Consiglio Routing e Server Radius

[salvocat]

Salve, leggendo i diversi argomenti del forum non sono riuscito a trovare nessuno che parla di protocolli di routing, quindi volevo porvi alcune domande che a me quasi neofita del Sistema operativo Mikrotik.
Io personalmente nella mia piccola rete composta da circa una dozzina di RB, composta nella totalità de trasporto da Mikrotik e mista nella parte client da Linksys WRT e Mikrotik, ho preferito scrivere a mano le rotte (in circa saranno 60).
Mi consigliate di implementare qualche protocollo di routing?
Quale?
Che vantaggi posso averne?

Per quanto riguarda il Server Radius, ho letto con molto piacere di RadiusManager, un prodotto secondo le discussioni molto utile e funzionale.
Lo posso usare su un server Centos 5.4, processore Intel 2,4 Ghz, Ram Kingston 4GB, e dischi rigidi Raid 0 da 250 GB?
Circa quanti client si posso gestire?
Posso effettuare sempre con il Server Radius il log del client secondo le leggi PISANU?

Grazie anticipatamente.

[iz3spv]

Ciao, scusa se non tratto il tuo argomento, ma ho visto che hai fatto a mano una sessantina di instradamenti su delle mikrotik.
Io ho il problema che sebbene instrado qualunque genere di traffico "da e verso a" anche se con bridge attivo non comunico con il resto degli IP, non riesco neppure a comunicare con i client collegati, ne dai client pingare la lan interna che si trova in un altro segmento di rete.
Ho già postato, ma probabilmente o l'ho buttata giù troppo complicata o veramente nessuno qui sa darmi una spiegazione valida.

Grazie della tua attenzione ed eventuale pazienza, è la prima volta che uso una mikrotik, il resto delle volte l'ho sempre vista usata da altri.

[procad]

Intervengo sul RADIUS e cerco di fare un po' di chiarezza.
Il RADIUS come servizio non traccia tutte le connessioni che avvengono tra un client e un server, infatti il servizio si limita a registrare il momento in cui una sessione e' cominciata, il momento in cui e' terminata e l'ip assegnato all'utente. questo basta quando si lavora con delle sessioni a cui viene assegnato un ip pubblico. Infatti bastera' rintracciare l'utente che in certo momento aveva un certo ip per rispondere alle richieste della polizia postale.
Il problema si pone quando l'utente riceve un ip privato ed un certo numero di utenti accedodo dietro un nat. In pratica a molti utenti corrisponde un solo ip pubblico.
Come facciamo a sapere chi a fatto cosa?
In questo caso Mikrotik ci viene incontro con una funzionalita' che si chiama ip accounting che permette li leggere da una speciale pagina web del router tutta la lista:
ip sorg. - ip dest - user
Ovviamente leggere queste informazioni e' una cosa esterna al protocollo RADIUS che certo non prevede quest'attivita' che normalmente e' sviluppata a parte da chi fornisce il software completo.

P.

[salvocat]

Grazie di vero cuore per la risposta.. Ma questa funzione che Mikrotik ci offre, posso registrarla su una macchina e conservarla come backup?
Mi potresti aiutare nella configurazione di RouterOs e della macchina?
Grazie anticipatamente..
Salvatore..

[salvocat]

Scusami se ti faccio tutte queste domande, ma sono in fase di esaurimento...
Non ho ancora capito il funzionamento del radius, sencondo a quanto ha capito la mia piccola mente, avviene pressocchè così:
1- installo freeRADIUS (Distribuzione CENTOS 5.4)
2- configuro semplicemente la parte per dialogare con il NAS (RouterOS Virtualizzato su un'altra macchina con Centos)
3- configuro mysql per dare l'accesso a radius manager
4- installo radiusmanager
5- gestisto: accesso tramite autentizazione RADIUS - profili e quant altro tutto da Radius Manager.
Senza dover creare utenti e client nei file di configurazione di freeradius
Grazie.

[greencomputing]

In merito al decreto Pisanu in presenza di un pool di ip privati nascosti tramite masquerading , la funzionalita' ip accounting non e' sufficiente da sola per quei casi dove nello stesso istante due ip privati diversi si collegano allo stesso ip/porta esterne (di questi casi vi assicuro che ce ne sono tantissimi)

[piciccia]

In merito al decreto Pisanu in presenza di un pool di ip privati nascosti tramite masquerading , la funzionalita' ip accounting non e' sufficiente da sola per quei casi dove nello stesso istante due ip privati diversi si collegano allo stesso ip/porta esterne (di questi casi vi assicuro che ce ne sono tantissimi)

Cosa chiederebbe il decreto Pisano oltre questo ?? ( e' un estratto dell'accounting di Mikrotik)

65.55.185.26 10.5.50.236 11778 15 * mirko
10.5.50.236 65.55.185.26 4265 15 mirko *

Quando hai Sorgente privata / destinazione pubblica / nome utente, cosa devo avere di + il certificato medico ??
Oltre questi dati non posso andare per legge, quindi non potrei per esempio trascrivere il traffico ecc.
Cosa manca secondo te ?

C.

[greencomputing]

considera lo scenario seguente che per me costituisce ad ora un problema di non facile risoluzione :

1) due station A e B hanno rispettivamente ip IP_A ed IP_B su private network.
2) l'accesso alla public Internet avviene tramite masquerading implementato su un router NetGear;
3) ad un istante t0 entrambi le due station effettuano una sessione verso stessa host e stessa porta TCP di destinazione ,diciamo (IP_SITO,PORT_SITO).
4) abilitando /ip accounting su router OS che uso nella mia rete come hotspot , quello che riesco a loggare e' la parte End2End della conversazione
5) arriva l'autorita competente e mi chiede chi all'ora X era collegato all' (IP_SITO,PORT_SITO) avendo loro stabilito che la sessione si origina dall'IP pubblico di di mia proprieta' IP_PUB.
6) Aprendo gli snapshot accuratamente selezionati su RouterOS ho che all'ora stabilita sussistrevao due connessioni verso la destinazione considerata : questa informazione mi dice quali IP privati realizzavano questa connessione , ma nulla piu'. Ora quale delle due connesioni e' di mio interesse? Non avendo alcuna info su come vengono nattati sul router netgear i miei due IP privati , non posso disambiguare in modo definitivo quale sia la unica sessione da considerare.

[piciccia]

Se ci pensi, il problema è di implementazione, non di RouterOS.
Quindi quello che tu dici non è coerente al thread.
Semmai il problema è perchè fai fare NAT al Netgear.
Non credo sia possibile avere + informazioni oltre:
ip sorgete (pprivato), IP sorgente (pubblico), ip/porta destinazione, utente.
Dimmi di cos'altro hai bisogno !

C.

[greencomputing]

Ascolta, qui nessuno sta criticando RouterOS. una cosa e' certa : nella maggior parte delle configurazioni wisp il solo router OS non assolve pienamente ai compiti previsti dal decreto Pisanu per i motivi che ho esposto sopra.
La mia osservazione e' corente con il thread in quanto io sono intervenuto laddove si diceva che (procad uso il tuo intervento ) :

Il problema si pone quando l'utente riceve un ip privato ed un certo numero di utenti accedodo dietro un nat. In pratica a molti utenti corrisponde un solo ip pubblico.
Come facciamo a sapere chi a fatto cosa?
In questo caso Mikrotik ci viene incontro con una funzionalita' che si chiama ip accounting che permette li leggere da una speciale pagina web del router tutta la lista:
ip sorg. - ip dest - user

Mi rendo conto che ti sfugge ancora la problematica base. Ci sono dei thread base nei quali si spiega elegantemente e anche semplicemente quanto ti ho mostrato e che vivamente ti invito a leggere essendo essi di facile accesso.