چگونگی ایجاد صحیح PPPOE Server در میکروتیک

بذارید ساده بریم جلو:

من یه مودم، یه روتربورد میکروتیک و یه PC دارم:

1- مودم به پورت 1 روتربورد و با آی پی 192.168.1.1 وصله و PC به پورت 2 روتربورد وصله.

2- اینترفیس1 رو DHCP Client کردم تا از DHCP Server مودم IP بگیره و مثلا الان IP روبرو رو گرفته: 192.168.1.4

3- اینترفیس2 رو به صورت دستی IP دادم: 192.160.1.1

4- یه IP Pool هم ساختم واسه اختصاص به کلاینتهایی که به PPPEO Server وصل میشن: 192.160.1.2-192.160.1.254

5- PPPOE Server رو هم روی اینترفیس2 راه اندازی کردم.

با توجه به توضیحات، وقتی من به PPPOE Server کانکت نکنم، اصلا از شبکه IP نمیگیرم و یه IP از رنج APIPA توسط ویندوز به من اختصاص داده میشه و چون IP کامپیوترم توی رنج آی پی PPPOE Server نیست و Rule NAT هم براش ننوشتم به اینترنت وصل نمیشم.

حالا میامو توسط کانکشن وصل میشم و یه IP از PPPOE Server میگیرم و چون این آی پی NAT شده، پس به اینترنت وصل میشم.

حالا که میدونم IP ای که به من اختصاص داده شده توی رنج 192.160.1.0/24 هست، پس سری بعد بدون کانکت کردن و وارد کردن یوزر و پسورد، و فقط با تنظیم دستی IP میتونم به اینترنت وصل بشم! و اصلا دیگه نیازی نیست که کامپیوتر من روتربورد میکروتیک رو ببینه. چون به محض اینکه IP رو دستی وارد کنم دیگه میتونه روتربورد رو ببینه و الباقی ماجرا.

دوست عزیز هنوزم منظور منو متوجه نشدین

اگر 1 عدد سیستم هم داشته باشین روش همین است که میگم

الان یک کاری کنید

باهم بریم جلو

به سمت مودم کاری ندارم و ارتباط شما با روتر رو میگم

شما یک کامپیوتر داری و یک روتر

الان برای اینکه این دوتا هم دیگه رو ببینن باید سیستم شما و اون پورت میکروتیک که به دستگاه شما وصل شده توی یک رنج ip باشن درسته؟

نه منظور منو بد متوجه شدین و توضیحی هم که دادین ایراد داره

به سمت مودم کاری ندارم و سمت شبکه داخلی رو توضیح میدم

تصور کنید چندتا سیستم توی شبکه دارین .برای اینکه شبکه شما تشکیل بشه باید ipها در یک رنج باشن

پس میاین روی میکروتیک یک dhcp سرور راه می اندازین و یک رنج ip در نظر می گیرین .اینجوری سیستم های شبکه از میکروتیک ip میگیرن و شبکه تشکیل میشه..

این شبکه زمانی کار میکنه که میکروتیک و سیستم ها توی یک رنج باشن . یعنی وقتی سیستمها می تونن میکروتیک رو ببینن و بهش کانکشن بزنن که توی یک رنج باشن

در ادامه شما میای و یک رنج ip دیگه که با رنج ip شبکه خودت فرق میکنه در نظر میگیری و روی اون vpn سرور رو راه میندازی و وقتی کاربران وصل میشن ip تغییر میکنه و به اینترنت وصل میشن

حالا اگر کاربری بیاد و رنج ip رو تغییر بده و رنج vpn سرور بزاره ،

دستگاه این کاربر ip که گرفته توی رنج ip شبکه شما نیست . پس اصلا شبکه تشکیل نمیشه و اصلا میکروتیک رو نمی بینه که بخواد اینترنت داشته باشه...

نمیدونم تونستم مطلب رو برسونم؟

ببینید. من کلا یه رنج IP دارم. اول از رنج 192.168.1.024 استفاده کردم ولی بعد نظرم عوض شد و رنج IP رو گذاشتم 192.160.1.024

و الان با توضیحی که شما دادید کاملا متوجه مشکل شدم. توضیح کوتاه ولی کاملا عاااالی. توی چندتا آموزشی که دیده بودم اصلا به این موضوع اشاره نشده بود و جالبه که خودمم اصلا بهش توجه نکرده بودم اما تا توضیح شما رو خوندم کاملا متوجه شدم که اشکال کار کجاس ولی هنوز مشکل اصلی باقی میمونه: فرض کنید من دوتا رنج IP به کار ببرم. وقتی کاربر با یوزر و پسورد وارد بشه و بهش IP وی پی ان اختصاص داده بشه، بازم میتونه با شناسایی IP که بهش اختصاص داده شده، سری بعد فقط با وارد کردن دستی IP و بدون ورود یوزر و پسورد به اینترنت وصل بشه!

دوست عزیز سوالتون رو توی پست جدید بپرسید از نظرات دوستان هم استفاده کنید ممنون.

ببخشید اما الان یکم قضیه رو پیچوندین و قاطی شد

شما یک رنج ipدر شبکه دارین درسته؟ (مثلا 192.168.1.0/24)

اما برای vpn سرور باید یک رنج ip دیگه در نظر بگیرین (مثلا 192.168.20.0/24)

اینجوری زمانی که کلاینت vpn می زنه رنج ipعوض میشه و میتونه به اینترنت وصل بشه... (شما برای رنج ip وی پی ان nat مینویسی نه برای رنج ip شبکه خودتون)

حالا مشکل کجاست؟

کانکشن های pppoe زمانی که ایجاد میشن یک ارتباط point to point بین مبدا و مقصد ایجاد میکنن و ترافیک از روی این تانل p2p ارسال میشن پس نیاز به gateway ندارید و ریموت ادرس هرچی میتونه باشه . ادرس دهی این جور تانل ها رو point to point addressing میگن که یک نوع ادرس دهیه که با ادرس دهی معمولی متفاوته. توی دوره ی mtcre که دارم اماده میکنم توی یک قسمت به این مورد اشاره میکنم .

سلام. ممنون.

چک کردم. اینترفیسی که روش PPPOE Server راه اندازی کرده بودم رو به DNS Server هم تبدیل کرده بودم. واسه همین چه با کانکشن و چه بی کانکشن، به کامپیوترم IP اختصاص میداد.

ولی متوجه یه موضوع دیگه هم شدم: الان وقتی کانکشن وصل نیست به اینترنت دسترسی ندارم و وقتی کانکشن وصله، به اینترنت دسترسی دارم که تا اینجا درسته. اما وقتی به صورت دستی به کارت شبکه کامپیوترم یه IP توی رنج IP اینترفیس PPPOE Server میدم بازم بدون اتصال به کانکشن به اینترنت وصل میشه! قطعا این ضعف میکروتیک نیست و یه جای کار خودم میلنگه ولی نمیدونم کجا! اگه به این سادگی بشه کانکشن رو دور زد که کلا هیچی...

و بله. من یه NAT نوشتم که تمامی رنج IP مربوط به ether2 (اینترفیسی که به عنوان PPPOE Server انتخابش کردم) رو Masq میکنه. خوب اگه نباشه که با راه اندازی PPPOE Server هم بازم کلاینت هام اینترنت ندارن. درسته؟

اینم عکسش (البته الان رنج IP رو عوض کردم. توی سوال پست اولم از 192.168.1.024 استفاده کرده بودم ولی الان از 192.160.1.024 فقط خواستم بنویسم که در جریان باشید):

سلام

احتمالا شما قبل تنظیم vpn سرور یک nat در فایروال نوشتین که به دستگاهها اینترنت بده و اون nat هنوز فعاله و نمیزاره vpn کارشو انجام بده

یک عکس از تنظیمات nat بگیرین و اینجا بزارین

@Arta

فکر کنم مشکل همین باشه. چک میکنم خبرشو میدم. ممنون.

راستی چرا توی انجمن امکان ارسال جواب به صورت نقل قول وجود نداره؟

خوب. مشکل من با حذف IP اینترفیس شبکه (اینترفیس1) حل شد! جالبه. گاهی پیش فرض های ذهنی کار دست آدم میده! من همیشه فکر می کردم توی روتربورد با هر اینترفیسی که قراره کار کنیم، ب بسم الله باید یه IP بهش اختصاص بدیم!

حالا کارت شبکه من همیشه یه IP از رنج APIPA میگیره و الان دیگه فقط PPP آداپتوره که اگه کانکشنش وصل بشه IP مورد نظر رو میگیره و اگه وصل نشه نه. حالا شد! اینم تنظیمات:

حالا یه سوال:

طبق عکس زیر، Remote Address رو برابر با IP Pool مورد نظر قرار دادم. یعنی رنج 192.160.1.2 تا 192.160.1.254 و اسمشم هست dhcp_pool2

پس قاعدتا Local Address رو هم باید بذارم 192.160.1.1 درسته؟ که به عنوان gateway عمل کنه. ولی چرا با اینکه گذاشتمش 10.20.30.40 باز هم مشکلی پیش نمیاد؟ مگه این Local Address نباید آدرس اینترفیس PPPOE Server باشه؟ آدرسی که روی اینترفیس ست نکردم والان باید اینجا ست کنم. درسته؟ اگه دقت کنید توی عکس محیط CMD و بخش آداپتور PPP اومده و default gayeway رو 0.0.0.0 گذاشته. یعنی آدرس ست نشده ی اینترفیس 2 و هیچ خبری از آی پی 10.20.30.40 نیست. این یه تیکه رو هم اگه توضیح بدید مشکلم کاملا حل میشه.

ممنون.

نمی دونم با نوشتن میشه توضیح داد یا نه

اگر دقت کنید شما برای اینکه روتر میکروتیک رو ببینی به اینترفیس روتر میکروتیک (همون پورتی که به شبکه شما وصل است) یک ip از رنج ip شبکه خودت دادی..

اما اگر کسی بیاد و رنج vpn رو روی کارت شبکه ست کنه دیگه اصلا توی رنج شبکه شما نیست که بتونه روتر میکروتیک رو ببنه تا بتونه اینترنت داشته باشه....

من چیزی که گفتم رو پیاده کردم و دقیقا عین گفته هام جواب گرفتم. یعنی IP دستی و بدون یوزر و پسورد به راحتی وصل شدم به اینترنت.

توضیحات شما در مورد شبکه های بزرگ درسته ولی شبکه من که فقط یه مودم و یه روتربورد داره و gateway روتربوردمم همون مودمه و دست آخر همه به هم وصلن شامل حال توضیح شما نمیشه. البته من مطمئنم که یه جای کار میلنگه وگرنه میکروتیک همچین باگی نداره.

دوستان من با فایروال میکروتیک محدودیت هایی رو برای کلاینت ها ایجاد کردم.

حالا اگه pppoe server راه اندازی کنم امکانش هست که همزمان همراه با فایروال استفاده بشه؟

یعنی یک سری افراد مستقیم به اینترنت وصل بشن و یکسری دیگه کانکشن pppoe ایجاد کنن.

@Arta

خیلی خیلی ممنون. حالا دیگه کاملا متوجه شدم. فقط اگه اجازه بدید یه سوال دیگه بپرسم: من چندجا خوندم که استفاده از هات اسپات زیاد امن نیست. شما توی میکروتیک چه روشی رو پیشنهاد می کنید که هم حساب های کاربری رو چک کنم و حجم اختصاص بدم و پهنای باند اختصاص بدم و ... و هم از امنیت بالایی برخوردار باشه و کاربرها هم نتونن سیاست های پیاده شده رو دور بزنن. به نظرم ترکیب UserManager و PPPOE Server مناسبه. اینطور نیست؟

رسول جان، بله. باید توی یک رنج IP باشن.