راهنمایی برای نت کردن کاربران با Valid IP اختصاص داده شده از طرف radius

[mimidi]

شبکه ای داریم با مشخصات زیر:

MT: LAN=192.168.0.1/24 WAN=X.X.X.2/24 GW=X.X.X.1
Radius P.P.T.P & Dialup pool: X.X.X.3-X.X.X.190

کاربران از طریق P.P.T.P به MT متصل میشن و MT درخواست های radius رو به سرور دیگه ای انتقال میده و radius هر بار به هر کاربر یک Valid IP اختصاص میده، طبق رول زیر همه کاربران P.P.T.P با IP خودشون به بیرون NAT می شن.

chain=srcnat action=passthrough to-addresses=X.X.X.1 src-address=X.X.X.3-X.X.X.190 out-interface=WAN

این رول به خوبی جواب میده و همه کاربران با Valid IP خودشون به اینترنت وصل میشن. حالا می خواهیم کاربران Dialup که از سمت RAS می آیند رو همانند کاربران P.P.T.P به صورت بالا NAT کنیم، یعنی کاربران Dialup هم با همون IP که radius بهشون میده به اینترنت وصل بشن. به طور قطع کاربران Dialup رو با رول بالا نمیشه NAT کرد چون ریموت آدرس که همون GW میکروتیک باشه در پروفایل P.P.T.P ست شده و فقط کاربرانی که روی اینترفیس P.P.T.P میشینن NAT میشن، ضمنا کاربران P.P.T.P و Dialup هردو از یک مدل اکانت استفاده میکنند و این اکانت ها باید هم قابلیت اتصال از طریق P.P.TP رو داشته باشه و هم Dialup. یعنی Pool هر دو گروه از کاربران یکی هست.
از دوستان کسی نظری درباره چگونگی انجام کار داره؟ هدف NAT شدن هردوگروه از کاربران با Valid IP اختصاص داده شده از سمت radius هست، البته با توجه به الزام در یکسان بودن Pool.

---

موضوعات مشابه:

• اختصاص ip Valid به سرور
• اتصال pptpd به radius server
• چطور ميشه به يه ip valid نام اختصاص داد
• اتصال به شبکه وایرلس از طریق Radius

---

[mehrzadmo]

دوست عزيز در صورتي كه نت اتفاق بيفته چه پول شما حاوي اي پي وليد باشه چه اينوليد ، شما با اي پي سرور ميكروتيك از بيرون ديده ميشيد . پس اگر هدفتون استفاده از اي پي وليد هست نت رو برداريد . چرا كه اي پي وليد اصلا نيازي به نت نداره .
بعد كاربران دايل اپ از هر طريقي مي آن داخل از همون طريق هم بهشون اي پي داده ميشه ! يعني تقريبا كاري به ميكروتيك نداره . ميكروتيك اينترنت رو ميده به اكسس سرور تون و اون الباقي كار رو انجام ميده .

[mimidi]

دوست عزیز وقتی با passthrough نت میکنیم کاربران با همون پول ولیدی که ردیوس بهشون داده به اینترنت دسترسی پیدا میکنن و اتفاقا با همون ولید آی پی خودشون در اینترنت دیده میشن و از بیرون هم آی پی ولید خودشون پینگ میشه نه پابلیک آی پی میکروتیک، ضمنا کاربران دایال آپ هم در اکسس سرور روت میشن به سمت میکروتیک و همه درخواست ها به سمت میکروتیک ارسال میشه و میکروتیک بهشون اینترنت میده ،در اکسس سرور دایال آپ فقط کاربرانی که از روی E1 بهش وصل میشن رو به سمت میکروتیک روت میکنه و اینترنتی روش نیست. من اسراری روی این روش ندارم هرچند که روی کاربران PPTP هیچ مشکلی باهاش ندارم. در صورتیکه راه حل جامع تری وجود داشته بشه که جوابگو باشه ممنون میشم که دقیق تر راهنماییم کنید.

[mehrzadmo]

توي تعريف اين اكشن اينجوري نوشته :

passthrough - ignores this rule goes on to the next one

http://www.mikrotik.com/testdocs/ros/2.9/ip/nat.php

بعد خودم هم تست كردم اصلا جواب نداد . امكانش هست رول رو كامل بزاريد اينجا ما هم يه تست بزنيم ؟

[mimidi]

chain=srcnat action=passthrough to-addresses=X.X.X.1 src-address=X.X.X.3-X.X.X.190 out-interface=WAN

[maaziyar]

ip valid که دیگه نت نمی خواد نت شه که دیگه ولید نیست
اقا مهرزاد بعد تست مارو در یافت شما که به ما همیشه لطف داری

[mehrzadmo]

مهندس جان ميشه الباقي تنظيماتت رو هم اكسپورت كني بزاري اينجا ؟

[mimidi]

رنج آی پی ولیدی که رو به عنوان نمونه 80.81.82.0/24 در نظر بگیرید:

MT LAN: 192.168.0.0/24
MT WAN: 80.81.82.2
MT GW: 80.81.82.1

تنظیمات پروفایل VPN:

name="VPN" local-address=80.81.82.2 remote-address=Valid session-timeout=2h idle-timeout=5m use-ipv6=no use-mpls=default use-compression=default use-vj-compression=default use-encryption=default only-one=default change-tcp-mss=yes

پول ولید:

Valid: 80.81.82.3-80.81.82.254

تنظیمات NAT:

chain=srcnat action=passthrough to-addresses=80.81.82.1 src-address=80.81.82.3-80.81.82.254 out-interface=WAN

تنظیمات Route:

DST-ADDRESS PREF-SRC GATEWAY
0 A S 0.0.0.0/0 80.81.82.1
ADC 192.168.0.0/24 192.168.0.1 LAN

تمامی یوزرها کانکشن خود رو به MT LAN میزنن و MT درخواست ها رو به ردیوس بیرونی میفرسته و ردیوس پس از Auth به هر کاربر یک ولید آی پی از رنج پول Valid میکروتیک میده و یوزرها با همون آی پی اختصاص داده شده بهشون به اینترنت وصل میشن.
ضمنا مشکلم با یوزر های دایال آپ با ست کردن یک ولید آی پی از رنج بالا و روت کردن تمام درخواست ها به ولید آی پی میکروتیک حل شد.

[maaziyar]

دوست من یک سوال شما الان با یک یوزری که وصل شده بری تو سایتی مثلاً RIPE Network Coordination Centre ایپی نمایش داده شده ایپی نت شده می باشه ، یا ایپی میکروتیک؟

[mimidi]

دوست عزیز هم سایت ripe هم whatismyipaddress،...
آی پی ولید یوزرها هم پس از ارتباط از بیرون پینگ میشه و بصورت فول نت هست، همه سرویس ها هم روی ولید آی پی بازه

[mehrzadmo]

مهندس من احساس مي كنم صرفا كارتون روت شده . و داره با اي پي وليد كار مي كنه . براي تستش اون رول رو يه لحظه ديسيبل كنيد ببينيد كار مي كنه يا خير ؟
هر چي در مورد اين اكشن سرچ كردم به نتيجه خاصي نرسيدم . اين اكشن صرفا به رول بعد ميره . يعني هيچ عملي انجام نميده ! ظاهرا براي آمار گيري و مثالهم كاربرد داره .

[mahyar49]

مهندس من احساس مي كنم صرفا كارتون روت شده . و داره با اي پي وليد كار مي كنه . براي تستش اون رول رو يه لحظه ديسيبل كنيد ببينيد كار مي كنه يا خير ؟
هر چي در مورد اين اكشن سرچ كردم به نتيجه خاصي نرسيدم . اين اكشن صرفا به رول بعد ميره . يعني هيچ عملي انجام نميده ! ظاهرا براي آمار گيري و مثالهم كاربرد داره .

من هم با آقای مقدس موافق هستم، وقتی user وصل میشه و Valid ip میگیره چه نیازی به NAT کردن هست؟
مگر در مواردی که می خواهیم IP به غیر از ip که خود کاربر گرفته در اینترنت شناخته بشه که در اینجا این نیاز مطرح نیست.