Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
kak_stat_provajderom_chast_1 [2013/10/24 13:43]
ansealk
kak_stat_provajderom_chast_1 [2013/10/24 13:48] (текущий)
Строка 1: Строка 1:
 +====== Создаем подключение к Интернету,​ настраиваем PPPoE сервер,​ NAT, DNS, добавляем учетные записи клиентов и контролируем их работу,​ а так же блокируем нежелательные сайты. ======
  
 +**Данный информационный материал был создан,​ подготовлен специалистами ООО «ЛАНМАРТ» и является собственностью администрации проекта www.lanmart.ru. Любое использование и размещение данного материала на других ресурсах допускается только при наличии прямой ссылки на первоисточник.**
 +
 +Территория нашей страны огромна,​ однако Интернетом до сих пор обеспечены не все города и малые населенные пункты. Так же бывает,​ что во всех многоквартирных домах есть высокоскоростной доступ в сеть, а жителям частного сектора ​ приходится довольствоваться ADSL или 3G, скорость и качество связи по которым очень плохое.
 +
 +Естественно спрос рождает и предложения - почти в каждом городе появляются микропровайдеры,​ предоставляющие доступ в сеть по проводным и беспроводным каналам связи, однако часто они выбирают не правильную технологию доступа или схему развития сети, которая в последствии ухудшает качество услуги и создает различного рода неудобства и проблемы. Хотя есть несколько довольно удачных и простых схем, при которых и клиенты будут довольны,​ и админы смогут по ночам спокойно спать, а не разбираться с конфликтами сетевых адресов.
 +
 +При создании сети нужно правильно выбрать технологию доступа. Многие совершают ошибку,​ и пытаются вручную задавать IP-адреса компьютерам клиентов - в итоге со временем появляется путаница с адресами,​ клиенты начинают сами их менять и нормальная работа сети нарушается. Другая ошибка - использование туннелей VPN для доступа в Интернет. Но и эта технология имеет недостаток - работает поверх IP сети и предназначена для доступа к серверам через Интернет,​ а не для получения доступа к Интернету из локальной сети. Любые проблемы с подстановкой IP-адресов так же выводят работу сети из строя. Все это создает недовольства у абонентов и уменьшает количество новых подключений. Технология IPoE создана для решения всех проблем,​ при ее использовании клиенту достаточно подключить свой компьютер к сети и получить доступ в Интернет,​ но у нее есть и минус - требуется дорогое управляемое оборудование,​ которое на начальном развитии сети никогда не окупится.
 +
 +Поэтому единственная возможная технология для подключения клиентов в малых сетях, это PPPoE - для работы не требуется указание IP-адресов,​ достаточно знать логин и пароль. При этом все клиентские адреса хранятся на сервере,​ удобно вести мониторинг и отключать за не уплату. В дальнейшем можно с помощью биллинговой системы полностью автоматизировать процесс оплаты и отключения клиентов.
 +
 +Для того, что бы стать провайдером нужно в первую очередь купить какую-то модель микротика для работы центральным маршрутизатором. Для малой нагрузки отлично подойдет Mikrotik RB450G или любой Mikrotik RB2011серии,​ например Mikrotik RB2011UAS-2HnD-IN,​ который мы и будем использовать для примера.
 +
 +{{:​mik-prov1-1.jpg|}}
 +
 +Для начальной настройки Mikrotik RB2011UAS-2HnD-IN нужно подключить кабель от компьютера во второй сетевой порт, потому что первый в начальной конфигурации заблокирован.
 +
 +{{:​mtk-prov1-2.png|}}
 +
 +Первое что нужно сделать - отменить начальную конфигурацию,​ нажав на кнопку Remove Configuration. Если окно начальной конфигурации не появилось,​ значит оборудование уже включали.
 +
 +{{:​mtk-prov1-3.png|}}
 +
 +Далее заходим на сайт mikrotik.com в раздел Download и качаем самую последнюю версию ПО для оборудования. На данный момент это 5.24. Для обновления нужно выбрать Upgrade Package. Сохраняем файл на компьютер.
 +
 +{{:​mtk-prov1-4.png|}}
 +
 +Открываем окно микротика и окно проводника. Перетаскиваем мышкой файл на окно микротика. После загрузки файла нужно перезагрузить устройство через меню SYSTEM->​Reboot. Обновление занимает около 2-3 минут, питание оборудования отключать нельзя.
 +
 +{{:​mtk-prov1-5.png|}}
 +
 +В меню SYSTEM->​Routerboard производим обновление загрузчика,​ нажимаем кнопку Upgrade.
 +
 +{{:​mtk-prov1-6.png|}}
 +
 +В меню SYSTEM->​Reset Configuration сбрасываем конфигурацию еще раз, устанавливая галочки No DefaultConfiguration и Do Not Backup.
 +
 +{{:​mtk-prov1-7.png|}}
 +
 +Для доступа в сеть нужно настроить канал интернета от провайдера. Если получение IP-адреса происходит автоматически,​ тогда в меню IP->DHCP Client нужно создать новое правило на + и указать интерфейс,​ в который подключен кабель от провайдера,​ например Ether1.
 +
 +{{:​mtk-prov1-8.png|}}
 +
 +При успешном получении адреса в разделе Status появится соответствующая информация.
 +
 +{{:​mtk-prov1-9.png|}}
 +
 +Если IP-адрес нужно устанавливать вручную,​ тогда заходим в меню IP->​Addresses и нажимаем на +, далее указываем адрес, который выдал провайдер,​ например 192.168.0.199/​24 и выбираем интерфейс Ether1. 24 на конце означает маску подсети 255.255.255.0 если провайдер использует другую маску, то следует найти в сети Интернет через поисковую систему "​калькулятор маски подсети"​ и провести в нем необходимые вычисления.
 +
 +{{:​mtk-prov1-a.png|}}
 +
 +Кроме IP-адреса нужно указать и шлюз. На микротике его указывают в меню IP->​Routes. Создаем новое правило на + и указываем адрес шлюза, который выдал провайдер. В нашем случае это 192.168.0.1.
 +
 +{{:​mtk-prov1-b.png|}}
 +
 +Провайдер может предоставлять Интернет и через PPPoE. Для настройки подключения нужно зайти в раздел PPP и нажав на + выбрать из списка PPPoE_Client. В открывшемся окне указать интерфейс,​ куда подключен кабель провайдера - Ether1.
 +
 +{{:​mtk-prov1-c.png|}}
 +
 +На вкладке Dial Out нужно указать логин и пароль на доступ. В нашем случае имя пользователя - test, а пароль -test12345. Для получения адреса DNS сервера нужно поставить галочку Use Peer DNS.
 +
 +{{:​mtk-prov1-d.png|}}
 +
 +При успешном подключении в окне статуса появится информация о выданных адресах и имени сервера.
 +
 +{{:​mtk-prov1-e.png|}}
 +
 +Для того, что бы микротик работал в качестве DNS сервера,​ нужно в меню IP->DNS поставить галочку Allow Remote Requests.
 +
 +{{:​mtk-prov1-f.png|}}
 +
 +Теперь переходим к настройке PPPoE сервера. Заходим в раздел PPP на вкладку Profiles и нажимаем на + для создания нового. В открывшемся окне указываем:​
 +
 +Name:Â Tarif_1024K/​515K - имя профиля. Каждый профиль может иметь свое ограничение скорости,​ поэтому для удобства нужно указывать его в названии.
 +
 +Local Address:Â 10.1.0.1 - внутренний адрес сервера. Обычно одинаковый во всех профилях.
 +
 +Так же устанавливаем галочку Change TCP MSS в значение Yes.
 +
 +{{:​mtk-prov1-g.png|}}
 +
 +На вкладке Protocols устанавливаем все галочки в значение No. Отключаем MPLS, сжатие и шифрование - все это совершенно не нужные функции для обеспечения доступа в Интернет. Шифрование повышает нагрузку на процессор и уменьшает производительность маршрутизатора.
 +
 +{{:​mtk-prov1-h.png|}}
 +
 +На вкладке Limits задается ограничение скорости,​ например 512k/1024k и устанавливается галочка Only One - Yes, что разрешает подключение только одного клиента с одними и теми же учетными данными.
 +
 +В ограничении скорости буква K означает килобиты,​ а буква M - мегабиты.
 +
 +Rx - прием данных от клиента (исходящий трафик у клиента),​Â Tx - передача данных к клиенту (входящий трафик у клиента).
 +
 +{{:​mtk-prov1-i.png|}}
 +
 +Создаем второй профиль. Для быстрой настройки нажимаем кнопку Copy и создаем точную копию, у которой изменяем имя - Tarif_2048K/​1024K.
 +
 +{{:​mtk-prov1-j.png|}}
 +
 +И ограничение скорости,​ так же как указали в названии -Â 1024k/​2048k.
 +
 +{{:​mtk-prov1-k.png|}}
 +
 +В итоге создаем 3 профиля с разными ограничениями скорости. В примере видно, что входящая скорость намного больше исходящей. При использовании беспроводных каналов связи тарифы нужно делать не симметричными,​ т.к. исходящий трафик создает дополнительную нагрузку на сеть, особенно если пользователи будут осуществлять раздачи с торрентов. Несколько таких абонентов без ограничения исходящей скорости могут занять весь ресурс базовой станции,​ не оставив возможности работать остальным.
 +
 +{{:​mtk-prov1-l.png|}}
 +
 +Для создания учетных записей клиентов заходим на вкладку Secrets. Нажимаем на + и создаем нового абонента. Указываем:​
 +
 +Name:Â test - логин для доступа в сеть.
 +
 +Password:Â test - пароль для доступа в сеть.
 +
 +Service:Â PPPoE - клиент может подключаться только по PPPoE.
 +
 +Profile:Â Tarif_1024K/​512K - имя профиля с ограничением скорости.
 +
 +Remote Address:Â 10.1.0.2 - адрес клиента. Можно устанавливать по порядку до 10.1.0.254, потом меняется первая цифра и раздается следующая подсеть 10.1.1.1 - 10.1.1.254 и так далее.
 +
 +{{:​mtk-prov1-m.png|}}
 +
 +Для создания второго клиента так же копируем данные,​ изменяем имя, пароль,​ тариф и увеличиваем адрес на 1. Увеличивать можно до 254, потом нужно увеличивать предыдущую цифру на 1 а последнюю цифру адреса устанавливать в 1 - 10.1.0.254 далее будет 10.1.1.1.
 +
 +{{:​mtk-prov1-n.png|}}
 +
 +В итоге все клиенты отображаются в табличке. Ее удобно сортировать по IP-адресу,​ либо по имени клиента. Однако нужно очень тщательно подойти к выбору имен клиентов. Если подключаются абоненты в многоквартирном доме, то лучше указывать в имени адрес улицы и квартиру,​ например lenina_14,​ lesnaya_45 и т.п. Тут сразу понятно где абонент находится. Если планируется так же подключать и клиентов частного сектора,​ тогда лучше как-то отделять их друг от друга. Например клиенты многоквартирных домов будут lenina_kv14 и lesnaya_kv45,​ а частные дома обозначать просто - mira_20, тогда сразу станет ясно кто есть кто.
 +
 +В любой момент можно зайти в свойства клиента и поменять ему тариф или адрес. Однако настройки применятся только после отключения и повторного подключения клиента.
 +
 +Один клиент выключен и работать не может, эту функцию следует использовать при отключении клиентов за неоплату. Вверху в меню есть крестик для отключения и галочка для включения.
 +
 +{{:​mtk-prov1-o.png|}}
 +
 +Теперь нужно привязать PPPoE сервер к интерфейсу. Для этого выбирается интерфейс,​ например Ether2 (можно использовать и другие,​ например влан или бридж),​ указываем таймаут 30 секунд и профиль по умолчанию. Так же ставим галочку One Session Per Host, что бы не разрешать подключение нескольких клиентов с одного компьютера или роутера. Это поможет сразу находить неисправности - например если где-то в радиоканале забыли включить режим WDS - клиенты начнут постоянно переподключатся,​ что сразу привлечет внимание администратора сети.
 +
 +{{:​mtk-prov1-q.png|}}
 +
 +После подключения клиент появляется на вкладке Active Connection. Там показан MAC-адрес клиента,​ его адрес и время подключения. Для отключения клиента нужно его выбрать из списка и нажать на - вверху. По времени работы можно определять проблемы. Например если клиентские устройства по радио работают в режиме роутера и включены постоянно,​ то и время соединения должно с каждым днем увеличиваться. Если же клиент переподключается,​ то и время работы начинает отсчет с нуля, что так же можно использовать для поиска неисправностей.
 +
 +{{:​mtk-prov1-r.png|}}
 +
 +На вкладке Interface можно просматривать загрузку каждого абонентского подключения,​ например отсортировав клиентов по входящей или исходящей скорости. Если нажать 2 раза мышкой по любому соединению откроется окно статуса,​ где можно просматривать график скорости и пакетную нагрузку. В данном случае видно, как работает ограничение скорости.
 +
 +{{:​mtk-prov1-t.png|}}
 +
 +При подключении клиента автоматически создается правило ограничения скорости в меню Queues.
 +
 +{{:​mtk-prov1-u.png|}}
 +
 +Однако в данный момент клиенты PPPoE сервера могут общаться только с роутером,​ в Интернет им не попасть. Нужно настроить NAT. Для этого в меню IP->​Firewall нажимаем на + открывается окно.
 +
 +{{:​mtk-prov1-v.png|}}
 +
 +В котором указываем:​
 +
 +Src.Address:​Â 10.1.0.0/16 - все клиенты с адресами от 10.1.0.1 и до 10.1.254.254 будут работать через NAT.
 +
 +Dst.Address:​Â ! 10.0.0.0/8 - кроме доступа на все адреса,​ начинающиеся на 10.
 +
 +То есть все клиенты смогут иметь доступ в сеть через один внешний адрес провайдера,​ но если они будут пытаться получить доступ друг к другу, то данные пойдут напрямую без NAT. Может быть не очень понятно,​ но именно так правильно настраивается NAT, что бы без проблем в дальнейшем управлять сетью и осуществлять удаленный доступ через Интернет. Указывать просто подсеть адресов,​ или выходной интерфейс не верно - из-за этого будут проблемы с маршрутизацией.
 +
 +{{:​mtk-prov1-w.png|}}
 +
 +На вкладке Action выбираем Masquerade что и является NAT'​ом.
 +
 +{{:​mtk-prov1-x.png|}}
 +
 +В итоге появляется одно правило.
 +
 +{{:​mtk-prov1-y.png|}}
 +
 +Теперь клиенты могут получить доступ в Интернет. Кстати с PPPoE очень удобно смотреть на какие адреса и что скачивают клиенты. Если выбрать одного абонента из списка клиентов,​ нажать по нему правой кнопкой мышки и выбрать Torch, поставить все галочки в разделе Collect и нажать Start, можно увидеть все соединения,​ скорость и количество пакетов. По любому столбику можно делать сортировку.
 +
 +Ели в списке адресов будет много соединений с одним и тем же адресом,​ или наоборот с многими разными адресами,​ и по каждому будут идти данные в большом объеме - значит клиент пользует программы Torrent или DC++.
 +
 +{{:​mtk-prov1-z.png|}}
 +
 +В меню IP->DNS при нажатии на кнопку Cache можно посмотреть список сайтов,​ которые посещали клиенты - они все сохраняются в кэше. При необходимости его можно очистить нажатием на кнопку Flush Cache.
 +
 +{{:​mtk-prov1-z1.png|}}
 +
 +Если нужно заблокировать доступ на какой-то сайт, например odnoklassniki.ru,​ то можно создать статическую DNS запись,​ где указано имя сайта и не существующий адрес, например 127.0.0.1. Но так как иногда перед именем сайта автоматически приписывается www, нужно создавать 2 записи,​ вторую www.odnoklassniki.ru.
 +
 +После установки ограничения сайты могут продолжать открываться некоторое время, т.к. на компьютерах пользователей так же имеется кэш DNS, в котором временно сохраняются имена посещаемых сайтов. Для очистки нужно запустить командную строку и ввести ipconfig /flushdns.
 +
 +{{:​mtk-prov1-z2.png|}}
 +
 +После добавления статическая запись показывается в кэше DNS. Однако фильтр по имени сайта работает только в том случае,​ если клиент использует DNS сервер микротика. Если он вручную укажет любой другой - ограничение не сработает.
 +
 +{{:​mtk-prov1-z3.png|}}
 +
 +В заключении настроек в меню SYSTEM->​Users дважды нажимаем мышкой по пользователю Admin и в открывшемся окне на кнопку Password - вводим пароль на доступ к устройству. В нашем случае test. Теперь никто не сможет попасть на устройство,​ кроме администратора.
 +
 +На этом настройка подключения к провайдеру,​ PPPoE сервера,​ профилей пользователей,​ NAT, DNS и блокировки сайтов по доменному имени завершена. Уже сейчас можно подключать клиентов к сети Интернет и начинать работать. Однако не забывайте заходить на наш сайт и читать новые обзоры по настройке оборудования.
 +
 +Важное замечание - при использовании PPPoE все беспроводное оборудование должно работать в режиме WDS (база и клиенты,​ а так же все мосты точка-точка).
kak_stat_provajderom_chast_1.txt · Последние изменения: 2013/10/24 13:48 (внешнее изменение)
GNU Free Documentation License 1.3
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Яндекс.Метрика