Problema pppoe

[dr.rccdvd]

Salve a tutti :-)
chi mi da una mano a configurare un pool di ip pubblici pppoe?

[ppraz]

Ciao, credo tu sia stato molto sintetico, immagino hai degli IP pubblici ruotati (magari da un AS o sei tu stesso AS) e vuoi assegnarli tramite PPPOE-server
In tal caso assegnali semplicemente con la stessa modalità con cui assegni quelli dinamici, poi evita di nattarli giacché sono già pubblici.

Ad esempio, pppoe-server di nome "prova"

Codice: Seleziona tutto

interface pppoe-server server add service-name="prova" interface=ether1 max-mtu=1480 \
max-mru=1480 mrru=disable authentication=pap,chap keepalive-timeout=10 \
one-session-per-host=yes  max-sessions=unlimited pado-delay=0 \
default-profile=profilo-prova


Quindi dovrai configurare il profilo "profilo-prova"

Codice: Seleziona tutto

ppp profile add name="profilo-prova" local-address=<IP LOOPBACK DEL TUO PPPOE SERVER> \
remote-address=pppoe-pool change-tcp-mss=yes dns-server=1.1.1.1,1.0.0.1


Infine il "pppoe-pool"

Codice: Seleziona tutto

ip pool add name=pppoe-pool ranges=192.168.10.1-192.168.10.254


Solo che anzichè 192.168.10.1-254 devi mettere il range di IP pubblici che vuoi assegnare.
Occhio che in questo modo l'IP è dinamico, se invece vuoi assegnare allo stesso cliente sempre lo stesso IP devi intervenire sull'utenza pppoe

Codice: Seleziona tutto

ppp secret add service=pppoe profile=default-encryption \
remote-address=192.168.10.10 name=utente1 password=password1


In questo caso all'utente "utente1" ho assegnato staticamente l'IP 192.168.10.10

[dr.rccdvd]

ciao e grazie per la risposta, sono stato molto sintetico e ti spiego la mia configurazione attuale:
praticamente ho già una pool pppoe che va una wan1 e funziona senza problemi ovviamente assegnando la pool dal radius adesso voglio aggiungere un'altra pool /28 che deve andare sulla wan2 e dal radius voglio assegnare determinati utenti a quella pool, ho creato le rotte in firewall mangle ho marcato i pacchetti ma nel momento in cui assegno un client ad un indirizzo della pool /28 non naviga!

[ppraz]

Quindi l'assegnazione dell'IP è corretta giusto?
Come regole di mangle immagino tu abbia creato solo una "mark-routing" e poi in IP -> route crei una default root per il nuovo routing mark.
Se non hai fatto così prova la configurazione che ti consiglio.

Il mangle lo devi fare in base al source IP:

Codice: Seleziona tutto

ip firewall mangle add chain=prerouting src-address=192.168.10.0/24 \
action=mark-routing new-routing-mark=wan2


Route dedicata:

Codice: Seleziona tutto

ip route add gateway=10.0.0.1 routing-mark=wan2


[dr.rccdvd]

esattamente ecco la configurazione

7 ;;; -------------------- ether1-BUSINESS1 - Connection Routing ----------->
------
chain=prerouting action=mark-connection
new-connection-mark=ether1-BUSINESS1_connection passthrough=yes
in-interface=ether1-BUSINESS1 log=no log-prefix=""

8 chain=prerouting action=mark-routing new-routing-mark=to_ether1-BUSINESS1
passthrough=yes connection-mark=ether1-BUSINESS1_connection log=no
log-prefix=""

9 chain=input action=mark-connection
new-connection-mark=ether1-BUSINESS1_conn passthrough=yes
in-interface=ether1-BUSINESS1 log=no log-prefix=""

10 chain=output action=mark-routing new-routing-mark=to_ether1-BUSINESS1
passthrough=yes connection-mark=ether1-BUSINESS1_conn log=no
log-prefix=""

11 chain=prerouting action=mark-routing new-routing-mark=to_ether1-BUSINESS1
passthrough=no src-address=195.---.---.---/28 log=no log-prefix=""


poi mi sono creato la rotta

[TSI-Troccoli]

Ma la /28 come ti viene consegnata?

[ppraz]

Ma la /28 come ti viene consegnata?

Ottima osservazione Pasquale, questo è fondamentale, se la rotta te la consegnano ruotata ok, sennò se il gw è su apparato del fornitore devi cambiare approccio completamente (devi assegnare un privato e nattare e sul Mikrotik che fa da gateway devi assegnare tutti gli IP della /28)
Comunque noto che hai usato 5 mangle, con il mio approccio ne usi solo 1, ricorda che Mikrotik è un hardware general purpose, devi fargliele tu con la configurazione le ottimizzazioni, sennò si "affatica"

[dr.rccdvd]

Eh il gw l'ho fa l'apparato loro con un ip pubblico come posso risolvere?

[ppraz]

Cambia gran parte dell'approccio

- per prima cosa prendi i 13 IP utili e configurali tutti sulla tua routerboard Mikrotik, quella connessa al router dell'operatore

Codice: Seleziona tutto

ip address add address=x.x.x.2 interface=ether1
ip address add address=x.x.x.3 interface=ether1
ip address add address=x.x.x.4 interface=ether1
...


- ai tuoi utenti assegna IP privato come sempre
- crea delle NAT 1:1 fra un privato e un pubblico per i 13 utenti a cui vuoi dare IP pubblico
- mantieni le mangle "mark routing" ma stavolta modifica il routing su base address-list anzichè su base subnet

Codice: Seleziona tutto

ip firewall mangle add chain=prerouting src-address-list=UTENTI_PUBB \
action=mark-routing new-routing-mark=wan2


- nella suddetta address-list inserisci gli IP privati degli utenti a cui poi fai la NAT con l'IP pubblico
- assegna come GW della routing table così creata (quella creata col mangle) l'IP pubblico dell'operatore, immagino sia il primo

Codice: Seleziona tutto

ip route add gateway=x.x.x.1 routing-mark=wan2


[dr.rccdvd]

Ok domani mattina provo 3 ti aggiorno il problema del nat e che poi le porte verso gli apparati le devo aprire manualmente io