Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Repasse de IP Público com exemplo para PPPoE por: M4D3

    Exemplo 1:
    ============================================================

    O Provedor recebe o link dedicado e uma classe /29, utiliza o primeiro IP desta como gateway e o segundo como IP do seu servidor MikroTik .

    Neste caso, configure a interface do Link como proxy-arp e a interface dos clientes como reply-only depois adicione a seguinte regra no mikrotik em NEW TERMINAL, cole:

    / ip firewall nat
    add chain=dstnat action=passthrough src-address=XX.XX.XX.XX/XX \
    comment="REPASSE DE IP" disabled=no

    Onde XX.XX.XX.XX/XX é o IP/MASCARA que tiver disponível no seu link

    Após ter feito isso adicione cada IP no campo 'Remote Address' em 'PPP secret' para cada cliente que tiver 'IP Público e fixo' ou crie uma pool em IP 'pool' contendo os IPs disponíveis e defina esta 'pool' no 'profile' de seu servidor PPPoE ou ainda apenas no profile/plano que estiverem os clientes que vão receber IP Público e estes terão um IP dinâmico que poderá mudar a cada nova conexão.

    Dica 1: PROXY-ARP não é o método mais seguro mas permite alguma flexibilidade quando não dispomos de muitos IPs.

    Dica 2: Não crie um mascaramento dito 'genérico', mascare apenas as classes de IP privadas que estiverem em uso. Ex: 10.0.0.0/24 e sempre informe a 'out-interface' no mascaramento como sendo a interface do link (EthLinkD).

    Dica 3 e puxadinha de orelha: Cuidado com programas de gerenciamento para provedores que criam regras mal concebidas que seguem uma lógica esdrúxula como se todo provedor tivesse o mesmo tipo de necessidade, essa é a causa provável de muitos problemas.



    ============================================================
    Exemplo 2:

    O provedor recebe o link dedicado em uma classe e possui outras classes adicionais para utilizar com clientes, ou ainda pode quebrar em sub-classes para montar seu roteamento.

    Este é o típico caso onde podemos aplicar o roteamento de forma bastante simples.

    Básicamente o que deve fazer é seguir com o roteamento da operadora 'pra dentro' da sua estrutura, vamos lá:

    1. Coloque um IP público na interface do link.

    2.
    Defina as classes públicas nos pools de IPs que irá utilizar para seus usuários e a cadeia de conexão que deverão seguir.
    Ex: PoolA cai no PoolB quando estiver cheio e assim por diante, recomendo que faça isso pois terá um melhor controle e poderá utilizar para cada pool de IPs um plano diferente e isso tem várias implicações numa QoS.

    3. No profile padrão do PPPoE indique que o 'Local Address' que será o gateway default dos clientes é o IP público da interface do link, assim o roteamento estará completado.
    Trocando em miúdos, você estará indicando que a rota de saída dos IPs segue seu roteamento padrão.

    Dica 4: Nunca mascare classes de IPs públicos a não ser que tenha uma boa justificativa, como por exemplo por possuir poucos IPs pode criar um mascaramento para cada plano e indicar uma saída para cada plano ou seja, clientes do planoA saem mascarados pelo ip público A, do B pelo B e assim por diante.



    Exemplo 3:

    ============================================================

    Repassando mais de um IP pela conexão PPPoE utilizando roteamento estático.

    Defina um IP fixo para o cadastro do secret/usuário em questão no campo 'Remote Address', pode até ser um IP privado.

    Acesso o menu IP / Route e adicione uma rota contendo no destino os IPs que deseja repassar e no gateway o IP do usuário que utilizou cadastro do usuário/secret no passo anterior.

    Obs: Se tiver muitos clientes com esta mesma necessidade este método é inviável e se faz necessário implantar o OSPF para o gerenciamento das rotas. Na maioria dos casos a implantação é simples e rápida mas vai depender de como a rede estiver configurada.



    Exemplo 4:
    ============================================================

    No caso de muitas rotas onde já tiver a autenticação na borda deverá optar por um método de roteamento dinâmico e uma das vantages é que com isso economiza recursos da central e aumenta consideravelmente a segurança da sua rede de distribuição (não é obvio mas em vista do que encontramos na prática é quase regra).

    Se for migrar uma bridge de distribuição por exemplo, o primeiro passo é passar a autenticação para as bordas, na sequência roteie os dispositivos conectados a borda e siga em direção a saída do link, com isso será possível fazer a migração a quente mesmo e continuar usufruindo da estrutura em bridge até a virada total.

    Um OSPF básico é também rápido de fazer, você tem de definir a network área que fará o transporte redistribuindo a rota default e redistribuir as conectadas tipo 1 no seu servidor.

    Nas bordas precisa configurar a mesma network área para o transporte e na instância redistribuir a rota default e conectadas tipo 2.

    Dessa forma já estará em funcionamento e será possível visualizar as instâncias UP em ambos os lados, também pode ter outras áreas entre a borda e o seu concentrador aumentando a complexidade e até terminar num anel podendo utilizar essa topologia como backup de rotas com o stp/rstp ainda tendo a possibilidade de custos diferenciados para cada saida permitindo balancear melhor o tráfego mas isso seria material para outro post.

    Casos: Recentemente fizemos uma virada a quente de uma rede em bridge com aproximadamente 190 dispositivos wireless atendendo entre 2500 e 3 mil usuários por isso não era possível parar em nenhum momento os serviços já existentes, ficam as dicas acima pois vão encontrar muitos casos semelhantes no seu dia a dia.



    Exemplo 5:
    ============================================================

    NAT 1:1 Para redirecionamento público/privado e seu retorno, tens duas formas de fazer, por dst-nat e src-nat ou utilizando netmap conforme os exemplos:

    Adicione o ip público e mascara a interface pública do mikrotik (entrada do link).
    Ex: 200.xxx.xxx.10/28 na interface 'EthLinkD'

    Na tabela NAT adicione uma regra cuja chain dst-nat redirecione o que chegar para o ip público 200.xxx.xxx.10 utilizando também a action dst-nat para o ip privado, identificando a interface de entrada como sendo o seu link.

    action=dst-nat chain=dstnat comment="PC.DSTR" disabled=no dst-address=186.x.x.27 in-interface=EthLinkD to-addresses=10.xx.xx.10

    Na sequencia faça o oposto, mascarando as requisições que chegarem do ip privado 10.xx.xx.10 para sairem pelo ip público 186.x.x.27 identificando a interface de saída como sendo o link.

    action=src-nat chain=srcnat comment="PC.MSQR" disabled=no out-interface=EthLinkD src-address=10.xx.xx.10 to-addresses=186.x.x.27

    E não esqueça de colocar estas regras antes do seu mascaramento geral para que tenha o resultadao esperado, este é um exemplo de NAT 1:1, você também pode utilizar o netmap para a função e fazer o repasse para uma range de ips sem necessidade de criar uma regra para cada ip.

    ----------------------------------------------------------------------

    Fiz a pedido então espero que atenda a necessidade qualquer coisa façam como eu fiz, explique direitinho o que precisa que não vai faltar quem ajude e se ficarem dúvidas vou complementando no decorrer dos dias.

    Ajude a manter o fórum organizado: faça perguntas com fundamento e principalmente não espere que alguém adivinhe o que você tem implantado e o que você quer fazer, dê exemplos detalhados pra que possamos ajudar.

    Nosso combustível é o seu agradecimento então se foi de alguma ajuda não deixe de clicar na estrelinha e agradecer, a gente agradece.

    Abraço a todos e obrigado pelos incentivos.
    Última edição por m4d3; 06-09-2011 às 21:02.

  2. #2

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Luciano boa noite, uma pergunta, tem como enviar uma mascara por exemplo /28 no pppoe pro cliente fazer o roteamento dali adiante?

  3. #3

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Citação Postado originalmente por p4ulo182 Ver Post
    Luciano boa noite, uma pergunta, tem como enviar uma mascara por exemplo /28 no pppoe pro cliente fazer o roteamento dali adiante?
    Tem sim, temos casos de clientes empresariais que recebem vários ips pela conexão pppoe, acompanho sua trajetória aqui no under e te parabenizo por tantas valiosas colaborações.

    Se achar necessário faço um esboço sobre isso no tópico.

    Abraço

  4. #4
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.961
    Posts de Blog
    44

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Luciano,

    Quando você for postar artigos use o Blog e espere um pouco ate que tenha sido aprovado pela moderação. (ja foi liberado)

    Gostaria tambem de apagar esse tópico ou bloquea-lo para que todos comentarios relacionados ao artigo fiquem no seu blog desta forma fica mais facil encontrar informações futuramente.

    Por favor me informe se você concorda que eu apague este topico para que tudo fique centralizado em seu post no blog.

    Minha ideia é que artigos escritos por membros do underlinux fiquem no blog e que o forum seja usado apenas para perguntas nao relacionadas com artigos.

    Aguardo sua aprovação para apagar este topico.

    Obrigado,

  5. #5

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Citação Postado originalmente por m4d3 Ver Post
    Tem sim, temos casos de clientes empresariais que recebem vários ips pela conexão pppoe, acompanho sua trajetória aqui no under e te parabenizo por tantas valiosas colaborações.

    Se achar necessário faço um esboço sobre isso no tópico.

    Abraço
    Brigado Luciano, sempre repasso oque está ao meu alcance, será de muita valia para mim e outro user do forum, pois procurei algo relacionado mais não encontrei.

  6. #6

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Marcus,

    Entendi agora obrigado pelos esclarecimentos, mas acho que então apagamos o blog pois eu não me familiarizei com seu uso, até fiz uns artigos um tanto longos pro fórum e sofri com a limitação de 10mil caracteres. Na minha opinião os tópicos dos fóruns o pessoal ta acostumado assim como eu (penso que sim), e as perguntas aqui recebem a colaboração de todos.



    Paulo,

    Farei modificações para conter o exemplo, obrigado pela colaboração.

    Abraço

  7. #7
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.961
    Posts de Blog
    44

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Bom vamos deixar ambos entao...... Obrigado pela colaboração,

  8. #8

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    No meu caso, eu tenho um /25 valido (127 ips validos)
    Uso o Hotspot para enviar os IPs validos que tenho.

    Uso o conceito do NAT 1:1, Onde cada cliente recebe um IP privado e somente apos a autenticacao o Hotspot atribuira a ele um IP valido.

    Hum, o PPOE tem algo parececido, por que nao usar o PPOE???
    Simplesmente por que um Usuario PPOE que nao estiver navegando, usando a Internet... mas estiver com seu equipamento ligado, estara consumindo 1 (UM) IP valido.

    Ja com o Hotspot, apesar de nao ter muita seguranca nativa (sendo necessario usar outras tecnicas para aumentar a seguranca), podemos configurar tempo do "idle" e o "keeplive", onde o Hotspot ira desconectar o usuario apos certo tempo se ele nao estiver usando a internet ou estiver com o computador desligado... sendo assim, ira liberar aquele IP Valido que ele estava usando.

    Dessa forma, consigo enviar IP valido para a maioria dos clientes ONLINE (90%) ... mas acabo fazendo NAT de alguns IPs

  9. #9

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Paulo,

    Atualizei o post dá uma lida se ficou como esperado e se quiser pode sugerir como seria para melhor entendimento para todos que eu mudo.

    Abraço

  10. #10

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Citação Postado originalmente por mascaraapj Ver Post
    No meu caso, eu tenho um /25 valido (127 ips validos)
    Uso o Hotspot para enviar os IPs validos que tenho.

    Uso o conceito do NAT 1:1, Onde cada cliente recebe um IP privado e somente apos a autenticacao o Hotspot atribuira a ele um IP valido.

    Hum, o PPOE tem algo parececido, por que nao usar o PPOE???
    Simplesmente por que um Usuario PPOE que nao estiver navegando, usando a Internet... mas estiver com seu equipamento ligado, estara consumindo 1 (UM) IP valido.

    Ja com o Hotspot, apesar de nao ter muita seguranca nativa (sendo necessario usar outras tecnicas para aumentar a seguranca), podemos configurar tempo do "idle" e o "keeplive", onde o Hotspot ira desconectar o usuario apos certo tempo se ele nao estiver usando a internet ou estiver com o computador desligado... sendo assim, ira liberar aquele IP Valido que ele estava usando.

    Dessa forma, consigo enviar IP valido para a maioria dos clientes ONLINE (90%) ... mas acabo fazendo NAT de alguns IPs
    . NAT 1:1 consome recursos preciosos na minha opinião de gerenciamente e até de hardware, eu não recomendo, é apenas para excessões a regra.

    . É um erro acreditar que um usuário não conectado estaria ocupando um IP pelo PPPoE, este e outros mitos quero colocar abaixo e tentarei fazer quando possível aqui pelo fórum. Basta utilizar o roteamento dinâmico como complementei no tópico você terá um IP em uso no cliente em qualquer ponto da sua rede independente em que canto da rede o cliente conecte de forma segura, automática e muito mais 'elegante'.

    Pode ser IP fixo amarrado ao cliente ou dinâmico, quem define isso é o seu radius, e quem limita isso normalmente são os softwares para gerenciamento de provedores com recursos mal implementados me desculpem a franqueza, mas a maioria absoluta esta na idade da pedra.

    Eu acredito que com um pouco de empenho poderiam auxiliar os provedores a economizar e fornecer melhor acesso a 98% dos usuários, mas a maioria só pensa na mensalidade a receber, nos outros 29 dias do mês o provedor que ser vire por conta própria.

    A maioria não quer dizer todos então quem tiver algo diferente ta liberado do puxão de orelha.

    . HOTSPOT / PPPOE e o mito da segurança, não faço distinção entre mais ou menos seguro, a forma de implantação e manutenção é que define o que é ou não mais seguro.

    Quem não tiver IP público pra todos os usuários pode derramar os usuários restantes quando a pool de IPs públicos estiver cheia em uma pool de IPs privados e mascarados por um IP Público diferente do servidor, isso seria o mais correto na minha opinião.


    Obrigado mascaraapj por ter aberto a discusão e expor seus fatos, isso possíbilita como pode ver uma ampliação do conhecimento geral.

    Seguimos derrubando mitos...

  11. #11

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Quando me referi ao uso de IP no Hotspot e no PPOE, me referia a diferenca de um usuario Online para um simples usuario conectado.

    Vamos supor, uma rede PPOE.
    Voce tem 300 clientes, desses, teoricamente, 50% estao Online, navegando na net... ou seja, 150 usuarios Online= 150 IP valido.
    Porem, dos outros 50% (150 usuarios), 20% tem a mania de NUNCA desligarem seus equipamentos... em outras palavras, esses 20% (30 clientes), estao usando IPs validos que poderiam estar sendo usados por outros Clientes.
    Total de IP usado= 180 IPs validos

    Ja uma rede Hotspot
    voce tem os mesmos 300 usuarios.
    desses, teoricamente, 50% estao Online, navegando na net... ou seja, 150 usuarios Online= 150 IP valido.
    Porem, dos outros 50% (150 usuarios), 20% tem a mania de NUNCA desligarem seus equipamentos... Porem, voce configurou no Hotspot o idle-timeout para 1 hora (essa funcao nao existe no PPOE), logo, se o esses 20% ficarem 1 hora sem trafegar NENHHUM dado, o hotspot desconecta ele e libera o IP valido para que outro cliente possa usar.
    Total de IPs usados= 150 IP (sendo atualizado a cada hora)

    Essa é a diferenca entre o Hotspot e o PPOE quando temos poucos IP validos se comparado a quantidade de clientes.
    Com o Hotspot, temos um melhor aproveitamento dos IPs validos.

    Sobre o POOL de IPs publicos e POOL de IPs privado, é o que faco aqui.
    Quando o POOL de IPs publicos esta cheio, eu derramo os usuarios em um pool de IP Privado, sendo que cada grupo de 7 IP privado sai com 1 IP publico.

    ou seja, acabo usando:
    NAT 1:1
    NAT 1:7

    O duro sao os famosos Sistemas de Gerenciamento, Sao poucos que sao capazes de Gerenciar os mais diversos tipos de Cenarios.
    O Topsapp por exemplo (que contratei a pouco tempo) tem dificuldades, sendo que foi necessario algumas adaptacoes para as principais funcoes funcionarem.

    Citação Postado originalmente por m4d3 Ver Post
    . NAT 1:1 consome recursos preciosos na minha opinião de gerenciamente e até de hardware, eu não recomendo, é apenas para excessões a regra.

    . É um erro acreditar que um usuário não conectado estaria ocupando um IP pelo PPPoE, este e outros mitos quero colocar abaixo e tentarei fazer quando possível aqui pelo fórum. Basta utilizar o roteamento dinâmico como complementei no tópico você terá um IP em uso no cliente em qualquer ponto da sua rede independente em que canto da rede o cliente conecte de forma segura, automática e muito mais 'elegante'.

    Pode ser IP fixo amarrado ao cliente ou dinâmico, quem define isso é o seu radius, e quem limita isso normalmente são os softwares para gerenciamento de provedores com recursos mal implementados me desculpem a franqueza, mas a maioria absoluta esta na idade da pedra.

    Eu acredito que com um pouco de empenho poderiam auxiliar os provedores a economizar e fornecer melhor acesso a 98% dos usuários, mas a maioria só pensa na mensalidade a receber, nos outros 29 dias do mês o provedor que ser vire por conta própria.

    A maioria não quer dizer todos então quem tiver algo diferente ta liberado do puxão de orelha.

    . HOTSPOT / PPPOE e o mito da segurança, não faço distinção entre mais ou menos seguro, a forma de implantação e manutenção é que define o que é ou não mais seguro.

    Quem não tiver IP público pra todos os usuários pode derramar os usuários restantes quando a pool de IPs públicos estiver cheia em uma pool de IPs privados e mascarados por um IP Público diferente do servidor, isso seria o mais correto na minha opinião.


    Obrigado mascaraapj por ter aberto a discusão e expor seus fatos, isso possíbilita como pode ver uma ampliação do conhecimento geral.

    Seguimos derrubando mitos...

  12. #12

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Citação Postado originalmente por mascaraapj Ver Post
    Sobre o POOL de IPs publicos e POOL de IPs privado, é o que faco aqui.
    Quando o POOL de IPs publicos esta cheio, eu derramo os usuarios em um pool de IP Privado, sendo que cada grupo de 7 IP privado sai com 1 IP publico.
    Parabéns...

  13. #13

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    So acompanhando...
    Desde ja agradeço a Todos e principalmente ao m4d3...

  14. #14
    Analista de Suporte em TI Avatar de demattos
    Ingresso
    Jul 2011
    Localização
    Criciuma/SC
    Posts
    1.923
    Posts de Blog
    3

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Acompanhando, e desde ja agradecendo, sempre tive duvidas nisto.

  15. #15

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Citação Postado originalmente por maxibelo Ver Post
    So acompanhando...
    Desde ja agradeço a Todos e principalmente ao m4d3...
    Citação Postado originalmente por demattos Ver Post
    Acompanhando, e desde ja agradecendo, sempre tive duvidas nisto.
    Acho que nao esta mais funcionando o Acompanhamento somente postando no topico.
    pelo menos comigo, desde a ultima manutencao (ou problemas tecnicos) que tirou o Under do AR... eu nao recebo mais aviso no email de novas mensagens no topico... nao funciona mais comigo.
    Alguem mais com o mesmo problema?

  16. #16

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Citação Postado originalmente por mascaraapj Ver Post
    Acho que nao esta mais funcionando o Acompanhamento somente postando no topico.
    pelo menos comigo, desde a ultima manutencao (ou problemas tecnicos) que tirou o Under do AR... eu nao recebo mais aviso no email de novas mensagens no topico... nao funciona mais comigo.
    Alguem mais com o mesmo problema?
    Comigo esta funcionando normal, mais não e so com vc não que esta acontecendo..

  17. #17

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    atualmente meu concentrador esta exatamente como dita as regras postadas, a unica dif é a regra NAT que esta srcnat masquerade... fiz dnvo exatamente como o Exemplo 1 e a internet para nos clientes quando mudo a regra NAT para dst e passthrough... pode ser que meu concentrador pppoe nao esteja da forma correta, uso de acordo com as necessidades do VIGO...

  18. #18

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    Boa tarde
    meu sistema funciona da seguinte forma..
    tenho um link GVT,
    meu servidor mikrotik é configurado com ip 186.x.x.26/29
    onde os clientes recebem a linha 10.8.8.1/8
    tem um dos clientes que usa um aparelho de video conferencia o precisa de um ip real.
    no ap cliente ja fiz a configuração do DMZ ta tudo blz.
    mas preciso que o quando tentem acessar o sistema de video conferencia pelo ip ex: 186.x.x.27 de direto no ip
    10.90.1.1
    já fiz algumas tentativas pelo nat,e funciona mas somente na minha rede local,quando tentam acessar de fora nao responde...
    desde já obrigado pela atenção....

  19. #19

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    braw,

    A regra do passthrough é complementar a sua regra do mascaramento src-nat, precisa de uma pra uma função e da outra pra outra função, OK.

  20. #20

    Padrão Re: Repasse de IP Público com exemplo para PPPoE por: M4D3

    adrianocurvelo,

    O que você quer no caso é apenas um redirecionamento público/privado e seu retorno, tens duas formas de fazer, por dst-nat e src-nat ou utilizando netmap, observe os exemplos que seguem.

    Adicione o ip público e mascara a interface pública do mikrotik (entrada do link).

    Na tabela NAT adicione uma regra cuja chain dst-nat redirecione o que chegar para o ip público utilizando também a action dst-nat para o ip privado, identificando a interface de entrada como sendo o seu link.

    action=dst-nat chain=dstnat comment="PC.DSTR" disabled=no dst-address=186.x.x.27 in-interface=EthLinkD to-addresses=10.90.1.1

    Na sequencia faça o oposto, mascarando as requisições que chegarem do ip privado para sairem pelo ip público identificando a interface de saída como sendo o link.

    action=src-nat chain=srcnat comment="PC.MSQR" disabled=no out-interface=EthLinkD src-address=10.90.1.1 to-addresses=186.x.x.27

    E não esqueça de colocar estas regras antes do seu mascaramento geral para que tenha o resultadao esperado, este é um exemplo de NAT 1:1, você também pode utilizar o netmap para a função e fazer o repasse para uma range de ips sem necessidade de criar uma regra para cada ip.

    Acho que é isso, se servir ao seu propósito não esquece de clicar na estrelinha.