Consiglio Su Creazione Server PPPOE con Mikrotik

[sirk98]

Buonasera,
come da oggetto vorrei dei consigli sulla creazione di un server pppoe utilizzando una routerboard mikrotik .

Ho una piccola rete gestita da un firewall che effettua anche bilanciamento di carico di due ADSL .
I miei dubbi sono totali .

Praticamente vorrei :

Codice: Seleziona tutto

installare una routerboard come server pppoe
creare più classi di IP ( diverse da quella del FW ) e assegnarle ai client
bloccare l'accesso dei client sia al FW che alla RouterBoard


Sto effettuando dei test, ma brancolo ancora nel buio, sarebbe inutile postare un export per ora .
Vi chiedo un aiuto .
Saluti sirk98

[steste64]

Hai una rete WiFi?

[sirk98]

Si, le CPE sono collegate ad una settoriale 5 GHz.

[steste64]

Vuoi consegnare classe pubbliche di IP sulle cpe o private nattate?
Supponiamo la 2
Crei un server pppoe sulla rb sull'interfaccia che va sulla rete in bridge. Se usi radius dirotti l'autenticazione sul server radius. Senno' crei gli utenti e i profili direttamete su pppoe.
Inserisci in ip pool i pool di IP che vuoi consegnare sulle CPE. Li leghi tra di loro.
Dici al server pppoe di usare quei pool ed assegni un ip raggiungibile da tutte le classi sull'interfaccia pppoe che hai creato.
Nella rb natti sul firewall le classi consegnate alle CPE

Mi pare basti.....

[sirk98]

Ciao,
ho abbozzato qualcosa ma non riesco a dare connessione ai client se utilizzo pool diverse dal FW, di sicuro ho degli errori nelle NAT rules sulla routerboard.
Elenco cosa ho fatto e posto un export :

Codice: Seleziona tutto

Ho creato un bridge1 e ho scelto come porta eth1 .
mi sono spostato in IP e ho assegnato un rotta con destinazione 0.0.0.0/0 a bridge1
Ho creato due pool, rispettivamente pool1 e pool2
Ho creato un profilo in PPP, profile1 con IP Locale=192.168.192.168 IP remoto=pool1 bridge=bridge1 DNS=IP Locale
Ho creato un server pppoe in PPP su eth2 che punta al profilo creato
In secret ho creato un user_1 che si connette regolarmente .
Ho creato in IP Firewall due regole per le rispettive Pool di IP, ma di sicuro come al solito faccio confusione con il NAT .   

Codice: Seleziona tutto

#
/interface bridge
add arp=proxy-arp l2mtu=1600 name=bridge1
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=pool1 ranges=192.168.222.1-192.168.222.222
add name=pool2 ranges=192.168.111.1-192.168.111.254
/ppp profile
add bridge=bridge1 dns-server=192.168.192.168 local-address=192.168.192.168 \
    name=profile1 remote-address=pool1
/interface bridge port
add bridge=bridge1 interface=ether1
/interface pppoe-server server
add default-profile=profile1 disabled=no interface=ether2 \
    one-session-per-host=yes service-name=service1
/ip address
add address=192.168.1.2/32 interface=bridge1 network=192.168.1.0
/ip firewall nat
add action=add-src-to-address-list address-list=192.168.222.1-192.168.222.222 \
    chain=srcnat src-address=192.168.1.5
add action=add-src-to-address-list address-list=192.168.111.1-192.168.111.254 \
    chain=srcnat src-address=192.168.1.6
/ip route
add distance=1 gateway=bridge1
/ppp secret
add name=user_1 password=user_1 profile=profile1 service=pppoe
/system routerboard settings
set cpu-frequency=400MHz


Dove sbaglio ?

[sirk98]

Eccomi ancora .
continuando a sperimentare ho risolto le problematiche che avevo e sono riuscito a bloccare l'accesso da parte dei client alla webfig di mikrotik :

Codice: Seleziona tutto

/interface bridge
add arp=proxy-arp l2mtu=1598 name=bridge1
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=pool1 ranges=192.168.222.1-192.168.222.222
/ppp profile
add bridge=bridge1 dns-server=8.8.8.8 local-address=192.168.192.168 name=\
    profile1 remote-address=pool1
/interface bridge port
add bridge=bridge1 interface=ether1
/interface pppoe-server server
add default-profile=profile1 disabled=no interface=ether2 one-session-per-host=\
    yes service-name=service1
/ip address
add address=192.168.1.2/32 interface=bridge1 network=192.168.1.0
/ip firewall filter
add action=drop chain=input dst-port=80 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge1 src-address=\
    192.168.222.1-192.168.222.222
/ip route
add distance=1 gateway=bridge1
/ppp secret
add name=user_1 password=user_1 profile=profile1 service=pppoe


Questa configurazione è accettabile ?
E sarebbe possibile bloccare l'accesso al FW a monte direttamente dalla Router Board ?
E se volessi assegnare un IP pubblico ad un client come dovrei ragionare ? Nel senso dovrei utilizzare un interfaccia diversa da quella del bridge1 su eth1, ad esempio eth2, e mapparla ad un client mediante una rules in router board, oppure tutt'altro ?
( Intanto sto provando a collegarmi ad un server radius su linux con OpenVPN ) .

[sirk98]

Eccomi ancora,
avevo un po' di tempo e ho risolto altri dubbi . Ho bloccato l'accesso al FW con un'altra rule nella router board .
Ma ancora non riesco a capire come assegnare un IP pubblico ad un client bisogna utilizzare un'interfaccia diversa da quella utilizzata per i client in NAT ( eth1 ) oppure tutt'altro ?

Intanto seguendo una wiki sul web ho chiuso una VPN verso un VPS linux utilizando openvpn, ma anche qui ho dei dubbi, perchè nonostante il link sia stabilito, non riesco a fare ping verso il server e viceversa; rispetto ad un client su linux bisogna utilizzare diversi accorgimenti ( protocol TCP, auth e pass, comp-lzo no ecc.. ) .
La mia intenzione è di sfruttare OpenVPN per raggiungere un server Radius remoto . Cosa c'è che non va ? O cosa Manca ?
Ecco un altro export :

Codice: Seleziona tutto

/interface ovpn-client
add add-default-route=yes certificate=cert2 cipher=aes256 comment=\
    "MY_VPN" connect-to=a.b.c.d mac-address=X:x:x:X \
    name=ovpn-out1 password=mikrotik01 port=1195 user=mikrotik01
/interface bridge
add arp=proxy-arp l2mtu=1598 name=bridge1
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=pool1 ranges=192.168.222.1-192.168.222.222
/ppp profile
add bridge=bridge1 dns-server=8.8.8.8 local-address=192.168.192.168 name=\
    profile1 remote-address=pool1
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether3
/interface pppoe-server server
add default-profile=profile1 disabled=no interface=ether2 \
    one-session-per-host=yes service-name=service1
/ip address
add address=192.168.1.2/32 interface=bridge1 network=192.168.1.0
/ip firewall filter
add action=drop chain=input disabled=yes dst-port=80 protocol=tcp
add action=drop chain=forward dst-address=192.168.1.254
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge1 src-address=\
    192.168.222.1-192.168.222.222
/ip route
add distance=1 gateway=bridge1
add distance=1 gateway=ovpn-out1
/ppp secret
add name=user_1 password=user_1 profile=profile1 service=pppoe
/system routerboard settings

[figheras]

Sarebbe meglio che facessi uno schema di come è ora la rete e di postare le config già presenti altrimenti non abbiamo tutti gli elementi in mano nostra per poterti dare una mano!