Roteamento interno, sem fazer NAT !!
por
em 27-11-2009 às 02:03 (33017 Visualizações)
Hoje estava trocando uma idéia com o Luciano (Cacique aqui da UndeR) no MSN, a idéia seria não fazer NAT no router do cliente, e fazer NAT apenas na saida do gateway.
Complicando um pouco mais, a conexão do cliente com o provedor é PPPOE com ip DINAMICO (só para complicar nosso exemplo).
Vamos analisar a lógica do que acontece:
O ambiente:
- Gateway Mikrotik, ether1 recebendo link da operadora e ether2 sendo a interface que o pppoe-server esta ativo....
- No cliente, um radinho comum, um gi-link por exemplo...
Configuração do ap do cliente:
- Configurar normalmente como ROUTER (WIRELES SENDO WAN), fazendo a conexão PPPOE, mas NAO FAZER NAT.. e o ip da LAN do cliente colocar o bloco designado (*** VER OBSERVAÇÃO NO FINAL ***), por exemplo: 10.0.0.0/24, entao na interface LAN do router do cliente seria o ip 10.0.0.1/24 .. vc ativa o dhcp server para distribuir ips na lan dele.. OK, router do cliente funcionando...
no ap router, o modo de operação é o Roteador (WAN Wireless)
Em uma nano station, o modo ela é ROUTER, e basta desmarcar a opção de fazer NAT !!
Configuração do mikrotik:
- Também não tem segredo, o que vamos fazer é adicionar uma rota fixa (static) para o bloco da lan do cliente apontando o next-hop do bloco para a interface dinamica do pppoe do cliente:
prontoCódigo :/ ip route add comment="Rota alexandre" disabled=no distance=1 dst-address=10.0.0.0/24 gateway=<pppoe-alexandre>
*** OBSERVAÇÕES ***
Cada cliente vai precisar ter um bloco diferente.. NÃO pode ter blocos iguais para mais de 1 cliente...
Portante para CADA cliente voce vai precisar adicionar uma ROTA especifica !!!
IMPORTANTE: quando o cliente desconecta a rota se torna invalida.. entao se na regra, vc especificar o IP no lugar da interface pppoe.. resolve !!
O que este método proporciona:
Como não existe NAT/PAT, voce consegue identificar TODAS as maquinas internas do cliente, se o cliente tem 10 maquinas internas na lan dele.. voce vai conseguir ver TODAS !! e no seu GATEWAY voce vai ver o ip de cada maquina..
O radinho do cliente trabalha menos.. consome menos memoria... e o forward dos pacotes eh bem mais rápido do que NAT...
Possibilidades de acesso:
Bloquear sites para apenas determinadas maquinas, sem a necessidade de ter um proxy na rede do cliente..
Limitar ou bloquear maquinas a acessar internet (por ex.. somente a maquina do chefe tem internet)
sabendo utilizar, da pra montar uma rede 100% gerenciada !!
Comentários
+ Enviar Comentário