PPPoE-Server - Problemi di routing - di rotte - permessi

[Aldo Camuto]

Buon giorno a tutti in anticipo.

Ho una rete gestita da un server PPPoE.
Ha due linee SHDSL in esterno da 16Mb/16Mb con due range di 125 IP pubblici per linea, (77.xxx.xxx.0/25 - 77.xxx.xxx.128/25).
Assegno alle mie CPE questi indirizzi e loro navigano tranquillamente.
Se io volessi entrare nelle varie CPE con gli IP pubblici assegnati con il Winbox non mi fa accedere;
Se una CPE volesse comunicare con un'altra (tipo una internet e l'altra dedicata per le telecamere) non va, ma da esterno con una linea diversa dalla mia, le telecamere le vedo;
Aiutatemi se potete

[alsoft]

Potresti postare la configurazione della CPE?
Tra le CPE riesci a fare un ping? E se fai un trace vedi il server PPPoE come hop?

[Aldo Camuto]

dalla CPE con IP pubblico 77.xxx.xxx.34 faccio un tracert ad un'altra CPE con IP pubblico 77.xxx.xxx.45,
mi risponde l'interfaccia del PPPoE_Server interna con IP 10.10.1.14 e poi si non sa dove andare.
Da premettere che queste CPE si autenticano al PPPoE_Server tramite un radius ed escono normalmente su internet.
Da fuori se vado sul IP pubblico ed cerco di entrare sulle telecamere con le regole di firewall nat messe ci entro tranquillamente.
secondo me manca una rotta o una regola di Firewall che gli dica al PPPoE_Server vedi che se ti arriva un a richiesta da partre di questo range di IP verso questo range di IP de3vi farli passare.

[Aldo Camuto]

aggiungo facendo il ping dalla prima CPE verso la seconda CPE il risultato è questo:
10.10.0.90 84 60 101ms TTL exceeded
77.43.95.1 56 254 12ms redirect host
10.10.0.90 84 60 92ms TTL exceeded
77.43.95.1 56 254 6ms redirect host
fatto il tracert verso il PPPoE_Server:
tool traceroute address=77.43.95.5
# ADDRESS RT1 RT2 RT3 STATUS
1 77.43.95.2 12ms 8ms 8ms
2 77.43.95.1 9ms 7ms 10ms
3 10.10.0.90 20ms 28ms 14ms
4 10.10.0.34 15ms 11ms 19ms
5 10.10.0.30 23ms 22ms 16ms
6 10.10.1.2 21ms 14ms 7ms
7 10.10.1.9 12ms 8ms 16ms
8 10.10.0.90 19ms 28ms 24ms
9 10.10.0.34 26ms 10ms 19ms
10 10.10.0.30 17ms 35ms 24ms
11 10.10.1.2 20ms 13ms 11ms
12 0.0.0.0 0ms 0ms 0ms
13 0.0.0.0 0ms 0ms 0ms
14 0.0.0.0 0ms 0ms 0ms
15 0.0.0.0 0ms 0ms 0ms
16 0.0.0.0 0ms 0ms 0ms

[alsoft]

Non credo si tratti di rotte, il PPPoE crea la rotta dinamica relativa alla sessione iniziata ed autenticata.
Riusciresti a farci vedere la configurazione del PPPoE server? Anche se non mi è chiara una cosa: la rotta dinamica creata con la sessione ppp è l'ip pubblico (ovvero la /32) oppure è un ip privato e poi hai il nat 1to1? Mi occorrono più elementi per capire...

[Aldo Camuto]

ppp è l'ip pubblico (ovvero la /32)
nella cpe troviamo:
# ADDRESS NETWORK INTERFACE
0 ;;; Linea interna Cliente
192.168.0.254/24 192.168.0.0 interna
1 D 77.43.95.100/32 77.43.95.2 UniFi-Internet

[alsoft]

Senza vedere la configurazione del router con cui fai PPPoE è davvero difficile darti una mano.

Poi occorrerebbe anche uno schema della rete:
Le linee SHDSL solitamente vengono terminate su router in comodato d'uso, sulla quale ethernet assegnata hai le tue subnet ed un gateway (solitamente il router stesso). Hai collegato in cascata una routerboard?
Posso avanzare alcune ipotesi:
Sull'interfaccia di uplink della routerboard hai le due /25?
La Mikrotik con cui fai PPPoE è la stessa dell'uplink dai router SHDSL?
Hai mica assegnato un indirizzo ip all'interfaccia server del PPPoE?

Da quanto ho avuto modo di capire, il NAT lo fai solo sulle CPE, il che va a semplificare seppur di poco lo scenario.
Ma cosa sono gli host che vedo nel tuo trace sulle subnet 10.10.0.x e 10.10.1.x
Cosa c'entra UniFi?

Posta la configurazione e vediamo di capirci di più.

[Aldo Camuto]

la rete delle due SHDSL sono:
1) Router Cisco 2811 con IP 77.xxx.xxx.1/25
2) Router Cisco 2811 con IP 77.xxx.xxx.129/25

il PPPoE_Server e collegato:
1) con la porta ether4 con IP 77.xxx.xxx.2/25
2) con la porta ether5 con IP 77.xxx.xxx.130/25

dalla PPPoE_Server va tutto verso i ponti delle CPE con IP 10.10.1.14 sulla ether1
i ponti successivamente sono sulla rete 10.10.0.0/24

Poi la porta pppoe della CPE è chiamata UniFi-Internet.

le CPE escono tutte con gli IP pubblici. 77.xxx.xxx.3 alla 77.xxx.xxx.123 e dalla 77.xxx.xxx.131 alla 77.xxx.xxx.253.

[alsoft]

Ok, ma essendo il PPPoE centralizzato e la rete un puro bridge L2 (assumo che sia così) non è possibile che tu veda nel trace gli ip della rete (i ponti/ap/bts). C'è qualcosa che non va!
Se il gateway per la CPE è il router PPPoE ed il router PPPoE vede come next-hop la CPE non capisco come faccia farti vedere tutti i "salti".
In ogni caso, pur non condividendo una rete L2, io attiverei due vlan, una in bridge con il PPPoE ed una per fare management dei vari dispositivi. Così nelle tratte di backhaul hai un trunk con la sola VLAN di management taggata (ed alla quale assegni un ip per quel dispositivo), poi decidi se portare le due VLAN fino alla CPE ed attivare su una il PPPoE Client e sull'altra un ip di management privato oppure fermarti sull AP e fare un bridge tra la vlan del pppoe e la wlan.
A valle, sulla eth1 hai due interfacce virtuali, aumenti la sicurezza e fai "ordine" nell'arp.

[Aldo Camuto]

non ho capito bene cosa vuoi dire.
forse posso fare uno schizzo della rete.
io ho una CPE che si registra sul ponte con:
/ip address
set 0 name=wireless address:77.xxx.xxx.24 networks:77.xxx.xxx.2
set 1 name=interna address:192.168.0.254/24
dhcp abilitato.

la distribuzione ha una rete con ip 10.10.0.x/30
(per il punto punto verso una 450 che lega le distribuzioni e i punto punto)

il punto punto verso il PPPoE-Server ha una interfaccia 10.10.1.x/28

il PPPoE_Server ha come interfaccia:
ether1: 10.10.1.14/28
ether4: 77.xxx.xxx.2/24
ether5: 77.xxx.xxx.130/24
ether12: rete interna verso la 192.168.xxx.2/24

come detto prima la ether4 e la ether5 vanno verso i cisco con le due SHDSL da 16/16

spero di essere stato chiaro se no scusetimi in partenza.