Как показало мое знакомство на новом месте работы, именно через PPPoE (Point-to-point protocol over Ethernet) осуществляется предоставление доступа в интернет абонентам. Я никогда с ним дело не имел, но ведь как известно новое место работы — это что-то новое с чем никогда дело не имел. И вот поэтому я разобрал в первую очередь для себя, как настраивается PPPoE сервис на сетевом оборудовании Mikrotik, как происходит аутентификацию абонентов.
Проделываю на Mikrotik образе поднятом под Virtualbox
- eth1 — смотрит в интернет
- eth2 — смотрит в локальную сеть
Создаю VM: W7X64 и назначаю ее использование второго сетевого адаптера дабы он смотрел в сеть eth2 Mikrotikа.
Подключаюсь через winbox (с домашнего ноутбука Lenovo E555 оси Ubuntu 18.04 Desktop) к Mikrotik развернутому на Virtualbox с правами имеющими роль full
Шаг №1: Базовая настройка Mikrotik
[admin@MikroTik] > ip firewall filter add chain=input protocol=tcp dst-port=53 action=drop
[admin@MikroTik] > ip firewall filter add chain=output protocol=udp dst-port=53 action=drop
[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=172.16.0.0/16 action=masquerade
Шаг №2: Создаю три пула сетей:
winbox — IP&DNS:PORT — user&pass — IP — POOL — Add
- Name: 512kbps
- Addresses: 172.16.0.0/24
и нажимаю Apply, потом Copy и на основе текущего пула создаю следующий:
- Name: 1Mbps
- Addresses: 172.16.1.0/24
и нажимаю Apply, потом Copy и на основе текущего пула создаю следующий:
- Name: 2Mbps
- Addresses: 172.16.2.0/24
Этими действия я предопределяю что когда заведенный пользователь с назначенным правилом пула авторизуется его скорость работы в интернете будет ограничена, либо 512kbps,1Mbps,2Mbps.
Шаг №3: Настройки PPPoE сервиса
winbox — IP&DNS:PORT — user&pass — New Terminal
[admin@MikroTik] > interface pppoe-server server add authentication=mschap1,mschap2 disabled=no interface=ether2 one-session-per-hos=yes service-name=pppoe
Шаг №4: Настройки PPP профиля
[admin@MikroTik] > ppp profile add name=512kbps local-address=172.16.0.1 dns-server=8.8.8.8 remote-address=512kbps use-ipv6=no use-mpls=default use-compression=yes use-encryption=yes rate-limit=512000/512000
[admin@MikroTik] > ppp profile add name=1Mbps local-address=172.16.1.1 dns-server=8.8.8.8 remote-address=1Mbps use-ipv6=no use-mpls=default use-compression=yes use-encryption=yes rate-limit=1024000/1024000
[admin@MikroTik] > ppp profile add name=2Mbps local-address=172.16.2.1 dns-server=8.8.8.8 remote-address=2Mbps use-ipv6=no use-mpls=default use-compression=yes use-encryption=yes rate-limit=2048000/2048000
Шаг №5: Создаю авторизацию через которую по связке логин и пароль конечное устройство будет подключаться к PPPoE сервиса и получать доступ к внутренней сети, а также иметь доступ в интернет на основе созданных выше правил по скорости соединения:
[admin@MikroTik] > ppp secret add name=user1 password=Aa1234567 service=pppoe profile=512kbps
[admin@MikroTik] > ppp secret add name=user2 password=Aa1234567 service=pppoe profile=1Mbps
[admin@MikroTik] > ppp secret add name=user3 password=Aa1234567 service=pppoe profile=2Mbps
Отлично базовая настройка PPPoE сервиса завершена.
Теперь запускаю виртуальную машину W7X64, активирую ей использование второго сетевого адаптера:
- Включить сетевой адаптер: отмечаю галочкой
- Тип подключения: Внутренняя сеть
- Имя: intnet (точно такое же и второго сетевого адаптера на VM с установленной операционной системой RouterOS)
Нажимаю OK и запускаю.
Как можно заменить после ее загрузки система не получает по DHCP сетевой адрес — это так и должно быть, она его получит когда Вам системный администратор настроит подключение к сети:
Пуск — Панель управления — Просмотр: Категория — Мелкие значки — Центр управления сетями и общим доступом — Настройка нового подключения или сети — Подключение к Интернету — Высокоскоростное (с PPPoE) и указываю данные на подключение:
- Имя пользователя: user2
- Пароль: Aa1234567
- Запомнить этот пароль: отмечаю галочкой
- Имя подключения: mikrotik
и нажимаю кнопку «Подключить». Если все указано правильно и PPPoE сервис на Mikrotikе настроен правильно произойдет авторизация с система получит сетевой адрес на основе созданной политике для данного пользователя. В конечно итоге у Вас должно быть вот такое окно:
Проверяю, какой сетевой адрес получила система и вижу ли я доступ в интернет:
Win + R — cmd.exe
C:\Users\ekzorchik>ipconfig /all
Адаптер PPP mikrotik:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : mikrotik
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 172.16.0.255(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . : 0.0.0.0
DNS-серверы. . . . . . . . . . . : 8.8.8.8
NetBios через TCP/IP. . . . . . . . : Отключен
Из вывода видно, что система W7X64 получила адрес: 172.16.0.255
Проверяю, а видит ли система интернет:
C:\Users\ekzorchik>ping ya.ru
Обмен пакетами с ya.ru [87.250.250.242] с 32 байтами данных:
Ответ от 87.250.250.242: число байт=32 время=175мс TTL=55
Ответ от 87.250.250.242: число байт=32 время=172мс TTL=55
Ответ от 87.250.250.242: число байт=32 время=13мс TTL=55
Статистика Ping для 87.250.250.242:
Пакетов: отправлено = 3, получено = 3, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 13мсек, Максимальное = 175 мсек, Среднее = 120 мсек
Control-C
Ответ, да, система видит интернет. Если зайти на сайт 2ip.ru (или speedtest.net) и проверить скорость то она будет вот такой. Ниже я представляю скриншот подтверждающий наложенное правило для идентификационных данных текущего PPPoE подключения:
Если аутентифицировать уже под данными учетной записи user1 & user3 то там будет действовать уже другое ограничение скорости.
Данная заметка не претендует на уникальность, я всего лишь разобрал один из примеров интернета посвященный базовой настройки PPPoE сервиса на Mikrotikе.
Просто там где я сейчас работаю данный вид доступа в сеть используется независимо от способа подключения абонента: по оптике, по радиоканалу 2.4/5ГГц, по ethernet. И мне хотелось самим развернуть такой вид предоставления доступа дабы понять что следует проделать пользователю на своем конечном оборудовании. Хочу заметить, что не обязательно доступ к сети указывается на системе Windows — это может быть и роутер стоящий у абонента дома или организации.
На основе данной заметки я буду совершенствовать свое познание по управлению сетью с использованием оборудования фирмы Mikrotik.
Пока на этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.