Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Sugestão para configuração de Bridges

    Pessoal, aqui no provedor estamos tendo um problema que está nos atrapalhando muito.
    Acontece, que em alguns casos (principalmente em instalações para condomínios), precisamos configurar o rádio cliente em modo bridge, para ser possível criar um discador PPPoE na máquina de cada usuário, fazendo com que seja possível vender uma assinatura para cada cliente. Se eu simplismente fizesse o rádio autenticar e os demais computadores navegarem através dele, eu terei um usuário só e não será possível criar planos individuais. Preciso disso, para ser possível bloquear apenas um cliente caso este nao pague, etc.

    Pois bem, vamos ao problema.
    Acontece que quando deixamos o rádio em bridge o IP dele fica totalmente disponível dentro da nossa rede, trazendo vários problemas de segurança, mas o principal problema é que se eu esquecer e configurar dois rádios em bridge com o mesmo IP, um vai ficar dando conflito no outro.

    Eu gostaria de uma maneira de individualizar os meus clientes. Se eu colocar um IP 192.168.0.1 num cliente, gostaria que ele estivesse ligado a minha torre, de uma maneira exclusiva, de forma que, se eu configurar outro cliente com o mesmo IP, este não venha a gerar conflito, por estar em "outra rede".

    Eu não sei se o que estou procurando fazer é VLAN, pois nem sei seu conceito corretamente.
    Não sei se consegui ser claro. Agradeço qualquer ajuda.

    Obrigado !

  2. #2
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Gustavo, pode deixar o Mikrotik do prédio em modo router mesmo e criar um tunel EoIP até o concentrador. Desta forma terá transparência para o pppoe. Se quiser trabalhar com vlan o Mikrotik também aceita, mas terá que dar uma olhada na documentação.

  3. #3

    Padrão

    Grande Sérgio. Muito obrigado pela resposta rápida.

    Pois bem, o problema é que no cliente não estou usando Mikrotik. Estou usando rádinhos de plástico mesmo.... hehe

    Eu lembro que vimos alguma coisa sobre EoIP no curso de MK, mas não lembro muito sobre.
    Usando radinho, tenho como fazer isso? E VLAN entre o radinho e o MK da minha torre, tenho como fazer?

    A maneira como estamos fazendo hoje, é realmente "tosca" ?

    Ah, aproveitando. Teria algum material a respeito para recomendar ? Dei uma procurada, mas como não sei ao certo o que procurar, fiquei bem perdido.

    Obrigado mais uma vez !

  4. #4
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por gustavo_marcon Ver Post
    Grande Sérgio. Muito obrigado pela resposta rápida.

    Pois bem, o problema é que no cliente não estou usando Mikrotik. Estou usando rádinhos de plástico mesmo.... hehe
    Agora somos politicamente corretos... é transceptor de polietileno. hehehehehe

    Citação Postado originalmente por gustavo_marcon Ver Post
    Eu lembro que vimos alguma coisa sobre EoIP no curso de MK, mas não lembro muito sobre.
    Usando radinho, tenho como fazer isso? E VLAN entre o radinho e o MK da minha torre, tenho como fazer?
    Tem não. EoIP é proprietário Mikrotik.

    Citação Postado originalmente por gustavo_marcon Ver Post
    A maneira como estamos fazendo hoje, é realmente "tosca" ?
    Não é que seja tosco, mas tem como melhorar.

    Citação Postado originalmente por gustavo_marcon Ver Post
    Ah, aproveitando. Teria algum material a respeito para recomendar ? Dei uma procurada, mas como não sei ao certo o que procurar, fiquei bem perdido.

    Obrigado mais uma vez !
    Quanto a VLAN se o transceptor de polietileno aceitar, rola. Mas tem que ver no firm dele.

    Dá uma pesquisa em Main Page - MikroTik Wiki no menu à esquerda vá em Special Pages e depois ALL Pages. Tem material e exemplos sobre VLAN. Mas primeiro veja o firm do cliente.

    Qualquer coisa manda aqui.

  5. #5

    Padrão

    ja penso wm wds?

  6. #6

    Padrão

    Sérgio, mas estive olhando agora na apostila do curso e li que EoIP cria um túnel que faz com que o tráfego ocorra como se fosse feito uma bridge.
    Pois bem, se na rede interna do meu cliente ele ligar um radio que esteja com um Servidor de DHCP ativo, por ser uma bridge, ele vai começar distribuir IP para minha rede inteira? Ou seja, vai romper a barreira da rede do cliente e vai ir para a minha?

    É uma bridge realmente ?

  7. #7
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por gustavo_marcon Ver Post
    Sérgio, mas estive olhando agora na apostila do curso e li que EoIP cria um túnel que faz com que o tráfego ocorra como se fosse feito uma bridge.
    Pois bem, se na rede interna do meu cliente ele ligar um radio que esteja com um Servidor de DHCP ativo, por ser uma bridge, ele vai começar distribuir IP para minha rede inteira? Ou seja, vai romper a barreira da rede do cliente e vai ir para a minha?

    É uma bridge realmente ?
    Sim, mas para isso servem os filtros de bridge. Pensando bem, já que está usando bridge, pode usar esses filtros, e permitir apenas o pppoe-discovery e session. Assim evitaria os problemas de broadcast e outros mais.

  8. #8

    Padrão

    Citação Postado originalmente por mascaraapj Ver Post
    ja penso wm wds?

    Sim, já pensei e inclusive um dos clientes que está me dando problema esta em WDS, pois WDS cria uma bridge, e eu tenho que ficar cuidando pra não colocar IPs em outros clientes que batam com os IPs que o cara usa nas maquina da rede interna dele, senão, dá o problema de conflito que estou tentando resolver.

    O que preciso, é fazer com que as coisas fiquem individuais.
    Acredito que a saida vai ser realmente um túnel, mas já que o EoIP é proprietário não vai ser possível fazer, pois senão teria que sair trocando os equipamentos dos clientes.

    Vou ver algo sobre VLAN, mas acredito também que o firmware do cliente não vai suportar.
    Eu não sei o conceito de VLAN, então não sei se isso é o que preciso. Pesquisei um pouco na internet, mas não consegui entender muita coisa.

  9. #9

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Sim, mas para isso servem os filtros de bridge. Pensando bem, já que está usando bridge, pode usar esses filtros, e permitir apenas o pppoe-discovery e session. Assim evitaria os problemas de broadcast e outros mais.

    Mas desta forma continuaria dando conflito de IP se dois usuarios que tem radios em bridge estiverem com o mesmo IP configurado não é?

  10. #10
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por gustavo_marcon Ver Post
    Mas desta forma continuaria dando conflito de IP se dois usuarios que tem radios em bridge estiverem com o mesmo IP configurado não é?
    hummm... esse lance do IP que é complicado. Mas porque esses usuários tem o mesmo IP se usa PPPoE?

  11. #11

    Padrão

    Pois é, o discador PPPoE eu faço na máquina de cada assinante, assim posso controlá-los individualmente. Mas me refiro ao IP do rádio, as vezes coincide com o de outro rádio que também está em bridge. Eu poderia sair anotando, mas queria realmente uma forma de individualizar cada cliente.

    Dai quando fui pesquisar me pareceu que o que eu precisava era VLAN, mas como não encontrei corretamente o seu conceito não sei se este é o caminho.

    O que eu quero é mais ou menos assim : Imaginando que meus clientes são cabeados e que cada cabo chega no meu switch, eu queria que cada porta do switch não tivesse comunicação com as outras portas, só com meu gateway. Ou seja, cada porta deveria fingir ter só o cabo de cada cliente espetado no switch. No caso, o switch seria meu Mikrotik, e ao invez de cabo estou usando wireless. Penso que a idéia pode ser a mesma.

  12. #12
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    é... deste jeito só VLAN. Dê uma lida naquele link do wiki Mikrotik. Encontrará referência lá.

  13. #13

    Padrão

    OK, vou dar uma olhada. Obrigado mesmo.

    Alguém já utilizou algum rádio que de suporte a VLAN além do Mikrotik ?

  14. #14
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por gustavo_marcon Ver Post
    OK, vou dar uma olhada. Obrigado mesmo.

    Alguém já utilizou algum rádio que de suporte a VLAN além do Mikrotik ?
    Tem que verificar estes firmwares alternativos. Creio que alguns suportam.

  15. #15

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Sim, mas para isso servem os filtros de bridge. Pensando bem, já que está usando bridge, pode usar esses filtros, e permitir apenas o pppoe-discovery e session. Assim evitaria os problemas de broadcast e outros mais.

    Sérgio, quais portas eu deveria deixar liberada para que eu faça isso que voce sugeriu. Só deixar passar pppoe-discovery e session?

    Esse filtro eu aplico o filtro de bridges da minha RB ou no radinho que tá em bridge no cliente?

    Na regra eu nego tudo e libero só essas 2 portas?

  16. #16

    Padrão

    Estou com o mesmo problema, minhas repetidoras estão interligadas todas em bridge. É broadcast pra todo lado e ainda tem o problema com o DHCP de um eventual cliente. Sem contar q se algum espertinho souber, ele adiciona um IP na maquina dele e na de outro assinante e fecham em rede usando a minha estrutura...

    Se vc pude nos passar como configurar esses filtros...

    Desde já agradeço a atenção.

  17. #17

    Padrão

    As regras pro filtro da bridge sao esses...adapta ai pra voce.. creditos de uma postagem do terencerocha

    /interface bridge filter
    chain=input in-interface=sua_interface_real src-address=ip_liberado action=accept
    chain=input in-interface=sua_interface mac-protocol=0x8863 action=accept
    chain=input in-interface=sua_interface mac-protocol=0x8864 action=accept
    chain=input in-interface=sua_interface action=drop

    ja testei essa regra e funciona perfeitamente..só tem que adaptar na sua rede ae!

  18. #18

    Padrão

    quanto aos problemas de ip duplicado numa bridge, eu tambem sofro disso. mas aqui nao utilizo pppoe. se eu utilizasse um concentrador e pppoe, ai nao teria problemas pois utilizo radius onde tenho pppoe e ele valida os ip's pra nao repetir.

    ainda procuro uma forma de travar essa parada dos ip's, pois tambem quem coloca qualquer ip na rede, ela aparece pra mim, ai complica tudo!!

  19. #19

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Sim, mas para isso servem os filtros de bridge. Pensando bem, já que está usando bridge, pode usar esses filtros, e permitir apenas o pppoe-discovery e session. Assim evitaria os problemas de broadcast e outros mais.
    Sergio, se eu fizer este filtro nas rb´s, eu perco a comunicação com elas via IP (winbox por exemplo), minhas rb´s possuem todas as suas interfaces em bridge, ai coloco um ip na bridge para eu poder acessar elas remotamente (todos clientes em pppoe), e eu permitir apenas pppoe eu teria que criar um client pppoe em cada rb para elas receberem um ip e permitir o winbox por uma session pppoe suponto que eu teria que sempre passar pelo servidor central para ele realizar o roteamento ? Se sim, imagine que o ptp "caia" e eu precise fazer um acesso la no pop me conectando por alguma antena (ex. Antenas-----RB--->PTP----- X -------PTP--->RB---SERVIDOR), neste caso a rb do pop estaria isolada e bloqueando qualquer acesso que não seja pppoe. Aff... que coisa não...

  20. #20

    Padrão

    Pensando um um pouco eu poderia colocar a primeira regra, permitir winbox (por protocolo ip e talvez por um determinado ip ou range também), permitir pppoe discovery/session e depois drop no resto, será que funciona ? Como seria uma regra(ou as regras, ex. tcp/udp...) de drop geral da bridge e qual chain utilizar no pppoe (forward para as rbs em bridge) ?

    Testei as regras, pelo menos elas contabilizam, mas tenho medo de fazer (ainda não sei como fazer, más...) uma de bloqueio do resto e perder a comunicação com as rb´s.

    Achei esta de dropar o broadcast IP bem legal, será que é funcional (esta em forward) ?
    Obrigado
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         filter.jpg
Visualizações:	165
Tamanho: 	38,8 KB
ID:      	5033   Clique na imagem para uma versão maior

Nome:	         discovery.jpg
Visualizações:	165
Tamanho: 	31,3 KB
ID:      	5034  

    Clique na imagem para uma versão maior

Nome:	         session.jpg
Visualizações:	142
Tamanho: 	30,5 KB
ID:      	5035   Clique na imagem para uma versão maior

Nome:	         broadcast.jpg
Visualizações:	158
Tamanho: 	31,7 KB
ID:      	5036  

    Última edição por agpnet; 02-08-2009 às 02:17.