PPPoE koncentrator pre 300+ zakaznikov

okoun

supr

loopie

Dobrý den,

předně bych rád poděkoval za velmi podnětné vlákno, které mě donutilo se zamyslet nad naší sítí:-) Narazil jsem na pár věcí, na které bych se rád zeptal zkušenějších kolegů. Podotýkám, že u mě je vše mikrotik, momentálně 5.15.

1. Do PPPoE koncentrátoru se mi na jeden interface sbíhá několik VLAN s PPPoE sessionami. Zatím konfiguruji PPPoE server nad každou VLANou, pokud ho dám přímo na interface, tak se k němu PPPoE requesty nedostanou. Zároveň u PPPoE serveru není možnost přidat víc interfaců. Dělám něco špatně, nebo tuto funkcionalitu ROS zatím nemá? Na linuxu to jde. Toto není až takový problém, ale jednoduchosti konfigurace by prospělo mít jenom jeden PPPoE server namísto třeba padesáti.

2. IPv6 problém s routami. Popíšu trochu mojí konfiguraci. Na koncentrátoru je pool /52 plný prefixů /63 pro klienty. Po úspěšném navázání PPPoE spojení se nahodí pro toto spojení dynamický DHCPv6 server, který klientovi pošle jeho /63 prefix. Na klientovi je puštěný DHCPv6 klient, který si vezme svůj prefix. Na LAN klienta se automaticky nastaví IPv6 adresa z prvního /64 prefixu obdrženého klientem a zapne se advertise. V tu chvíli začne na LAN segmentu u klienta fungovat autokonfigurace, takže jeho PC si nastaví adresu a IPv6 funguje. Zatím vše v pořádku. Problém je na koncentrátoru, kde se záhadně kromě routy na /63 klienta objevila i routa na jakoby "další /63 v pořadí z poolu /52 ", která ukazuje na toho samého klienta. Ta "správná" routa má jako gateway link local adresu klienta (což je IMHO špatně), ta "špatná" routa má gateway dynamický PPPoE interface, který se vytvořil při navázání spojení (což je IMHO dobře). Ta "správná" routa cca po půl hodině zmizí(!!) a tím pádem u klienta přestane fungovat IPv6. Možná je nesmysl to takhle používat, ale přijde mi to jako docela standardní způsob přidělování adres a mělo by to chodit. DHCP server i klient ukazují přidělení těch "správných" prefixů, jenom se takhle zblázní ty routy. Máte někdo podobnou zkušenost? Je to bug v ROSu? Možná by bylo lepší DHCP zrušit, přidělovat prefixy z poolu na radiusu a zaroutovat to OSPFv3.... I když mi nepřišlo, že by byl problém v tom DHCP...

Díky

zdeneksvarc

1. Do PPPoE koncentrátoru se mi na jeden interface sbíhá několik VLAN s PPPoE sessionami. Zatím konfiguruji PPPoE server nad každou VLANou, pokud ho dám přímo na interface, tak se k němu PPPoE requesty nedostanou. Zároveň u PPPoE serveru není možnost přidat víc interfaců. Dělám něco špatně, nebo tuto funkcionalitu ROS zatím nemá? Na linuxu to jde. Toto není až takový problém, ale jednoduchosti konfigurace by prospělo mít jenom jeden PPPoE server namísto třeba padesáti.

Popisovanou konfiguraci s multiVLANami nikde neprovozujeme, ale takto:

1) Nestačilo by použít pouze private VLAN (1 VLAN s izolovanými porty a jedním promiskutiním směrem k PPPoE serveru), jestli se tedy u vás používá 1 VLAN per klient? Nebo se jedná o shluky PPPoE sessions přes několik VLANů, pak viz bod 2.

2) PPPoE serverů může být na koncentrátoru spousta, toho bych se nebál.

Máte někdo podobnou zkušenost? Je to bug v ROSu? Možná by bylo lepší DHCP zrušit, přidělovat prefixy z poolu na radiusu a zaroutovat to OSPFv3.... I když mi nepřišlo, že by byl problém v tom DHCP...

DHCPv6 nepoužíváme, takže nedokážu posoudit. Přidělování IPv6 do PPPoE přes framed-ipv6-prefix ale funguje dobře.

loopie

Jedna VLAN v mém podání je třeba jeden sektor, jeden LAN segment, jeden FTTB switch. Variantu s více PPPoE servery na koncentrátor mám zrovna na stole a funguje to bez problémů, jenom mi přijde zbytečné jich tam mít tolik, když jsou všechny úplně stejně nastavené - veškeré nastavení klenta je v radiusu. Navíc i u od Mikrotiku chodí do radiusu dostatek informací (nas-ip, nas-port, realm, apod) na to abych si takový request přesně identifikoval a věděl odkud mi přišel. Pro zatím to budu brát jako vlastnost ROSu:)

Ad IPv6 - framed-ipv6-prefix funguje dobře, ale já bych raději přiřazoval dynamické prefixy. S tím se pojí další věc. Pokud použiju OSPFv3, tak se mi routa na klienta vypropaguje do sítě, ale pokud se klient odpojí, tak se propagace jeho routy do sítě nezruší. Připadá mi to podobné, jako problém, který jsem popisoval v minulém příspěvku a už jsem dohledal, že je to i hlášený bug. Zdá se, že v ROSu je IPv6 použitelné leda tak komplet staticky... :(

okoun

Měl bych dotaz, nevím čím to je, ale mám problém se získáním brány (GW) na PPPoE klientu, který je na W7. Když použiji klienta jako MK, tak problém není, routa se v MKčku načte dynamicky podobně jako u dhcp clienta.

Internet mi na W7 sice funguje, ale když se někdo na tu stanici chce dostat ze sítě, tak se tam nedostane protože na stanici je výchozí brána 0.0.0.0. IP z PPPoE je x.x.x.x/32.

zdeneksvarc

Síť /32 je vlastnost point to point protokolu. To však neznamená, že by se na koncovou stanici nedalo z venku dostat, takže chyba bude nejspíš jinde (IP filter ve W7?).

tomasnesrsta

Hraju si s PPPoE a pripojeni mi funguje OK. Chtel jsem tedy pripojit jednoho testovaciho klienta ktery je pripojeny na vzdalenem AP a ten PPPoE server "nevidi" i kdyz ping od nej na server funguje. Vzhledem k tomu ze PPPoE protokol moc neznam dotaz je nasledujici:

Jak pripojit vzdaleneho klienta k PPPoE serveru ktery je na zacatku site, kdyz cela sit je routovana?

zdeneksvarc

Jak pripojit vzdaleneho klienta k PPPoE serveru ktery je na zacatku site, kdyz cela sit je routovana?

Jakékoliv zapouzdření L2, které propouští broadcast (k vůli PPPoE Discovery paketu). Takže třeba EoIP. A na diagnostiku je dobrý PPPoE Scan v RouterOS.

okoun

no mě by spíš zajímalo co se stane když pustím dva koncentrátory na stejné síti, jaký si potom klient vybere koncentrátor?

krtko

ten, ktory prvy odpovie ...

pmaster

cize ak dobre rozumiem ak na siet umiestnim 2x koncentrator siet bude v ringu bez nekaych dalsich routovacich protokolov tak podla toho co pises ze sa pripoji na ten ktory skor zreaguje tak tym padom sa da celkom slusne poriesit zaloha llinky ..

tomasnesrsta

Taky jsem to tak pochopil. Otazkou je jestli je dobre mit celou sit v bridgi. Podle me je lepsi mit PPPoE server na kazdym AP a to cele pripojeny na radius.

hapi

neni to špatný ale až na ten bridge. Většina lidí použije PPPoE z důvodu toho že má humusáckou síť. Koncentrátory na APčkách je taky řešení ale je to víc starostí.

walkeer

Jak pripojit vzdaleneho klienta k PPPoE serveru ktery je na zacatku site, kdyz cela sit je routovana?

Jakékoliv zapouzdření L2, které propouští broadcast (k vůli PPPoE Discovery paketu). Takže třeba EoIP. A na diagnostiku je dobrý PPPoE Scan v RouterOS.

Jakoze to bude tunel v tunelu? hmm to bude asi hodne spolehlive a hlavne rychle... to je asi nejhorsi vlasntost PPPoE: bezi na L2, je tedy potreba pouizvat bridge. Od te doby, co jsem v siti zrusil veskere mozne bridge a vse routuju, vsechny predesle problemy ustaly, takze to rozhodne neni pro me. jako reseni v ramci rozsahle LAN v nejakem panelaku nebo v opticke siti prosim, ale pro wifi se to IMO nehodi.

tomasnesrsta

Proto me napadlo misto tunelu a bridge udelat pppoe server na ap. A cely to ridit radiusem. Coz je stejne nutnost.

walkeer

Proto me napadlo misto tunelu a bridge udelat pppoe server na ap. A cely to ridit radiusem. Coz je stejne nutnost.

ted je otazka jak moc bude ten PPPoE server zatezovat to APcko a jak to bude snizovat rychlost na wifi a pripadne jak moc to bude padat kdyz bude hrosi signal/ruseni.

tomasnesrsta

Zateze na AP se moc nebojim. Ted vsude pouzivam WPA/WPA2 coz pak muzu klidne vypnout a ta zatez bude plus minus stejna.

To odpojovani asi bude horsi. Preci jenom nove navazani pppoe spojeni muze chvili trvat.

walkeer

WPA/WPA2 akcelerujou chipsety na kartach, tim CPU neodlehcis

pmaster

nevie niekto poradit preco mi PPPoE server disasociuje klientov ? neak neviem to vycitat z logu co je v prilohe

okoun

no zátěži na AP se už bojím mám omnitika a 10 pppoe účtů a už tam jde CPUčko někdy na 85%, každý má svojí queue cca 6Mb a 11Mb burst, takže když se to sejde tam tam jede cca 40Mb

« Předchozí stránka Další stránka »