USG (Ubiquiti Security Gateway) - Страница 2

Skyworker · 09.04.2018, 16:43

Да, забыл сказать про igmpproxy. Надо еще в firewall добавить правила. Под LEDE они такие (думаю что для вас не составит труда переписать их для ubnt)

Код:

config rule
	option name 'Allow-IGMP'
	option src 'wan'
	option proto 'igmp'
	option target 'ACCEPT'

config rule
	option name 'Allow-IPTV-IGMPPROXY'
	option src 'wan'
	option proto 'udp'
	option dest 'lan'
	option dest_ip '224.0.0.0/4'
	option target 'ACCEPT'

initys · 11.04.2018, 15:46

Цитата:

Сообщение от Skyworker

И шикарно, что заработало. А настроить multicast+igmp еще проще. Под Vyatta я отдельно устанавливал igmpproxy из репозитория и при старте машины его запускал с конфигом. В ubnt вроде уже он есть, точно не знаю, так как нету самой машинки. Помню, что под Vyatta там был небольшой косяк: дело в том, что в конфиге описывается и интерфейс с которого идет multicast, а этот интерфейс может отсутствовать на момент запуска igmpproxy. Такое бывало когда вырубался свет, потом его все-таки давали и машина стартовала. А моя машина быстрее стартовала, чем оборудование Тенет и на момент запуска igmpproxy интерфейс eth0, который получал адрес по DHCP, еще не поднялся. И конечно же igmpproxy выдавал ошибку, что мол в вашем конфиге интерфейс, которого нету или что-то такого. Приходилось перезапускать igmpproxy когда провайдерское оборудование оживало. Сейчас у меня LEDE в виртуалке на NAS крутиться, так там у меня igmpproxy подымаестя при поднятии итерфейса по DHCP от Тенета и, соотвественно, вырубается при падении интерфейса.
У меня в LEDE(OpenWRT) оно запускается так: (70-igmpproxy - файл исполняемый)

А по поводу PON, я точно не знаю, можно у самого Тенет спросить, но там PPPoE отсуствует и подключение простое - адрес получаешь по DHCP.

У меня на входе оптика, так что между оборудованием провайдера и мной еще стоит конвертор, который всегда будет загружаться быстрее чем роутер. К тому же этот USG весьма туго грузится. На старом роутере и меди такая проблема была, но решалась установкой слипа на пару минут перед поднятием интерфейсов.
После настройки оказалось, что еще не все так просто - целый гембель с сохранением). В схеме с контроллером используется внешний конфиг в формате json, в который надо выгрузить все изменения что вы добавили. Иначе после любых действий на контроллере (или по времени) конфиг работающего шлюза будет переписан.

Код:

set interfaces ethernet eth0 address dhcp
set interfaces ethernet eth0 mac хх:хх:хх:хх:хх:хх
set interfaces ethernet eth0 dhcp-options client-option "retry 60;"
set interfaces ethernet eth0 dhcp-options default-route-distance 250
set interfaces ethernet eth2 dhcp-options default-route-distance 200
#IGMP
edit protocols igmp-proxy
set interface eth0 role upstream
set interface eth0 alt-subnet 192.168.0.0/16
set interface eth0 alt-subnet 10.0.0.0/8
set interface eth0 threshold 1
set interface eth1 role downstream
set interface eth1 alt-subnet MY_LOCAL_NETWORK/24
set interface eth1 threshold 1
# Firewall
# group xxxyyyzzz -> группа firewall с подсетями 192.168.0.0/16 и 10.0.0.0/8
set firewall name WAN_IN rule 3 action accept
set firewall name WAN_IN rule 3 description 'Allow Video stream to LAN'
set firewall name WAN_IN rule 3 destination address 224.0.0.0/4
set firewall name WAN_IN rule 3 log disable
set firewall name WAN_IN rule 3 protocol igmp
set firewall name WAN_IN rule 3 source group address-group xxxyyyzzz
set firewall name WAN_LOCAL rule 3 action accept
set firewall name WAN_LOCAL rule 3 description 'Allow Video stream to GW'
set firewall name WAN_LOCAL rule 3 destination address 224.0.0.0/4
set firewall name WAN_LOCAL rule 3 log disable
set firewall name WAN_LOCAL rule 3 protocol udp
set firewall name WAN_LOCAL rule 3 source group address-group xxxyyyzzz
set firewall name WAN_LOCAL rule 4 action accept
set firewall name WAN_LOCAL rule 4 description 'Allow IGMP to GW'
set firewall name WAN_LOCAL rule 4 destination address 224.0.0.0/4
set firewall name WAN_LOCAL rule 4 log disable
set firewall name WAN_LOCAL rule 4 protocol igmp
set firewall name WAN_LOCAL rule 4 source group address-group xxxyyyzzz

initys · 11.04.2018, 15:51

Еще раз, вопрос для сотрудников тенета - что необходимо чтобы перейти со схемы с PPPoE на прямое DHCP подключение?
Я по работе вынужден использовать ВПН соединения и при не совпадающих значениях MTU на стороне сервера и клиента постоянно лезут варнинги, так же подозреваю что из-за этого причина в низкой скорости впн. Снизить на сервере параметр MTU для впн сессии - возможности нету.
Плюс к этому мой старый роутер без pppoe работает стабильно на 300мбит+ с нат, но с pppoe в юзерспейсе начинал захлебываться на 110мбитах. USG благо дело спокойно держит 800+мбит в pppoe, но он имеет другие для меня недостатки.

Helper · 12.04.2018, 11:54

Цитата:

Сообщение от initys

Еще раз, вопрос для сотрудников тенета - что необходимо чтобы перейти со схемы с PPPoE на прямое DHCP подключение?

Сейчас это доступно при подключении по PON. Но нужно проверять такую возможность по конкретному адресу.

initys · 12.04.2018, 17:46

Цитата:

Сообщение от Helper

Сейчас это доступно при подключении по PON. Но нужно проверять такую возможность по конкретному адресу.

у меня вроде GPON, заведена оптика (или PON это что то другое? не совсем разбираюсь в этом вопросе)
Hомер аб. договора #16699, адрес подключения там один на данный момент.

Helper · 16.04.2018, 09:23

Цитата:

Сообщение от initys

у меня вроде GPON, заведена оптика (или PON это что то другое? не совсем разбираюсь в этом вопросе)

GPON - это просто один из стандартов технологии PON.

initys · 16.04.2018, 14:16

Цитата:

Сообщение от Helper

GPON - это просто один из стандартов технологии PON.

Ок, понятно. Что от меня требуется чтобы узнать тех. возможность перехода с pppoe на прямое подключение?

Helper · 16.04.2018, 14:20

Цитата:

Сообщение от initys

Ок, понятно. Что от меня требуется чтобы узнать тех. возможность перехода с pppoe на прямое подключение?

У Вас уже прямое подключение.

big · 17.04.2018, 08:15

Цитата:

Сообщение от Helper

У Вас уже прямое подключение.

Ну да, не кривое ведь...

Цитата:

PPPoE (англ. Point-to-point protocol over Ethernet) — сетевой протокол канального уровня (второй уровень сетевой модели OSI) передачи кадров PPP через Ethernet.

initys · 18.04.2018, 07:52

Цитата:

Сообщение от Helper

У Вас уже прямое подключение.

что то я видимо не понимаю. Я спрашиваю про возможность подключения к интернету без необходимости использования туннелей. На данный момент я получаю на интерфейсе адрес из подсети 10.9.170.0/23, которая ну никак не похожа на публичные адреса и на мой внешний IP в частности. Тогда о каком прямом подключении идет речь?

09.04.2018, 16:43	Вверх #11
Skyworker Пользователь Сообщений: 35 Репутация: 14	Да, забыл сказать про igmpproxy. Надо еще в firewall добавить правила. Под LEDE они такие (думаю что для вас не составит труда переписать их для ubnt) Код: config rule option name 'Allow-IGMP' option src 'wan' option proto 'igmp' option target 'ACCEPT' config rule option name 'Allow-IPTV-IGMPPROXY' option src 'wan' option proto 'udp' option dest 'lan' option dest_ip '224.0.0.0/4' option target 'ACCEPT'

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

11.04.2018, 15:51	Вверх #13
initys Пользователь Сообщений: 95 Репутация: 10	Еще раз, вопрос для сотрудников тенета - что необходимо чтобы перейти со схемы с PPPoE на прямое DHCP подключение? Я по работе вынужден использовать ВПН соединения и при не совпадающих значениях MTU на стороне сервера и клиента постоянно лезут варнинги, так же подозреваю что из-за этого причина в низкой скорости впн. Снизить на сервере параметр MTU для впн сессии - возможности нету. Плюс к этому мой старый роутер без pppoe работает стабильно на 300мбит+ с нат, но с pppoe в юзерспейсе начинал захлебываться на 110мбитах. USG благо дело спокойно держит 800+мбит в pppoe, но он имеет другие для меня недостатки.