Ver Feed RSS

Brain Stress

Roteamento interno, sem fazer NAT !!

Avalie este Post de Blog
Hoje estava trocando uma idéia com o Luciano (Cacique aqui da UndeR) no MSN, a idéia seria não fazer NAT no router do cliente, e fazer NAT apenas na saida do gateway.

Complicando um pouco mais, a conexão do cliente com o provedor é PPPOE com ip DINAMICO (só para complicar nosso exemplo).

Vamos analisar a lógica do que acontece:

O ambiente:

- Gateway Mikrotik, ether1 recebendo link da operadora e ether2 sendo a interface que o pppoe-server esta ativo....
- No cliente, um radinho comum, um gi-link por exemplo...

Configuração do ap do cliente:

- Configurar normalmente como ROUTER (WIRELES SENDO WAN), fazendo a conexão PPPOE, mas NAO FAZER NAT.. e o ip da LAN do cliente colocar o bloco designado (*** VER OBSERVAÇÃO NO FINAL ***), por exemplo: 10.0.0.0/24, entao na interface LAN do router do cliente seria o ip 10.0.0.1/24 .. vc ativa o dhcp server para distribuir ips na lan dele.. OK, router do cliente funcionando...
no ap router, o modo de operação é o Roteador (WAN Wireless)

Em uma nano station, o modo ela é ROUTER, e basta desmarcar a opção de fazer NAT !!


Configuração do mikrotik:


- Também não tem segredo, o que vamos fazer é adicionar uma rota fixa (static) para o bloco da lan do cliente apontando o next-hop do bloco para a interface dinamica do pppoe do cliente:

Código:
/ ip route add comment="Rota alexandre" disabled=no distance=1 dst-address=10.0.0.0/24 gateway=<pppoe-alexandre>
pronto

*** OBSERVAÇÕES ***
Cada cliente vai precisar ter um bloco diferente.. NÃO pode ter blocos iguais para mais de 1 cliente...
Portante para CADA cliente voce vai precisar adicionar uma ROTA especifica !!!

IMPORTANTE: quando o cliente desconecta a rota se torna invalida.. entao se na regra, vc especificar o IP no lugar da interface pppoe.. resolve !!


O que este método proporciona:

Como não existe NAT/PAT, voce consegue identificar TODAS as maquinas internas do cliente, se o cliente tem 10 maquinas internas na lan dele.. voce vai conseguir ver TODAS !! e no seu GATEWAY voce vai ver o ip de cada maquina..

O radinho do cliente trabalha menos.. consome menos memoria... e o forward dos pacotes eh bem mais rápido do que NAT...

Possibilidades de acesso:
Bloquear sites para apenas determinadas maquinas, sem a necessidade de ter um proxy na rede do cliente..
Limitar ou bloquear maquinas a acessar internet (por ex.. somente a maquina do chefe tem internet)


sabendo utilizar, da pra montar uma rede 100% gerenciada !!

Atualizado 27-11-2009 em 02:37 por alexandrecorrea

Categorias
mikrotik , Artigos , Dicas

Comentários

Página 1 de 4 1234 ÚltimoÚltimo
  1. Avatar de lucianogf
    vou testar com tempo depois pra ver no que dá
  2. Avatar de Gustavinho
    Pow bacana isso....é como voce falou, fica 100% gerenciada a rede mesmo.
  3. Avatar de caiojosino
    Muito bom mesmo, você já tem isso funcionando ("em campo") 100% no Mikrotik ?
  4. Avatar de alexandrecorrea
    teno, mas o roteamento eh dinamico porque sao muitos hosts e redes..

    roteamento até a WAN do cliente.. nao faço a parte da LAN..


    Citação Postado originalmente por caiojosino
    Muito bom mesmo, você já tem isso funcionando ("em campo") 100% no Mikrotik ?
  5. Avatar de aprinou
    interessante alexandre pra atender empresas com jm preço melhor doq ue por um server la no local...ideia legal...
Página 1 de 4 1234 ÚltimoÚltimo

+ Enviar Comentário




Visite: BR-Linux ·  VivaOLinux ·  Dicas-L