Página 1 de 11 123456 ... ÚltimoÚltimo
+ Responder ao Tópico



  1. Exemplo 1:
    ============================================================

    O Provedor recebe o link dedicado e uma classe /29, utiliza o primeiro IP desta como gateway e o segundo como IP do seu servidor MikroTik .

    Neste caso, configure a interface do Link como proxy-arp e a interface dos clientes como reply-only depois adicione a seguinte regra no mikrotik em NEW TERMINAL, cole:

    / ip firewall nat
    add chain=dstnat action=passthrough src-address=XX.XX.XX.XX/XX \
    comment="REPASSE DE IP" disabled=no

    Onde XX.XX.XX.XX/XX é o IP/MASCARA que tiver disponível no seu link

    Após ter feito isso adicione cada IP no campo 'Remote Address' em 'PPP secret' para cada cliente que tiver 'IP Público e fixo' ou crie uma pool em IP 'pool' contendo os IPs disponíveis e defina esta 'pool' no 'profile' de seu servidor PPPoE ou ainda apenas no profile/plano que estiverem os clientes que vão receber IP Público e estes terão um IP dinâmico que poderá mudar a cada nova conexão.

    Dica 1: PROXY-ARP não é o método mais seguro mas permite alguma flexibilidade quando não dispomos de muitos IPs.

    Dica 2: Não crie um mascaramento dito 'genérico', mascare apenas as classes de IP privadas que estiverem em uso. Ex: 10.0.0.0/24 e sempre informe a 'out-interface' no mascaramento como sendo a interface do link (EthLinkD).

    Dica 3 e puxadinha de orelha: Cuidado com programas de gerenciamento para provedores que criam regras mal concebidas que seguem uma lógica esdrúxula como se todo provedor tivesse o mesmo tipo de necessidade, essa é a causa provável de muitos problemas.



    ============================================================
    Exemplo 2:

    O provedor recebe o link dedicado em uma classe e possui outras classes adicionais para utilizar com clientes, ou ainda pode quebrar em sub-classes para montar seu roteamento.

    Este é o típico caso onde podemos aplicar o roteamento de forma bastante simples.

    Básicamente o que deve fazer é seguir com o roteamento da operadora 'pra dentro' da sua estrutura, vamos lá:

    1. Coloque um IP público na interface do link.

    2.
    Defina as classes públicas nos pools de IPs que irá utilizar para seus usuários e a cadeia de conexão que deverão seguir.
    Ex: PoolA cai no PoolB quando estiver cheio e assim por diante, recomendo que faça isso pois terá um melhor controle e poderá utilizar para cada pool de IPs um plano diferente e isso tem várias implicações numa QoS.

    3. No profile padrão do PPPoE indique que o 'Local Address' que será o gateway default dos clientes é o IP público da interface do link, assim o roteamento estará completado.
    Trocando em miúdos, você estará indicando que a rota de saída dos IPs segue seu roteamento padrão.

    Dica 4: Nunca mascare classes de IPs públicos a não ser que tenha uma boa justificativa, como por exemplo por possuir poucos IPs pode criar um mascaramento para cada plano e indicar uma saída para cada plano ou seja, clientes do planoA saem mascarados pelo ip público A, do B pelo B e assim por diante.



    Exemplo 3:

    ============================================================

    Repassando mais de um IP pela conexão PPPoE utilizando roteamento estático.

    Defina um IP fixo para o cadastro do secret/usuário em questão no campo 'Remote Address', pode até ser um IP privado.

    Acesso o menu IP / Route e adicione uma rota contendo no destino os IPs que deseja repassar e no gateway o IP do usuário que utilizou cadastro do usuário/secret no passo anterior.

    Obs: Se tiver muitos clientes com esta mesma necessidade este método é inviável e se faz necessário implantar o OSPF para o gerenciamento das rotas. Na maioria dos casos a implantação é simples e rápida mas vai depender de como a rede estiver configurada.



    Exemplo 4:
    ============================================================

    No caso de muitas rotas onde já tiver a autenticação na borda deverá optar por um método de roteamento dinâmico e uma das vantages é que com isso economiza recursos da central e aumenta consideravelmente a segurança da sua rede de distribuição (não é obvio mas em vista do que encontramos na prática é quase regra).

    Se for migrar uma bridge de distribuição por exemplo, o primeiro passo é passar a autenticação para as bordas, na sequência roteie os dispositivos conectados a borda e siga em direção a saída do link, com isso será possível fazer a migração a quente mesmo e continuar usufruindo da estrutura em bridge até a virada total.

    Um OSPF básico é também rápido de fazer, você tem de definir a network área que fará o transporte redistribuindo a rota default e redistribuir as conectadas tipo 1 no seu servidor.

    Nas bordas precisa configurar a mesma network área para o transporte e na instância redistribuir a rota default e conectadas tipo 2.

    Dessa forma já estará em funcionamento e será possível visualizar as instâncias UP em ambos os lados, também pode ter outras áreas entre a borda e o seu concentrador aumentando a complexidade e até terminar num anel podendo utilizar essa topologia como backup de rotas com o stp/rstp ainda tendo a possibilidade de custos diferenciados para cada saida permitindo balancear melhor o tráfego mas isso seria material para outro post.

    Casos: Recentemente fizemos uma virada a quente de uma rede em bridge com aproximadamente 190 dispositivos wireless atendendo entre 2500 e 3 mil usuários por isso não era possível parar em nenhum momento os serviços já existentes, ficam as dicas acima pois vão encontrar muitos casos semelhantes no seu dia a dia.



    Exemplo 5:
    ============================================================

    NAT 1:1 Para redirecionamento público/privado e seu retorno, tens duas formas de fazer, por dst-nat e src-nat ou utilizando netmap conforme os exemplos:

    Adicione o ip público e mascara a interface pública do mikrotik (entrada do link).
    Ex: 200.xxx.xxx.10/28 na interface 'EthLinkD'

    Na tabela NAT adicione uma regra cuja chain dst-nat redirecione o que chegar para o ip público 200.xxx.xxx.10 utilizando também a action dst-nat para o ip privado, identificando a interface de entrada como sendo o seu link.

    action=dst-nat chain=dstnat comment="PC.DSTR" disabled=no dst-address=186.x.x.27 in-interface=EthLinkD to-addresses=10.xx.xx.10

    Na sequencia faça o oposto, mascarando as requisições que chegarem do ip privado 10.xx.xx.10 para sairem pelo ip público 186.x.x.27 identificando a interface de saída como sendo o link.

    action=src-nat chain=srcnat comment="PC.MSQR" disabled=no out-interface=EthLinkD src-address=10.xx.xx.10 to-addresses=186.x.x.27

    E não esqueça de colocar estas regras antes do seu mascaramento geral para que tenha o resultadao esperado, este é um exemplo de NAT 1:1, você também pode utilizar o netmap para a função e fazer o repasse para uma range de ips sem necessidade de criar uma regra para cada ip.

    ----------------------------------------------------------------------

    Fiz a pedido então espero que atenda a necessidade qualquer coisa façam como eu fiz, explique direitinho o que precisa que não vai faltar quem ajude e se ficarem dúvidas vou complementando no decorrer dos dias.

    Ajude a manter o fórum organizado: faça perguntas com fundamento e principalmente não espere que alguém adivinhe o que você tem implantado e o que você quer fazer, dê exemplos detalhados pra que possamos ajudar.

    Nosso combustível é o seu agradecimento então se foi de alguma ajuda não deixe de clicar na estrelinha e agradecer, a gente agradece.

    Abraço a todos e obrigado pelos incentivos.
    Última edição por m4d3; 06-09-2011 às 20:02.

  2. Luciano boa noite, uma pergunta, tem como enviar uma mascara por exemplo /28 no pppoe pro cliente fazer o roteamento dali adiante?



  3. Citação Postado originalmente por p4ulo182 Ver Post
    Luciano boa noite, uma pergunta, tem como enviar uma mascara por exemplo /28 no pppoe pro cliente fazer o roteamento dali adiante?
    Tem sim, temos casos de clientes empresariais que recebem vários ips pela conexão pppoe, acompanho sua trajetória aqui no under e te parabenizo por tantas valiosas colaborações.

    Se achar necessário faço um esboço sobre isso no tópico.

    Abraço

  4. Luciano,

    Quando você for postar artigos use o Blog e espere um pouco ate que tenha sido aprovado pela moderação. (ja foi liberado)

    Gostaria tambem de apagar esse tópico ou bloquea-lo para que todos comentarios relacionados ao artigo fiquem no seu blog desta forma fica mais facil encontrar informações futuramente.

    Por favor me informe se você concorda que eu apague este topico para que tudo fique centralizado em seu post no blog.

    Minha ideia é que artigos escritos por membros do underlinux fiquem no blog e que o forum seja usado apenas para perguntas nao relacionadas com artigos.

    Aguardo sua aprovação para apagar este topico.

    Obrigado,



  5. Citação Postado originalmente por m4d3 Ver Post
    Tem sim, temos casos de clientes empresariais que recebem vários ips pela conexão pppoe, acompanho sua trajetória aqui no under e te parabenizo por tantas valiosas colaborações.

    Se achar necessário faço um esboço sobre isso no tópico.

    Abraço
    Brigado Luciano, sempre repasso oque está ao meu alcance, será de muita valia para mim e outro user do forum, pois procurei algo relacionado mais não encontrei.






Tópicos Similares

  1. Repasse de IP valido para cliente PPPoE de outra RB na rede
    Por ricardomonteiroSL no fórum Redes
    Respostas: 12
    Último Post: 11-08-2014, 22:00
  2. Respostas: 7
    Último Post: 19-10-2012, 09:13
  3. Respostas: 5
    Último Post: 08-02-2012, 11:03
  4. Respostas: 7
    Último Post: 18-03-2008, 10:02
  5. Respostas: 3
    Último Post: 16-02-2008, 10:50

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L