DHCP do jeito certo

[eduardomazolini]

Pessoal muitos falam que é legal usar DHCP em provedor, sabendo usar.
Alguém pode dar as dicas?

No wireless o essencial seria ter o wireless com usuários senha individual, não PSK.
Aí faz um bind do Mac e atribui velocidade usando radius, igual no PPPoE.
Ainda da pra atribuir máscara 32 pra isolar, igual em Hotspot.

Séria isso tem mais dicas?
Eu ainda uso PPPoE.

[TsouzaR]

É essencial colocar a interface que vai para os clientes em modo ARP reply-only e ativar no servidor DHCP o Add ARP for Leases. Isso vai impedir que alguém coloque IP estático e funcione.

No Wireless dá para usar chave individual, em PON tem que autorizar a ONU, rede puramente em cabo de par trançado usando switches com isolamento de portas (vulgo "VLAN fixa") juntamente com o ARP reply-only fica bem segura (não comunica nem com outros clientes nem com o gateway sem ser autorizado) e rede FTTC (PACPON e afins) dá para controlar a porta elétrica onde conecta o cliente além de fazer as mesmas técnicas da pura em par trançado.

O que sobra é o que sempre questionam: alguém que já foi autorizado a conectar na rede (porque com essas técnicas que listei, se não for autorizado nem tem chance) clonar o MAC de outro. Bom, para isso podemos usar a opção 82 do DHCP como parte da identificação do assinante. O problema é que todo equipamento para ponto de acesso wireless que conheço (MikroTik, Ubiquiti e acho que Cambium também) usa o MAC do cliente como Remote ID na opção 82, ou seja: inútil. O máximo que limita é que a clonagem só possa ser feita entre clientes servidos pelo mesmo ponto de acesso, devido ao Circuit ID identificando a porta física.

Já propus uma solução desse problema para a MikroTik, uma feature request no fórum, mas sem resposta até agora, então acho que vou enviar para o e-mail de suporte deles. Minha proposta resolve o problema independente do fabricante usado no ponto de acesso.

De qualquer forma, os riscos são MUITO pequenos, insuficientes para justificar a preferência por PPPoE, frente aos benefícios que o DHCP proporciona por ser uma forma totalmente fora do plano de encaminhamento de pacotes: mais robustez com menor consumo de hardware, sem adição de overhead, insensível a falhas (se um servidor DHCP para, pode convergir para outro sem derrubar a conexão do cliente, como acontece com o PPPoE)...

Ah, e antes que digam: dá para fazer accounting de tráfego com DHCP normalmente. PPPoE não é vantagem nisso. E quem acha complicado configurar tudo isso é pre-gui-ço-so! Negócio simples desse...

[andrecarlim]

Pois é, tô eu aqui querendo defender o PPPoE novamente! Olha a principal pergunta que eu vou fazer é: quem está mantendo redes aí com mais de 500 usuários, segmentada, com IP válido usando DHCP?

É fácil tacar o pau no PPPoE e exaltar o DHCP... Mas...

[andrecarlim]

E por favor, nem vamos falar de Mikrotik, vamos esquecer os produtos aqui...

[TsouzaR]

Pois é, tô eu aqui querendo defender o PPPoE novamente! Olha a principal pergunta que eu vou fazer é: quem está mantendo redes aí com mais de 500 usuários, segmentada, com IP válido usando DHCP?

É fácil tacar o pau no PPPoE e exaltar o DHCP... Mas...

Eu não tenho. Hoje, infelizmente, uso Hotspot com autenticação por MAC, mas qual é o problema que você está imaginando com esse cenário (mais de 500 assinantes, segmentado e IP válido)?

[andrecarlim]

Problema nenhum! Só quero saber se alguém mantém para dizer pra gente se existe problema... Porque deve ser ótimo economizar ipv4 com DHCP, uma maravilha! Muito fácil mesmo! Mamão com açúcar! Pensando em segmentar a rede é claro, porque até onde sei loop também afeta rede com DHCP, então dizer que PPPoE é um malefício é algo que tem que ser analisado bem antes falar merda.

Eu tenho um pouquinho de experiência com PPPoE, por exemplo, eu tenho um cliente que tem 22k (isso mesmo VINTE E DUAS MIL CONEXÕES PPPOE de assinantes) e eu atendo tudo com accel-ppp em 6 caixas e não passo por esses problemas aí que falam, isso me leva a crer que tem gente burra tentando usar PPPoE dá forma errada!

Isso é só um cliente, tenho muitos provedores, sem falar das empresas que atendo que tem aquelas VLANs podres dá OI que pra funcionar tive que ter servidor PPPoE exclusivo sobre a rede dá oi e funciona em mais de 15 estados do país, para atender aproximadamente 500 filiais com trabalhos de missão crítica, tendo servidores que estão ligados a mais de 600 dias com o processo do rp-pppoe sem travar, isso mesmo, nem tive coragem de trocar para accel ainda!

E isso que falam que PPPoE não funciona!

[TsouzaR]

Problema nenhum! Só quero saber se alguém mantém para dizer pra gente se existe problema... Porque deve ser ótimo economizar ipv4 com DHCP, uma maravilha! Muito fácil mesmo! Mamão com açúcar! Pensando em segmentar a rede é claro, porque até onde sei loop também afeta rede com DHCP, então dizer que PPPoE é um malefício é algo que tem que ser analisado bem antes falar merda.

Consigo ter o mesmo efeito de economia de IPs que o PPPoE, usando DHCP, sem absolutamente nenhum problema! Basta imitar o comportamento do PPPoE nessa parte.

Eu tenho um pouquinho de experiência com PPPoE, por exemplo, eu tenho um cliente que tem 22k (isso mesmo VINTE E DUAS MIL CONEXÕES PPPOE de assinantes) e eu atendo tudo com accel-ppp em 6 caixas e não passo por esses problemas aí que falam, isso me leva a crer que tem gente burra tentando usar PPPoE dá forma errada!

Aposto que atenderia com metade da quantidade de caixas se usasse DHCP, hehehe.


No meu caso, ao menos, tem também um pouco de motivação filosófica para não usar isso: simplesmente não vou usar algo de que não preciso nem trás vantagem aparente, que resolve um problema que não existe mais (não estamos mais na era do ATM, lá tinha justificativa para PPPoA, mas qual é a do PPPoE hoje?), que em teoria é desvantajoso (faça prejuízo significativo ou não, o overhead está lá, bem como o comportamento stateful sem ganho algum) e que está mais propício a problemas.

Sim, é mais propício a problemas: quantos bugs você já viu surgirem no RouterOS que deixaram o DHCP instável e quantos fizeram isso com o PPPoE? Tem que sair catando versão (você falou para não citar fabricantes, mas queira ou não, MikroTik é a realidade para provedores e isso pesa na análise)... Quando um roteador com firmware de fábrica perde configuração, para qual modo ele volta e que fará o acesso à Internet continuar funcionando, ao menos no cabo? Qual dos dois métodos trará mais problemas se for mal implementado por seja lá qual for o fabricante? Exemplo: servidor DHCP singlethreaded funciona bem e com muita capacidade, mas e o PPPoE? A implantação (na programação) e manutenção (balanceamento ou binding entre núcleos, IRQs...) do multithreading é mais suscetível a erros por demandar mais trabalho.

[andrecarlim]

Ótima resposta! Você está especulando, vamos falar de realidade, talvez aguardar algum colega que use isso em produção para compartilhar as dificuldades.

P.S.: qualquer provedor que depender de mikrotik, seja para transporte do link até o cliente ou no "core" da rede, deve fechar e deixar pra alguém que saiba o que está fazendo. Mikrotik jamais deve ser levado em consideração quando falamos de missão crítica ou qualquer serviço um pouco mais complexo, por favor...

[andrecarlim]

Queria saber porque você não usa DHCP? Defende, mas não usa, lembrando que Hotspot não é propriamente dhcp, a autenticação é por Mac ou Pap/Chap no navegador. Quero saber de DHCP! Puro e simples com IPv4 público, como faz pra "imitar" o PPPoE (sério mano, você falou imitar, a ideia não era deixar de lado o PPPoE?), Sabe me dizer? Tecnicamente falando.

[TsouzaR]

Ótima resposta! Você está especulando, vamos falar de realidade, talvez aguardar algum colega que use isso em produção para compartilhar as dificuldades.

P.S.: qualquer provedor que depender de mikrotik, seja para transporte do link até o cliente ou no "core" da rede, deve fechar e deixar pra alguém que saiba o que está fazendo. Mikrotik jamais deve ser levado em consideração quando falamos de missão crítica ou qualquer serviço um pouco mais complexo, por favor...

Nem tudo aí é especulação, não estou chutando, estou dizendo o que sei com base no meu conhecimento, relatos e noites viradas fazendo pesquisas pela Internet.

Concordo quanto a não depender de MikroTik, mas qual outra solução com baixo Capex e Opex você conhece? O cara tem que gastar mais caro para usar PPPoE, se pode ter uma solução estável pagando menos?

Queria saber porque você não usa DHCP? Defende, mas não usa, lembrando que Hotspot não é propriamente dhcp, a autenticação é por Mac ou Pap/Chap no navegador. Quero saber de DHCP! Puro e simples com IPv4 público, como faz pra "imitar" o PPPoE (sério mano, você falou imitar, a ideia não era deixar de lado o DHCP?), Ave me dizer? Tecnicamente falando.

Não uso ainda por 3 razões:

1) Legado. Peguei essa rede aqui em uma mistura de PPPoE e Hotspot com usuário e senha. PPPoE foi saindo aos poucos porque era inútil e por pressão minha. Por incômodo com usuário e senha no Hotspot, começou-se a fazer bypass dos assinantes e controlar banda via rate-limit manual no DHCP. Por inconsistência de IPs entre o ERP e os roteadores de autenticação e todos problemas decorrentes disso, bem como pelo excesso de trabalho manual e a inutilidade do Hotspot nessa forma, adotamos autenticação por MAC.

2) Outros focos. Está funcionando bem hoje e estamos focados e ocupados em outras questões. Não há no momento tempo para eu estudar a implantação disso no FreeRadius e adaptação do ERP, nem para lidar com o processo de migração e possíveis problemas que possam ocorrer. Imagino que talvez a adaptação pode ter obstáculos, não ser possível, e tenhamos que trocar de ERP, aí aumenta custo, o que não é bem vindo agora também (ou então eu desenvolvo um, mas o provedor não vai esperar).

3) Não é o momento. Estamos prestes a iniciar uma nova rede em outra tecnologia e nela, do zero, vamos já adotar o DHCP + Radius. Talvez, nesse momento, eu aproveite para migrar a rede atual e padronizar tudo. Vou abandonar Hotspot + MAC basicamente por filosofia, não é a solução correta, e também porque é praticamente preso a MikroTik.


Sobre imitar: que tal "seguir o exemplo"? kkkkk. Não que seja algo inventado pelo PPPoE, mas a forma como ele proporciona a economia de IPs é a única que conheço com tamanha eficiência, então tem que fazer igual. Se é apenas uma das formas como DHCP pode ser configurado, qual o problema? Eu já tinha essa ideia antes, mas ela foi apresentada na lista GTER há pouco tempo como solução para um problema parecido. Consegue se lembrar?

[andrecarlim]

Ótimo, espero que eu esteja por aqui para conversarmos quando você "mexer" nisso! Espero ansiosamente que compartilhe a sua experiência com o DHCP em nível 'carrier-grade'.

P.S.: sobre valor de equipamentos, hoje em dia, tenho clientes com 2000 sessões PPPoE sobre Core i3 passando ~ 900mbps, com 4gb de memória, alguns ajustes no kernel, Debian e accel-ppp... Muito tranquilo e confiável, preço bom para toda a tranquilidade e nível de "profissionalismo" da solução, claro ainda tem a energia e tal, mas isso para 2000 clientes que não incomodam, nem conta, e o melhor, depois do iptables bem configurado não preciso atualizar muito não, fica lá ligado uns 400 dias até trocar de máquina... Aí que entra o grande ponto da discussão... Vale a pena usar equipamento "super" barato e sacrificar essas noites de sono que você perdeu para vim me dizer que Mikrotik leva peso na decisão? Ou até mesmo dizer que o PPPoE é obsoleto em frente ao dhcp? Quem se importa com o overhead se tudo está funcionando bem e o provedor ativando cliente de vento em poupa? Pense nisso que falei.

[eduardomazolini]

Modo ARP reply-only e ativar no servidor DHCP o Add ARP for Leases isso eu entendi e uso em Hotspot.

Eu não entendi a questão do circuito id, pode explicar melhor?

O remote id seria o nome no caso de PC e celulares, correto?

Eu tenho vários concentradores, um em cada torre o que me leva ao problema de ter muitos ranges de IPs pra fazer NAT, não consigo dividir meus IPs Públicos em tantos concentradores.
Como meus concentradores estão dispersos não tenho problema de overhead.
Como tenho muitos concentradores é difícil usar o conceito de banda mínima quando o Link fica lotado, as filas estão em caixas diferentes, não da pra somar.
Eu confesso que já usei ver tempo que o PPPoE está ativo pra achar muitos problemas de baixo nível (cabos de antena com problema, interferência, CCQ baixo).
Eu penso que não acharia esses problemas com DHCP. Mas aí é questão de experiência.

[delegato]

Outra vantagem do dhcp, sobre o pppoe, é o quesito de configuração de equipamento, se um cliente reseta seu roteador não ficará sem internet se usar dhcp, já pppoe terá que deslocar um técnico até o local para reconfigurar, ou seja dhcp é bem prático, aqui sempre usei dhcp, com pppoe nunca tive muito sucesso apesar de hoje estar usando as duas formas, pppoe sempre tem umas quedas inexplicáveis.

No dhcp consigo distribuir ips com /30 ou seja clientes não se enxergam, esses ips podem ser dinâmicos ou fixados em mark static, com alguns filtros nas lans (bridge), client isolation nos aps, fica bem segura a rede.

Comecei a usar bastante pppoe em depois de uma rede cabeada alguns roteadores que não pegaram o ip automaticamente ae colocava pppoe, hoje tenho bastante pppoe, mais volta e meia algum cliente burro reseta um roteador ae temos que reconfigurar...

[eduardomazolini]

No dhcp consigo distribuir ips com /30 ou seja clientes não se enxergam, esses ips podem ser dinâmicos ou fixados em mark static, com alguns filtros nas lans (bridge), client isolation nos aps, fica bem segura a rede.

Aí vai a minha primeira coisa que já tinha falado. Você pode usar um Gateway comum a todos e atribuir máscara /32.

[TsouzaR]

Vale a pena usar equipamento "super" barato e sacrificar essas noites de sono que você perdeu para vim me dizer que Mikrotik leva peso na decisão?

Preço não é o único fator. Me diga outra plataforma que possibilite implantar PCQ e Hotspot com todos recursos, sem um trabalho insano ou muito manual e sem gambiarras, bem como possua uma interface de scripting flexível e ilimitada, integrada a boa parte dos recursos, além de ser tão automatizada via Radius (exemplo: parâmetros Radius para adicionar IP a address list), que largo MikroTik no controle/autenticação de assinantes.

Se é possível continuar usando MikroTik e usufruindo de todos esses recursos, por que trocaria apenas devido a uma forma de autenticação que não funciona tão bem com esse fabricante?

Adição: ah, o que eu falei é que a realidade dos provedores, que é de bastante uso de equipamentos MikroTik, pesa na análise, não que vou escolher algo pensando em um fabricante em específico.

Ou até mesmo dizer que o PPPoE é obsoleto em frente ao dhcp? Quem se importa com o overhead se tudo está funcionando bem e o provedor ativando cliente de vento em poupa? Pense nisso que falei.

Eu disse que PPPoE resolve um problema que não existe mais. Se isso é chamar de obsoleto, então é obsoleto, porque é um fato.

Funcionar, até rede toda em bridge funciona. Mas é escalável? Sei que PPPoE escala, mas é a forma MAIS escalável? Talvez seja meu perfeccionismo, mas não me conformo em usar algo, mesmo que funcione bem, sabendo que há uma alternativa ainda melhor disponível sem gerar mais custos nem ter que trocar equipamentos. Isso é parte da motivação filosófica de que falei.

[eduardomazolini]

Pcq no PPPoE é possível de forma simples. Não sei exatamente o que faz mas eu uso.

[AndrioPJ]

Outra vantagem do dhcp, sobre o pppoe, é o quesito de configuração de equipamento, se um cliente reseta seu roteador não ficará sem internet se usar dhcp, já pppoe terá que deslocar um técnico até o local para reconfigurar, ou seja dhcp é bem prático, aqui sempre usei dhcp, com pppoe nunca tive muito sucesso apesar de hoje estar usando as duas formas, pppoe sempre tem umas quedas inexplicáveis.

No dhcp consigo distribuir ips com /30 ou seja clientes não se enxergam, esses ips podem ser dinâmicos ou fixados em mark static, com alguns filtros nas lans (bridge), client isolation nos aps, fica bem segura a rede.

Comecei a usar bastante pppoe em depois de uma rede cabeada alguns roteadores que não pegaram o ip automaticamente ae colocava pppoe, hoje tenho bastante pppoe, mais volta e meia algum cliente burro reseta um roteador ae temos que reconfigurar...

uma falsa premissa que muitos provedores tem ao usar ppoe é que por ele usar usuario/senha já estão seguros.
Sinto dizer-lhes, mas não estão...
Não importa se usa dhcp, hotspot ou ppoe... a segurança da rede é sempre bem vinda.
E isso não é algo que um unico protocolo via resolver, mas sim um conjunto de técnicas, sendo algumas delas fisicas.

Conversa de gente grande aqui, hein? Eu prefiro ficar quietinho, só esperando a hora certa para argumentar.

Mas, agora eu vim pra perguntar: Hoje tenho a minha disposição um Juniper MX104 (que por sinal, todos nós sabemos que é muito robusto, né?) somente para trabalhar como concentrador PPPoE, quais as vantagens que eu teria - utilizando essa caixa - mudando de PPPoE para DHCP?

Alguém que já tenha aplicado o "option 82" para poder nos mostrar e compartilhar experiência? Isso tá igual filhote de pombo, só ouço/leio falar, mas ainda não pude ver e contemplar com meus olhos.

Se levar em consideração o overhead do protocolo pppoe, já é um belo motivo para migrar para dhcp.

[TsouzaR]

Pcq no PPPoE é possível de forma simples. Não sei exatamente o que faz mas eu uso.

Sim, o que eu quis dizer é que não há PCQ fora do RouterOS, ou ao menos não há sem um trabalho enorme e um monte de coisas manuais e Shell Scripts, principalmente em Linux ou BSD puro. O fato do RouterOS ter esse recurso em um nível de usabilidade condicente com sistemas de rede valoriza bastante ele.

Mas, agora eu vim pra perguntar: Hoje tenho a minha disposição um Juniper MX104 (que por sinal, todos nós sabemos que é muito robusto, né?) somente para trabalhar como concentrador PPPoE, quais as vantagens que eu teria - utilizando essa caixa - mudando de PPPoE para DHCP?

- vai conseguir manter o MTU padrão da Internet, de 1500, até os dispositivos de seus clientes, ou seja: sem fragmentação, que aumenta os pacotes por segundo para uma mesma quantidade de tráfego e demanda mais trabalho de processamento.

- vai remover uma máquina de estados inútil para a utilização de serviços de rede, Internet, etc., que é a das sessões PPPoE.

Esses dois itens vão prolongar um pouco a chegada ao limite da capacidade do equipamento. Ainda mais um MX104, que para chegar no limite vão milhares de assinantes encima, quantidade em que o ganho em escala é maior ainda. Só não tenho números exatos, procurei benchmark e não achei, então me baseio na teoria.

- se chegar a colocar outra caixa fazendo redundância no DHCP um dia, um problema vai ser muito menos imperceptível (talvez totalmente) para o assinante na convergência do que no caso de sessões PPPoE caindo e reconectando no outro concentrador. VRRP/HSRP no gateway para o cliente é possível, bem como acho que há outras tecnologias proprietárias que sincronizam até as conexões (talvez exista algo que sincronize sessões PPPoE, mas também deve ser só em solução top de tudo, até preço - se existir, esse MX104 deve ter...). Até uma máquina virtual pode rodar um servidor DHCP à parte para milhares de assinantes... Resumindo: vejo muito mais flexibilidade com DHCP.

[eduardomazolini]

Quanto ao MTU os rádios e Mikrotik de hoje suportam MTU maiores justamente pra passar MPLS e PPPoE e no final continuar com 1500, não é?

A máquina de estado não vejo problema por enquanto. A vantagem da redundância sem queda acho que seja pequena perante ao problema que elevou a mudar de caixa. Ela inclusive me ajudou a perceber situações de má qualidade ou problemas de baixo nível.

Mas essa questão de circuit id e/ou opção 82 alguém pode me explicar?

[gregorypv]

Problema nenhum! Só quero saber se alguém mantém para dizer pra gente se existe problema... Porque deve ser ótimo economizar ipv4 com DHCP, uma maravilha! Muito fácil mesmo! Mamão com açúcar! Pensando em segmentar a rede é claro, porque até onde sei loop também afeta rede com DHCP, então dizer que PPPoE é um malefício é algo que tem que ser analisado bem antes falar merda.

Eu tenho um pouquinho de experiência com PPPoE, por exemplo, eu tenho um cliente que tem 22k (isso mesmo VINTE E DUAS MIL CONEXÕES PPPOE de assinantes) e eu atendo tudo com accel-ppp em 6 caixas e não passo por esses problemas aí que falam, isso me leva a crer que tem gente burra tentando usar PPPoE dá forma errada!

Isso é só um cliente, tenho muitos provedores, sem falar das empresas que atendo que tem aquelas VLANs podres dá OI que pra funcionar tive que ter servidor PPPoE exclusivo sobre a rede dá oi e funciona em mais de 15 estados do país, para atender aproximadamente 500 filiais com trabalhos de missão crítica, tendo servidores que estão ligados a mais de 600 dias com o processo do rp-pppoe sem travar, isso mesmo, nem tive coragem de trocar para accel ainda!

E isso que falam que PPPoE não funciona!

Rpz....vc já tentou acessar a rb via Mac?
Vc percebeu que a conexão as vezes cai? Nao eh pppoe mas é camada 2. E olha que eh ponto a ponto de fato. Cabo na rb e outra ponta no note.
Pppoe funciona na camada 2. Se funciona com 500 usuários ou 22k usuários deve funcionar sim. Agora aposto com vc que muitos ficam caindo. Muitos dizem que funciona normal pq não acompanha e o usuário não reclama. Pq a queda leva de 4 a 10 segundos. Muito desses caras nem sabem da active connection.
Camada 2 não tem controle de fluxo nem retransmissão e aí já viu