Ajuda Implantação Rede OSPF Estrela

[halves]

Bom dia Pessoal,

Estou implantando ospf em minha rede, andei estudando bastante sobre o protocolo, e com os videos do Allan consegui fazer o ospf funcionar na bancada. Agora vem a parte de colocar isso tudo em produção. O estado da minha rede hoje é toda Anel e Nateada, e tenho dúvida do seguinte,

1 - Nas implementações de ospf tem um único roteador que vai distribuir a rota default?

2 - Aqui em minha rede uso o Myauth 3, no mikrotik quando eu colocar a rede pertencendo ao ospf lá em network o myauth não entra no ospf, só entra quando coloco 0.0.0.0/0

Obs: Aqui na minha topologia, eu tenho um balance pcc que receber todos os meus links adsl e tbm um dedicado e todas as minhas RBs e Myauth estão se conectando nela para sair para internet um tipico nat. Conforme essa imagem

Pergunto no cenario ospf vai existir um unico roteador que vai distribuir a rota default mesmo ou existe outra forma?

[evertonsoares]

Pretendo a mesma implantação e acredito que muitos estão a procura dessa solução... acompanhando...

[gamineiro]

Boa tarde,

1 - Nas implementações de ospf tem um único roteador que vai distribuir a rota default?

Sim, a menos que você tenha mais de uma saída para a internet. No seu caso, você tem apenas uma.

2 - Aqui em minha rede uso o Myauth 3, no mikrotik quando eu colocar a rede pertencendo ao ospf lá em network o myauth não entra no ospf, só entra quando coloco 0.0.0.0/0

Não entendi muito bem. Você poderia nos mandar as configurações do OSPF para que pudéssemos detectar o equívoco?

Obs: Aqui na minha topologia, eu tenho um balance pcc que receber todos os meus links adsl e tbm um dedicado e todas as minhas RBs e Myauth estão se conectando nela para sair para internet um tipico nat. Conforme essa imagem

Seria interessante também nos apontar os roteadores que fazem NAT

Abraço

[allac]

Existem mil maneiras de "Preparar Neston".

Você vai pegar todos os roteadores e fazerem eles conversarem entre sí de forma isolada (Digo roteada, através de vários /30).

Exemplo:


[Roteador A]--------/30--------[Roteador B]--------/30--------[Roteador C]--------/30--------[Roteador N]


Vamos supor que um desses seja o roteador que tenha a saída para a internet, nele que você vai distribuir a rota default.

No caso em especifico do MyAuth (não possuo conhecimentos para saber se ele tem OSPF, acho que tem mas mesmo assim nenhum problema). É só vc ligar ele em algum desses roteadores com um simples /30 fazer a rota default na mão indicando a saída por ele e distribuir o /30 na rede OSPF.

A única coisa que não sei dizer é em relação se isso funciona com NAT.

Isso eu gostaria de perguntar aqui pros feras como o gamineiro e trober

[pytagoras]

Mesmo com o NAT funciona, coloca umas regras de accept para o protocolo ospf antes da regra de NAT.
/ip firewall nat
add action=accept chain=srcnat disabled=no protocol=ospf
add action=accept chain=dstnat disabled=no protocol=ospf

Assim vc garante o funcionamento.

[gamineiro]

Mesmo com o NAT funciona, coloca umas regras de accept para o protocolo ospf antes da regra de NAT.
/ip firewall nat
add action=accept chain=srcnat disabled=no protocol=ospf
add action=accept chain=dstnat disabled=no protocol=ospf

Assim vc garante o funcionamento.

Bom dia. Na verdade essas regras (NAT) só precisam ser criadas se você possui algum tipo de DMZ. Agora, se você possui filtros de entrada, aceitando apenas os serviços que precisa, terás que criar uma regra de filtro de entrada nesse protocolo, mas nesse caso, independe da existência ou não de NAT, visto que o filtro é para a entrada (Filter) do roteador.

Um forma mais elegante e redundante de fazer o NAT nesse caso, é usar o IP de loopback para fazer o mascaramento.

Nunca usei isso na nossa rede, devido a inexistência de NAT, caso esteja falando besteira me corrijam. Não consigo fazer o teste agora, mas assim que der eu confirmo o funcionamento.

Abraço

[halves]

gamineiro, boa tarde. Obrigado pelas respostas.

Minha configuração do OSPF é bem básica, fiz conforme o Alan Caldas falou, /30 para todos os roteadores que faz enlace com o roteador principal, no caso expecifico do myauth, ele só funciona se eu colocar o 0.0.0.0/0 no lugar da minha rede opsf do enlace, aqui não to conseguindo colocar imagem mais no MENU OSPF em network eu coloco a rede 0.0.0.0/0 que o myauth funciona na rede ospf.
- O unico roteador que faz Nat é o balance pcc, e a RB central.

Allan, obrigado pelas respostas, tenho acompanhado bastante atraves de video e de blog sua empresa, bacana o trabalho que você vem fazendo na sua região, estou estudando e trabalhando muito para chegar neste nível de maturidade.

Então Allan, fiz justamente istó e está funcionando redondo, minha principal dúvida era justamente o roteador que distribui as rota default e o myauth.

Surgiram outras dúvida neste final de semana estudando.

1 - Estou migrando minha rede toda para pppoe, pergunto é melhor ter um concentrador central ou varios pppoe servers em todos os roteadores da minha topologia?

2 - se eu optar por um concentrador central, vou pricisar usar MPLS em todos os backbones de enlace?

3 - Se eu tirar um dos meus links do balance e colocar em outro como configurar istó para o ospf entender que tenho duas saidas para internet ?

[gamineiro]

gamineiro, boa tarde. Obrigado pelas respostas.

Minha configuração do OSPF é bem básica, fiz conforme o Alan Caldas falou, /30 para todos os roteadores que faz enlace com o roteador principal, no caso expecifico do myauth, ele só funciona se eu colocar o 0.0.0.0/0 no lugar da minha rede opsf do enlace, aqui não to conseguindo colocar imagem mais no MENU OSPF em network eu coloco a rede 0.0.0.0/0 que o myauth funciona na rede ospf.
- O unico roteador que faz Nat é o balance pcc, e a RB central.

Boa noite. Que isso, estamos ai para ajudar.

Você já tem o cenário que o Allan sugeriu para o myauth. Ele está conectado a um único roteador, porque você gostaria que ele tivesse rotas dinâmicas? Não tem necessidade alguma. Você simplesmente configura o gateway dele para o roteador onde ele está ligado. Como ele não faz NAT, você apenas tem que criar uma rota estática no roteador para a rede interna do myauth. Não há necessidade de ativar o protocolo OSPF nele (Myauth).

Espero que tenha ajudado. Abraço

[halves]

Olá Gamineiro,

Minha necessidade de colocar o myauth na rede ospf é poder de qualquer lugar acessar os radios que está na rede lan do myauth, colocar o prtg que o amigo Alan mostra no forum, para monitorar todos os radios de enlaces e clientes. Mais como estou estudando para tirar o myauth da rede istó não é problema agora.

E quanto as outras perguntas, você pode me da algumas dicas ?

1 - Estou migrando minha rede toda para pppoe, pergunto é melhor ter um concentrador central ou varios pppoe servers em todos os roteadores da minha topologia?

2 - se eu optar por um concentrador central, vou pricisar usar MPLS em todos os backbones de enlace?

3 - Se eu tirar um dos meus links do balance e colocar em outro como configurar istó para o ospf entender que tenho duas saidas para internet ?

Abraços,

Henrique Carvalho

[gamineiro]

Olá Gamineiro,

Minha necessidade de colocar o myauth na rede ospf é poder de qualquer lugar acessar os radios que está na rede lan do myauth, colocar o prtg que o amigo Alan mostra no forum, para monitorar todos os radios de enlaces e clientes. Mais como estou estudando para tirar o myauth da rede istó não é problema agora.

Você vai ter quantas redes atrás dele? Se for só uma, basta criar uma rota estática no roteador, como eu mencionei antes.

1 - Estou migrando minha rede toda para pppoe, pergunto é melhor ter um concentrador central ou varios pppoe servers em todos os roteadores da minha topologia?

Nessa não posso te ajudar, não tenho conhecimento. Deixa para os feras!! hahahah

2 - se eu optar por um concentrador central, vou pricisar usar MPLS em todos os backbones de enlace?

Cara, vamos devagar!!!!! hahahahaha. Brincadeiras a parte, você acaba de ingressar no mundo do roteamento dinâmico. Posso te dizer (minha opinião) que o MPLS não é algo necessário, ele vem para melhorar o roteamento que já funciona, e lógico, oferece vários outros tipos de serviços, como VPLS (Tunel MPLS) e TE (Engenharia de Tráfego). Então vamos deixar a sua rede redonda primeiro. Esgote os testes com OSPF, brinque com ele em bancada, estude sobre os tipos de áreas, tipos de interface, distribuição de rotas, etc. Depois disso te ajudamos a implantar o MPLS. Por favor, não tome isso como uma omissão em ajudar, longe disso, estou apenas expondo minha opinião. Eu defendo a ordem em que as coisas tem que acontecer. Agora, se tu disser que quer implantar, arregaçamos as mangas!! hahahahah

3 - Se eu tirar um dos meus links do balance e colocar em outro como configurar istó para o ospf entender que tenho duas saidas para internet ?

Você vai dizer em todos os roteadores que podem fazer a saída para a internet, que eles devem distribuir default route. Os roteadores irão receber 2 ou mais rotas padrão. Elas irão funcionar por ECMP[1].

[1] http://wiki.mikrotik.com/wiki/ECMP_l...ith_masquerade

Abraço

[carlosallan]

Boa Noite a todos. Gostaria de parabenizar as vídeos aulas do Allan e os tutoriais do Trober, através deles consegui implementar o OSPF em bancada 3 roteadores sem problemas, tudo perfeito. Em um tutorial do Troper ele diz que no Router que terá saída para internet deverá marcar a opção Redistribute Default Route "always as type". Até ai tudo bem. Utilizo aqui uma rb 1100 como concentrador (Nat) e Radiu o Software Topsapp que autentica (pppoe ou hotspot) os clientes. Como faço para interligar minha rede OSPF ou meu concentrador? Ou seja colocar realmente em produção.

[allac]

Galera percebi que nos meus videos faltaram falar sobre a rota default e sobre os concentradores PPPoE.

Vou fazer uns videos complementando esse assunto.

Quanto ao Concetrador PPPoE digo o seguinte o amigo gamineiro tem uma certa razão ... cada coisa de cada vez.

Na rede toda bridge é mais fácil ter um só concentrador PPPoE. Pois ele é acessível por toda a rede.

Quando vc tem uma rede roteada realmente isso é mais complicado pois cada interface que os clientes se conectam deve ter um PPPoE Server habilitado nele. O que se torna uma tarefa complicada sob o ponto de vista de quem tinha um concentrador PPPoE passar a ter uns 10 ou mais isso é penoso.

Fazer com que a autenticação seja somente em um local não é tarefa complicada nem trabalhosa... é tranquilão...

Agora não sei se o caminho correto é usar o mpls para fazer uma bridge até o concentrador PPPoE único na rede. Técnicamente é possivel e funciona mas vai dar tanto trabalho que não sei se vale a pena. Também não sei o quanto de recursos consome habilitar o mpls em todos os roteadores na rede.

Eu gostaria de fazer essa pergunta pros feras ? Qual o melhor caminho para que tem uma rede roteada e tem a necessidade de ter vários concentradores PPPoE espalhados pela rede?

Qual a melhor Pratica? Vários concentradores na Ponta ? Ou criar tuneis até um concentrador só?

Eu faço essa pergunta para quem tem a necessidade de usar PPPoE não vale me responder para usar outro tipo de pratica tipo IP Fixo, DHCP e etc.

[trober]

Bom dia a todos

1 - Nas implementações de ospf tem um único roteador que vai distribuir a rota default?

Sim, conforme o Gabriel informou. A exceção é quando você tem mais circuitos de acesso, em pontos distintos. Mas nem vamos entrar nesse contexto, pois não é o foco do tópico.

2 - Aqui em minha rede uso o Myauth 3, no mikrotik quando eu colocar a rede pertencendo ao ospf lá em network o myauth não entra no ospf, só entra quando coloco 0.0.0.0/0

Anunciar 0.0.0.0/0 é, tecnicamente, a mesma coisa que anunciar rotas conectadas, o que não é salutar. O que está faltando é você explicitar a rede conectada ao seu autenticador. Se você tem, por exemplo, um /24 para seu autenticador, é só anunciar a rede (e declarar a interface como passiva).

Existe quem diga que OSPF se faz só com /30, e isso não é verdade. Você pode ter um conjunto de servidores, em seu NOC, dispostos em qualquer rede menos específica que /31 (se IPv4). Adicione a interface voltada para esses servidores, como passiva, e adicione a rede em networks.

Pronto! Mas tenha cuidado para não ter NAT no fluxo[1] entre roteadores e o autenticador, para não ter problemas com Called-ID, entre outros problemas (típicos de NAT).

Mesmo com o NAT funciona, coloca umas regras de accept para o protocolo ospf antes da regra de NAT.

Código :

/ip firewall nat
add action=accept chain=srcnat disabled=no protocol=ospf
add action=accept chain=dstnat disabled=no protocol=ospf

Assim vc garante o funcionamento.

Quase lá. Os chains não são scrnat, nem dstnat. O fluxo previsto para OSPF acontece em input e output. (244.0.0.5->244.0.0.6) Veja os fluxos no Wiki[1] da MikroTik.

Desde o MikroTik RouterOS 5.19 não é mais necessária essa "adaptação", muito utilizada no passado. E como parto do princípio de que todos estão usando a versão mais recente, isso não será problema.

Boa Noite a todos. Gostaria de parabenizar as vídeos aulas do Allan e os tutoriais do Trober, através deles consegui implementar o OSPF em bancada 3 roteadores sem problemas, tudo perfeito. Em um tutorial do Troper ele diz que no Router que terá saída para internet deverá marcar a opção Redistribute Default Route "always as type". Até ai tudo bem. Utilizo aqui uma rb 1100 como concentrador (Nat) e Radiu o Software Topsapp que autentica (pppoe ou hotspot) os clientes. Como faço para interligar minha rede OSPF ou meu concentrador? Ou seja colocar realmente em produção.

Fico feliz que os tutoriais sejam úteis

Quanto ao NAT, faço-o considerando a especificidade de interfaces e redes de origem

Pesquise aqui no Under-Linux pelas palavras "convívio", "harmonioso", "NAT" e "OSPF". Não recomendo, mas é possível

Qual a melhor Pratica? Vários concentradores na Ponta ? Ou criar tuneis até um concentrador só?

Criar túneis até o concentrador é neutralizar o esforço e sentido de ter implementado roteamento na sua rede.

Eu faço essa pergunta para quem tem a necessidade de usar PPPoE não vale me responder para usar outro tipo de pratica tipo IP Fixo, DHCP e etc.

Não entendi a dificuldade. Se você tem uma rede com vários segmentos de redes, alcançáveis com roteamento entre si, com o uso do OSPF, qual é a dificuldade de decidir se a autenticação será concentrada ou não?

Vai do quanto você é (ou não) refém do software de gestão.

O software de gestão é licenciado por usuário? É licenciado por servidor? É licenciado por interface?

Essas sãos as dúvidas que dificultam a implantação de PPPoE, e não as técnicas de roteamento. O agente PPPoE, tendo o endereço de loopback definido em source-address, e chegando até o concentrador, não tendo endereço traduzido (mascarado), vai funcionar "lindamente". Da mesma forma, se o seu software de gestão fizer chamadas remotas nos roteadores (seja API, telnet ou ssh), adicionando contas e editando perfis, criando entradas em access-list e demais funcionalidades. (Free)Radius idem.

Com isso, não entendo a dificuldade do cenário.

[1] http://wiki.mikrotik.com/wiki/Manual:Packet_Flow

Espero ter ajudado.

Saudações,

Trober

[allac]

Minha autenticação é centralizada. E o software eu mesmo desenvolvi, ele cria os usuários por script. Mas poderia fazer por ssh.

Eu acho um pequeno transtorno ter de habilitar Servidor PPPoE nas pontas da rede, considerando que antes eu tinha somente um concentrador PPPoE.

Passei a ter 5 concentradores, ficou mais trabalhoso ver onde o cliente está conectado.

Além de ficar alguns Ip's no bloco meio que sem uso. Considerando que em alguns casos uso /28 ou /26

O que vc's acham?

[trober]

Eu acho um pequeno transtorno ter de habilitar Servidor PPPoE nas pontas da rede, considerando que antes eu tinha somente um concentrador PPPoE.

Penso que o "pequeno transtorno" evita o "grande transtorno" de ter broadcasts passeando por quilômetros de enlaces, principalmente em redes grandes.

Além de ficar alguns Ip's no bloco meio que sem uso. Considerando que em alguns casos uso /28 ou /26

PPPoE possibilita entrega de endereços em /32, sem as perdas mencionadas. Esses endereços /32 podem ser alocados de forma orquestrada, de forma que possibilite a sumarização em faixas menos específicas/mas abrangentes. Não teria assim uma tabela de roteamento "inflada" sendo atualizada a cada conexão/desconexão de usuário.

O que vc's acham?

Enfim, minhas considerações.

Saudações,

Trober

[allac]

Uma rede roteada tem muitas vantagens....E de longe preferimos ela.

Porém devemos levar em consideração muitos provedores e profissionais de "Redes" com pouco conhecimento ou que buscam informações sobre como migrar da rede Bridge para roteada.

Esse ponto em questão é muito levantado, e gera muitas duvidas...

Muitos provedores criaram o seu concentrador PPPoE uma unica vês não mexeu mais e fica perdido quando dizemos pra ele que ele terá vários concentradores PPPoE.

De que forma podemos passar esse conhecimento para a turma de forma coerente trober?

[trober]

De que forma podemos passar esse conhecimento para a turma de forma coerente trober?

Por favor, defina "coerente", na sua perspectiva, pois, da forma como você colocou, parece que meus comentários anteriores não são coerentes.

Sei que não foi sua intenção, por isso pergunto qual o seu entendimento por "coerente", para que eu faça as correções onde me faltou "coerência".

Saudações,

Trober

[allac]

Todos os seus comentários foram coerentes e dentro do razão e do simples.


O que eu estou querendo dizer é como explicaremos isso de forma fácil e simples para os novos ingressantes nas redes roteadas:

Muitos provedores criaram o seu concentrador PPPoE uma unica vês não mexeu mais e fica perdido quando dizemos pra ele que ele terá vários concentradores PPPoE.

De que forma podemos passar esse conhecimento para a turma de forma coerente trober?

[halves]

Galera, coloquei em produção minha rede OSPF, ta rodando que é uma maravilha. Agradeço a ajuda de todos.


Abraços,
Henrique.