... {toc}
h1. Описание схемы Mikrotik-Simple
{info}Все файлы находятся в рабочем каталоге NAS, он указан в веб интерфейсе (поле OSS_path). Путь формируется по следующему принципу /var/oss/core/<NAS_name>/
Команды, отправляемые с биллинга на Mikrotik, передаются по API.
{info}
На основе ini файлов и tmplt создается конфигурация
*Конфигурация mikrotik разбита на отдельные файлы по смыслу:*
firewall_address_list.cfg.tmplt
firewall_filter.cfg.tmplt
firewall_nat.cfg.tmplt
hotspot.cfg.tmplt
netflow.cfg.tmplt
pppoe.cfg.tmplt
*Для каждого шаблона есть ini файл:*
firewall.ini
hotspot.ini
main.ini
netflow.ini
pppoe.ini
*В каталоге bin расположены скрипты управления оборудованием:*
session - управляет сессиями пользователей на оборудовании.
cfg_download - скачивает конфиг с обрудования
cfg_show - показывает конфиг оборудования
h2. Алгоритм авторизации в схеме Mikrotik-Simple
Схема универсальна для IP Static и PPPoE.
h3. Белые адреса, серые адреса и как авторизуются IPoE (IP Static)
Схема построена по принципу ограничения фаервола [через адрес-листы|https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list] и не касается настроек маршрутизации трафика, а Mikrotik не имеет возможностей авторизации по принципу IPoE+RADIUS, поэтому каких-то специальных настроек по пропуску или авторизации трафика IPoE абонентов не потребуется.
Авторизация по RADIUS (PPPoE, PPTP, L2TP) влияет только на присоединение абонента к сети оператора, но как трафик выйдет в интернет уже зависит от настроек фаервола и маршрутизации.
* *Все сети*, вернее все абоненты должны быть в ACL "*crb_auth_lis*" чтобы попасть в интернет
* *Серые сети* должны быть добавлены в ACL "*crb_gray_net*", последним правилом [настройки NAT|CarbonBilling:firewall_nat.cfg] стоит правило маскарада (подробней о маскараде на Микротиках в [документации вендора|https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Masquerade_2])
* *Белые сети* маршрутизируются, как именно зависит от настроек соединения с вышестоящим, возможные варианты:
** BGP
** Статический маршрут до ваших адресов у вышестоящего оператора
** Proxy-ARP
* *Белые сети и серые подсети по методу SNAT/DNAT* не поддерживаются стандартной схемой, но мы описали как это можно реализовать в статье "[CarbonBilling:Пример. SNAT для Mikrotik-Simple]"
|
