Ccr 1009 - 8g - 1s travando

[michelkalinoski]

Coloca uma regra na chain input para dropar o que entrar na porta 53 e não for dos IPs da sua rede interna.

Podes me passar detalhado como fazer essa regra lá no firewall amigo?

[Bruno]

tem algo errado neste trafego
download e upload altos

[Bruno]

ta um torch na interface do link

[Bruno]

Podes me passar detalhado como fazer essa regra lá no firewall amigo?

https://wiki.mikrotik.com/wiki/Manua...irewall/Filter

[michelkalinoski]

ta um torch na interface do link

[fhayashi]

Problema da CPU com alto consumo continua?

[michelkalinoski]

Problema da CPU com alto consumo continua?

Tudo legal agora, CPU 0 vai no máximo 17 %

[michelkalinoski]

https://wiki.mikrotik.com/wiki/Manua...irewall/Filter

Melhorou bastante depois de aplicar as regras, mas ainda continuo perdendo uns pacotinhos

[michelkalinoski]

Agora perdi o acesso ao winbox quando estou no pppoe, só consigo quando plugo cabo na CCR e vou pelo mac .

[TsouzaR]

com esses dados meu amigo quando chegarem na sua provedora, eles ja sabem qual o ip e mac que estao buscando é tudo monitorado, so vao querer saber quem estava usando no momento de algum acesso ilegal, e vai puxar no sistema quem é o seu cliente, para tomar as medidas cabiveis

Eles vão pedir para identificar o usuário que fez uma determinada conexão, identificada pelo IP público, porta de origem e IP de destino. O autor do tópico entrega IP privado para os clientes e faz NAT. Ou seja, sabe em que apenas esse relatório do MK-Auth ajuda nisso? A nadar.

Ajudaria caso todos clientes recebessem IP público, ou então com auxílio de outras informações: você precisa ter log do processo de NAT, para saber exatamente para qual IP privado uma determinada porta do IP público foi usada e quando isso ocorreu. A reserva e fixação de grupos portas de origem dos IPs públicos para cada IP privado, como é feito no CGNAT, facilita as coisas.

Melhorou bastante depois de aplicar as regras, mas ainda continuo perdendo uns pacotinhos

Ordene esse Torch pela coluna de TX Rate ou RX Rate aí (verifique os dois), para ter os maiores valores no topo, senão não é muito útil.

[Leonardosousa]

Boa noite pessoal, tenho aqui um CCR 1009 - 8G - 1S, chegando um link dedicado de 35 megas, 84 clientes autenticando pppoe com planos de 2 megas e 5 megas. Saindo do CCR tenho 4 PTP via rádio (UBNT) que entregam a conexão para os POPs Mikrotik.
Como regras tenho bloqueio de portas contra ataques externos SSH, Telnet, WEB e winbox (estava sofrendo ataques a pouco tempo). Tenho tbm um servidor RADIUS (MK AUTH), mas só uso ele para gerar boletos (controlo pelos secrets mesmo). Fora isso tenho um servidor de logs salvando os logs dos usuários (um note com windows e o syslog daemon), visto que tenho uma regra que direciona o trafego da porta 80 para meu webproxy que usa porta 8080.

Notei a poucos dias que a rede está perdendo pacote, quando entro pelo winbox ele trava bastante e cai a conexão, já olhei os logs e não tem nada aparente, uso de memória está legal e dos processadores tbm, alguém tem alguma sugestão?

Gtfff
trabalho vp

Sent from my SM-J500M using UnderLinux mobile app

[andrecarlim]

com esses dados meu amigo quando chegarem na sua provedora, eles ja sabem qual o ip e mac que estao buscando é tudo monitorado, so vao querer saber quem estava usando no momento de algum acesso ilegal, e vai puxar no sistema quem é o seu cliente, para tomar as medidas cabiveis

Rachei de rir aqui! É isso que dá achar que já sabe de tudo e querer falar com autoridade! Tomara que um dia tenha que prestar contas a POLÍCIA FEDERAL que deve estar devidamente munida de uma ORDEM JUDICIAL te acusando de crime. Porque se a Anatel te pedir um log de conexão você nem deve dar atenção, se te pedir. A única coisa que a Anatel faz é aplicar multa caso você esteja trabalhando de forma ilegal (o velho caso do SCM, STFC e afins...).

Em todo caso espero que nesse dia você esteja usando o NAT para todos seus clientes e tomara que não tenha IPv6 ainda. Para se lembrar de não dar palpite furado aqui, é por isso que a internet no Brasil, em grande parte dela, está uma bosta! O cara faz um merda de um NAT numa RB e acha que já sabe de tudo! Fico louco com isso!

Amigo se você não tem muitos ips públicos para distribuir para seus clientes recomendo o uso de cg-nat. Ficará um pouco menos difícil identificar os dados QUANDO for solicitado pela PF.

[rimaraujo]

A Vivo ainda não mexeu os pauzinhos para me dar IPv6 ainda, então um túnel IPv6 está sendo minha solução aqui.

Anexo 66531

Na imagem, estou assistindo Netflix no smartphone já com IPv6. :-)

Artur quer subir um multihoop com meu borda? Tenho duas portas v6.

[michelkalinoski]

Como posso fazer esse CG-NAT , dá para fazer no mikrotik?

[andrecarlim]

Como posso fazer esse CG-NAT , dá para fazer no mikrotik?

Aqui tem uma ótima explicação sobre o assunto:

https://wiki.mikrotik.com/wiki/Manua...T.29_or_NAT444

Se mesmo assim não conseguir, você precisa de uma consultoria!

[Bruno]

Galera seguinte
sem delonga o tópico ta começando a perder o foco @andrecarlim irmão não me leve a mal mais desnecessário os comentários irei apaga los , mantenha-se no direito de ajudar ou não e evite qualquer post sem contexto para o mesmo.
@gandhi da mesma forma que foi desnecessário os comentários dele o seu também foi, favor caso discorde ou se sinta ofendido favor utilizar a ferramenta "Reclamar de Post" assim os moderadores vai moderar conforme necessário os post, assim evitamos atrito.

A respeito da sua duvida, como te falei seu TX e RX estão muito igual verifica o que esta consumindo tanto assim

[andrecarlim]

OK!

[andrecarlim]

com esses dados meu amigo quando chegarem na sua provedora, eles ja sabem qual o ip e mac que estao buscando é tudo monitorado, so vao querer saber quem estava usando no momento de algum acesso ilegal, e vai puxar no sistema quem é o seu cliente, para tomar as medidas cabiveis

Então, vou tentar mudar meu tom para algo mais didático, imaginemos uma estrutura onde o pequeno provedor receba um bloco de /30 para poder usar seu uplink com a operadora de trânsito, aqui sim, OPERADORA. Geralmente o que eu vejo por aí é que tem um NAT "apontado" para tudo que sair pela porta do Uplink, digamos, apenas a caráter didático que esse bloco do Uplink seja o 200.200.200.0/30, e o IPv4 do teu lado (pequeno PROVEDOR de internet) é o 200.200.200.2, e o provedor tem um servidor pppoe/hotspot distribuindo IPv4 de um POOL que compreende os IPs 192.168.0.1 até o 192.168.0.254, quando 200 clientes estiverem conectados usando esse concentrador pppoe/hotspot, nessa configuração, DO PONTO DE VISTA DA INTERNET, todos os 200 clientes são o mesmo IPv4, o 200.200.200.2, isso porque temos o NAT (Network Address Translation) trocando o IPv4 de origem em todos os pacotes que "saem" pela interface Uplink, isso é possível porque o "firewall" é statefull e tem uma técnica chamada de conntrack, que permite manter uma tabela de relacionamento e distribuição entre as portas do IPv4 Público e os IPv4 privados, não roteáveis na Internet. OK? Entendido essa parte? Sem dúvidas? Vamos adiante!

Mas André o que é conntrack? aqui ó...

A ideia do CG-NAT é basicamente a mesma, porém mantendo o "firewall" mais parecido com o modo stateless, ainda teremos o NAT e a conntrack, só que ao invés do mecanismo de NAT cuidar do relacionamento e distribuição das portas, nós é que configuraremos isso, para que o mesmo IPv4 privado e não roteável na internet, use sempre o mesmo range de portas para o IPv4 Público e roteável na internet. Só isso!

Mas André como faz isso? Nem vou falar, google é seu amigo nessas horas!

E porque toda essa explicação? O povo pensa que é tudo monitorado, ainda mais depois do escândalo revelado pelo Snowden sobre a NSA, mas e que isso importa na minha internet? NADA!

O que realmente importa é se alguém tirar fotos de uma criança sem roupa e enviar para algum site adulto, aí sim tem alguma importância. E como funciona isso, primeiro de tudo alguém te que ver a foto da criança e fazer uma denúncia, feito isso, a policia vai investigar, provavelmente a policial federal (eu acho, afinal sempre são eles que estão por dentro disso), logo após esse passo, vão solicitar a um Juiz que ele emita uma autorização/ordem judicial para intimar o site que recebeu a foto, e que esse site explique como aquilo foi parar lá. Se o administrador do site foi inteligente ele tem um formulário que tem um login e senha, e cada cada acesso cria um log associando o login/senha/conteúdo enviado/ip de origem/porta de origem, de posse desses dados a PF busca no registro.br (whois), por exemplo, e vê quem é o responsável pelo nosso IPv4 em questão, o 200.200.200.2, se a operadora não delegou ele, eles vão chegar até a operadora e pedir esclarecimentos sobre esse incidente, o que a operadora faz é um laudo informando que este IPv4 esta sendo usado pelo pequeno provedor e que não tem responsabilidade sobre o que acontece com este IP/Bloco, muito bem, agora a PF vai chegar no pequeno provedor que, salvo raros casos, nem tem SCM, e pedir esclarecimentos sobre esse incidente, e agora André? Bom temos duas supostas situações:

1) Se o pequeno provedor possui o primeiro modelo de configuração, aquele que usa um NAT para tudo que sai pela porta de Uplink, temos um problema bem grande, jamais, mesmo com muito esforço, o cliente que enviou as fotos será identificado, porque nesse modo "todo mundo usa todas as portas do IPv4 público", ou seja, não existe relacionamento direto entre IPv4 Público/Porta de origem/IPv4 Privado!

2) O pequeno provedor, por sorte e responsabilidade, tinha o CG-NAT implementado, então ele pode gentilmente informar a situação a PF e pedir que o Juiz emita um novo mandato/ordem judicial que autorize/obrigue o site lá do outro lado informar a porta de origem que foi usada para enviar (upload) das fotos, e com esse dados, poderá facilmente olhar na sua tabelinha de divisão das portas, quem, naquele dado momento, estava usando aquele range de portas, ou aquela porta de origem especifica e informar a PF que a responsabilidade era, de fato, daquele cliente! Se isso vai de fato surtir efeito, pouco se sabe, mas assim, evitamos uma boa parte de problemas, ainda tem outros problema que o NAT trás pra dentro da rede, problemas relacionados a VoIP, VPN IPsec e afins.

Sobre o comentário que quem informou nosso amigo lá que era só fazer um "ajustezinho" no mk-auth, entendamos o seguinte meus amigos, radius é uma ferramenta técnica, nada tem haver com planos de acesso, retorno de boletos e afins, o que temos por ai é uma monte de "sistemazinho" que implementa um radius (geralmente o freeradius), juntamente a um banco de dados (geralmente MySQL), e o que é feito é alguns scripts aqui e ali, algumas triggers no banco e etc, que manipulam o radius para criar essas ideias mirabolantes de que é um sistema todo que faz isso, e não é! Radius é algo muito antigo e que ficou "mais" popular nos ultimos tempos, se esses sistemas que tem por ai, os seus desenvolvedores, estudassem a fundo o radius a gente teria uns 90% a menos de problemas com isso nos provedores, eu mantenho um freeradius juntamente ao MySQL a mais de 8 anos para os clientes que atendo e não sofro com esses problema que vejo por aqui, sobre o radius, existe uma função que já vem pronta no freeradius, basta ativar, que é o RAD ACCOUNTING, que armazena, seja em arquivo, seja em banco de dados, algumas informações de cada conexão que é iniciada/finalizada. Esse rad acounting armazena o tal de framed-ip-address, que é o ip de conexão do cliente, só isso, nada adianta armazenar essa informação se você não vai conseguir identificar quem de fato mandou aquelas "fótinhas"!

Ficou claro? Alguma dúvida?

[Bruno]

Então, vou tentar mudar meu tom para algo mais didático, imaginemos uma estrutura onde o pequeno provedor receba um bloco de /30 para poder usar seu uplink com a operadora de trânsito, aqui sim, OPERADORA. Geralmente o que eu vejo por aí é que tem um NAT "apontado" para tudo que sair pela porta do Uplink, digamos, apenas a caráter didático que esse bloco do Uplink seja o 200.200.200.0/30, e o IPv4 do teu lado (pequeno PROVEDOR de internet) é o 200.200.200.2, e o provedor tem um servidor pppoe/hotspot distribuindo IPv4 de um POOL que compreende os IPs 192.168.0.1 até o 192.168.0.254, quando 200 clientes estiverem conectados usando esse concentrador pppoe/hotspot, nessa configuração, DO PONTO DE VISTA DA INTERNET, todos os 200 clientes são o mesmo IPv4, o 200.200.200.2, isso porque temos o NAT (Network Address Translation) trocando o IPv4 de origem em todos os pacotes que "saem" pela interface Uplink, isso é possível porque o "firewall" é statefull e tem uma técnica chamada de conntrack, que permite manter uma tabela de relacionamento e distribuição entre as portas do IPv4 Público e os IPv4 privados, não roteáveis na Internet. OK? Entendido essa parte? Sem dúvidas? Vamos adiante!

Mas André o que é conntrack? aqui ó...

A ideia do CG-NAT é basicamente a mesma, porém mantendo o "firewall" mais parecido com o modo stateless, ainda teremos o NAT e a conntrack, só que ao invés do mecanismo de NAT cuidar do relacionamento e distribuição das portas, nós é que configuraremos isso, para que o mesmo IPv4 privado e não roteável na internet, use sempre o mesmo range de portas para o IPv4 Público e roteável na internet. Só isso!

Mas André como faz isso? Nem vou falar, google é seu amigo nessas horas!

E porque toda essa explicação? O povo pensa que é tudo monitorado, ainda mais depois do escândalo revelado pelo Snowden sobre a NSA, mas e que isso importa na minha internet? NADA!

O que realmente importa é se alguém tirar fotos de uma criança sem roupa e enviar para algum site adulto, aí sim tem alguma importância. E como funciona isso, primeiro de tudo alguém te que ver a foto da criança e fazer uma denúncia, feito isso, a policia vai investigar, provavelmente a policial federal (eu acho, afinal sempre são eles que estão por dentro disso), logo após esse passo, vão solicitar a um Juiz que ele emita uma autorização/ordem judicial para intimar o site que recebeu a foto, e que esse site explique como aquilo foi parar lá. Se o administrador do site foi inteligente ele tem um formulário que tem um login e senha, e cada cada acesso cria um log associando o login/senha/conteúdo enviado/ip de origem/porta de origem, de posse desses dados a PF busca no registro.br (whois), por exemplo, e vê quem é o responsável pelo nosso IPv4 em questão, o 200.200.200.2, se a operadora não delegou ele, eles vão chegar até a operadora e pedir esclarecimentos sobre esse incidente, o que a operadora faz é um laudo informando que este IPv4 esta sendo usado pelo pequeno provedor e que não tem responsabilidade sobre o que acontece com este IP/Bloco, muito bem, agora a PF vai chegar no pequeno provedor que, salvo raros casos, nem tem SCM, e pedir esclarecimentos sobre esse incidente, e agora André? Bom temos duas supostas situações:

1) Se o pequeno provedor possui o primeiro modelo de configuração, aquele que usa um NAT para tudo que sai pela porta de Uplink, temos um problema bem grande, jamais, mesmo com muito esforço, o cliente que enviou as fotos será identificado, porque nesse modo "todo mundo usa todas as portas do IPv4 público", ou seja, não existe relacionamento direto entre IPv4 Público/Porta de origem/IPv4 Privado!

2) O pequeno provedor, por sorte e responsabilidade, tinha o CG-NAT implementado, então ele pode gentilmente informar a situação a PF e pedir que o Juiz emita um novo mandato/ordem judicial que autorize/obrigue o site lá do outro lado informar a porta de origem que foi usada para enviar (upload) das fotos, e com esse dados, poderá facilmente olhar na sua tabelinha de divisão das portas, quem, naquele dado momento, estava usando aquele range de portas, ou aquela porta de origem especifica e informar a PF que a responsabilidade era, de fato, daquele cliente! Se isso vai de fato surtir efeito, pouco se sabe, mas assim, evitamos uma boa parte de problemas, ainda tem outros problema que o NAT trás pra dentro da rede, problemas relacionados a VoIP, VPN IPsec e afins.

Sobre o comentário que quem informou nosso amigo lá que era só fazer um "ajustezinho" no mk-auth, entendamos o seguinte meus amigos, radius é uma ferramenta técnica, nada tem haver com planos de acesso, retorno de boletos e afins, o que temos por ai é uma monte de "sistemazinho" que implementa um radius (geralmente o freeradius), juntamente a um banco de dados (geralmente MySQL), e o que é feito é alguns scripts aqui e ali, algumas triggers no banco e etc, que manipulam o radius para criar essas ideias mirabolantes de que é um sistema todo que faz isso, e não é! Radius é algo muito antigo e que ficou "mais" popular nos ultimos tempos, se esses sistemas que tem por ai, os seus desenvolvedores, estudassem a fundo o radius a gente teria uns 90% a menos de problemas com isso nos provedores, eu mantenho um freeradius juntamente ao MySQL a mais de 8 anos para os clientes que atendo e não sofro com esses problema que vejo por aqui, sobre o radius, existe uma função que já vem pronta no freeradius, basta ativar, que é o RAD ACCOUNTING, que armazena, seja em arquivo, seja em banco de dados, algumas informações de cada conexão que é iniciada/finalizada. Esse rad acounting armazena o tal de framed-ip-address, que é o ip de conexão do cliente, só isso, nada adianta armazenar essa informação se você não vai conseguir identificar quem de fato mandou aquelas "fótinhas"!

Ficou claro? Alguma dúvida?

ai sim

[gandhi]

Só não te dou uma estrela agora no site porque estou no celular, mas depois mudo isso, sei q foi trabalhoso escrever tudo isso, mas é assim mesmo estais de parabéns