Сбросил микротик в ноль, настроил заново и всё заработало

Ниже привожу заготовку для мануала. Надеюсь, YuSHa и прочие дополнят и поправят, если я ошибся или сделал неоптимальные настройки. И добавка для переброски на заглушку тоже не помешает.

Исходные данные для примера:

Сервер биллинга - 192.168.1.1
Микротик - 192.168.1.2
Сеть, обслуживаемая микротиком - 192.168.2.0/24
Микротик обслуживает клиентов по PPPoE

1. Добавляем в биллинге новый сателлит с сетью 192.168.2.0/24

2. Добавляем клиента для микротика в настройках Radius-а  - файл clients.conf:
client 192.168.1.2 {
  secret = abrakadabra # это пароль - заменить на свой
  shortname = mikrotik1
  nastype = other
}

Перезапускаем радиус

3. В файрволе биллинга пропускаем IP микротика

4. Модуль распаковываем в папку /usr/local/nodeny/modules/mikrotik

5. Редактируем файл create.cfg.mikrotik.cfg.pm:
$host = '192.168.1.2';
$user = 'mikrotik';
$pass = 'slavyanskij_shkaf'; # это пароль - заменить на свой

6. Возвращаемся в каталог /usr/local/nodeny и делаем perl install.pl -x

7. Делаем автозапуск модуля, прописывая в rc.local  строку "/usr/bin/perl /usr/local/nodeny/noserver.pl -g=mikrotik.cfg.pm -d &"

8. Сбрасываем микротик на заводские настройки

9. Заходим на управление микротиком и выполняем следующие команды (это в терминале, но можно их-же через GUI винбокса):

/user add name=mikrotik group=full password=slavyanskij_shkaf

/ip address
add address=192.168.2.1/24 interface=ether2-master-local network=\
    192.168.2.0

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8

/ip pool
add name=pool2 ranges=192.168.2.2-192.168.2.254

/radius
add address=192.168.1.1 secret=abrakadabra service=ppp

/ppp aaa
set interim-update=30s use-radius=yes

/ppp profile
add local-address=pool2 name=pppoe-client

/interface pppoe-server server
add authentication=chap,mschap2 default-profile=pppoe-client disabled=no \
    interface=ether2-master-local max-mru=1480 max-mtu=1480 mrru=1600 \
    service-name=pppoe-server

/ip firewall nat
add action=masquerade chain=srcnat \
    out-interface=ether1-gateway src-address-list=goodboys

10. В очередях (Queues) должен появиться список адресов со скоростями, а в Address-List - список адресов, которым разрешён доступ в интернет.

11. Добавляем в биллинге клиента для созданного в п.1 сателлита и пытаемся войти в интернет (настроив на компьютере Высокоскоростное соединение). В биллинге запрещаем/разрешаем доступ для клиента, меняем скорости, и проверяем, как это всё отрабатывает.

Да понятно, что там ничего сложного. Тем более, что на предыдущих версиях Нодени я микротик использовал, и догадываюсь, как оно настраивается. Но вот тупанул, забыл что-то где-то включить. Не работает. Тут-бы и свериться с инструкцией, ан нет её!

Документация по модулю планируется?

А то вот купил, настроил по своему разумению, а оно не работает как положено. И сижу, чешу репу - какую из настроечек, предполагаемую автором, я не удосужился догадаться включить.

Неужели написать десяток строк краткого описания займёт так много времени?

PS В конфиге есть параметр target / target-addresses для старых/новых микротиков. Как определить старость микротика?

PSS Клиент по PPPoE законнектился, очередь с его адресом на микротике имеется, в гудбойзах его адреса нет (поскольку нет ни одной услуги и доступ в биллинге запрещён). При этом интернет у клиента есть!

В логах радиуса вообще нет инфы по макам.

Как это нет? А что-же это такое в логах моего радиуса?

Sun Oct 19 08:36:33 2014 : Auth: Login OK: [yuriy] (from client satellit3 port 48 cli 002421e8ed04)
Sun Oct 19 08:36:33 2014 : Auth: Login incorrect: [din/<via Auth-Type = mschap>] (from client satellit1 port 42 cli 00:e0:4c:36:00:01)

Я врезался в сеть, получил IP по dhcp, проверил скорость, отсортировал клиентов по тарифу с такой скоростью и по объему трафика, взял самого первого у которого было больше всех трафика, забанил ему инет и после этого у меня тоже инет пропал, вот так вот я его вычислил

Обычно, когда в сети появляется "левый" DHCP сервер, это означает, что клиент попутал LAN и WAN порты роутера. И интернет через такой роутер работать не будет. А у вас какой-то интересный случай попался. Клиент очень уж сильно намудрил с проводами.

Может вот это поможет: /usr/ports/net-mgmt/dhcdrop

Кроме того, раз известен mac адрес, можно на оборудовании посмотреть, на каком порту находится этот mac.

И как безболезненно переехать на эту версию?

1. Сделать дополнительное поле "Группа_клиентов"
2. Нынешние группы скопировать в это поле
3. Всех клиентов перекинуть в одну группу
4. Обозвать эту группу "Клиенты"
5. Обновиться

Или как-то по-другому? Может, имеет смысл вместе с обновлением положить скрипт для автоматического переноса данных?

PS Пункт номер 0 - бэкап

сделать к примеру цена тарифа за 30 дней 90 грн

Помесячный способ оплаты - это меньше звонков по телефону, меньше работы кассиру, стабильнее платежи. Да и клиентам оно, всё-таки, привычней - за квартиру/телефон/мусор тоже ведь оплата помесячная. И человек точно знает, что если с зарплаты, 10-го числа, оплатить интернет, то до следующей зарплаты он у него будет.

В целом сейчас биллинг работает более-менее так, как нам нужно. И клиенты приучены платить раз в месяц. А проблема с 29,30,31-м числами - это-же чисто программная проблема, клиент не должен из-за этого страдать. Тем более, что это можно решить. Но лучше, чтобы правку сделал автор и это было в основной ветке. Оно не одному мне надо - как минимум, ivanmfan-у тоже.

Есть проблемка. Допустим, человек платит 30-го числа. Но тут приходит февраль, в котором 28 дней и начинаются крики:"А-а-а у меня украли 2 дня интернета". Но тут ещё полбеды - человеку доступно объясняем, что доступ в интернет на 29 и 30 февраля мы ему не закрывали. А если таких дней в феврале он не обнаружил - то со всеми вопросами пусть обращается к папе Григорию, утвердившему одноимённый календарь.
Однако, приходит март и... "Ёшкин дрын! Да я всегда плачу 30-го числа, а у меня интернет закончился 28-го! Что за фигня! Верните мне мои 2 дня интернета"

Вобщем, возникает такое пожелание: в случае, если оплата производится в последние дни месяца, то эта-же дата окончания услуги должна использоваться и в следующий месяц (если возможно), и через месяц. То бишь, где-то её надо хранить, и если человек раньше платил 30-го или 31-го, а в текущем месяце 28 дней, то дату окончания услуги на следующий месяц ставить 30 или 31, а не 28.


PS В услугах - режим оплаты "месяц".

Як шукати на якому з сервері вони авторизувались або авторизація не проходить?

Шукати треба так:
# grep matvienko /var/log/freeradius/radius.log

И смотреть в полученной строчке номер сателлита:
Wed Mar 26 19:30:31 2014 : Auth: Login OK: [matvienko] (from client satellit3 port 59 cli 5cd998f8015b)

Підняв mpd5+radius на основному сервері. Все працює
Підняв mpd5+radius на сервері саттеліт. (підключають на пряму - все працює)

Если в настройках обоих mpd прописано
set pppoe service "*"
то на запросы PADI случайным образом будет отвечать любой mpd. Точнее, ответят оба, но клиент подключится к тому, чей ответ придёт первым.

Попробуйте разделить сеть физически - половину подсоединить к одному серверу, половину к другому. Или VLANами раскидайте.
Можно ещё извратиться - фильтрануть на втором уровне, чтобы запросы от чётных MAC адресов проходили только к одному серверу, а от нечётных - только к другому.

Вот смотри, один снимок экрана - через "Клиентская статистика - График трафика", второй - через "График" справа внизу при открытых данных клиента. И там и там подписано Мбит/сек.

Когда клиент смотрит свой трафик, ему пишет "Мбит/с", а показывает в мегабайтах/сек. То бишь, в 8 раз меньше, чем должно быть.
Версия 232.

а зачем менять тазик на мт?
сколько пользователей?

Для повышения надёжности работы.

Это сателлит, который обслуживает вайфайные базы. Он стоит в ящике в лифтовой 9-ти этажки у чёрта на куличках. Не самое лучшее место для системника, несмотря на УПС и принудительную вентиляцию. Иногда приходится ездить к нему в гости и "приводить его в чувство". Хочется, чтобы таких поездок было меньше.

Нужен аппаратный микротик, который будет работать сателлитом под управлением Нодени+.
Всё будет делаться на одной железяке - PPPoE сервер, NAT, шейпинг.
Расчётная нагрузка - 100 Мбит/с (сейчас там системник с фрёй, нагрузка 60-70 в ЧНН)

Достаточно-ли будет чего-то относительно дешёвого - RB2011, RB435G или нужно подороже - RB1200, RB1100?
CCR 1016/1036 - думаю, точно хватит, но это сильно жирно будет.

Ваши предложения я рассмотрю несколько позже

Учтите ещё, что клиенту предлагает взять кредит с суммой ноль, т.к.
my $credit_amt = $balance * -1;

Чтобы хоть как-то работало, пришлось сделать тупо
my $credit_amt = $amt_max;

Короче, костыли на костылях и костылями погоняют.

Более правильно наверное, когда услуга не совсем удаляется, а переводится в статус "отключена". И чтобы за отключенные услуги не снимало деньги. Тогда сразу понятно, сколько кредита выдавать и сразу видно, какой у человека тариф. А то сейчас открываешь данные по клиенту - и нужно угадывать, какие у него услуги были подключены до того, как его заблокировало.