Матеріал з Xgu.ru
Інструкція для версії Ideco АСР 3.9.7 і MikroTik Router OS 5.22
Важливо. Схоже, що потрібно відвикати від бренду Ideco і звикати до назви Сarbon Soft. Бо, наскільки я розумію - стався розкол компанії, а тепер уже він два юрособи, два різних сайту, два різних бренду - і відповідно різні продукти - замість АСР Ideco - Carbon Billing. Але так як це не простий і тривалий процес поділу - поки що існує саме Ideco АСР 3.9.7. Тому що Carbon Billing 5 знаходиться в статусі Beta. (Трохи пізніше я "потискати" даний продукт на предмет одруження його з MikroTik Router OS. І заодно потискати нову версію MikroTik Router OS 6 - яка теж поки в статусі beta, але обіцяє нові можливості і рівень продуктивності на свіжому залозі - тому що оновилося ядро Linux і драйвери (цікаво буде знайти і потестить сучасні потужні серверні мережеві карти і свіжу серверну платформу). і, можливо, зроблю окрему інструкцію типу Carbon Billing 5 + MikroTik Router OS 6.
У статті розглядається інсталяція і настройка зв'язки Mikrotik і білінгової системи Ideco ACP. Вже згадана в статті зв'язка може використовуватися у малих і середніх провайдерів доступу до мережі Інтернет для організації керованого доступу. Схема випробувана в інсталяції, що нараховує близько 15 000 користувачів.
[Ред] Введення
Мета статті - висвітлити базові нюанси настройки для взаємної роботи в парі двох програмних продуктів:
- Ideco АСР (Автоматизована система розрахунків, в народі "білінг")
- і MikroTik RouterOS.
Офіційні сайти даних продуктів:
Прошу не плутати два абсолютно різні продукти Ideco ACP і Ideco ICS. (Як вище вже писав - явно відбувається поділ компанії і поступовий ребрендинг Ideco ACP -> Carbon Billing)
[Ред] Установка і первинна настройка
Передбачається, що читач володіє базовими поняттями настройки мережі і самостійно встановив дані продукти і має доступ до них з машини адміністратора. Для допомоги використовуйте офіційну онлайн документацію:
Перевірте, що обидві системи "бачать" один одного (за допомогою банального icmp ping).
Перевірте, що на мікротіке налаштоване підключення до вищестоящого провайдера (інтерфейс, маршрут за замовчуванням).
І перевірте пінгуєтся чи "світ" з мікротіка.
Після цього можна переходити до наступного розділу.
[Ред] Ліцензії
Для ознайомлення з даними програмними продуктами існують повнофункціональні демоверсії, які можна скачати на офіційних сайтах. Демоперіод на продукт Ideco обмежений 60-ма днями. Цього більш ніж достатньо, щоб визначитися з покупкою.
Демоперіод на продукт Mikrotik обмежений 24 годинами, але відлік припиняється при виключенні системи, іншими словами можна тестувати 3 робочі дні по 8 годин. Після чого можна придбати ліцензію, яка коштує всього 45 USD на 200 VPN.
До слова, ліцензію Ideco АСР на 200 користувачів можна отримати легально і БЕЗКОШТОВНО, звернувшись до відділу продажів компанії розробника. І у компанії є власна розробка сервера доступу - Carbon AS 4 ® - в тому числі і з безкоштовною ліцензією, про що можна детальніше прочитати на офіційному сайті.
[Ред] Базова Схема. Короткий опис
- MikroTik, далі NAS. Network Access Server - сервер мережевого доступу.
- Ideco АСР, далі просто Биллинг.
- Користувач, далі користувач (від англ. User, користувач).
Отже, спрощений опис базової схеми (нижче розберемося детальніше):
Пізніше для даних списків налаштуємо (один раз) правила фаєрвола і шейпери.
Періодично NAS скидає детальну інфу про мережевий статистикою користувача біллінг (обсяги вхідного / вихідного трафіку і т.д.).
Дане правило блокує пакети користувача ( "вимикає інтернет") і перенаправлет його на сторінку "Перевищено ліміт. Потрібно поповнення балансу.".
Таким чином, весь трафік проходить через NAS, який є VPN сервером, шейпер, фаєрволом, кешируєтся DNS-сервером, NATіт якщо треба, тримає BGP сесії якщо треба і т.д.
Далі розглянемо детальніше різні аспекти спільної роботи двох систем.
[Ред] Базова Налаштування Ideco АСР
Інструкція актуальна для версії Ideco АСР 3.9.7
На старіших версіях існують дрібні і болеe серйозні відмінності, але я не буду їх розглядати.
Просто зауважу: я рекомендую використовувати для комерційного використання саме версію 3.9, так як продукт за останній рік сильно доопрацьований і покращений.
[Ред] Створення користувача root
Насамперед створіть користувача root (за замовчуванням привілейований користувач відключений).
В офіційній документації розділ називається Включення постійного віддаленого помічника "(не плутати з застарілим розділом:" Створення користувача root ").
[Ред] Консольне меню
Відкрийте консольне menu
[Ред] RADIUS
Налаштуйте RADIUS сервер таким чином:
Конфігурація сервера -> RADIUS-Сервер.
Конфігурація сервера -> NetFlow колектор.
[Ред] SSH managment
для віддаленого входу в консоль білінгу використовується протокол SSH
Конфігурація сервера -> Безпека.
Поставте відмітку в наступних пунктах:
Для можливості редагування деяких файлів потрібно в локальному меню зайти в пункт Сервіс і натиснути на пункт "Дозволити запис з WinSCP на розділ з резервними копіями".
[Ред] Події і скрипти
У локальному меню перевірте наявність галочки в пункті:
Конфігурація сервера -> Додаткові настройки -> Настройки для розробників.
Перезавантажте сервер Ideco коректно з меню:
"Зайдіть" на сервер за допомогою SFTP на порт 33 під обліковим записом root.
(Якщо ви адмін з-під венди :) - то один з популярних клієнтів - це WinSCP)
Я в Линух "з коробки" ввожу прямо так:
Перейдіть в директорію / var / lib / event /
Відкрийте на редагування файл event_inc.sh
Виділіть все і видаліть. Потім вставте наступне:
Запишіть на папірець:
Далі створіть в директорії / var / lib / event / три файли з наступними іменами і вмістом:
Встановіть на вишесозданние файли - execute права.
Якщо Мікротік в демо режимі - то він після входу попереджає про залишився демо часу і вимагає натиснути enter - значить додайте в event1.shevent2.shevent3.sh після посилки пароля перед першою корисною командою кілька перекладів рядків:
(Якщо додасте зайвих "Ентер" - страшного нічого не буде).
[Ред] Manager
Інтерфейс управління Ideco Manager написаний і скомпільований під венду, але в wine працює без питань.
[Ред] Загальні настройки
Сервіс -> Настройки
Таймаут accounting update - дану змінну можете ставити добу (в секундах, ессно).
[Ред] Обладнання
Додамо параметри нашого NASА за прикладом:
[Ред] Пули
[Ред] Базова настройка MikroTik ROS
[Ред] Identity
Як уже згадувалося раніше - ім'я вашого сервера Мікротік не можна міняти від балди, по дефолту пропишіть в розділі System -> Identity. nas1
[Ред] Clock
Потрібно налаштувати час на NASе для нормальної роботи і балок. Пропишіть найближчі до Вас два надійних сервера NTP.
[Ред] Telnet group / user
У биллинге автоматично виконуються скрипти по різних подіях і виробляють певні маніпуляції на сервері NAS через telnet.
Ка вже вище писалося - я просив записати на папірець ім'я телнет користувача user2 і придуманий вами пароль, який ви раніше прописали в скриптах обробки подій.
Прийшов час налаштувати спеціальну групу і цього користувача на Мікротіке:
Відкривайте в winbox меню: System -> Users
і там клацаєте по вкладці Groups
Потім на плюс (додати нову групу).
Розставте галочки навпроти наступних прав:
Далі тисніть вкладку Users.
Додавайте новому користувачеві з ім'ям user2 і оберіть з нісподающего списку ім'я вишесозданной групи.
Вкажіть і підтвердіть пароль створеного користувача user2 (той, що я просив вище придумати замість YOUR_TELNET_PASSWD і записати на папірці)
[Ред] DNS
Для коректної роботи інтернет сервісів необхідно налаштувати службу DNS.
[Ред] DHCP
Якщо Ви використовуєте DHCP на NASе, то вимкніть його в биллинге.
Запустіть майстра настройки DHCP сервера на Мікротіке.
Детально поки не буду звертати уваги на цих банальних налаштуваннях - в Мережі безліч прикладів.
Лише деякі очевидні нюанс:
Користувачі повинні знаходиться в одному сегменті з сервером DHCP (один VLAN. Один широкомовний домен) - інакше потрібно використовувати DHCP Relay (зазвичай включають цю фішку на "розумному" комутаторі).
[Ред] VPN (secret / profile / radius)
Найкращий з тунелей - це PPPoE - так як він їсть набагато менше ресурсів, ніж PPTP - тому що в мікротіке реалізований як модуль ядра ( "ядерний"), на відміну від PPTP / L2TP - демони яких крутяться в userspace - просторі для користувачів і через часту зміну контексту виконуються "зайві" операції.
З PPPoE є нюанс - клієнт і сервер повинні бути в одному сегменті Ethernet, в іншому випадку потрібно використовувати PPPoE agent на керованих Свіча, щоб реле пакети з одного сегмента в інший. Любо юзати замість PPPoE - PPTP (не рекомендую) або L2TP тунелі. Ну, а взагалі можна хоч одночасно всі три типи тунелів юзати - але кому такий зоопарк потрібен? А ще краще не юзати тунелі взагалі (так званий IPoE), але про це потім.
Отже - якщо ви вирішили юзати PPPоE - вимкніть PPPoE сервер в биллинге:
Далі налаштуйте профіль default:
Включаємо PPPoE сервіс на локальному інтерфейсі з профілем default:
Якщо замість PPPoE вирішили юзати PPTP або L2TP - увімкніть потрібний Вам сервіс:
[Ред] Traffic Flow
Для підрахунку обсягів трафіку і збору докладної статистики потрібно відсилати біллінг інфу про що проходить крізь NAS трафіку користувачів:
[Ред] Radius Accounting
Я особисто відсилаю netflow версії 9 Не на білінг, а на окремий сервер. (Для довідки - я юзаю debian + nfdump + nfsen). А обсяги трафіку у мене в биллинге вважаються не за допомогою netflow, а за допомогою Radius протоколу.
Це потрібно, коли у вас десятки тисяч користувачів і гігабіти трафіку в секунду - щоб не напружувати білінг. Таким чином легко можна масштабувати NetFlow колектори - наприклад умовно на кожних 5 NASов - свій нетфлоу колектор.
Ще одне зауваження - за замовчуванням NAS скидає проміжну інформацію (Radius Accounting) на білінг кожні 300 сек. Якщо користувачів дуже багато (тисячі їх) - є сенс цей час збільшити. Для цього потрібно в биллинге в манагером в налаштуваннях кожного тарифу -> у вкладці RADIUS - додати такий атрибут:
[Ред] RADIUS
Включаємо radius поки тільки для VPN (ppp), пізніше розглянемо роботу radius + DHCP і + Hotspot
[Ред] Тарифи. Ideco
Розглянемо чотири базових тарифу і "Турбокнопка".
Пронумеруємо для зручності ці сутності.
Перш ніж створити тарифи - створіть в Ideco Manager "правила і мережі". А краще скористайтеся заготовками, які є в базі даних для прикладу. І не забувайте про онлайн документацію.
[Ред] Простий безліміт (№1)
Нехай вас не бентежить, що я написав швидкість "1". Це не кілобітах в даному випадку, а номер, який буде передаватися в Мікротік. Є ліцензія на Ideco - яка дозволяє обійтися без використання NAS і пропускати трафік через сервер білінгу - в цьому випадку тут пишуться реальні швидкості в кілобітах для Шейпера Ideco SoftRouter. У нашому випадку трафік йде не через Ideco, а через Мікротік - там ми і будемо пізніше налаштовувати шейпер.
Не забудьте поставити галочку "блокувати при перевищенні ліміту".
Не забудьте вказати абонентську плату.