راهنمایی برای نت کردن کاربران با Valid IP اختصاص داده شده از طرف radius

Printable View

2012-06-27, 08:10 AM
mimidi

راهنمایی برای نت کردن کاربران با Valid IP اختصاص داده شده از طرف radius

شبکه ای داریم با مشخصات زیر:
[LEFT][COLOR=#323D4F][FONT=Lucida Grande]
[/FONT][/COLOR][COLOR=#323D4F][FONT=Lucida Grande]MT: LAN=192.168.0.1/24 WAN=X.X.X.2/24 GW=X.X.X.1[/FONT][/COLOR]
[COLOR=#323D4F][FONT=Lucida Grande]Radius P.P.T.P & Dialup pool: [/FONT][/COLOR][COLOR=#323D4F][FONT=Lucida Grande]X.X.X[/FONT][/COLOR][COLOR=#323D4F][FONT=Lucida Grande].3-[/FONT][/COLOR][COLOR=#323D4F][FONT=Lucida Grande]X.X.X[/FONT][/COLOR][FONT=Lucida Grande, Trebuchet MS, Helvetica, Arial, sans-serif][COLOR=#323d4f].190
[/COLOR][/FONT][FONT=Lucida Grande, Trebuchet MS, Helvetica, Arial, sans-serif][COLOR=#323d4f]
[/COLOR][/FONT][/LEFT]
کاربران از طریق P.P.T.P به MT متصل میشن و MT درخواست های radius رو به سرور دیگه ای انتقال میده و radius هر بار به هر کاربر یک Valid IP اختصاص میده، طبق رول زیر همه کاربران P.P.T.P با IP خودشون به بیرون NAT می شن.[LEFT][COLOR=#323D4F][FONT=Lucida Grande]chain=srcnat action=passthrough to-addresses=[/FONT][/COLOR][COLOR=#323D4F][FONT=Lucida Grande]X.X.X[/FONT][/COLOR][COLOR=#323D4F][FONT=Lucida Grande].1 src-address=[/FONT][/COLOR][COLOR=#323D4F][FONT=Lucida Grande]X.X.X[/FONT][/COLOR][COLOR=#323D4F][FONT=Lucida Grande].3-[/FONT][/COLOR][COLOR=#323D4F][FONT=Lucida Grande]X.X.X[/FONT][/COLOR][COLOR=#323D4F][FONT=Lucida Grande].190 out-interface=WA[/FONT][/COLOR]N

[/LEFT]
[RIGHT]این رول به خوبی جواب میده و همه کاربران با Valid IP خودشون به اینترنت وصل میشن. حالا می خواهیم کاربران Dialup که از سمت RAS می آیند رو همانند کاربران P.P.T.P به صورت بالا NAT کنیم، یعنی کاربران Dialup هم با همون IP که radius بهشون میده به اینترنت وصل بشن. به طور قطع کاربران Dialup رو با رول بالا نمیشه NAT کرد چون ریموت آدرس که همون GW میکروتیک باشه در پروفایل P.P.T.P ست شده و فقط کاربرانی که روی اینترفیس P.P.T.P میشینن NAT میشن، ضمنا کاربران P.P.T.P و Dialup هردو از یک مدل اکانت استفاده میکنند و این اکانت ها باید هم قابلیت اتصال از طریق P.P.TP رو داشته باشه و هم Dialup. یعنی Pool هر دو گروه از کاربران یکی هست.
از دوستان کسی نظری درباره چگونگی انجام کار داره؟ هدف NAT شدن هردوگروه از کاربران با Valid IP اختصاص داده شده از سمت radius هست، البته با توجه به الزام در یکسان بودن Pool.[/RIGHT]
2012-06-27, 06:50 PM
mehrzadmo

دوست عزيز در صورتي كه نت اتفاق بيفته چه پول شما حاوي اي پي وليد باشه چه اينوليد ، شما با اي پي سرور ميكروتيك از بيرون ديده ميشيد . پس اگر هدفتون استفاده از اي پي وليد هست نت رو برداريد . چرا كه اي پي وليد اصلا نيازي به نت نداره .
بعد كاربران دايل اپ از هر طريقي مي آن داخل از همون طريق هم بهشون اي پي داده ميشه ! يعني تقريبا كاري به ميكروتيك نداره . ميكروتيك اينترنت رو ميده به اكسس سرور تون و اون الباقي كار رو انجام ميده .
2012-06-27, 11:02 PM
mimidi

[RIGHT][FONT=tahoma]دوست عزیز وقتی با [/FONT][COLOR=#323D4F][FONT=tahoma]passthrough نت میکنیم کاربران با همون پول ولیدی که ردیوس بهشون داده به اینترنت دسترسی پیدا میکنن و اتفاقا با همون ولید آی پی خودشون در اینترنت دیده میشن و از بیرون هم آی پی ولید خودشون پینگ میشه نه پابلیک آی پی میکروتیک، ضمنا کاربران دایال آپ هم در اکسس سرور روت میشن به سمت میکروتیک و همه درخواست ها به سمت میکروتیک ارسال میشه و میکروتیک بهشون اینترنت میده ،در اکسس سرور دایال آپ فقط کاربرانی که از روی E1 بهش وصل میشن رو به سمت میکروتیک روت میکنه و اینترنتی روش نیست. من اسراری روی این روش ندارم هرچند که روی کاربران PPTP هیچ مشکلی باهاش ندارم. در صورتیکه راه حل جامع تری وجود داشته بشه که جوابگو باشه ممنون میشم که دقیق تر راهنماییم کنید.[/FONT][/COLOR][/RIGHT]
2012-06-28, 08:34 AM
mehrzadmo

توي تعريف اين اكشن اينجوري نوشته :
[QUOTE][B]passthrough - ignores this rule goes on to the next one [/B][/QUOTE]
[URL]http://www.mikrotik.com/testdocs/ros/2.9/ip/nat.php[/URL]

بعد خودم هم تست كردم اصلا جواب نداد . امكانش هست رول رو كامل بزاريد اينجا ما هم يه تست بزنيم ؟
2012-06-28, 09:23 AM
mimidi

[FONT=Lucida Grande][COLOR=#323D4F][LEFT][COLOR=#323D4F][FONT=Tahoma][FONT=Lucida Grande]chain=srcnat action=passthrough to-addresses=[/FONT][/FONT][/COLOR][COLOR=#323D4F][FONT=Tahoma][FONT=Lucida Grande]X.X.X[/FONT][/FONT][/COLOR][COLOR=#323D4F][FONT=Tahoma][FONT=Lucida Grande].1 src-address=[/FONT][/FONT][/COLOR][COLOR=#323D4F][FONT=Tahoma][FONT=Lucida Grande]X.X.X[/FONT][/FONT][/COLOR][COLOR=#323D4F][FONT=Tahoma][FONT=Lucida Grande].3-[/FONT][/FONT][/COLOR][COLOR=#323D4F][FONT=Tahoma][FONT=Lucida Grande]X.X.X[/FONT][/FONT][/COLOR][COLOR=#323D4F][FONT=Tahoma][FONT=Lucida Grande].190 out-interface=WA[/FONT][/FONT][/COLOR][COLOR=#333333][FONT=Tahoma]N[/FONT][/COLOR][/LEFT]
[/COLOR][/FONT]
2012-06-28, 11:03 AM
maaziyar

ip valid که دیگه نت نمی خواد نت شه که دیگه ولید نیست
اقا مهرزاد بعد تست مارو در یافت شما که به ما همیشه لطف داری
2012-06-28, 11:34 AM
mehrzadmo

مهندس جان ميشه الباقي تنظيماتت رو هم اكسپورت كني بزاري اينجا ؟
2012-06-28, 12:33 PM
mimidi

رنج آی پی ولیدی که رو به عنوان نمونه 80.81.82.0/24 در نظر بگیرید:
[LEFT][LEFT]MT LAN: 192.168.0.0/24
MT WAN: 80.81.82.2
MT GW: 80.81.82.1
[/LEFT]
[/LEFT]
[RIGHT]تنظیمات پروفایل VPN:

[/RIGHT]
[LEFT]

name="VPN" local-address=80.81.82.2 remote-address=Valid session-timeout=2h idle-timeout=5m use-ipv6=no use-mpls=default use-compression=default use-vj-compression=default use-encryption=default only-one=default change-tcp-mss=yes

[RIGHT]پول ولید:[/RIGHT]
Valid: 80.81.82.3-80.81.82.254

[RIGHT]
[/RIGHT]
[/LEFT]
تنظیمات NAT:[LEFT]chain=srcnat action=passthrough to-addresses=80.81.82.1 src-address=80.81.82.3-80.81.82.254 out-interface=WAN
[/LEFT]
[RIGHT]
تنظیمات Route:[/RIGHT]
[LEFT] DST-ADDRESS PREF-SRC GATEWAY
0 A S 0.0.0.0/0 80.81.82.1
ADC 192.168.0.0/24 192.168.0.1 LAN

[/LEFT]
تمامی یوزرها کانکشن خود رو به MT LAN میزنن و MT درخواست ها رو به ردیوس بیرونی میفرسته و ردیوس پس از Auth به هر کاربر یک ولید آی پی از رنج پول Valid میکروتیک میده و یوزرها با همون آی پی اختصاص داده شده بهشون به اینترنت وصل میشن.
ضمنا مشکلم با یوزر های دایال آپ با ست کردن یک ولید آی پی از رنج بالا و روت کردن تمام درخواست ها به ولید آی پی میکروتیک حل شد.
2012-06-28, 05:00 PM
maaziyar

دوست من یک سوال شما الان با یک یوزری که وصل شده بری تو سایتی مثلاً [URL="http://www.ripe.net"]RIPE Network Coordination Centre[/URL] ایپی نمایش داده شده ایپی نت شده می باشه ، یا ایپی میکروتیک؟
2012-06-28, 07:54 PM
mimidi

دوست عزیز هم سایت ripe هم whatismyipaddress،...
آی پی ولید یوزرها هم پس از ارتباط از بیرون پینگ میشه و بصورت فول نت هست، همه سرویس ها هم روی ولید آی پی بازه
2012-06-28, 08:18 PM
mehrzadmo

مهندس من احساس مي كنم صرفا كارتون روت شده . و داره با اي پي وليد كار مي كنه . براي تستش اون رول رو يه لحظه ديسيبل كنيد ببينيد كار مي كنه يا خير ؟
هر چي در مورد اين اكشن سرچ كردم به نتيجه خاصي نرسيدم . اين اكشن صرفا به رول بعد ميره . يعني هيچ عملي انجام نميده ! ظاهرا براي آمار گيري و مثالهم كاربرد داره .
2012-06-29, 10:28 AM
mahyar49

[QUOTE=mehrzadmo;360793]مهندس من احساس مي كنم صرفا كارتون روت شده . و داره با اي پي وليد كار مي كنه . براي تستش اون رول رو يه لحظه ديسيبل كنيد ببينيد كار مي كنه يا خير ؟
هر چي در مورد اين اكشن سرچ كردم به نتيجه خاصي نرسيدم . اين اكشن صرفا به رول بعد ميره . يعني هيچ عملي انجام نميده ! ظاهرا براي آمار گيري و مثالهم كاربرد داره .[/QUOTE]
من هم با آقای مقدس موافق هستم، وقتی user وصل میشه و Valid ip میگیره چه نیازی به NAT کردن هست؟
مگر در مواردی که می خواهیم IP به غیر از ip که خود کاربر گرفته در اینترنت شناخته بشه که در اینجا این نیاز مطرح نیست.