Usar range de IP /22 ou várias /24?

[raumaster]

Qual melhor opção, usar pra um Servidor PPPOE por exemplo com uma range 172.168.x.x/22 pra ter mais de 1000 IPs Nateados ou criar pools menores e vários profiles cada um com seu pool de IP? Ou não faz grande diferença no que diz respeito ao desempenho e problemas de broadcast?

[fhayashi]

No caso de PPPoE não faz diferença. Mas 172.168.x.x é um /16 e não /22

[raumaster]

Obrigado pela resposta! No caso eu quis dizer um 172.168.16.0/22, que da 1022 Ips utilizáveis.

[Bruno]

se atente as RFC para uso correto

a range 172.168.16.0/22 é um prefixo publico

[raumaster]

Eu quis dizer 172.16.x.x....

[Bruno]

kkkk editou ne kkk

raumaster acaba de responder ao tópico que você acompanha, denominado Usar range de IP /22 ou várias /24?, no fórum Redes do Under-Linux.Org.

O tópico está localizado em:
https://under-linux.org/showthread.p...9&goto=newpost

Aqui está a mensagem que acaba de ser enviada:
***************
Tem certeza, amigo? https://www.arin.net/knowledge/address_filters.html

Faixa de IPs não roteável na Internet:

10.0.0.0/8 IP addresses: 10.0.0.0 -- 10.255.255.255
172.16.0.0/12 IP addresses: 172.16.0.0 -- 172.31.255.255
192.168.0.0/16 IP addresses: 192.168.0.0 – 192.168.255.255

O 172.168.16.0/22 vai do host 172.168.16.1 ao 172.168.19.254 e de acordo com o informado nesse site, é uma faixa privada!
***************

Pode haver outras respostas também, mas você não receberá nenhuma outra notificação até que visite o fórum novamente.

[raumaster]

Sim, vi que eu estava errado, mas nem tinha necessidade disso, se eu editei é porque vi meu erro, nem precisava ter exposto. Mas blz! Eu estava com 172.16 na mente o tempo todo e como uso muito 192.168... tava sempre escrevendo errado.

[Bruno]

Sim, vi que eu estava errado, mas nem tinha necessidade disso, se eu editei é porque vi meu erro, nem precisava ter exposto. Mas blz! Eu estava com 172.16 na mente o tempo todo e como uso muito 192.168... tava sempre escrevendo errado.

Relaxa a piriquita home

é só pra zoar mesmo kkk

mais então vc pode usar todos aqueles blocos la
também como o 100.64.0.0/10 que foi separada para o GCNAT

[raumaster]

CGNAT é "embaçado" pra usar com load balance, acho que nem rola... Temos Load Balance aqui...

[Bruno]

nada haver balance com CGNAT
este bloco é usado pra nat oude ser cgnat ou não

[raumaster]

NO CGNAT você não define um numero X de portas pra sair por determinado link? Ou aquela range de portas pode sair por qualquer link?

[fhayashi]

@raumaster,

essa é uma das técnicas de NAT com deterministica para identificar origem.

A reserva do bloco 100.64.0.0/10 é para operadora usar e não ter problema de acessibilidade com IPs iguais ao que o cliente usaria dentro da rede dele.

[Bruno]

CGNAT sim vc faz isto

[Bruno]

@raumaster,

essa é uma das técnicas de NAT com deterministica para identificar origem.

A reserva do bloco 100.64.0.0/10 é para operadora usar e não ter problema de acessibilidade com IPs iguais ao que o cliente usaria dentro da rede dele.

Exato, o problema é que o pessoal não gosta de ler muito
no RFC ta bem claro que esta range é destinado ao acesso ao cliente através de NAT ou GCNAT afim de evitar conflito na rede interna do cliente

ex: certa vez eu usando o 172.16.0.0/12 no pppoe e a rede do cliente era exatamente esta ai como vc pede pro seu cliente trocar a rede dele

[raumaster]

Sim, eu sei, mas no CG-NAT voce define de qual porta a qual porta de saida vai usar determinado IP 100.64.x.x...Por exemplo, IP 100.64.20.10 vai sair da porta 10000 ate 11000. Pela porta é possível determinal qual cliente fez determinado acesso. Mas ao definir portas específicas por cliente, isso não alteraria a "dinâmica"do Load Balance?

EDITADO:

Aqui não teriamos problema algum em o cliente usar a faixa 172 toda porque não deixamos nenhum equipamento em bridge, só roteado, a WAN do Wi-fi do cliente recebe o IP e internamente quase sempre ou sempre é usado a faix 10 ou 192... Definimos sempre essas faixas e 99% são clientes residenciais.

[Bruno]

Sim, eu sei, mas no CG-NAT voce define de qual porta a qual porta de saida vai usar determinado IP 100.64.x.x...Por exemplo, IP 100.64.20.10 vai sair da porta 10000 ate 11000. Pela porta é possível determinal qual cliente fez determinado acesso. Mas ao definir portas específicas por cliente, isso não alteraria a "dinâmica"do Load Balance?

vc não é obrigado a fazer CGNAT neste bloco de ip vc pode usar ele apenas pra nat

[raumaster]

Sim, essa nem é minha dúvida e como eu falei, nao terei problema algum com cliente usando o faixa 172... O que perguntei, já que foi falado de CG-NAT, é se a dinâmica do Load Balance não seria limitada ao definir portas específicas pra cada IP de cliente. Já que o intuito do uso do CG-NAT é definir quais portas sai o trafego de cada cliente, pra num possivel problema com policia federal, voce saber qual cliente fez determinado acesso, questionando a porta de acesso usada pro pessoal da PF que vier atras do provedor que nao tem AS. Dai vc sabendo que a porta foi por exemplo a porta 10.000 e vc sabe que a 10.000 tá no IP 100.64.20.10 que é o IP e Range de portas definido pro seu "José Francisco", estaria em teoria resolvido o problema... Agora eu tenho a duvida se ao tirar a aleatoridade de portas do cliente, afeta de algum modo o Load Balance.

[andrecarlim]

Depende do tipo de técnica usada para "balancear" a saída, depende do tipo de saída, e também depende de como a rede está disposta do "lado de dentro". Porque eu vejo que se você não tem asn, vai ter um trabalho animal para ter redundância do cgnat caso uma de suas saídas pare de funcionar. Acho que cgnat, no teu caso, vai atrapalhar mais que ajudar.

Minha dica pra você, caso você tenha IPS públicos sobrando dos seus fornecedores de link, faça o seguinte, por exemplo, suponhamos que você tenha 8 IPS de cada link, e tenha 3 links, você teria em teoria 24 IPS públicos além do bloco de "enlace" Wan com cada link. Se você fizer um nat na proporção de 1:32, você conseguirá atender 768 clientes, e caso tenha algum incidente, conseguirá fornecer 32 possíveis sujeitos, dentre os quais um pode ser o alvo da justiça. Todavia, acho que sem ser asn, você vai ser responsabilizado de qualquer forma por qualquer tipo abuso.

Para fazer isso que eu sugeri, você pode usar na regra do Mikrotik, no src-addr um /27 e na action, src-nat para o IP público.

[raumaster]

pois é, eu sabia que existia alguma limitação entre CG-NAT e Load Balance... E o pior, não temos esse tanto de IPs aí nao.

[Bruno]

Jesus, tem que explicar desenhar de pois explicar o desenho,
vc pode usar o bloco 100.64/10 e não usar o CGNAT
vc pode quebrar isto em varias range
10.64.0.0/24 10.64.1.0/24 quantos vcs precisar e colocar no seu balance