MANGO  EasyISP 

1. Co je  MANGO  EasyISP 

 MANGO  je obecný informační a řídící systém, který vám nabízí:

• evidenci a billing zákazníků, služeb a produktů
• funkce pro evidenci zařízeni a sítí, jejich řízení a monitoring
• systém BPM (řízení procesů) i ERP (plánování zdrojů a evidence práce) a Call Centrum.

 MANGO  EasyISP  je lite verze informačního systému  MANGO  ISP , která vám po registraci umožní zdarma využívat základní funkcionality  MANGO  určené pro poskytovatele internetového připojení.

2. Stručný popis

...stručný popis...

3. Jak začít

...jak začít...

3.1. Registrace

...registrace...

3.2. Zákazník

Jednou ze základních entit systému  MANGO  je zákazník.

• Wizard
• Zákazníci - licence na 100 zákazníků
  • Skrýté atributy:
    • Přihlašovací jméno
    • Přihlašovací heslo
• Karta zákazníka - bez možnosti aktivace služby

3.3. Bytová jednotka

Místem poskytování služby je konkrétní bytová jednotka, která je daná kódem adresního místa a identifikátorem bytu. Kód adresního místa jednoznačně určuje adresu bytové jednotky (obec, část obce, ulice, číslo). Identifikátor bytu je textový řetězec, kterým si odlišíte jednotky v bytových domech.

3.4. Služba zákazníka

Na bytové jednotce je zákazníkovi poskytována služba. Po výběru zákazníka a bytové jednotky provedete aktivaci jeho služeb.

• pouze datové služby - parametry služeb

3.5. Smluvní dokumenty - globální šablony, zkusit nedovolit vytvořit lokační

3.6. Účtování služeb zákazníků

• BP - UC, fakturace (prepaid, actual, postpaid), příkaz (prepaid, actual, postpaid), hotovost - výzvy k úhradě (UC), ODD, zálohy
• párování - na nejstarší dluh, UC, podle VS

4. Nastavení

5.Technická část

5.1 Základní pojmy

Základní pojmy, se kterými budeme pracovat:

Pojem	Popis pojmu
DX server (DohledX)	Jedná se o dohledový server
VRM (Virtual Router Manager)	Jedná se o zařízení, které je vždy TOP v lokaci (centrální prvek)
MK	Zařízení Mikrotik
Zařízení provozovatele	Jedná se o zařízení, které má ve správě provozovatel a neslouží k připojování koncových zákazníků (AP – Access point)
Zařízení zákazníka (zákaznické) - CPE	Jedná se o koncové zařízení, které je umístěno u zákazníka

5.2 Co je potřeba pro zprovoznění ?

Pro fungování je potřeba mít nastaveny následující parametry:
Navázanou VPN mezi MK a DX serverem (certifikáty, konfigurační soubory)
Síťovou infrastrukturu (Routery, Switche, Koncové zařízení, apod.)
Adresní rozsahy
WIFIINF (zařízení provozovatele)
CPE klienti (WIFI nebo síťové zakončení)
Radius server
DHCP server (šablony, subnety)

Typ IP adresy	Adresní rozsah	Poznámka
Pro infrastrukturní zařízení (zařízení provozovatele)	192.168.1.0/24	-
Pro DOCSIS MODEMY (zařízení provozovatele)	192.168.1.0/24	*pouze v případě použítí DOCSIS
Pro CPE - DEFAULT	172.16.0.0/18 (172.16.0.1 – 172.16.63.254)	-
Pro CPE - POOL	172.16.64.0/18 (172.16.64.1 – 172.16.127.254)	*pouze v případě použití RADIUSu
DX serveru	91.227.7.X	-
VPN serveru	91.227.7.X (10.255.245.1)	VPN se navazuje na veřejnou IP adresu
Radius serveru	10.255.245.1 (91.227.7.X)	-
Neveřejné pro VPN	10.255.245.1/24	Strana DX serveru
Na straně provozovatele	10.255.245.2/24	Strana provozovatele MK nebo Linux server

Další parametry	Kdy je potřeba definovat
DHCP ŠABLONY	U RADIUSu NENÍ POTŘEBA
DHCP_SUBNETS	U RADIUSu NENÍ POTŘEBA
ŠABLONY PRO KONFIGURACI ZAŘÍZENÍ	POTŘEBA DEFINOVAT POUZE U TECHNOLOGIE DOCSIS
ROZSAHY ADRES	VŽDY - DEFAULT, POOL (U RADIUSu pro nepovolené zařízení)
SLUŽBY	VŽDY (dle dokumentace)
ZÁKAZNÍCI	VŽDY (dle dokumentace)

Více info: Dx služba Mango Radius - autorizace koncových zařízení

5.3 Postup zprovoznění a nastavení služeb

Nejprve je potřeba navázat VPN spojení mezi centrálním prvkem (MK) a DX serverem tak aby všechny zařízení v síti byla schopna pingnout IP adresu 10.255.245.1.
Radius, DHCP server a další služby běží na této IP adrese (druhá strana VPN tunelu - 10.255.245.1).

V dalším kroku si v modulu

CERTIFIKÁTY

vygenerujeme soukromý klíč a certifikát, který nese veřejný klíč a MANGové ID daného nodu pro přístup do VPN.
Pro připojení Mikrotiku do vaší sítě k DX serveru používáme řešení založené na OpenVPN.
OpenVPN využívá asymetrické kryptografie s veřejným a soukromým klíčem.

Kliknutím na plus, vytvoříme novou žádost o certifikát.

Použití certifikátu:	Certifikát Síťového zakončení
Zařízení:	Vybereme TOP pro ve vaší lokaci
Soukromý klíč:	V případě, že nemáme vlastní, tak si necháme vygenerovat nový

Vytvořená žádost se zobrazí jako zlutý řádek ve výpisu certifikátů.

Tuto žádost je nutné potvrdit kliknutím na druhé tlačítko vpravo nahoře (Schválení žádosti o certifikát). Zadáme požadovaný začátek a konec platnosti (doporučujeme alespoň v délce 15 let).

Popisy jednotlivých akcí najdeme v dokumentaci Jak pracovat s modulem Certifikáty.

Archiv s certifikátem nám došel na e-mail právě přihlášeného uživatele (heslo k archivu na mobil přihlášeného uživatele přes SMS). Pomocí winboxu (Drap & Drop) certifikáty nahrajeme do Mikrotiku (jedná se o soubory *.crt a *.key). Poté klikneme na tlačítko import a postupně naimportujeme nejprve *.crt a následně *.key.
Po importu certifikátu klikneme na položku Interfaces. Tlačítkem + přidáme interface typu OVPN Client a nastavíme na základě níže uvedených screenshotů.

Druhou možností, jak nakonfigurovat Mikrotik je provést nastavení pomocí příkazů v terminálu:

Příkaz	Popis příkazu
certificate import file-name=Nazev_certifikatu.crt	Importuje certikát
certificate import file-name=Nazev_certifikatu.key	Importuje klíč certikátu
print	Vypíše konfiguraci

Výpis příkazu print
Flags: K - private-key, D - dsa, L - crl, C - smart-card-key, A - authority, I - issued, R - revoked, E - expired, T
# NAME COMMON-NAME SUBJECT-ALT-NAME
1 K T cert_1 common-name.com email:support@resal.cz

Příkaz	Popis příkazu
interface ovpn-client set name="mango-dx" max-mtu=1500 connect-to=91.227.7.X port=5000 mode=ethernet user="user"
password="password" profile=default certificate= cert_1 auth=sha1 cipher=blowfish128 add-default-route=no	Nastaví OVPN klienta pro VPN
print	Vypíše konfiguraci

Výpis příkazu print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 R ether1 ether 1500 1598 4074 4C:5E:0C:XX:XX:XX
1 R ether2 ether 1500 1598 4074 4C:5E:0C:XX:XX:XX
2 R mango-dx ovpn-out 1500 02:67:54:XX:XX:XX

Pokud jste vše nastavili správně, VPN tunel se nahodil. Funkčnost si můžete jednoduše ověřit pomocí pingu.

VPN tunel je naván, tudíž přejdeme k dalšímu kroku, kde si nadefinujeme síťovou infrastrukturu. Začneme kliknutím na

SÍŤ

a dále do modulu

INFRASTRUKTURA

. Klikneme na ID VRM a dostaneme se do modulu Cesta sítí. Dále pokračujeme podle dokumentací.

Více info: Referenční popis modulu Infrastruktura
Více info: Referenční popis modulu Síť

Nyní si pod VRM připojíme další zařízení. Zařízení připojujeme tak, aby odpovídalo fyzickému propojení v síti. Pod VRM připojíme centrální prvek, tomto případě Mikrotik (TOP).
Na pravé straně obrazovky se nachází tabulka Připojená zařízení, kde provedeme přidání nového zařízení kliknutím na tlačítko Vlož zařízení

Budeme přidávat zařízení Mikrotik Router. Nejprve vybereme Roli zařízení - > Zařízení provozovatele, dále Třídu - > Mikrotik router. Ze seznamu (Typ) vybereme model Mikrotiku, který chceme přidat. V případě, že se daný model nenachází v seznamu, přidáme Mikrotik jako model Generic Mikrotik. Vyplníme všechny povinné informace a vložíme zařízení.

Obdobně můžeme přidat např. Switch. Klikneme na nově přidaný Mikrotik, či Switch. Pokud budeme chtít pod toto zařízení připojit Zařízení zákazníka musíme nastavit Status AP.

Pod MK můžeme připojit zařízení Třídy Wifi infrastruktura, u něhož vyplníme všechny povinné informace (nezapomeneme vyplnit MAC a IP adresu). Pokud budeme pod toto zařízení připojovat CPE, nastavíme stejně jako u výše uvedeného MK Status AP a následně pod něj připojíme Koncové zařízení (CPE) Wifi klient. Stejným způsobem bychom v  MANGO  konfigurovali i Switch.

Aby nám vše fungovalo správně je potřeba tomuto zařízení přidělit zákazníka s aktivní službou

INFRASTRUKTURA

.

Více info: Mango NS - Dx servery
Více info: Jak pracovat se zařízeními v síti
Více info: Referenční popis modulu Produkty/služby
Více info: Referenční popis modulu Karta zákazníka
Více info: Referenční popis modulu Zákazníci

5.3.1 Provisioning (Přidělování IP adres) koncových zařízení v  MANGO 

5.3.1.1 Provisioning - Pomocí Radiusu

Tento typ provisioningu se nejčastěji používá ve wifi sítích.
Postupujeme tak, že si nejprve zkontrolujeme, zda máme nadefinovány adresní rozsahy (DEFAULT a POOL). Pokud ano, přejdeme k samotné konfiguraci RADIUSU na MK.
Budeme postupovat podle technické dokumentace Dx služba Mango Radius - autorizace koncových zařízení.

Pro upřesnění (představu) budeme předpokládat následující síťovou konfiguraci:
Centrálním prvkem bude MK.

Po nastavení dle dokumentace otestujeme přidělování IP adres z RADIUSU pomocí MK. K odstraňování případných problémů nám pomůže logování radius requestů na MK.

Mezi nejčastější chyby patří:
1. Neshodující se název interface na Mikrotiku a v Mangu
2. Neshodující se název Realm na Mikrotiku a v Mangu (Id. jméno hotspotu)
3. Nedefinování adresních rozsahů v Mangu a na Mikrotiku (DEFAULT a POOL)

K provisioningu koncových zařízení můžeme použít také DHCP.

Více info: Dx služba Mango Radius - autorizace koncových zařízení

5.3.1.2 Provisioning - Pomocí DHCP

5.3.1.2.1 Popis parametrů DHCP subnetů

Nejprve bude potřeba nadefinovat (upravit) rozsahy IP adres, DHCP subnety a šablony. Implementace obsahuje defaultní DHCP subnety, které jsou definovány na VRM -> v tabulce Interface klikneme na interface (ne název) a poté si ze sady parametrů vybereme parametr DHCP subnets.
Je zde definován jeden subnet. Kliknutí na tlačítko Editace parametru se dostaneme k samotnému DHCP subnetu

DHCP subnet pro DOCSIS modemy:

Název Parametru	Hodnota Parametru	Popis parametru
use-host-decl-names	on;	definuje použití deklarovaných jmen
option domain-name	"templateEASY.ISP.cz";	název DNS domény pro DHCP
option domain-name-servers	8.8.4.4,8.8.8.8;	IP adresy DNS serverů, které bude HDPC přidělovat
option routers	192.168.0.1;	Defaultní brána (GW)
option subnet-mask	255.255.255.0;	Maska sítě
option log-servers	10.255.245.1;	IP adresa logovacího serveru
option time-servers	10.255.245.1;	IP adresa časového serveru
option time-offset	0;	Časová zóna (posun) DHCP serveru
default-lease-time	72000;	Defaultní lease time (časový údaj v sekundách, za který bude uvolněna výpůjčka DHCP serveru)
max-lease-time	144000;	Maximální lease time (časový údaj v sekundách (maximální), za který bude uvolněna výpůjčka DHCP serveru)
next-server	10.255.245.1;	IP adresa DHCP serveru

DHCP subnet pro NIC (síťové zakončení), WIFI:

Název Parametru	Hodnota Parametru	Popis parametru
option domain-name	"access.EASY.ISP.lan";	-
option domain-name-servers	8.8.4.4,8.8.8.8;	-
option routers	10.190.100.1;	-
option subnet-mask	255.255.255.0;	-
default-lease-time	120;	-
max-lease-time	440;	-

5.3.1.2.2 Provisioning - Na základě IP adresy a MAC adresy

V případě řízení sítě pomocí DHCP (na základě MAC) budeme předpokládat následující konfiguraci:
Centrálním prvkem bude MK.

Pokud budeme chtít přidělovat IP adresy tímto způsobem budeme postupovat následovně:
Najdeme si VRM a klikneme na sadu parametrů DHCP nastavení, kde upravíme názvy parametrů:

Původní parametr	Nový parametr
DHCPD_HOST	DHCPD_HOST_WIFI
DHCPD_CLASS	DHCPD_CLASS_WIFI

Zkontrolujeme nastavení DHCP subnets (Interface - > eth0 - > DHCP subnets). Po té se vrátíme do DHCP nastavení a změníme parametr DHCP enabled na hodnotu + (enabled).
Na zařízení se naplánuje aktualizace. Pokud proběhla správně, bude u statusu Aktualizace místo OK (?) čas poslední úspěšné aktualizace (XX:XX)
V případě, ž eje problém s konfigurací, zobrazí se Error, který značí problém s DHCP konfigurací.
Samotnou DHCP konfiguraci lze zobrazit při editaci parametru DHCPD konfigurace.
Pro správnou funkčnost je potřeba mít nadefinované DHCP šablony a subnety.

5.3.1.2.3 Provisioning - Na základě DHCP Option 82 (Access switche)

V případě řízení pomocí DHCP (na základě OPTION 82) budeme předpokládat následující konfiguraci:
Centrálním prvkem bude MK.

Na zařízení (switchi) musí být nastaveny tyto parametry:

Název parametru	Popis parametru	Hodnota parametru
Nastavení statusu AP / přidání AP do lokace	Povolí připojování CPE	enable
ADMIN_LOGIN	Login pro administraci	admin
ADMIN_PASS	Heslo pro administraci“	admin
CHATSRIPCT_UPDATE	Konfigurace zařízení chatsriptem	+ (enabled)

Další informace k nastavení naleznete v Technické dokumentaci řízení access switchů.

Option 82 lze na použít pouze na switchích, které podporují DHCP Snooping, IP Source Guard a SNMP Trap:
DHCP Snooping
Umožňuje definovat na jakých portech lze komunikovat jako DHCP server, filtruje nedůvěryhodné DHCP zprávy a na základě validních DHCP odpovědí vytváří tabulku připojení na portu (ID portu, IP, MAC, VLAN).

IP Source Guard (pojmenování se může lišit v závislosti na výrobci):
Využívá tabulku připojení a blokuje na portech nepovolené IP adresy, které nebyly přiděleny DHCP serverem. Pokud není tato funkce k dispozici tak lze obdobného výsledku dosáhnout konfigurací ACL na jednotlivých portech.

Další vlastnost, kterou by měl disponovat použitý přepínač, je možnost poslat SNMP Trap při změně stavu portu UP/DOWN. Funkce je potřeba pro okamžité uvolnění přidělené IP adresy koncovému zařízení. Bez této funkce je nutné nastavit krátké délky zápůjčky (Lease Time) na DHCP serveru. Nevýhodou je pak nutnost čekat na vypršení zápůjčky IP při změně koncového zařízení a možná vyšší zátěž DHCP serveru.

Otestovaný HW
Cisco 3750, 2960, ME3400
SMC 6128
Allied AT- 8000s

Více info: Implementace řízení přístupu koncových zařízení k access switchům
Více info: Dx služba Mango DHCP

5.3.1.2.4 Přidělování IP adres - V DOCSIS sítích

V případě řízení pomocí DHCP (DOCSIS) budeme předpokládat následující konfiguraci:
Centrálním prvkem bude MK.

Nastavíme DOCSIS bridge a provedeme otestování, zda se modem naladí (TFTP, DHCP). V hledání případných chyb nám pomůžou logy na bridge a na samotném docsis modemu, statusy v on-line měření v Mangu a v neposlední řadě výstup SYSLOGu DHCP serveru.

Seznam statusů docsis modemů:

Status(ID)	Popis	Překlad popisu
other(1)	Any state other than below	Jakýkoliv jiný stav (převážně, že o modemu nejsou informace)
ranging(2)	The CMTS has received an Initial Ranging Request message from the CM, and the ranging process is not yet complete	Probíhá RANGING (RANGING = srovnání úrovní tak aby vyhovovaly požadavkům bridge)
rangingAborted(3)	The CMTS has sent a Ranging Abort message to the CM	RANGING se nepovedl, pravděpodobně se jedná o špatný zpětný směr
rangingComplete(4)	The CMTS has sent a Ranging Complete message to the CM	RANGING v pořádku
ipComplete(5)	The CMTS has received a DHCP reply message and forwarded it to the CM	DHCP odpověď byla zaslána modemu
registrationComplete(6)	The CMTS has sent a Registration Response message to the CM	Modem je v pořádku zaregistrován (online)
accessDenied(7)	The CMTS has sent a Registration Aborted message to the CM The CMTS only needs to report states it is able to detect.	,odem se nepodařilo v pořádku zaregistrovat

Více info: Implementace automatického přidělování IP adresy pro zákaznická CPE v sítích DOCSIS

5.3.2 Data retention (Netflow)

Netflow data slouží k vyhledávání spojení (např. pro policii ČR). Mimo jiné je potřeba sbírat tyto data pro splnění zákona č. 127/2005 Sb., o elektronických komunikacích v § 97, odst. 3 , kdy rozsah dat upravuje vyhláška č. 357/2012 Sb., o uchovávání, předávání a likvidaci provozních a lokalizačních údajů.
Příkazy pro nastavení netflow (verze 9) na Mikrotiku:

Příkaz	Popis příkazu
ip traffic-flow set enabled=yes	Zapne netflow na Mikrotiku
print	Vypíše konfiguraci

Výpis příkazu print
enabled: yes
interfaces: all
cache-entries: 1k
active-flow-timeout: 30m
inactive-flow-timeout: 15s

Příkaz	Popis příkazu
ip traffic-flow target add dst-address=91.227.7.6 port=10001 version=9	Nastaví cílový server, port a verzi netflow dat
print	Vypíše konfiguraci

Výpis příkazu print
Flags: X - disabled
# SRC-ADDRESS DST-ADDRESS PORT VERSION
0 0.0.0.0 91.227.7.6 10001 9

V  MANGO  nastavíme podle níže uvedených dokumentací.

Více info: Jak využít NetFlow modul  MANGO  pro vlastní zařízení
Více info: Jak lze žádat o refundace nákladů na pořízení a provoz  MANGO  Data Retention
Více info: Mango Network Services a Mango Monitoring

5.3.4 Události & Alerting a Monitoring

Jedná se o modul, který vám přinese přehled o tom, co se ve vaši síti děje (dělo). Můžete si nastavit upozornění o události ve formě SMS, E-mailu, či worflow.
Návod, jak vytvořit Alerty, triggery a události nalznete zde.

Více info: Referenční popis modulu Události & Alerting
Více info: Jak pracovat s modulem události & alerting
Více info: Referenční popis modulu Monitoring