Ver Feed RSS

Brain Stress

Roteamento interno, sem fazer NAT !!

Avalie este Post de Blog
Hoje estava trocando uma idéia com o Luciano (Cacique aqui da UndeR) no MSN, a idéia seria não fazer NAT no router do cliente, e fazer NAT apenas na saida do gateway.

Complicando um pouco mais, a conexão do cliente com o provedor é PPPOE com ip DINAMICO (só para complicar nosso exemplo).

Vamos analisar a lógica do que acontece:

O ambiente:

- Gateway Mikrotik, ether1 recebendo link da operadora e ether2 sendo a interface que o pppoe-server esta ativo....
- No cliente, um radinho comum, um gi-link por exemplo...

Configuração do ap do cliente:

- Configurar normalmente como ROUTER (WIRELES SENDO WAN), fazendo a conexão PPPOE, mas NAO FAZER NAT.. e o ip da LAN do cliente colocar o bloco designado (*** VER OBSERVAÇÃO NO FINAL ***), por exemplo: 10.0.0.0/24, entao na interface LAN do router do cliente seria o ip 10.0.0.1/24 .. vc ativa o dhcp server para distribuir ips na lan dele.. OK, router do cliente funcionando...
no ap router, o modo de operação é o Roteador (WAN Wireless)

Em uma nano station, o modo ela é ROUTER, e basta desmarcar a opção de fazer NAT !!


Configuração do mikrotik:


- Também não tem segredo, o que vamos fazer é adicionar uma rota fixa (static) para o bloco da lan do cliente apontando o next-hop do bloco para a interface dinamica do pppoe do cliente:

Código :
/ ip route add comment="Rota alexandre" disabled=no distance=1 dst-address=10.0.0.0/24 gateway=<pppoe-alexandre>
pronto

*** OBSERVAÇÕES ***
Cada cliente vai precisar ter um bloco diferente.. NÃO pode ter blocos iguais para mais de 1 cliente...
Portante para CADA cliente voce vai precisar adicionar uma ROTA especifica !!!

IMPORTANTE: quando o cliente desconecta a rota se torna invalida.. entao se na regra, vc especificar o IP no lugar da interface pppoe.. resolve !!


O que este método proporciona:

Como não existe NAT/PAT, voce consegue identificar TODAS as maquinas internas do cliente, se o cliente tem 10 maquinas internas na lan dele.. voce vai conseguir ver TODAS !! e no seu GATEWAY voce vai ver o ip de cada maquina..

O radinho do cliente trabalha menos.. consome menos memoria... e o forward dos pacotes eh bem mais rápido do que NAT...

Possibilidades de acesso:
Bloquear sites para apenas determinadas maquinas, sem a necessidade de ter um proxy na rede do cliente..
Limitar ou bloquear maquinas a acessar internet (por ex.. somente a maquina do chefe tem internet)


sabendo utilizar, da pra montar uma rede 100% gerenciada !!

Atualizado 27-11-2009 em 02:37 por alexandrecorrea

Categorias
mikrotik , Artigos , Dicas

Comentários

Página 1 de 2 12 ÚltimoÚltimo
  1. Avatar de lucianogf
    vou testar com tempo depois pra ver no que dá
  2. Avatar de Gustavinho
    Pow bacana isso....é como voce falou, fica 100% gerenciada a rede mesmo.
  3. Avatar de caiojosino
    Muito bom mesmo, você já tem isso funcionando ("em campo") 100% no Mikrotik ?
  4. Avatar de alexandrecorrea
    teno, mas o roteamento eh dinamico porque sao muitos hosts e redes..

    roteamento até a WAN do cliente.. nao faço a parte da LAN..


    Citação Postado originalmente por caiojosino
    Muito bom mesmo, você já tem isso funcionando ("em campo") 100% no Mikrotik ?
  5. Avatar de aprinou
    interessante alexandre pra atender empresas com jm preço melhor doq ue por um server la no local...ideia legal...
  6. Avatar de search
    ligar errado. deve ter dado algum erro...
    =/
  7. Avatar de lucianogf
    cada doido com suas doideiras.
  8. Avatar de caicarabruno
    Blza Alezandre!

    Bom deixe-me ver se entendi.

    Bom seu eu colocar esta config no mikrotik, ou poderei ter acesso a todas as máquinas dos clientes!

    E outra coisa toda vez qeu o cliente se conectar via PPPoE o gateway vai ser o próprio ip dele!

    É isso ?

    Se for isso vou botar para funcionar, se for isso rss

    Abraços

    Bruno Queiroz
  9. Avatar de alexandrecorrea
    a conexao pppoe vai servir apenas para vc setar as rotas...

    vc precisa criar interfaces pppoe-in para poder fixar as rotas estaticas..


    Citação Postado originalmente por caicarabruno
    Blza Alezandre!

    Bom deixe-me ver se entendi.

    Bom seu eu colocar esta config no mikrotik, ou poderei ter acesso a todas as máquinas dos clientes!

    E outra coisa toda vez qeu o cliente se conectar via PPPoE o gateway vai ser o próprio ip dele!

    É isso ?

    Se for isso vou botar para funcionar, se for isso rss

    Abraços

    Bruno Queiroz
  10. Avatar de cdcm
    da pra fazer sem ppoe direto em ip router?
    nao to tendo muito tempo pra testar mais tenho mt interesse.
    tenho uma rede com mais de 10 pc´s, atraz do ap e preciso gerencia a banda sem o nat sera q tem como Alexandre?
Página 1 de 2 12 ÚltimoÚltimo

+ Enviar Comentário