RB travando

[adrianodigitel]

ok inquiery cria pra mim então as regras de configuração, ficarei muito grato!

obs.: meu link é net.

Qual CCR vc me indica usar?

[infor3]

@adrianodigitel, sua rede esta muito extensa e cheia de switch, acho que a melhor solução é colocar o PPPOE mais próximo do cliente, compra 4 RB450, coloca uma em cada saída de cliente e uma onde recebe o link da rocketdish de 30DB, faz um roteamento básico entre as RBs e coloca o PPPOE próximo ao cliente e seja feliz e sem dor de cabeça.

[inquiery]

Então, você tem um cabo que desce do Rocket e liga em uma interface, digamos que essa interface seja a ether2 (vamo chama-la de ether2-clientes para melhor visualização), e o link na ether1 (chamemo-la de ether1-link).
No caso do seu link de internet ser pppoe e você tem uma interface pppoe-cliente para ele, onde quer que tiver ether1-link, consideremos que lá deve estar a interface pppoe-cliente referente ao link.


Consideramos que o IP do seu servidor Radius (Webmikrotik) seja, para exemplo aqui, 1.1.1.1.
Considerando também que quem vai controlar o seu pool de endereços será as próprias NAS, e não o Radius.


Então, considerando que sua RB 2011 ja tem acesso a internet configurado (pois você ja usa ela), vamos colocar um IP na ether2-clientes que será o IP que os NAS vão usar para rotear os clientes para a internet.
Vamos usar o IP 192.168.0.1/24 como IP da RB 2011.

Código :

/ip address add address=192.168.0.1/24 interface=ether2-clientes

Agora adicionamos uma regra no NAT para dar acesso a essa rede a internet:

Código :

/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 out-interface=ether1-link action=masquerade

Agora nós temos uma rede configurada que tem acesso a internet, que é a 192.168.0.0/24. É a rede que vamos usar nos NAS para que eles tenham acesso a internet. To considerando aqui, des de agora, que os NAS vão prover internet através de mascaramento (poderiamos configurar rotas estáticas para não usar mascaramento, mas para facilitar por enquanto, vamos assim mesmo).


Na RB 2011 você pode excluir também o servidor PPPoE, pois nesse caso que vamos usar os NAS para fazer a autenticação justamente para diminuir a carga na RB 2011. Poderiamos continuar usando PPPoE para dar acesso a internet para os NAS, mas por enquanto vamos por rotas físicas mesmo e você pode mudar isso depois caso veja alguma necessidade ou prefira dessa forma.




*** NAS ***
Para configurarmos o NAS também é facil.


Adicionar o IP do NAS na sua rede (o qual terá acesso a internet).
Vamos considerar que a ether1 está ligado o cabo que vai em direção a sua RB 2011, e a ether2 o cabo dos seus clientes.

Código :

/ip address add address=192.168.0.2/24 interface=ether1

Configurar uma regra de NAT para dar acesso aos clientes PPPoE a internet, por mascaramento. Note que o túnel pppoe não participa de uma subnet, ele identifica as duas pontas com IPs diferentes mas esses IPs são para identificar cada ponta do túnel onde só existem 2 participantes, por isso uma subnet não é necessária. Jamais vai haver 3 pontas em um túnel.
Ou seja, no próximo passo vamos adicionar um range para o pool, e vamos adicionar de forma que eu possa me referenciar ao range como se fosse uma rede /24, mas só para efeito de facilitação, na realidade, você não possui uma rede /24 com os clientes PPPoE nela.

Código :

/ip firewall nat add chain=srcnat src-address=172.16.0.0/24 out-interface=ether1 action=masquerade

Configuramos um gateway padrão (sendo ele a RB 2011), para direcionar qualquer requisição para redes desconhecidas para ele:

Código :

/ip route add dst-address=0.0.0.0/0 gateway=192.168.0.1

Adicionamos um pool para usar no serviço pppoe:

Código :

/ip pool add name=pool-pppoe ranges=172.16.0.2-172.16.0.254

Adicionamos o PPP Profile que vai ser usado no servidor pppoe:

Código :

/ppp profile add name=pppoe-profile local-address=172.16.0.1 remote=address=pool-pppoe

Configura para usar o teu servidor Radius (eu coloquei ali accouting=no, se você quiser os logs de uso dos clientes, coloca yes):

Código :

/ppp aaa set use-radius=yes accouting=no

Adicionamos o serviço pppoe, vamos considerar aqui que a porta ether2 é onde está o cabo que vem dos clientes, e a ether1 é o cabo que vai em direção a sua RB 2011.

Código :

/interface pppoe-server server add service-name=nas1-server interface=ether2 default-profile=pppoe-profile

Agora configuramos o Radius para authenticar o serviço PPPoE no seu servidor Radius remoto (que estamos considerando ser 1.1.1.1 nesse exemplo):

Código :

/radius add service=ppp address=1.1.1.1 timeout=3000ms

Bom, acho que é isso. Digitei tudo aqui meio de cabeça, pode ter erros na sintaxe ai. E se faltou alguma coisa que eu lembrar, vou adicionando. Mas a partir desse ponto, o sue primeiro NAS configurado ja vai estar funcionando. Outros filtros e regras para aumentar a segurança você vai implementando com o tempo. Uma boa regra de filtro a inicio, por exemplo, é uma regra que bloqueia o acesso de um cliente pppoe a outro. Os PCs não vão "se enxergar" por pppoe, visto a não possuir broadcast, mas se um cliente conhece o IP do outro, você pode acabar tendo trafego entre clientes (até algum virus pode utilizar essa brecha) ocupando sua rede onde não precisaria.
Os outros NAS você configura da mesma forma que o primeiro, alterando o IP da interface que liga com a RB 2011:

Código :

/ip address add address=192.168.0.3/24 interface=ether1

Eu só indicaria, também, mudar os IPs para facilitar a compreensão, por exemplo o pool do NAS 2 poderia ser:

Código :

/ip pool add name=pool-pppoe ranges=172.16.1.2-172.16.1.254

E dai você alteraria a regra de NAT nesse segundo nas para:

Código :

/ip firewall nat add chain=srcnat src-address=172.16.1.0/24 out-interface=ether1 action=masquerade

Qualquer coisa vai avisando, eu duvido que não tenha algum erro ai pois, como disse, foi meio de cabeça, mas a gente vai ajeitando.
Qualquer coisa você pode entrar em contato com o pessoal do Webmikrotik, de repente o sistema deles tem toda uma gama de scripts prontos para configurar seus NAS, bastando que você indique o endereço do NAS para o Webmikrotik.
E claro, você não pode esquecer de adicionar o endereço dos NAS no seu Radius