Hotspot 1 to 1 NAT

[TheHawk]

Olá pessoal, venho até vocês pra tirar uma dúvida, estou com problemas em 1 cliente, é seguinte... esse cliente utiliza o sistema hotspot do Mikrotik, os clientes conectam ao sinal e recebem um ip do DHCP, até ai normal, alocamos um range /23 de ips publicos pra esse cliente, porem alguns clientes conectam no sinal, pegam o ip publico, mas por algum motivo não autenticam, até ai tranquilo, nenhum problema, o problema é que aquele recurso de numeração está lá perdido no cliente (o cliente tem um range limitado de 512 ips, então não se pode dar ao luxo de ficar dando ips a quem não está realmente utilizando), resumindo, estamos perdendo ips validos, estão ficando sem uso, vi que tem a função 1 to 1 NAT, onde eu poderia entregar ips privados via DHCP, ai eu poderia colocar um super range de ips privados (que seriam entregues a todos os clientes) e no hotspot eu colocaria o range de ips publicos, ai quando o cliente fizesse a autenticação o hotspot atribuiria o ip publico para aquele cliente em questão via 1 to 1 NAT, ou seja, somente clientes autenticados pegariam os ips publicos.... só que ainda não sei bem como seria essa configuração..... alguem que tenha experiência com ips publicos no hotspot que já tenha utilizado esse setup poderia me dar uma força? Agradeço antecipadamente...


Até mais.

[Mr_Dom]

acompanhando...

[TheHawk]

Bom.... voltando pra responder a mim mesmo (rsrs.... eu sempre faço isso), já descobri como funciona a coisa e funcionou muito bem.... é só gerar toda a configuração do hotspot com os ips privados normalmente, depois de gerado a configuração hotspot vá em ip > hotspot > servers e coloque address-pool para none, depois vá em server profiles e sete o nome do dns pra o ip privado que está na interface ligada aos clientes, por ultimo vá em user profiles e sete o pool para o pool de ips publicos, por ultimo adicione o primeiro ip do bloco de ips publicos que vc está atribuindo no hotspot na interface que está ligada aos clientes.... assim os clientes vão receber um ip privado do dhcp (não vai estruir os ips publicos) e quem logar no hotspot automatica o routeros vai fazer um 1 to 1 NAT entregando um ip publico para o cliente, quando o cliente fizer o logout ou expirar o tempo de navegação automaticamente o ip publico é liberado no hotspot e já fica disponivel pra outro cliente que logar, mesmo que o cliente continue conectado ao sinal, pois na placa de rede/radio do cliente vai estar apenas um ip privado, quem faz toda a conversão de privado pra publico é o routeros.... espero ter ajudado, até mais.

[AndrioPJ]

qual versao do mk vc esta usando?
e rota... ip route.. referente a essa faixa de ip
foi criada alguma? qual?
aquela famosinha regra de masquerade, foi criada?

poderia dizer como ficou a distribuicao de ip ai?
wan, recebe ip valido X.
lan, configurado faixa de ip valido Xx
lan, configurado faixa de ip privado Y
criado rota Z no ip route

[TheHawk]

Olá mascaraapj, segue respostas abaixo:

- Versão 4.17
- Rotas, existem 2 no nosso roteador de borda, um ponto a ponto /30 pra interface WAN do cliente e um range /23 (que certamente agora será diminuido) apontando pra o ip do ponto a ponto do cliente
- A regra de masquerade foi criada sim automaticamente pelo hotspot, ela se faz necessaria por causa do 1 to 1 NAT, mas a regra só age sobre a faixa de ips privados, os publicos saem por roteamento

> WAN recebeu um ip 200.XXX.180.200/30
> LAN tem 10.77.1.1/23 que serve só por causa do NAT e DHCP (e para que os clientes abram a tela do hotspot)
> LAN tem 200.XXX.220.1/24 (Primeiro IP do range que alocamos para o cliente)

Não são necessaria rotas no route do cliente, apenas o gateway padrão.... então o cliente conecta ao sinal, recebe um ip privado do dhcp e chega até a tela do hotspot, vamos dizer que o cliente recebeu o ip 10.77.1.2, enquanto o cliente não logar lá no hotspot na aba hosts vai ficar Address 10.77.1.2 e To Address tambem vai ser 10.77.1.2, na hora que ele loga no hotspot o routeros altera o To Address pra um IP Publico disponivel do range 200.XXX.220.XXX/24 e automaticamente o cliente passa a navegar via roteamento, se tracar rota por exemplo vc vai ver que o gateway do cliente vai ser o 200.XXX.220.1 e não 10.77.1.1, tudo se dará em cima dos ips publicos e caso o cliente faça logout ou expire o tempo de navegação no hotspot automaticamente o ip é liberado lá em hosts, então o To Address volta a ser o ip privado do cliente 10.77.1.2..... espero ter sido claro...


Até.

[AndrioPJ]

digo rotas
para jogar a faixa de ip privado na lan, vc deve ter criado uma rota deles
ou nao?

[TheHawk]

Os ips privados não precisam de rotas.... ele só ficam dentro da rede do cliente, nada de especial, é apenas pra comunicação local dos clientes para o hotspot, rotas só precisam nos ips publicos e mesmo assim apenas no nosso roteador de borda...

Até.

[AndrioPJ]

estou falando do servidor
vc colocou na interface interna duas classe de ip, uma valida e uma privada, correto?
para jogar a faixa de ip valido na interface lan, provavalmene foi criado uma rota, nao?

[TheHawk]

Isso, uma privada e uma pública, sim.... foi criada uma rota no nosso roteador de borda apontando o range pra o servidor do cliente... e lá no cliente é só adiicionar o primeiro ip do range na placa de rede ligada aos clientes.... no servidor do proprio cliente não precisa criar rotas estaticas, apenas a padrão... todo o apontamento de rotas se dá no nosso provedor, no nosso roteador e não no cliente...

Até.

[jeanfrank]

TheHawk
Boa tarde gostei bastante desta dica sua, ficou muito bom e facil de implementar inclusive com o sistema em produção, valeu mesmo resolvi um pepino já tinha conseguido com pppoe a entrega dos ips publicos mas como minha rede é um pouco grande não conseguiria fazer assim de uma paulada só. Agora vou ter tranquilidade pra tar migrando a forma de autenticação, o unico detalhe é quanto ao server dhcp do mk fiz com ele mas muitos falam que ele tem alguns furos pensei em configurar sem ele o que acha ?
E outro detalhe interessante tenho alguns clientes que usam CFTV nas suas lojas até hoje estou fazendo o redir de portas pra apenas um ip publico e daqui pra frente vou fornecer o ip publico pro cliente só confirma um detalhe ainda vou ter que continuar a redirecionar as portas, mesmo cada cliente pegando um ip publico ? a minha ideia é amarrar cada ip publico pra um cliente e ficar fixo pra ele.
Obrigado ai pelo post ajudou bastante.
Valeu

[TheHawk]

O melhor seria usar DHCP pois ajuda bastante na configuração dos clientes, você só tem que ter uma certa segurança na sua rede sem fio, tipo um WPA2, ajuda bastante.... quanto ao redirecionamento não precisa, se você já fornce o ip publico só vai precisar de algum redirecionamento se o cliente utilizar roteador por exemplo, mas ai o redirecionamento vai ser no equipamento do cliente, não no seu....

Até.

[hugomiguel]

Olá pessoal

aproveitando o embalo de vcs, preciso de uma ajuda pra iniciante.

na minha cidade tenho 3 lojas, sendo que fiz um sistema na matriz com Ap e nas filiais 2 clientes que se conectam a este ap.
1º - gostaria de aprender a criar uma subrede para cada loja fazendo com que os pcs de uma rede não enxerguem a outra.
2º - possuimos CFTV em todas as lojas mas nas filiais só conseguimos acesso na rede interna, só conseguimos visulizar remotamente a matriz.
3ª - acredito que resolvendo o segundo faço o tereiro, tenho servidores instalados nestas 3 lojas onde gerenciamos os sistemas preciso de acesso a porta de dados, acredito que conseguindo fazer o redirecionamento de cftv que é http, consigo tbm fazer para dados.

equipamentos utilizados:
Ap router
C3 computech
* usam o mesmo firmware 6.1.
até o momento usamos autentição com mac e ip fixo preso ao mac.
mas todos na mesma rede :s .
Fico no aguardo de vcs.

Abraço!

[jeanfrank]

Boa tarde a todos

TheHawk, saudações estou testando aqui sua solução de fornecimento de ip publicos dinamicamente por hotspot, primeiro instalei numa rb 433 ah funcionou de primeira tudo certinho com e sem dhcp configurado, ai testei no meu server mk titular funcionou mas por outros motivos voltei o backp, ai montei um server novo totalmente novo (micro, licença mk 4.5 etc) ai apliquei sua config funcionou beleza somente por um detalhe, nos primeiros testes quando eu logava no hotspot e navegava no Meu ip - Qual aparecia certinho o ip 201.90.X.X que era o atribuido pro cliente, mas por algum motivo nesta nova instalação quando faço o mesmo teste aparece o ip de navegação do meu link embratel que é 189.2.X.X ou seja retornou ao cenário anterior onde eu poderia ter 200 clientes e todos iriam tar aparecendo o mesmo ip do server, lembrando que em active aparece somente o ip publico certinho e em hosts aparece o ip privado apontando pro publico do jeito que deve ser.
Refiz todas as configs possiveis e não achei o motivo deste problema, se tiver algum palpite agradecemos.

obrigado

[gulinhaster]

Fiz como vc disse, só que quando eu autentico o usuario que esta cadastrado no proprio mikrotik ele aparece o ip correto no meuip.com, só que quando autentico o usuario pelo radius, no meip.com aparece o ip da routerboard e não o ip válido que me foi dado pelo hotspot.
Tem alguma dica sobre isso?

Olá mascaraapj, segue respostas abaixo:

- Versão 4.17
- Rotas, existem 2 no nosso roteador de borda, um ponto a ponto /30 pra interface WAN do cliente e um range /23 (que certamente agora será diminuido) apontando pra o ip do ponto a ponto do cliente
- A regra de masquerade foi criada sim automaticamente pelo hotspot, ela se faz necessaria por causa do 1 to 1 NAT, mas a regra só age sobre a faixa de ips privados, os publicos saem por roteamento

> WAN recebeu um ip 200.XXX.180.200/30
> LAN tem 10.77.1.1/23 que serve só por causa do NAT e DHCP (e para que os clientes abram a tela do hotspot)
> LAN tem 200.XXX.220.1/24 (Primeiro IP do range que alocamos para o cliente)

Não são necessaria rotas no route do cliente, apenas o gateway padrão.... então o cliente conecta ao sinal, recebe um ip privado do dhcp e chega até a tela do hotspot, vamos dizer que o cliente recebeu o ip 10.77.1.2, enquanto o cliente não logar lá no hotspot na aba hosts vai ficar Address 10.77.1.2 e To Address tambem vai ser 10.77.1.2, na hora que ele loga no hotspot o routeros altera o To Address pra um IP Publico disponivel do range 200.XXX.220.XXX/24 e automaticamente o cliente passa a navegar via roteamento, se tracar rota por exemplo vc vai ver que o gateway do cliente vai ser o 200.XXX.220.1 e não 10.77.1.1, tudo se dará em cima dos ips publicos e caso o cliente faça logout ou expire o tempo de navegação no hotspot automaticamente o ip é liberado lá em hosts, então o To Address volta a ser o ip privado do cliente 10.77.1.2..... espero ter sido claro...


Até.

[witek]

The Hawk, tu é o cara, to a um mês procurando algo em cima do assunto tratado nesse post e agora achei alguem que tem um cenário parecido com o meu, veja minhas configurações e me diz se aplicando o que você indica eu terei sucesso:
RB110 - ETH 1 com IP publico 200.1XX.XXX.XX - ETH2(clientes) com DCHP ativo em cima de 192.168.0.1/22 e mais uma /22 de IPs publicos.
Tenho o hotspot configurado assim:
SERVER
Address Pool: Pool de IPs publicos
Idle timeout: 00:05:00
KeepAlive: sem preenchimento
Address Per Mac: 2(queria que fosse só um, mas não dá e ja explico o pq)
SERVER PROFILES
Hotspot Address: o primeiro IP da faixa válida(publica)
DNS Name: meuprovedor.net
LOGIN - HTTP CHAP - HTTP PAP - COOKIE
Cookie Lifetime: 1d 00:00:00
RADIUS - marado o Use Radius
Default Domain: meuprovedor.net
Accounting - Marcado
NAS Port: 15 Ethernet
Interim Update: 00:05:00
USER PROFILES
Name: default
Address Pool: none
Session TImeout: sem marcação
Idle Timeout: none
KeepAlive: 00:02:00
Status Autorefresh: 00:01:00
Shared User:1

Como tenho um IP válido na interface onde chega o link e uma /22 de ips válidos na eth que sai pros clientes tenho uma rota assim: 0.0.0.0/0 apontando para 200.1XX.XXX.1 que é um firewall de borda.

Quando marquei none no address pool em Server, notei que alguns usuários não recebiam mais a tela de login, e outros caiam muito seguido, tu acha que marcando como você indica vai dar certo? Quais os parâmetros indicados para Idle e KeepAlive, e configuro eles no Server e no User Profiles? O Interim Update ta certo?

Além desse problema acima, tenho um problema que em um cenário usando RB450G gerenciando 3 AP rocketM5 + painéis Basestation, o cliente pega um IP do DHCP autentica e ganha um IP publico, porém depois de um tempo o MAC do cliente é duplicado em Hosts e ele recebe, mesmo sem autenticar, um outro IP publico no TO ADDRESS.
Também tenho um problema que alguns clientes recebem IP por DCHP mas nem chama a tela de Login do Hotspot, ou quando chama o cara loga, abre a primeira página e para de navegar.

Vocês podem me ajudar?? To quase ficando careca, já revirei os fóruns e não acho nada de concreto.

Obrigado pessoal.

[jeanfrank]

Opa bom dia a todos

A um tempo atrás fiz a entrega de ips públicos por hotspot dinamicamente, más ainda pra min não era o ideal então investi meu tempo na configuração de um servidor pppoe pra entrega destes ips e ficou do jeito que eu precisava, o cliente toda vez que loga sempre pega o mesmo ip, ai fica bem fácil de controlar o que os caras fazem.

valeu

[fsoaress76]

Aqui uso IP público no Hotspot também, mas é uma rede para cada cliente /32. No ap do cliente o ip fica static, fixo.

E não preciso fazer NAT.

Perdo Ips mais deixo os cliente satisfeito... e nós tambem.

Hoje são mais de 1.000 clientes, temos duas AS /20 no total de mais de 8.000 IPS.

[AndrioPJ]

Aqui uso IP público no Hotspot também, mas é uma rede para cada cliente /32. No ap do cliente o ip fica static, fixo.

E não preciso fazer NAT.

Perdo Ips mais deixo os cliente satisfeito... e nós tambem.

Hoje são mais de 1.000 clientes, temos duas AS /20 no total de mais de 8.000 IPS.

nao faz diferenca o cliente ter IP /24 ou /32
se um digitar o ip do outro, continuaram conversando normalmente...
voce apenas esta perdendo IP.

Hoje eu entrego IP valido pelo Hotspot, somente depois que o cliente autentica.
Ou seja, quando o cliente se conecta na rede, ele recebe um IP privado.
Quando ele se autentica, o Hotspot libera um IP valido para ele...

Mas por que nao uso PPOE?
simplesmente por que nao tenho IP valido o suficiente para ficar desperdiçando.
Se comparar o PPOE ao Hotspot, existe uma diferenca entre usuario Online e usuario apenas conectado.
No PPOE, se o cliente estiver apenas com seu equipamento ligado, mas estiver ausente (sem usar a Internet)... nao faz diferenca, ele continuara usando aquele IP valido.

Ja no Hotspot, se o Cliente estiver apenas com seu equipamento ligado, mas estiver ausente (sem usar a Internet)... o Hotspot detecta sua inatividade e o desconecta, liberando o IP valido para outro cliente usar.

em resumo, no Hotspot conseguimos entregar IP valido somente para quem esta online (usando a Internet).

[witek]

E ai pessoal, alguem pode me dar um help??
Me passar os parâmetros que mais fecham para eu não ter esses problemas?

Obrigado