База знаний

www. IT-Mehanika .ru --  журнал доброго админа

Как стать провайдером, часть 1

Создаем подключение к Интернету, настраиваем PPPoE сервер, NAT, DNS, добавляем учетные записи клиентов и контролируем их работу, а так же блокируем нежелательные сайты.


Данный информационный материал был создан, подготовлен специалистами ООО «ЛАНМАРТ» и является собственностью администрации проекта www.lanmart.ru. Любое использование и размещение данного материала на других ресурсах допускается только при наличии прямой ссылки на первоисточник.

Территория нашей страны огромна, однако Интернетом до сих пор обеспечены не все города и малые населенные пункты. Так же бывает, что во всех многоквартирных домах есть высокоскоростной доступ в сеть, а жителям частного сектора  приходится довольствоваться ADSL или 3G, скорость и качество связи по которым очень плохое.

Естественно спрос рождает и предложения - почти в каждом городе появляются микропровайдеры, предоставляющие доступ в сеть по проводным и беспроводным каналам связи, однако часто они выбирают не правильную технологию доступа или схему развития сети, которая в последствии ухудшает качество услуги и создает различного рода неудобства и проблемы. Хотя есть несколько довольно удачных и простых схем, при которых и клиенты будут довольны, и админы смогут по ночам спокойно спать, а не разбираться с конфликтами сетевых адресов.

При создании сети нужно правильно выбрать технологию доступа. Многие совершают ошибку, и пытаются вручную задавать IP-адреса компьютерам клиентов - в итоге со временем появляется путаница с адресами, клиенты начинают сами их менять и нормальная работа сети нарушается. Другая ошибка - использование туннелей VPN для доступа в Интернет. Но и эта технология имеет недостаток - работает поверх IP сети и предназначена для доступа к серверам через Интернет, а не для получения доступа к Интернету из локальной сети. Любые проблемы с подстановкой IP-адресов так же выводят работу сети из строя. Все это создает недовольства у абонентов и уменьшает количество новых подключений. Технология IPoE создана для решения всех проблем, при ее использовании клиенту достаточно подключить свой компьютер к сети и получить доступ в Интернет, но у нее есть и минус - требуется дорогое управляемое оборудование, которое на начальном развитии сети никогда не окупится.

Поэтому единственная возможная технология для подключения клиентов в малых сетях, это PPPoE - для работы не требуется указание IP-адресов, достаточно знать логин и пароль. При этом все клиентские адреса хранятся на сервере, удобно вести мониторинг и отключать за не уплату. В дальнейшем можно с помощью биллинговой системы полностью автоматизировать процесс оплаты и отключения клиентов.

Для того, что бы стать провайдером нужно в первую очередь купить какую-то модель микротика для работы центральным маршрутизатором. Для малой нагрузки отлично подойдет Mikrotik RB450G или любой Mikrotik RB2011серии, например Mikrotik RB2011UAS-2HnD-IN, который мы и будем использовать для примера.

Для начальной настройки Mikrotik RB2011UAS-2HnD-IN нужно подключить кабель от компьютера во второй сетевой порт, потому что первый в начальной конфигурации заблокирован.

Первое что нужно сделать - отменить начальную конфигурацию, нажав на кнопку Remove Configuration. Если окно начальной конфигурации не появилось, значит оборудование уже включали.

Далее заходим на сайт mikrotik.com в раздел Download и качаем самую последнюю версию ПО для оборудования. На данный момент это 5.24. Для обновления нужно выбрать Upgrade Package. Сохраняем файл на компьютер.

Открываем окно микротика и окно проводника. Перетаскиваем мышкой файл на окно микротика. После загрузки файла нужно перезагрузить устройство через меню SYSTEM->Reboot. Обновление занимает около 2-3 минут, питание оборудования отключать нельзя.

В меню SYSTEM->Routerboard производим обновление загрузчика, нажимаем кнопку Upgrade.

В меню SYSTEM->Reset Configuration сбрасываем конфигурацию еще раз, устанавливая галочки No DefaultConfiguration и Do Not Backup.

Для доступа в сеть нужно настроить канал интернета от провайдера. Если получение IP-адреса происходит автоматически, тогда в меню IP->DHCP Client нужно создать новое правило на + и указать интерфейс, в который подключен кабель от провайдера, например Ether1.

При успешном получении адреса в разделе Status появится соответствующая информация.

Если IP-адрес нужно устанавливать вручную, тогда заходим в меню IP->Addresses и нажимаем на +, далее указываем адрес, который выдал провайдер, например 192.168.0.199/24 и выбираем интерфейс Ether1. 24 на конце означает маску подсети 255.255.255.0 если провайдер использует другую маску, то следует найти в сети Интернет через поисковую систему "калькулятор маски подсети" и провести в нем необходимые вычисления.

Кроме IP-адреса нужно указать и шлюз. На микротике его указывают в меню IP->Routes. Создаем новое правило на + и указываем адрес шлюза, который выдал провайдер. В нашем случае это 192.168.0.1.

Провайдер может предоставлять Интернет и через PPPoE. Для настройки подключения нужно зайти в раздел PPP и нажав на + выбрать из списка PPPoE_Client. В открывшемся окне указать интерфейс, куда подключен кабель провайдера - Ether1.

На вкладке Dial Out нужно указать логин и пароль на доступ. В нашем случае имя пользователя - test, а пароль -test12345. Для получения адреса DNS сервера нужно поставить галочку Use Peer DNS.

При успешном подключении в окне статуса появится информация о выданных адресах и имени сервера.

Для того, что бы микротик работал в качестве DNS сервера, нужно в меню IP->DNS поставить галочку Allow Remote Requests.

Теперь переходим к настройке PPPoE сервера. Заходим в раздел PPP на вкладку Profiles и нажимаем на + для создания нового. В открывшемся окне указываем:

Name: Tarif_1024K/515K - имя профиля. Каждый профиль может иметь свое ограничение скорости, поэтому для удобства нужно указывать его в названии.

Local Address: 10.1.0.1 - внутренний адрес сервера. Обычно одинаковый во всех профилях.

Так же устанавливаем галочку Change TCP MSS в значение Yes.

На вкладке Protocols устанавливаем все галочки в значение No. Отключаем MPLS, сжатие и шифрование - все это совершенно не нужные функции для обеспечения доступа в Интернет. Шифрование повышает нагрузку на процессор и уменьшает производительность маршрутизатора.

На вкладке Limits задается ограничение скорости, например 512k/1024k и устанавливается галочка Only One - Yes, что разрешает подключение только одного клиента с одними и теми же учетными данными.

В ограничении скорости буква K означает килобиты, а буква M - мегабиты.

Rx - прием данных от клиента (исходящий трафик у клиента), Tx - передача данных к клиенту (входящий трафик у клиента).

Создаем второй профиль. Для быстрой настройки нажимаем кнопку Copy и создаем точную копию, у которой изменяем имя - Tarif_2048K/1024K.

И ограничение скорости, так же как указали в названии - 1024k/2048k.

В итоге создаем 3 профиля с разными ограничениями скорости. В примере видно, что входящая скорость намного больше исходящей. При использовании беспроводных каналов связи тарифы нужно делать не симметричными, т.к. исходящий трафик создает дополнительную нагрузку на сеть, особенно если пользователи будут осуществлять раздачи с торрентов. Несколько таких абонентов без ограничения исходящей скорости могут занять весь ресурс базовой станции, не оставив возможности работать остальным.

Для создания учетных записей клиентов заходим на вкладку Secrets. Нажимаем на + и создаем нового абонента. Указываем:

Name: test - логин для доступа в сеть.

Password: test - пароль для доступа в сеть.

Service: PPPoE - клиент может подключаться только по PPPoE.

Profile: Tarif_1024K/512K - имя профиля с ограничением скорости.

Remote Address: 10.1.0.2 - адрес клиента. Можно устанавливать по порядку до 10.1.0.254, потом меняется первая цифра и раздается следующая подсеть 10.1.1.1 - 10.1.1.254 и так далее.

Для создания второго клиента так же копируем данные, изменяем имя, пароль, тариф и увеличиваем адрес на 1. Увеличивать можно до 254, потом нужно увеличивать предыдущую цифру на 1 а последнюю цифру адреса устанавливать в 1 - 10.1.0.254 далее будет 10.1.1.1.

В итоге все клиенты отображаются в табличке. Ее удобно сортировать по IP-адресу, либо по имени клиента. Однако нужно очень тщательно подойти к выбору имен клиентов. Если подключаются абоненты в многоквартирном доме, то лучше указывать в имени адрес улицы и квартиру, например lenina_14, lesnaya_45 и т.п. Тут сразу понятно где абонент находится. Если планируется так же подключать и клиентов частного сектора, тогда лучше как-то отделять их друг от друга. Например клиенты многоквартирных домов будут lenina_kv14 и lesnaya_kv45, а частные дома обозначать просто - mira_20, тогда сразу станет ясно кто есть кто.

В любой момент можно зайти в свойства клиента и поменять ему тариф или адрес. Однако настройки применятся только после отключения и повторного подключения клиента.

Один клиент выключен и работать не может, эту функцию следует использовать при отключении клиентов за неоплату. Вверху в меню есть крестик для отключения и галочка для включения.

Теперь нужно привязать PPPoE сервер к интерфейсу. Для этого выбирается интерфейс, например Ether2 (можно использовать и другие, например влан или бридж), указываем таймаут 30 секунд и профиль по умолчанию. Так же ставим галочку One Session Per Host, что бы не разрешать подключение нескольких клиентов с одного компьютера или роутера. Это поможет сразу находить неисправности - например если где-то в радиоканале забыли включить режим WDS - клиенты начнут постоянно переподключатся, что сразу привлечет внимание администратора сети.

После подключения клиент появляется на вкладке Active Connection. Там показан MAC-адрес клиента, его адрес и время подключения. Для отключения клиента нужно его выбрать из списка и нажать на - вверху. По времени работы можно определять проблемы. Например если клиентские устройства по радио работают в режиме роутера и включены постоянно, то и время соединения должно с каждым днем увеличиваться. Если же клиент переподключается, то и время работы начинает отсчет с нуля, что так же можно использовать для поиска неисправностей.

На вкладке Interface можно просматривать загрузку каждого абонентского подключения, например отсортировав клиентов по входящей или исходящей скорости. Если нажать 2 раза мышкой по любому соединению откроется окно статуса, где можно просматривать график скорости и пакетную нагрузку. В данном случае видно, как работает ограничение скорости.

При подключении клиента автоматически создается правило ограничения скорости в меню Queues.

Однако в данный момент клиенты PPPoE сервера могут общаться только с роутером, в Интернет им не попасть. Нужно настроить NAT. Для этого в меню IP->Firewall нажимаем на + открывается окно.

В котором указываем:

Src.Address: 10.1.0.0/16 - все клиенты с адресами от 10.1.0.1 и до 10.1.254.254 будут работать через NAT.

Dst.Address: ! 10.0.0.0/8 - кроме доступа на все адреса, начинающиеся на 10.

То есть все клиенты смогут иметь доступ в сеть через один внешний адрес провайдера, но если они будут пытаться получить доступ друг к другу, то данные пойдут напрямую без NAT. Может быть не очень понятно, но именно так правильно настраивается NAT, что бы без проблем в дальнейшем управлять сетью и осуществлять удаленный доступ через Интернет. Указывать просто подсеть адресов, или выходной интерфейс не верно - из-за этого будут проблемы с маршрутизацией.

На вкладке Action выбираем Masquerade что и является NAT'ом.

В итоге появляется одно правило.

Теперь клиенты могут получить доступ в Интернет. Кстати с PPPoE очень удобно смотреть на какие адреса и что скачивают клиенты. Если выбрать одного абонента из списка клиентов, нажать по нему правой кнопкой мышки и выбрать Torch, поставить все галочки в разделе Collect и нажать Start, можно увидеть все соединения, скорость и количество пакетов. По любому столбику можно делать сортировку.

Ели в списке адресов будет много соединений с одним и тем же адресом, или наоборот с многими разными адресами, и по каждому будут идти данные в большом объеме - значит клиент пользует программы Torrent или DC++.

В меню IP->DNS при нажатии на кнопку Cache можно посмотреть список сайтов, которые посещали клиенты - они все сохраняются в кэше. При необходимости его можно очистить нажатием на кнопку Flush Cache.

Если нужно заблокировать доступ на какой-то сайт, например odnoklassniki.ru, то можно создать статическую DNS запись, где указано имя сайта и не существующий адрес, например 127.0.0.1. Но так как иногда перед именем сайта автоматически приписывается www, нужно создавать 2 записи, вторую www.odnoklassniki.ru.

После установки ограничения сайты могут продолжать открываться некоторое время, т.к. на компьютерах пользователей так же имеется кэш DNS, в котором временно сохраняются имена посещаемых сайтов. Для очистки нужно запустить командную строку и ввести ipconfig /flushdns.

После добавления статическая запись показывается в кэше DNS. Однако фильтр по имени сайта работает только в том случае, если клиент использует DNS сервер микротика. Если он вручную укажет любой другой - ограничение не сработает.

В заключении настроек в меню SYSTEM->Users дважды нажимаем мышкой по пользователю Admin и в открывшемся окне на кнопку Password - вводим пароль на доступ к устройству. В нашем случае test. Теперь никто не сможет попасть на устройство, кроме администратора.

 

На этом настройка подключения к провайдеру, PPPoE сервера, профилей пользователей, NAT, DNS и блокировки сайтов по доменному имени завершена. Уже сейчас можно подключать клиентов к сети Интернет и начинать работать. Однако не забывайте заходить на наш сайт и читать новые обзоры по настройке оборудования.

Важное замечание - при использовании PPPoE все беспроводное оборудование должно работать в режиме WDS (база и клиенты, а так же все мосты точка-точка).