit procesor víc než samotnej routing či bridging.

Stando, proboha, nemusí! Běží jenom tolik pravidel, kolik je aktuálně autorizovaných klientů. Pokud bys měl vždy 100% klientů autorizovaných, což nikdy nemáš, tak ano, nároky u PPPoE by byly v řádu nějakých pár procent nahoru. Ale to je naprosto zanedbatelné zvýšení oproti nárokům, které vznáší na výkon bezdrátová režie.

Ono to stejně musí routova a bridgovat že?

Nemusí! Pokud tomu chceš přijít na kloub, bude opravdu nutné, abys prostudoval, jak PPP, resp. PPPoE pracuje. To jsou právě ty /32 sítě, o kterých se psalo na předcházející stránce.

PPPoE je tam jaksi navíc a všechno navíc žere výkon. Pak jistě že pokud člověk shapuje na RBčku musí se smířit s podstatnou zátěží obzvlášť když tam má MIPS 400MHz a zapnutý NV2 nebo NSTREME. Tady je spíš otázka jaký tam máš průtoky.

Stando, pochop, že pokud budeš usilovat o maximálně "neprůstřelnou" službu ethernetové přístupové sítě, tak se nevyhneš ničemu, co "neroste od L2". To znamená DHCP nebo PPPoE. A protože podvrhnout MAC adresu není nic těžkého, tak PPPoE je lepší volba. Podotýkám, že se bavíme v rovině WIFI přístupové sítě.

Já neříkám že je PPPoE špatně ale ten procesor to prostě zatíží víc a obzvlášť když tam i shapuješ. Nevzniklo náhodou tohle vlákno právě z obavy přetížení centrálního PPPoE serveru? Takže jaký pindy?

Znovu opakuju, zanedbatelně.

Co se týká toho přetíženého Omnitiku, problém není v PPPoE, ale na 90% v režii bezdrátu, případně v "přepravidlování" Jaká je konkrétní konfigurace?

No já bych neřekl že je tam přepravidlováno, není tam žádné pravidlo krom Déčkovejch
Já bych spíše viděl problém že je tam deset lidí který mají burst a to může být náročnější. Navíc jsem postřehl, že lidé co mají PPPoE tak nenabízí tak velké rychlosti na WIFI.
Asociovaný je vždy skoro stejný počet, ty co nejsou asociovaní jsou tak 1%, lidé co mají PPPoE na PC či telefonu.
No nicméně čeká nás upgrade a omnitik bude obsluhovat pouze WIFI a QS a /32 sítě bude obstarávat už jen RB2011. Pro nás je prostě na AP nepřijatelné aby tam bylo ve špicích 80%. Normálně je tam tak kolem 40%-60%

[pmaster]

ako sa bude spravat v takejto topologii radius a jeho klientske PPPoE servre ?

radius servre su obsiahnute rovnakou databazou klientov a nastaveni

[zdenek.svarc]

ako sa bude spravat v takejto topologii radius a jeho klientske PPPoE servre ?

radius servre su obsiahnute rovnakou databazou klientov a nastaveni

Není problém, aby se PPPoE servery ověřovaly na kterýkoliv ze dvou dostupných RADIUS serverů, pokud jsou zrcadlené. Pouze je potřeba vyřešit konzistenci accoutingových dat. Tzn. buď raddact synchronizovat na úrovni SQL (?) nebo accounting vynutit na právě jeden z RADIUS serverů.

[pmaster]

mam predstavu ze radius jedna je master a iba v pripade jeho nedostupnosti sa servre budu dotazovat na zalozny slave-radius (zaroven zalozna linka o malej kapacite v pripade ze je nedostupna GW1) a to dotazovanie neviem ako vyriesit resp. ako to urobit nastavuje sa neaky cost v PPPoE servroch kedy a maju na ktory radius dotazovat ak nedostanu odpoved? alebo to poriesi OSPF?

[zdenek.svarc]

Mikrotik RouterOS má pro tohle možnost nastavit backup RADIUS server. A právě i dedikovaný accouting RADIUS server, pokud je třeba. Redundanci lze tedy pořešit přímo na aplikační úrovni.