Repasse de IP Público com exemplo para PPPoE por: M4D3

[braw]

braw,

A regra do passthrough é complementar a sua regra do mascaramento src-nat, precisa de uma pra uma função e da outra pra outra função, OK.

vou precisar das duas entao??? fiz com as duas e em ambas no campo src. address coloquei a mesma rede /23, dessa vez a internet nao parou, porem o IP que esta saindo continua sendo o do concentrador, meus clientes autenticam por pppoe via radius, penso que pode ser alguma instrução do radius que nao ta certa, pois a cada conexao pppoe ele adiciona um endereço de IP em IP-ADDRESS, e em ROUTES uma linha com o IP do cliente e em Preferencial Souce aparece o ip do servidor...

[m4d3]

braw,

Informa aqui o passo a passo que você fez, to achando que pulou alguma parte, lembre que a NAT 1:1 deve ser antes do mascaramento geral.

Abraço

[braw]

como disse meu link chega na Ether1 do concentrador e estou tentando fazer como no exemplo 1, tenho uma gama de ips /23, sendo o ultimo ip o gateway e o terceiro sendo o ip do concentrador MK, todas interfaces configuradas como mencionou, proxy-arp e reply-only, duas regras nat a de passthrough e masquerade nessa ordem, criei o pool com todos ips validos disponiveis do /23 e todos clientes recebem esses ips aleatoriamente... mesmo com essas configs quando vou em IP/Address aparece uma entrada para cada usuario conectado com as seguintes informações, no campo Adresses mostra sempre o ip do concentrador e no campo Network o ip que o usuario pegou do POOL... antes de adquirir esses ips era um server pppoe normal que atribuia ips privados como 192.168.1.0/24 e o concentrador mascarando tudo quando saia, agora que tenho os ips as unicas alterações que fiz foram essas citadas acima, poderia ter algum problema na parte do servidor pppoe? ou radius?

[paulojrandrade]

Pra variar o Luciano quebrando tudo, parabéns kara... Saudade das nossas conversas... Fica com Deus

[braw]

Resolvido, aqui pra mim funcionou sem nenhuma regra NAT, apenas configurando as interfaces como indicado e criando o Pool com os endereços validos... Vlw Luciano

[wisklan]

Olá Luciano,
desde já agradeço pela informação, gostaria de saber se você pode me ajudar, deixa eu explicar minha situação:
na nossa rede, utilizamos hotspot, repasso IP privado para nosso clientes, visto que no momento temos só um /26, então para os clientes que não tem necessidade de IP publico, entregamos IP privado, e entregamos o IP Publico para quem tem a necessidade. Tudo pela mesma rede.
Começamos a ter problemas com alguns clientes não comerciais que estão precisando de IP Publico. Meu problema é o seguinte:
Para repassar o IP Publico atualmente faço a liberação do MAC e o IP no IP binding, más uso o MK-Auth para autenticar meus clientes. Pensei na solução de colocar um o PPPoE server na mesma interface do hotspot, e repassar o IP Publico para quem se conectar por PPPoE, e quem se logar por Hotspot, usar o IP Privado mesmo. Segui suas dicas, configurei e tento navegar, até pego o IP Publico no meu pc quando conecto por PPPoE, más reparei que ele não recebe o gateway.

Você teria alguma ideia do que posso fazer ?

Muito Obrigado

Alan

[wisklan]

Olá Luciano,
desde já agradeço pela informação, gostaria de saber se você pode me ajudar, deixa eu explicar minha situação:
na nossa rede, utilizamos hotspot, repasso IP privado para nosso clientes, visto que no momento temos só um /26, então para os clientes que não tem necessidade de IP publico, entregamos IP privado, e entregamos o IP Publico para quem tem a necessidade. Tudo pela mesma rede.
Começamos a ter problemas com alguns clientes não comerciais que estão precisando de IP Publico. Meu problema é o seguinte:
Para repassar o IP Publico atualmente faço a liberação do MAC e o IP no IP binding, más uso o MK-Auth para autenticar meus clientes. Pensei na solução de colocar um o PPPoE server na mesma interface do hotspot, e repassar o IP Publico para quem se conectar por PPPoE, e quem se logar por Hotspot, usar o IP Privado mesmo. Segui suas dicas, configurei e tento navegar, até pego o IP Publico no meu pc quando conecto por PPPoE, más reparei que ele não recebe o gateway.

Você teria alguma ideia do que posso fazer ?

Muito Obrigado

Alan

Cara, queria dizer que fiquei mexendo aqui e consegui fazer dar certo o que tava precisando, caso alguem tenha mesma duvida só falar que coloco como fiz pra dar certo aqui..

obrigado a todos

[tihbaptista]

Muito obrigado a todos, a muito busco informações que só encontrei nesse tópico. Minha empresa vai começar a operar um provedor de internet Gepon em breve e tenho algumas duvidas a respeito, se alguem puder me ajudar ficarei agradecido.

A primeira delas, e que ja foi previamente sanada era o repasse de IPs validos aos meus clientes. Nossa intenção é que todos os clientes naveguem com IPs validos, sem precisar fazer NAT e nem Cache.

Com uma RB1200 eu consigo trabalhar no seguinte cenário?
Vou receber uma faixa de IPs da operadora que vão entrar em um switch CISCO L3, nesse switch vai estar conectada a porta de internet de minha RB1200, que vai ter outra porta para a rede dos clientes que vai estar conectada a um Switch L2 Cisco. Nesse switch L2 Cisco vão estar conectados os cartões OLT para repassar a minha rede através de fibra optica, e vão chegar até meu cliente, no meu cliente vai ter um ONU fazendo a autenticação.

Minha idéia é repassar os IPs validos através do servidor PPPoE e fazer os planos de internet (velocidades) nele. Eu preciso do repasse desses ips validos de uma forma dinamica, ou seja, assim que o cliente desconectar esse ip valido fica livre para que outro cliente possa usar e assim por diante. Acompanhando o tópico vi que isso é possivel, mas fiquei com duvida a respeito de qual forma utilizar se é PPPoE ou hotspot.

Outra coisa, como vamos começar agora, não tenho uma idéia do uso de IPs validos nos clientes. Estamos projetando o provedor inicialmente para 1024 usuários, quantos IPs em média temos que ter para atender esses usuários, visto que nem todos estão conectados ao mesmo tempo. Alguem tem dados estatiscos desse assunto?

Desde ja agradeço a ajuda de todos, obrigado!

[wisklan]

Amigo, realmente muito interessante vocês adotarem essa tecnologia, depois gostaria de lhe pedir mais informações a respeito, pois também temos a intenção de começar a trabalhar com fibra ótica, gostaria de saber alem da tecnologia, equipamentos e etc que você vai usar, gostaria também de saber quais as velocidades dos planos que você vai trabalhar.

Más então, quanto as suas duvidas, creio que posso te ajudar, pois passamos por varias situações relacionadas ao repasse de ips públicos, tanto por meio de Hotspot, PPPoE ou IP Fixo. Neste caso, recomendo você trabalhar com PPPoE, pois você terá uma economia boa em IPs, pois somente quando o cliente autenticar, ele receberá o IP. Se você for trabalhar com ips publico em todos os clientes, a configuração de sua RB será mais facil de fazer, se você decidir mesclar entre clientes com IPs Publico e IPs Privados, também não é tão dificil, basta acrescentar algumas regras no firewall e criar algumas rotas. Quanto ao numero de IPs que você vai precisar, você pode tirar uma media, pois no meu caso, quando o provedor tinha 1000 clientes, no total navegando não passava de 400. Então você trabalhado com IP dinamico, creio que um /23 ou 512 IPs serão suficientes no momento. Quanto a RB, é bom você calcular mais ou menos de acordo com os panos que você pretende comercializar, pois de acordo com o manual da rb 1200, ela aguenta um throughput de 3,5 Gb.

Qualquer coisa quando for configurar, te passo as config de acordo com sua rede.

té mais

[gustavo_marcon]

Pessoal, estou migrando minha rede bridge para roteada, mas estou fazendo testes em bancada primeiro e minha principal dúvida é relacionada a como vou ter que fazer para entregar ip's públicos aos meus clientes, pois a autenticação PPPoE ficará na rb do POP e o meu link chega na RB Principal que fica na minha empresa.

Preciso entregar o IP Público aos clientes que conectarem na RB do POP, porém os IP's públícos chegam na RB Principal e não consegui entender como deve ser feito o roteamento para isto funcionar.

Desde já agradeço quem puder ajudar !

[gustavo_marcon]

Pessoal, estou migrando minha rede bridge para roteada, mas estou fazendo testes em bancada primeiro e minha principal dúvida é relacionada a como vou ter que fazer para entregar ip's públicos aos meus clientes, pois a autenticação PPPoE ficará na rb do POP e o meu link chega na RB Principal que fica na minha empresa.

Preciso entregar o IP Público aos clientes que conectarem na RB do POP, porém os IP's públícos chegam na RB Principal e não consegui entender como deve ser feito o roteamento para isto funcionar.

Desde já agradeço quem puder ajudar !

Bom dia Pessoal.

Ninguém nunca configurou este cenário e poderia dar algumas dicas ?


Obrigado !

[wisklan]

Amigo, fica tranquilo, ja vou postar a solução pra você, tivemos a algum tempo a mesma necessidade, e hoje conseguimos fazer navegar clientes com ips publicos e com ips privados na mesma RB, daqui a pouco estou postando pra vc..

um abraço

[gustavo_marcon]

Amigo, fica tranquilo, ja vou postar a solução pra você, tivemos a algum tempo a mesma necessidade, e hoje conseguimos fazer navegar clientes com ips publicos e com ips privados na mesma RB, daqui a pouco estou postando pra vc..

um abraço

Amigo, agradeço muito a ajuda. Estou a dias fazendo vários testes mas sem sucesso até agora.


Fico no aguardo. Obrigado desde já.

[wisklan]

Na sua rede, todos os clientes usarão ip publico, ou você da tanto ip publico e privado para eles, qual o tipo ou os tipos de autenticação que vc usa (pppoe e/ou hotspot ou controle de ip x mac por arp), se pppoe e/ou hotspot os dados de acesso do cliente vc grava na propria rb ou tem um servidor de autenticação remota (radius, mk-auth, webmikrotik... etc)

um abraço

[gustavo_marcon]

Na sua rede, todos os clientes usarão ip publico, ou você da tanto ip publico e privado para eles, qual o tipo ou os tipos de autenticação que vc usa (pppoe e/ou hotspot ou controle de ip x mac por arp), se pppoe e/ou hotspot os dados de acesso do cliente vc grava na propria rb ou tem um servidor de autenticação remota (radius, mk-auth, webmikrotik... etc)

um abraço

Na minha rede eu sempre entrego ip privado, apenas entrego IP publico para empresas que me pedem pois realmente tem necessidade do IP.

Então na mesma RB vou ter clientes com IP privados e clientes com IP publico.

Autentico meus clientes com PPPoE e uso um servidor RADIUS (freeradius).

Mas estou fazendo teste em bancada e estou cadastrando os profiles no secrets do Mikrotik mesmo por enquanto. Entendendo o cenário, depois eu modifico para autenticar pelo freeradius.

[gustavo_marcon]

Bom pessoal, continuo sem conseguir.

Se alguém puder ajudar agradeço muito.


Obrigado !

[wisklan]

Amigo, desculpa pra responder,

Vamos imaginar o seguinte cenário:

IP Wan recebido pela operadora: 189.112.113.1/30
IP Lan disponibilizado pela operadora para você repassar aos seus clientes: 189.112.170.1/24

Configurações necessarias na RB que recebe o link da Operadora:

Na Wan (interface que se conecta com a operadora) você coloca o IP que ela te passou para uso, nesse caso o 189.112.113.2/30 (Supondo que o gateway que você colocara em IP/ROUTES seja 189.112.113.1)

os IPs PUBLICOS de LAN não devem ser configurados nessa RB, pois eles serão usados nas outras que agora farão a autenticação dos seus clientes, para que você possa repassa-los, crie uma faixa de IPs privados na Interface LAN (que conecta sua RB que recebe o LINK com as demais de sua rede onde seus clientes se conectarão) EX: 10.10.10.1/24 (esse será o gateway que será configurado nas demais RBs). Essa faixa de IP (10.10.10.1/24) será utilizado somente para o transporte do link que os IPs Publicos Navegam.

Agora crie uma nova faixa de IPs na Interface Lan que comunica com as demais RBs, para que nessa faixa de IPs seja atribuido o NAT para que seus clientes que utilizam IPs Privados possam navegar. Não tem segredo, crie por exemplo a faixa 192.168.200.1/24 (será o gateway default nas RBs que navegam os clientes). Depois disso, vá em IP/FIREWALL/NAT e crie e atribua o NAT em SRC-ADDRESS para essa faixa 192.168.200.0/24.

Agora vamos para a RB cliente, vamos chama-la de cliente1, nela faça as seguintes configurações:

Configure incicialmente na interface de WAN, algum IP na faixa 192.168.200.0/24, para que ela se comunique com a outra rb e seus clientes de ip privado possam navegar, Depois configura a Rota 192.168.200.1, faz a configuração normal para seus clientes navegarem com IP privado, por baixo do NAT (nao coloque o NAT FULL, faça como na outra RB, só para a faixa de IPs do seu pool).

Depois de seus clientes com IP privado estarem navegando, vamos para as configurações para seus clientes com ip Publico.

Na interface WAN coloque o IP na faixa 10.10.10.2/24 para se comunicar com a RB que recebe o link sem usar o NAT, depois disso, quebre uma parte do seu bloco de IPs Publicos, como nesse caso seu bloco é um /24, vamos quebra-lo em um /28 dessa forma teremos de 189.112.170.1 a 189.112.170.16, más como você esara autenticação por PPPoE, não atribua nenhum desses IPs na interface LAN, pois dará conflito quando o cliente de IP Publico for navegar.

Então va em IP/POOL e adcione o pool de IPs Publico 189.112.170.2-189.112.170.16 (reserve o 189.112.170.1 para ser o local-address no prifile do PPPoE). Depois disso feito vá no PPP e crie o novo profile para os clientes com IP publico, em local address coloque o IP 189.112.170.1 e em remote address coloque o POOL que você criou para o IPs Publico e quando você adcionar seus clientes que usam IP publico em PPP/secrets, selecione o profile de IPs Publico. Até aqui blz, o seus clientes do profile IP Publico, quando autenticarem, ja receberão o IP Publico, mas ainda não conseguirão navegar.

Para isso, vá em IP/FIREWALL/Mangle e adcione essas duas regrinhas, que irão marcar os pacotes dos clientes que autenticarem com o IP Publico e Direcionarão eles para o link que transporta a navegação dos IPs Publicos, aqui estão com os IPs de exemplo:

add action=mark-connection chain=prerouting comment=\
"Marcar conexao IP Valido" disabled=no new-connection-mark=\
ip-valido-conection passthrough=yes src-address=189.112.170.0/28

add action=mark-routing chain=prerouting comment="Marcar rota IP Valido" \
connection-mark=ip-valido-conection disabled=no new-routing-mark=\
ip-valido-clientes passthrough=yes src-address=189.112.170.0/28

agora vá em IP/ROUTES e adcione essa rota:

add comment="Rota ip valido" disabled=no distance=1 dst-address=0.0.0.0/0 \
gateway=10.10.10.1 routing-mark=ip-valido-clientes scope=30 target-scope=\
10

com essas regras e essa rota adcionada, seus clientes ja serão redirecionados para a navegação do Link com IP Publico, pra finalizar, falta só delegar a faixa de IPs Publicos a serem usados na RB cliente1 na RB que recebe o Link da operadora, para isso vá para a RB que recebe o link, acesse IP/ROUTES crie uma nova rota e em dst-address coloque a faixa de IPs Publicos que estão configurados para navegar em RB clientes1 189.112.170.0/28 e em gateway, coloque o IP Privado adcionado na RB clientes1 de comunicação entre as RBs 10.10.10.2 e pronto.

Com essas configurações seus clientes ja conseguem navegar na mesma RB com IPs Publicos e Privados, dependendo do profile que você atribuir a eles.

Como vejo que você é uma pessoa que entende bem sobre roteamento e Mikrotik, passei o basico para conseguir fazer funcionar, más qualquer duvida ou mudança de cenário, da um toque que agente tenta ajudar no que puder.

té mais amigo, da uma resposta se conseguiu e qualquer coisa estamos ai

[gustavo_marcon]

Amigo, desculpa pra responder,

Vamos imaginar o seguinte cenário:

IP Wan recebido pela operadora: 189.112.113.1/30
IP Lan disponibilizado pela operadora para você repassar aos seus clientes: 189.112.170.1/24

Configurações necessarias na RB que recebe o link da Operadora:

Na Wan (interface que se conecta com a operadora) você coloca o IP que ela te passou para uso, nesse caso o 189.112.113.2/30 (Supondo que o gateway que você colocara em IP/ROUTES seja 189.112.113.1)

os IPs PUBLICOS de LAN não devem ser configurados nessa RB, pois eles serão usados nas outras que agora farão a autenticação dos seus clientes, para que você possa repassa-los, crie uma faixa de IPs privados na Interface LAN (que conecta sua RB que recebe o LINK com as demais de sua rede onde seus clientes se conectarão) EX: 10.10.10.1/24 (esse será o gateway que será configurado nas demais RBs). Essa faixa de IP (10.10.10.1/24) será utilizado somente para o transporte do link que os IPs Publicos Navegam.

Agora crie uma nova faixa de IPs na Interface Lan que comunica com as demais RBs, para que nessa faixa de IPs seja atribuido o NAT para que seus clientes que utilizam IPs Privados possam navegar. Não tem segredo, crie por exemplo a faixa 192.168.200.1/24 (será o gateway default nas RBs que navegam os clientes). Depois disso, vá em IP/FIREWALL/NAT e crie e atribua o NAT em SRC-ADDRESS para essa faixa 192.168.200.0/24.

Agora vamos para a RB cliente, vamos chama-la de cliente1, nela faça as seguintes configurações:

Configure incicialmente na interface de WAN, algum IP na faixa 192.168.200.0/24, para que ela se comunique com a outra rb e seus clientes de ip privado possam navegar, Depois configura a Rota 192.168.200.1, faz a configuração normal para seus clientes navegarem com IP privado, por baixo do NAT (nao coloque o NAT FULL, faça como na outra RB, só para a faixa de IPs do seu pool).

Depois de seus clientes com IP privado estarem navegando, vamos para as configurações para seus clientes com ip Publico.

Na interface WAN coloque o IP na faixa 10.10.10.2/24 para se comunicar com a RB que recebe o link sem usar o NAT, depois disso, quebre uma parte do seu bloco de IPs Publicos, como nesse caso seu bloco é um /24, vamos quebra-lo em um /28 dessa forma teremos de 189.112.170.1 a 189.112.170.16, más como você esara autenticação por PPPoE, não atribua nenhum desses IPs na interface LAN, pois dará conflito quando o cliente de IP Publico for navegar.

Então va em IP/POOL e adcione o pool de IPs Publico 189.112.170.2-189.112.170.16 (reserve o 189.112.170.1 para ser o local-address no prifile do PPPoE). Depois disso feito vá no PPP e crie o novo profile para os clientes com IP publico, em local address coloque o IP 189.112.170.1 e em remote address coloque o POOL que você criou para o IPs Publico e quando você adcionar seus clientes que usam IP publico em PPP/secrets, selecione o profile de IPs Publico. Até aqui blz, o seus clientes do profile IP Publico, quando autenticarem, ja receberão o IP Publico, mas ainda não conseguirão navegar.

Para isso, vá em IP/FIREWALL/Mangle e adcione essas duas regrinhas, que irão marcar os pacotes dos clientes que autenticarem com o IP Publico e Direcionarão eles para o link que transporta a navegação dos IPs Publicos, aqui estão com os IPs de exemplo:

add action=mark-connection chain=prerouting comment=\
"Marcar conexao IP Valido" disabled=no new-connection-mark=\
ip-valido-conection passthrough=yes src-address=189.112.170.0/28

add action=mark-routing chain=prerouting comment="Marcar rota IP Valido" \
connection-mark=ip-valido-conection disabled=no new-routing-mark=\
ip-valido-clientes passthrough=yes src-address=189.112.170.0/28

agora vá em IP/ROUTES e adcione essa rota:

add comment="Rota ip valido" disabled=no distance=1 dst-address=0.0.0.0/0 \
gateway=10.10.10.1 routing-mark=ip-valido-clientes scope=30 target-scope=\
10

com essas regras e essa rota adcionada, seus clientes ja serão redirecionados para a navegação do Link com IP Publico, pra finalizar, falta só delegar a faixa de IPs Publicos a serem usados na RB cliente1 na RB que recebe o Link da operadora, para isso vá para a RB que recebe o link, acesse IP/ROUTES crie uma nova rota e em dst-address coloque a faixa de IPs Publicos que estão configurados para navegar em RB clientes1 189.112.170.0/28 e em gateway, coloque o IP Privado adcionado na RB clientes1 de comunicação entre as RBs 10.10.10.2 e pronto.

Com essas configurações seus clientes ja conseguem navegar na mesma RB com IPs Publicos e Privados, dependendo do profile que você atribuir a eles.

Como vejo que você é uma pessoa que entende bem sobre roteamento e Mikrotik, passei o basico para conseguir fazer funcionar, más qualquer duvida ou mudança de cenário, da um toque que agente tenta ajudar no que puder.

té mais amigo, da uma resposta se conseguiu e qualquer coisa estamos ai

Amigo, primeiramente muito obrigado pela ajuda e me desculpe pela demora, mas eu não estava na empresa ontem.

Vou começar fazer os testes, porém tenho uma diferença no cenário.

1 - Eu não tenho uma faixa onde recebo o link e outra onde distribuo aos clientes, tenho apenas uma faixa /28 neste link. Então, para fazer o repasse de IP Publico para alguns clientes, eu pensei em quebrar esta faixa em dois /29. O que acha ?

São realmente poucos clientes que hoje me pedem IP Publico, mas assim que tudo estiver funcionando eu vou negociar com a operadora para receber um bloco maior.

Amigo, se puder me add no MSN agradeço.

[AlexTrevisol]

Bom dia!

No caso da 3 opção repassar mais de um IP pela conexão PPPoE fiz como indicado criei a rota para o cliente, minha duvida é como faço para utilizar estes IPs que criei a rota no cliente já que ele recebe 1 IP valido pelo PPPoE ?

[leandrovaranda]

Mesmo se for usar só ips válidos tem que criar as regras no firewall? A parte de redirecionar as rotas já parece funcionar.