Autenticazione routerboard e vlan

[davids01]

Salve a tutti...sto avviando un attività di wisp ed ho acquistato una routerboard ccr1009 con una settoriale m5 e ed alcune airgrid per settarle come cpe.
Ho messo in piedi questa piccola struttura e a questo punto ho alcuni problemi/domande:
1)L'autenticazione dei clienti posso farla solo in pppoe o devo mettere anche il radius? (scusate la domanda ma x voi può sembar stupida, ma non riesco a rispondermi)
2)Ho creato un server pppoe e setto i parametri nella cpe è solo che il cliente prova, si disconnette e riconnette continuamente.
3)come faccio ad isolare i clienti? Avevo pensato di creare delle vlan per ogni cliente, è solo che creo nella rb la vlan con il suo ip, metto i paramentri della vlan nella cpe e continuo a pingare il router che si trova a monte della rb, come devo risolvere?
Grazie a tutti anticipatamente...

[xanio]

Ciao, secondo me hai le idee un po confuse, cmq cerchiamo di fare chiarezza:
- Perchè non hai usato tutti gli apparati con RouterOS, piuttosto che fare le cose ibride con Ubiquiti?
1) l'autenticazione la fai in pppoe, il radius ti serve se non vuoi inserire gli utenti all'interno di RouterOS.
2) hai controllato il collegamento wifi, magari è problema di ponte radio, o segnale CPE
3) In che senso isolare il cliente? sulle BTS con RouterOS puoi impostare il forward "disable" in modo che non si vedano, ma considera che alla fine sono in "lan" tra di loro, ma oltre a pingarle puoi fare ben poco se le configuri bene.

PS: puoi configurare un firewall su ogni CPE

[davids01]

Grazie mille xanio per l'aiuto. Comunque non ho uscato tutto RouterOs, perchè non ero a conoscenza delle antenne mikrotik ed il fornitore mi ha paralto solo di ubiquiti
1)Risolvo con pppoe, lascio l'autenticazione con pppoe e inserisco gli utenti nel RouterOs
2)La parte radio va bene, se metto come indirizzo statico nell'antenna va tutto ok, quando metto pppoe succedono le disconnessioni....googlando un pò ho trovato alcuni problema sulle ubnt( airgrid e m5) ed ho fatto questi settaggi:
2-1)ho attivato il wds (ho migliorato la situazione prima si disconnettevano ogni 2-3minuti, adesso ogni 30minuti)
2-2)ho attivato i log delle antenne ed ecco cos'ho notato:
No response to 5 echo-requests
Serial link appears to be disconnected
Connect time 1.4minutes.
Sent 3486 bytes, received 3244 bytes.
Connection terminated.
3-2)Ho aggiornato le ubiquiti agli ultimi firmware
Non so più cosa fare...sono disperato
3)Intendo che non voglio che si vedano le cpe, routerboard, i modem della parte wan,eccc...Precisamente ho la sottorete dei clienti che è 192.168.10.0/24 ogni ip è una cpe, voglio inibire la visibilita tra di loro, cosa dovrei settare nel firewall?
Grazie mille

[xanio]

Fai una regola in cui permetti alla CPE di vedere SOLO il GW o server necessario, il resto di default è deny, in questo modo un icmp, port-scan o altro non vede niente.

PS: per il link hai controllato se con ip statico, perde connessione?

[davids01]

Scusami, se posso sembrare un po tonto, ma non vorrei sbagliare...supponiamo che il router ah indirizzo 102.168.10.1 e il modem 192.168.1.1, l'indirizzo della cpe è 192.168.10.20, che tipo di regola dovrei creare, puoi spiegarla, grazie...
Per quanto rigurada il link con ip statico non perde la connessione va bene...comunque ho cambiato un pò di impostazioni alla cpe ed adesso è rimasta collegata per 5ore senza disconnettersi, spero bene....

[xanio]

Allora dagli ip che mi hai elencato, vedo un po di confusione, quindi cerco di ricapitorale io:
router 192.168.10.1 -> Ponte Radio -> CPE 192.168.10.20 in wds -> Router (Modem) cliente in pppoe su interfaccia wan e in lan 192.168.1.1.

Giusto?

Allora sul router (modem) del cliente devi impostare una regola in cui devi fargli vedere solo ip 192.168.10.1 e negare gli altri, in questo modo dovresti essere + o - tranquillo, poi ovviamente dipende dai livelli di sicurezza generali della tua lan / backbone.

[davids01]

scusami xanio, ma mi potresti proprio dire che tipo di regole dovrei creare, come che regola devo fare per fargli vedere solo 192.168.10.1?
Comunque la situazione è questa:

Wan -> Wan Mikrotik Mikrotik Lan ->Ponte Radio ->Cpe
Router(Modem) 192.168.1.1 -> 192.168.1.88 192.168.10.1 -> 192.168.10.2 ->192.168.10.11