mikrotik+dhcp+динамика+radius+много вланов

[k291]

Сделал процедуру из поста выше. Хочу выдать клиенту реальный IP.
В билинге назначаю адрес статически. Новый адрес не выдается. Продолжает выдавать 10.0.1.2.
В пуле на реальном адресе добавил нужный тег. Ситуация не изменилась.

[Cell]

Может реальный пул нужно статическим пометить?

[k291]

Может реальный пул нужно статическим пометить?

Он статический:

217.66.55.248   Статический   Да   2   dhcp_1   Изменить   Удалить

Видимо был глюк. Перезагрузил сервер. Выдало реальный адрес.
_______________________________________________________________________________
Для выдачи реальных IP адресов за микротиком:
1) В билинге создаем статический pool с пометкой "реальный?" и заполняем ТЕГ(должен быть такойже как название dhcp сервера в микротике).
1.1) На странице клиента, статически назначаем реальный адрес.
2) В микротике создаем сеть:

Код:

/ip dhcp-server network add address=217.66.55.240/28 gateway=217.66.55.240 n
etmask=28 dns-server=8.8.8.8

PS: сервер с Н+ выдает только IP адрес. Маску, шлюз и DNS выдает Mikrotik.

Дальше надо разрешить трафик в Mikrotik`е для реальных адресов:
Способ 1: при помощи создания моста между интерфейсами (Bridge).

Код:

/interface bridge
add name=Bridge1
/interface bridge port
add bridge=Bridge1 interface=ether1-gateway
add bridge=Bridge1 interface=ether2-local

ether1-gateway-порт провайдера
ether2-local-порт клиентской сети

Способ 2: при помощи NAT. В этом случае, в билинг должен быть выдан серый IP. Внешний адрес статически не назначаем
Пробросим внешний адрес 217.66.55.248 на локальный адрес 10.0.1.2:

Код:

/ip firewall nat
add action=netmap chain=srcnat comment="Mapping 217.66.55.248 > 10.0.1.2" src-address=10.0.1.2 to-addresses=217.66.55.248
add action=dst-nat chain=dstnat dst-address=217.66.55.248 to-addresses=10.0.1.2

На внешнем интерфейсе микротика, вешаем внешний адрес клиента:

Код:

/ip address
add address=217.66.55.248/32 interface=ether1-gateway network=217.66.55.248

[k291]

Может есть вариант при котором в билинге мы назначим статический реальный IP адрес, и клиент будет работать по белому адресу, без использования Bridge в Mikrotik`е?

[k291]

Может есть вариант при котором в билинге мы назначим статический реальный IP адрес, и клиент будет работать по белому адресу, без использования Bridge в Mikrotik`е?

Пока вижу 1н вариант: Создать pool реальных адресов без назначения ТЕГа. Статически назначить клиенту в его кабинете. На Микротике сделать "Способ 2: при помощи NAT" из поста выше.

[Cell]

Можно конечно )) для этого реальная сеть должна быть зароучена на микротик, при этом ип шлюза нужно вешать алиасом с юзерской стороны

[k291]

Можно конечно )) для этого реальная сеть должна быть зароучена на микротик, при этом ип шлюза нужно вешать алиасом с юзерской стороны

Можешь подсказать как именно. Не могу разобраться.
Я уточню, выше стоящий провайдер выдает блок реальных адресов, их надо раздать некоторым клиентам за микротиком.

[k291]

На внешнем интерфейсе микротика, вешаем внешний адрес клиента:

Код:

/ip address
add address=217.66.55.248/32 interface=ether1-gateway network=217.66.55.248

Поправка:

Код:

/ip address
add address=217.66.55.248/28 interface=ether1-gateway network=217.66.55.240

[Cell]

Ну  я так понимаю, вы не ищете легких путей. А договориться с провайдером, чтобы оно выдало вам интерфейсную сеть с маской /30 или /31 и отдельно зароутить за интерфейс еще какую-то сеть это никак? Ну ладно, ща такие провайдеры жмоты пошли им адресов жалко даже на интерфейсы клиентам... ну фейковые вешайте на интерфейсы и сеть просто зароутите. Какие проблемы?
Я даже на знаю что показать нужно правильно ))))
между провайдером и тобой должна быть пара типа такой 1.1.1.1/31-1.1.1.2/31
У провайдера должна быть зароучена на тебя реальная сеть типа так:
route add -net 2.2.2.0/25 gw 1.1.1.2
тогда ты сможешь у себя на внутреннем интерфейсе (в сторону юзеров) поднять ип 2.2.2.1/25 и раздавать эту сеть юзерам.
Можно ее откусить с другого конца и заюзать ипы на нат.
Как еще объяснить надо?

[k291]

Ситуация такова:
Получил от провайдера сетку 217.66.55.240/28. Микротику выдал 217.66.55.250(интернет работает).
Делаем Bridge между внешним портом и локальной сети.
Вешаем DHCP на Bridge. Запрещаю ДХЦП запросы с порта провайдера:
/interface bridge filter add action=drop chain=input comment="DROP DHCP v provayderskuu set" dst-port=67 in-interface=ether1 ip-protocol=udp mac-protocol=ip
Назначаем статический внешний адрес на странице клиента.
Клиент получает внешний адрес,шлюз,ДНС.

Вроде клиента должно пустить в интернет, но нет.

[Cell]

Ну если там о 28 сетке идет речь, то проще через netmap в файрволе микротика сделать.
что-то типа такого https://www.google.ru/search?rls=ru&q=mikrotik+netmap

[k291]

/28 это как пример.
NAT я описывал выше "Способ 2: при помощи NAT", в этом случае клиенты могут возмущаться, что они получаю серый адрес и уже не посмотрят, что их в интернете определяет по своему внешнему адресу. + если клиенту в билинге статически назначить внешний адрес, по он его получит, а интернет работать не будет. Если не выдавать внешний адрес, то потом будешь гадать, какие свободные адреса у тебя еще остались.

[k291]

Реальным адресам надо было выдавать шлюз IP адрес назначенный на интерфейсе локальной сети.
----------------------------------------------------------------------------------
Рабочий вариант по посту h_ttp://forum.nodeny.com.ua/index.php?topic=2919.msg30697#msg30697:

Для выдачи реальных IP адресов за микротиком через bridge:
1) В билинге создаем статический pool с пометкой "реальный?" и заполняем ТЕГ(должен быть такойже как название dhcp сервера в микротике).
1.1) На странице клиента, статически назначаем реальный адрес.

 В микротике создаем сеть:
2) Так как у нас за микротиком в локальной сети также будут серые адреса, на интерфейс вешаем внутренний IP:

Код:

/ip address add interface=ether8 address=10.0.0.1/24 netmask=10.0.0.0

ether8 - локальная сеть
10.0.0.1/24 - сеть серых адресов, равная созданному pool`у в билинге.

Дальше надо разрешить трафик в Mikrotik`е для реальных адресов:
3) Способ 1: при помощи создания моста между интерфейсами (Bridge).

Код:

/interface bridge
add name=Bridge1
/interface bridge port
add bridge=Bridge1 interface=ether1-gateway
add bridge=Bridge1 interface=ether2-local

ether1-gateway - порт провайдера
ether2-local - порт клиентской сети

3.1) Создаем DHCP внешних адресов:

Код:

/ip dhcp-server network add address=217.66.55.240/28 gateway=10.0.0.1 netmask=28 dns-server=8.8.8.8 interface=Bridge1

gateway - равен IP адресу назначенному на локальном интерфейсе
interface=Bridge1 - соединяем внешний и локальный порт.
PS: сервер с Н+ выдает только IP адрес. Маску, шлюз и DNS выдает Mikrotik.

3.2) Добавляем сеть внешний адресов:

Код:

 /ip dhcp-server network add address=217.66.55.240/28 gateway=10.0.0.1 netmas
k=28 dns-server=8.8.8.8

address - pool созданный в билинге
gateway - адрес порта назначенный на локальном порту

[k291]

Запуская Radius, в роли NAS`a Mikrotik RB2111UiAS-2HnD. Клиенты заведены в билинг.
3-и клиента нормально получают адреса, интернет работает.
У 4-го клиента в Leases: МАС Address 00:00:00:00:00:00, в логах "dhcp,warning dhcp client 00:00:00:00:00:00 declines IP address". Если МАС убрать из билнга, в Leases отображается МАС клиента.
У 5-го клиента в Leases отображается МАС  на 30 секунд со статусом offered. Сколько бы порт не передергивали и не перезагружали клиентское оборудование.

Стоит включить DHCP без связки с Nodeny, всем клиентам нормально выдается адреса.
Может чтото в процедуре?

[k291]

Схема работает не так как надо.
Микротик от радиуса(с сервера с H+) выдает IP адреса, но не всем. Из 86 клиентов, примерно 70. Через не определенное время, количество IP адресов сокращается. Напротив IP адресов МАС меняется на 00:00:00:00:00:00,время аренды адреса берется с DHCP(5минут) микротика, Status меняется на busy. Прилагаю скриншот.

DHCP модуль запускал с ядром и отдельно вручную.
/nokernel.pl -m=dhcp -v ошибок не выдает. Показывает Строк: 73 из 86 возможных и 64 адресов в Микротике.
/etc/init.d/isc-dhcp-server restart - DHCP перезагружал.

В фаерволе сервера микротику все разрешено:
iptables -A INPUT -s 217.66.55.250/32 -j ACCEPT
iptables -A OUTPUT -s 217.66.55.250/32 -j ACCEPT

Что может быть не так? Как то странно. Пробовал на своем компе, проблем не было, а как запустил на одном доме с 86 клиентами, так некоторые не могут получить адрес или получают, но на время.