Стандартная схема Mikrotik-Simple

Skip to end of metadata
Go to start of metadata

Описание схемы Mikrotik-Simple

Все файлы находятся в рабочем каталоге NAS, он указан в веб интерфейсе (поле OSS_path). Путь формируется по следующему принципу /var/oss/core/<NAS_name>/
Команды, отправляемые с биллинга на Mikrotik, передаются по API.

На основе ini файлов и tmplt создается конфигурация

Конфигурация mikrotik разбита на отдельные файлы по смыслу:

firewall_address_list.cfg.tmplt
firewall_filter.cfg.tmplt
firewall_nat.cfg.tmplt
hotspot.cfg.tmplt
netflow.cfg.tmplt
pppoe.cfg.tmplt

Для каждого шаблона есть ini файл:

firewall.ini
hotspot.ini
main.ini
netflow.ini
pppoe.ini

В каталоге bin расположены скрипты управления оборудованием:

session - управляет сессиями пользователей на оборудовании.

cfg_download - скачивает конфиг с обрудования

cfg_show - показывает конфиг оборудования

Алгоритм авторизации в схеме Mikrotik-Simple

Схема универсальна для IP Static и PPPoE.

Белые адреса, серые адреса и как авторизуются IPoE (IP Static)

Схема построена по принципу ограничения фаервола через адрес-листы и не касается настроек маршрутизации трафика, а Mikrotik не имеет возможностей авторизации по принципу IPoE+RADIUS, поэтому каких-то специальных настроек по пропуску или авторизации трафика IPoE абонентов не потребуется.

Авторизация по RADIUS (PPPoE, PPTP, L2TP) влияет только на присоединение абонента к сети оператора, но как трафик выйдет в интернет уже зависит от настроек фаервола и маршрутизации.

  • Все сети, вернее все абоненты должны быть в ACL "crb_auth_lis" чтобы попасть в интернет
  • Серые сети должны быть добавлены в ACL "crb_gray_net", последним правилом настройки NAT стоит правило маскарада (подробней о маскараде на Микротиках в документации вендора)
  • Белые сети маршрутизируются, как именно зависит от настроек соединения с вышестоящим, возможные варианты:
    • BGP
    • Статический маршрут до ваших адресов у вышестоящего оператора
    • Proxy-ARP
  • Белые сети и серые подсети по методу SNAT/DNAT не поддерживаются стандартной схемой, но мы описали как это можно реализовать в статье "Пример. SNAT для Mikrotik-Simple"

PPPoE

В схеме изначально заложена авторизация по этому протоколу.

Авторизация проходит по RADIUS, логин пароль авторизации - это логин и пароль учетной записи в биллинге.

Если Вы храните данные авторизации абонентов на самом Микротике, в /ppp secret, то их необходимо отключить

PPTP и L2TP

В схеме по-умолчанию нет настроек для этих протоколов.

PPTP потребуется включить и этого должно быть достаточно.

L2TP тоже необходимо включить, но так же настроить параметры IPSec.

Подробное описание внедрения и отдельных частей схемы

Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.