Версия ROS
Стандартная схема Mikrotik-Simple работает на Mikrotik ROS версии 6 и 7.
Видео интеграции
Статья по интеграции схемы с подробным описанием
Статья Настройка Carbon Billing 5 с сервером сетевого доступа MikroTik в блоге CarbonSoft.
Описание схемы Mikrotik-Simple
 | Все файлы находятся в рабочем каталоге NAS, он указан в веб интерфейсе (поле OSS_path). Путь формируется по следующему принципу /var/oss/core/<NAS_name>/ Команды, отправляемые с биллинга на Mikrotik, передаются по API. |
На основе ini файлов и tmplt создается конфигурация
Конфигурация mikrotik разбита на отдельные файлы по смыслу:
firewall_address_list.cfg.tmplt
firewall_filter.cfg.tmplt
firewall_nat.cfg.tmplt
hotspot.cfg.tmplt
netflow.cfg.tmplt
pppoe.cfg.tmplt
Для каждого шаблона есть ini файл:
firewall.ini
hotspot.ini
main.ini
netflow.ini
pppoe.ini
В каталоге bin расположены скрипты управления оборудованием:
session - управляет сессиями пользователей на оборудовании.
cfg_download - скачивает конфиг с обрудования
cfg_show - показывает конфиг оборудования
Алгоритм авторизации в схеме Mikrotik-Simple
Схема универсальна для IP Static и PPPoE.
Белые адреса, серые адреса и как авторизуются IPoE (IP Static)
Схема построена по принципу ограничения фаервола через адрес-листы и не касается настроек маршрутизации трафика, а Mikrotik не имеет возможностей авторизации по принципу IPoE+RADIUS, поэтому каких-то специальных настроек по пропуску или авторизации трафика IPoE абонентов не потребуется.
Авторизация по RADIUS (PPPoE, PPTP, L2TP) влияет только на присоединение абонента к сети оператора, но как трафик выйдет в интернет уже зависит от настроек фаервола и маршрутизации.
- Все сети, вернее все абоненты должны быть в ACL "crb_auth_list" чтобы попасть в интернет
- Серые сети должны быть добавлены в ACL "crb_gray_net", последним правилом настройки NAT стоит правило маскарада (подробней о маскараде на Микротиках в документации вендора)
- Белые сети маршрутизируются, как именно зависит от настроек соединения с вышестоящим, возможные варианты:
- BGP
- Статический маршрут до ваших адресов у вышестоящего оператора
- Proxy-ARP
- Белые сети и серые подсети по методу SNAT/DNAT не поддерживаются стандартной схемой, но мы описали как это можно реализовать в статье "Пример. SNAT для Mikrotik-Simple"
PPPoE
В схеме изначально заложена авторизация по этому протоколу.
Авторизация проходит по RADIUS, логин пароль авторизации - это логин и пароль учетной записи в биллинге.
| Если Вы храните данные авторизации абонентов на самом Микротике, в /ppp secret, то их необходимо отключить |
PPTP и L2TP
В схеме по-умолчанию нет настроек для этих протоколов.
PPTP потребуется включить и этого должно быть достаточно.
L2TP тоже необходимо включить, но так же настроить параметры IPSec.
Подробное описание внедрения и отдельных частей схемы
Социальный интернет
Доступ к социальному интернету регулируется опцией freeinternet_enabled в файле firewall.ini
freeinternet_enabled="1"
По-умолчанию настройка включена. Это рекомендуемое состояние, даже если сейчас Вы не обязаны предоставлять доступ к социальному интернету. Абонент получает доступ к соц. интернету, подключив услугу в личном кабинете, которую Вы можете не настраивать. В последствии, если Вам потребуется предоставлять такой доступ всем или некоторым абонентам, поменять настройки услуг и тарифов будет безопасней и проще, чем менять настройки BRAS.
Метки
Страница: Интеграция MikroTik hotspot
Страница: Mikrotik IPoE + Radius
Страница: Скрипт управления session Mikrotik Queue Simple
Страница: ini файлы mikrotik
Страница: firewall_filter.cfg
Страница: firewall_nat.cfg
Страница: firewall_address_list.cfg
Страница: hotspot.cfg
Страница: netflow.cfg
Страница: pppoe.cfg - mikrotik