DHCP do jeito certo

[TsouzaR]

Eu como usuário de Mikrotik penso em duas coisas diferentes juntas
- autenticação
- limite de velocidade

Se é usado DHCP relay o switch não faz o controle de banda pois pra isso precisa do radius.

Pode ter um switch que recebe o relay e esse ter radius. Se ele ficar no meio do caminho pode ser que a banda seja atribuída nele, mesmo a entrega tendo sido feita na ponta por um DHCP relay.

Como vocês que usam DHCP Relay, como e onde fazem o controle de banda?

Realmente, a função do switch nessa parte seria apenas atuar como relay e eu tinha me esquecido de que relay não recebe os parâmetros da resposta do Radius para poder criar limite de banda ou qualquer outra coisa. O servidor DHCP tem que estar em outro equipamento por onde o tráfego vai passar, geralmente o roteador (RB...) do PoP ou um "concentrador". Poderia ser até em outro switch gerenciável com servidor DHCP e cliente Radius com os parâmetros adequados...

Um método que provavelmente possibilita fazer o controle de banda no relay, quer seja um switch ou qualquer outro equipamento, é usar o módulo "exec" do FreeRADIUS para executar um script assim que é feito login ou logout, sendo que esse script faria o acesso por SSH, Telnet, API ou qualquer outro método ao equipamento do relay e adicionaria/removeria lá a fila e quaisquer outras coisas. A vantagem é que vai dar para fazer controle de banda no equipamento do relay mesmo que ele não suporte Radius ou não tenha parâmetro para isso.

[eduardomazolini]

Então mas alguém aqui na lista defendeu o DHCP deve usar e pelo que entendi sempre falando dos parâmetros do Relay. Não lembro quem foi.
Como alguém que já usa esta usando?

@TsousaR obrigado pela resposta a questão do exec, vou pesquisar pois como disse uso concentradores separados.
Eu queria criar as regras em um roteador perto de borda pra poder gerenciar melhor a banda. Vou usar o exec pra fazer isso no roteador que não participa diretamente do login.

[eduardomazolini]

Morreu o tópico, todo mundo ficou quieto. Como vocês do DHCP que fizeram posts a favor fazem o controle de banda? Vou chamar o pessoal que defendeu DHCP aqui pelo nome pra pedir ajuda.

[eduardomazolini]

@andrecarlim vi em algum lugar você falando do accer-pppoe algo assim. Um dia dei uma procurada é um software livre de PPPoE gostei da ideia.
Como você faz o controle de banda? Como costuma ser sua estrutura?

Eu acho Mikrotik legal em:
- pcq
- burst
- preço
- facilidade de usar firewall netfiler (comandos iptables)
- preguiçoso que sou, tá tudo junto, não é por que faz tudo que tem que fazer tudo na mesma caixa.

[andrecarlim]

@andrecarlim vi em algum lugar você falando do accer-pppoe algo assim. Um dia dei uma procurada é um software livre de PPPoE gostei da ideia.
Como você faz o controle de banda? Como costuma ser sua estrutura?

Eu acho Mikrotik legal em:
- pcq
- burst
- preço
- facilidade de usar firewall netfiler (comandos iptables)
- preguiçoso que sou, tá tudo junto, não é por que faz tudo que tem que fazer tudo na mesma caixa.

Já uso accel em meus clientes a mais de um ano, está bem "sólido" o funcionamento.

O accel-ppp já tem módulo de shaper "built-in", não que ele controle a banda, mas ele aplica as queues lá no kernel através do TC (que eu usava antes com scripts). Mesmo assim eu queria um Burst semelhante ao do mikrotik, eu fiz isso no ip-up do accel-ppp. Quanto a preço, qualquer Core i3 com placa mãe Asus e 4gb de ram atende tranquilamente 2000 sessões PPPoE, claro, isso não depende somente do accel, mas de um ajuste fino do kernel, o único custo mais elevado ao se usar accel-ppp é com boas placa de rede, falo isso porque essas placas comuns não tem o maravilhoso recurso de multi-queue, e esse recurso ajuda muito quando se passa dos 300mbps, na verdade é indispensável.

Sobre facilidade de uso, com Linux a gente sofre um pouco, mas a satisfação/tranquilidade é incalculável depois de pronto!

[deson00]

Uma coisa é uma coisa outra coisa é outra coisa.
Se vc quer ter login e senha vai de pppoe se não quer vai de dhcp.
Poco importa o protocolo ou tecnologia, q importa é o q vc quer fazer ai basta implantar as seguranças necessárias.
Se lhe atender satisfatoriamente bola pra frente.
Tem coisas não suportadas ao pppoe como central Alcatel.
Já tive um caso q na rede atendia vários pontos públicos e usava central Alcatel q não tem suporte a pppoe ai só DHCP, ou seja depende de cada caso.

[eduardomazolini]

@deson00,

E quais as seguranças necessárias? Como você faz?

Hoje entrei em contato com a MKSOLUTIONS pra ajudar meu cenário, explicar o que eu iria fazer.

"""
No início no chat foi meio difícil, mas depois um cara bom me atendeu deu atenção e procurou entender o que eu queria, 1vez que vou elogiar a Mksolutions. Eu sempre digo que eles são uns patos, nada, voa e anda mais ou menos. Em cima de uma plataforma de janelas horrível, "Maker" velhão.
Mas do que tem no mercado dos ruins é o menos pior.
Também tem coragem de assumir o suporte do radius, um outro produto queria que eu montassem o radius eles indicavam um consultor pra configurar o radius que não seria de responsabilidade deles.
"""

Eles me alertaram sobre a falta de accouting que impede registro do IP usado pelo cliente.
Também impede guardar o consumo de dados do cliente, exibir a velocidade de consumo atual(no sistema deles), na RB não vai ter interface vai ter que olhar direito na queue.

O usuário e senha vou ter no caso do wireless com WPA-EAP

Lógico que toda solução depende dos hardwares e softwares envolvidos.
Eu apesar de adorar software livre não sei se posso usar accell-ppp com Mksolutions, vou estudar.
VyOS me parece maravilhoso e agora uma versão acessível nos roteadores da Ubiquiti, vou estudar também.

Agora pra quem está iniciando fazer uma arquitetura certa ajuda muito.

A MKSolutions me deu a dica de usar Hotspot por autenticação de Mac. Não é o DHCP puro mas é sem o protocolo PPPoE seja a vantagem que isso for realmente.

[andrecarlim]

Eu apesar de adorar software livre não sei se posso usar accell-ppp com Mksolutions, vou estudar.

Cara tenho alguns clientes que quando comecei a atender já usavam o mk-solutions, aí eu coloquei o dicionário do Mikrotik pra rodar no accel, ativei o script no ip-up de cada conexão PPPoE, acertei os atributos, e voilá, temos o controle de banda!

Também tratei de cuidar daqueles que estão bloqueados, pelo atributo de address-list que o mk-solutions envia, e configurei uma interface web no servidor que roda o accel, para poder desconectar usuário, ver a banda em tempo real e etc.

Contudo tenho um cliente que conhece um dos proprietários dá mk-solutions que fez uma pressão lá e parece que estão trabalhando para suportar "nativamente" o accel, já até passei a listagem de comandos para poderem administrar as sessões PPPoE diretamente pelo suporte do mk-solutions, espero ansiosamente que façam isso!

Enfim, com um pouco de imaginação e criatividade as possibilidades com o accel-ppp são bem abrangentes!

[AndrioPJ]

Morreu o tópico, todo mundo ficou quieto. Como vocês do DHCP que fizeram posts a favor fazem o controle de banda? Vou chamar o pessoal que defendeu DHCP aqui pelo nome pra pedir ajuda.

Da para fazer normalmente, o mk suporta isso.
Para fazer manualmente, abra o DHCP-Server > Leases
Crie um cadastro ali, em RATE LIMIT coloque a velocidade que vc quer que o cliente tenha.
Ai sempre que o cliente receber um IP, o controle de banda será criado automatiamente.

Ou use Radius para passar essas informações.

@deson00,

E quais as seguranças necessárias? Como você faz?

Hoje entrei em contato com a MKSOLUTIONS pra ajudar meu cenário, explicar o que eu iria fazer.

"""
No início no chat foi meio difícil, mas depois um cara bom me atendeu deu atenção e procurou entender o que eu queria, 1vez que vou elogiar a Mksolutions. Eu sempre digo que eles são uns patos, nada, voa e anda mais ou menos. Em cima de uma plataforma de janelas horrível, "Maker" velhão.
Mas do que tem no mercado dos ruins é o menos pior.
Também tem coragem de assumir o suporte do radius, um outro produto queria que eu montassem o radius eles indicavam um consultor pra configurar o radius que não seria de responsabilidade deles.
"""

Eles me alertaram sobre a falta de accouting que impede registro do IP usado pelo cliente.
Também impede guardar o consumo de dados do cliente, exibir a velocidade de consumo atual(no sistema deles), na RB não vai ter interface vai ter que olhar direito na queue.

O usuário e senha vou ter no caso do wireless com WPA-EAP

Lógico que toda solução depende dos hardwares e softwares envolvidos.
Eu apesar de adorar software livre não sei se posso usar accell-ppp com Mksolutions, vou estudar.
VyOS me parece maravilhoso e agora uma versão acessível nos roteadores da Ubiquiti, vou estudar também.

Agora pra quem está iniciando fazer uma arquitetura certa ajuda muito.

A MKSolutions me deu a dica de usar Hotspot por autenticação de Mac. Não é o DHCP puro mas é sem o protocolo PPPoE seja a vantagem que isso for realmente.

Para ser sincero?
Accounting de tráfego com atribuição DHCP, apesar de trabalhoso, ainda é possível.
Mas dizer que usar DHCP impede o registro do IP é um absurdo.
Ou o sistema deles que não tem capacidade para tal OU é o técnico deles que não sabe o que está falando...

[eduardomazolini]

Accounting que me refiro é usando Radius Accounting.
Mikrotik não tem isso no DHCP é um fato. Da pra fazer com Hotspot do MT como eles disseram.
Da pra fazer de diversas formas? com certeza. Pra um produto do tamanho do deles, garantindo suporte e com alta confiabilidade? .... ai já complica vai ter que encher o MT de configurações e scripts?

Uma coisa é uma solução pra você outra é pra todos. Acho bem razoável a ideia de ativar o Hotspot pra fazer isso. Eu não tinha tido esta idéia.

Nesse tópico quero explorar e desmistificar as piadas que me incomodaram muito de diversos palestrantes dizendo que DHCP é mil maravilhas e quem "é bom usa DHCP".

Como vimos tem consequências praticas que precisa ser bom mesmo pra contornar.
- queue
- accouting
- conformidade com sistema de gestão

Como você faria de forma trabalhosa? Pra sairmos um pouco do hipotético e desenharmos a solução que "os bons fazem".

Até agora aqui participou bem mesmo foi @TsouzaR e o @andrecarlim que defende o PPPoE na verdade, mas mesmo assim ta aqui pra ver como seria.
Eu uso PPPoE pois não sou "BOM MESMO" mas quem sabe alguém mostra na pratica como fazer com todos os detalhes e lacunas que estão aparecendo.

Me mostrando eu mudo, tenho até um cenário bom pra iniciar e por em produção, um condomínio "popular" onde o roteador que o cliente tiver na casa dele que disca. Tive vários problemas como PPPoE nesses roteadores domésticos. Os roteadores travam, demoram pra rediscar, perdem a configuração. Os rádios ubnt e mikrotik não tem problema com PPPoE. Se um radio reseta não conecta no wireless então não é vantagem.
Não transporto o PPPoE por vários enlaces então não tenho vantagem de ganhar 8 bytes por pacote ou de ter problemas de perda do pacote.

Acho que talvez seja viável na fibra com OLT que tem configurações que nem conheço, pois não uso fibra no meu provedor.

Desculpe mas o que mais vejo é gente dizendo que "tudo da" mas na hora mesmo deixa no vácuo.
Como o pessoal diz "mata a cobra e mostra o pau" pra mim é bobeira. Pau qualquer um pega no meio do mato e diz que matou uma cobra. Quero ver é a cobra morta, sangue da cobra no pau pra saber que foi o pau usado. kkkk

[AndrioPJ]

Accounting que me refiro é usando Radius Accounting.
Mikrotik não tem isso no DHCP é um fato. Da pra fazer com Hotspot do MT como eles disseram.
Da pra fazer de diversas formas? com certeza. Pra um produto do tamanho do deles, garantindo suporte e com alta confiabilidade? .... ai já complica vai ter que encher o MT de configurações e scripts?

Quanto ao DHCP...
Por isso disse que o accounting DHCP, seria trabalhoso, mas daria para fazer.

Quanto ao Hotspot...
Nunca testei... o accounting dele funciona legal?
Se funcionar, poderia ser usado o DHCP-Server para atribuir os IPs e o Hotspot apenas para accounting.

Nesse tópico quero explorar e desmistificar as piadas que me incomodaram muito de diversos palestrantes dizendo que DHCP é mil maravilhas e quem "é bom usa DHCP".

Como vimos tem consequências praticas que precisa ser bom mesmo pra contornar.
- queue
- accouting
- conformidade com sistema de gestão

Se levar em consideração o overhead do ppoe, perdemos um belo throughput.
Esse é um dos principais motivos de vários palestrantes defenderem o DHCP, bem como muitos grandes provedores pelo mundo usar ele é quanto ao desempenho da rede.

Quanto ao queue, dá para passar o atributo via radius para o dhcp-server mk.
Assim, sempre que o cliente recebe o IP, uma queue é criada.

Já o accounting, esse é complicado, até daria para implementar, mas é trabalhoso.
Uma forma de obter e registrar esses dados seria via algum sistema de monitoramento (zabbix por exemplo).
De qualquer forma, a menos que queira implementar franquia de dados, não vejo esse quesito como um empecilho.

Quanto a conformidade do sistema de gestão, ai sim é complicado.
A maioria não suporta dhcp via radius.
Alias, até hoje desconheço um (nacional) que suporte.

[eduardomazolini]

@AndrioPJ você usa DHCP?

[andrecarlim]

Tá vamo lá, o povo aqui fala demais de overhead em PPPoE, pelo menos sabem o que é isso? Ou qual seria o "belo troughput" que se perde ao usar PPPoE?

Veja bem, normalmente qualquer equipamento de rede deve ser apto a transitar pacotes de até 1500 bytes, sendo que o frame PPPoE gasta 8 bytes para ele, isso representa 0.53%, isso que dizer que a cada 100mb de trânsito que estiver passando na sua rede, teremos 533kb gasto com frames PPPoE. Realmente é um absurdo!

Agora quanto a roteador ruim, aí acho injusto condenar o PPPoE, meus clientes usam, tp-link, trendnet, d-link, airlive (os que ficam mais ao oeste do Paraná e santa Catarina, hehe), ubnt e etc e não passo por esses problemas aí, acho melhor começar a revisar a rede para não levar um tremendo susto ao mudar para DHCP e ver que a "vaca foi pro brejo de vez", aí quando a rede estiver boa, ninguém mais vai reclamar do PPPoE!

[eduardomazolini]

A distância do PTP da base (caixa de água) até os prédios não da 50mts. Na mesma base tenho outros painéis com 140 clientes. Só reclamam os que usam roteador, tanto que agora estou dando um hAP prós clientes. Aí não tive problema com PPPoE no hAP.
Eu também achei o discurso do outro colega, neste ponto do tópico, justamente o que estamos dizendo sempre lendo e ninguém mostra, não adicionou nada que já não foi dito e esclarecido aqui mesmo e ainda dito que é o que não precisamos ouvir.

[eduardomazolini]

Hoje eu li o tópico inteiro novamente, analisando bem cada postagem e ainda não consegui encontrar tantas vantagens no DHCP, principalmente pelo fato de dificuldade de integração com nosso sistema de gestão.

Contando que a nossa rede aqui é boa, não temos nenhum problema, acredito que o tal aclamado "overhead" do PPPoE não seja prejudicial, até porquê não usamos tunelamento para centralizar autenticação, cada POP tem seu concentrador PPPoE, então não vejo problemas. A minha intensão é sim centralizar a autenticação PPPoE até o MX104, mas ainda não entrei nessa onda de usar VPLS ou EoIP, VLAN aqui tá me satisfazendo muito bem em alguns pontos.

E a mesma situação minha. Exatamente!
Mas tô aqui na esperança do povo que usa e fala tanto dívida o grande pulo do gato. Alguém que defenda que realmente use, e não fala por falar.

Falando um pouco de bobeira esse pessoal me lembra:
- um filho de professora de história que defendia comunismo e queria ir pra Disney.
- O rei pelado que usava roupa tão especial que só poucos viam.

[andrecarlim]

Tá virando nostalgia ler isso, haha! Me lembra até um conhecido mais velho, que fuma 2 maços de cigarro por dia e bebe até espumar pela boca, dizendo: "André, faça o que eu digo, não o que faço".

[AndrioPJ]

@AndrioPJ você usa DHCP?

Dependendo do local, sim.
No provedor, ainda não, devido a falta de um Gerenciador de Provedor com suporte a DHCP via radius, etc e tal.

Tá vamo lá, o povo aqui fala demais de overhead em PPPoE, pelo menos sabem o que é isso? Ou qual seria o "belo troughput" que se perde ao usar PPPoE?

Veja bem, normalmente qualquer equipamento de rede deve ser apto a transitar pacotes de até 1500 bytes, sendo que o frame PPPoE gasta 8 bytes para ele, isso representa 0.53%, isso que dizer que a cada 100mb de trânsito que estiver passando na sua rede, teremos 533kb gasto com frames PPPoE. Realmente é um absurdo!

Que bom seria se fosse apenas os 8 bytes, mas infelizmente, 90% dos ppoe server são configurados com um MTU bem menor, no final, um cliente que poderia estar funcionando com com até 1472 de mtu, está funcionando com 1452, 1440 ou até mesmo 1412.

Isso acaba gerando uma fragmentação maior dos pacotes, somado ao encapsulamento e desencapsulamento do tunel ppoe, acaba elevando o uso do processador, consequentemente diminuindo a quantidade de clientes que um Servidor poderia atender.

PS: vale salientar que eu apenas expus alguns dos motivos do pq alguns palestrantes indicar o uso do DHCP, bem como grandes provedores no mundo usar o DHCP.
Em nenhum momento disse que você deve "obrigatoriamente" usar DHCP, cabe a cada um analisar seus prós e contras.

[andrecarlim]

Que bom seria se fosse apenas os 8 bytes, mas infelizmente, 90% dos ppoe server são configurados com um MTU bem menor, no final, um cliente que poderia estar funcionando com com até 1472 de mtu, está funcionando com 1452, 1440 ou até mesmo 1412.

Agora uma coisa me chamou a atenção, porque alguns provedores acabam usando a mtu menor? Tirando o fato de terem configurado sem saber, algum motivo real para isso? Tirando o fato de estarem usando EoIP e etc...

Adendo: não vamos voltar ao meio da discussão, não se pode condenar um protocolo por burrice de configuração, além de ser injusto é bem idiota e amador! Porque os mesmos caras que erram na hora de configurar o PPPoE podem mudar o MTU da interface, ou não?

[AndrioPJ]

Agora uma coisa me chamou a atenção, porque alguns provedores acabam usando a mtu menor? Tirando o fato de terem configurado sem saber, algum motivo real para isso? Tirando o fato de estarem usando EoIP e etc...

Adendo: não vamos voltar ao meio da discussão, não se pode condenar um protocolo por burrice de configuração, além de ser injusto é bem idiota e amador! Porque os mesmos caras que erram na hora de configurar o PPPoE podem mudar o MTU da interface, ou não?

No mikrotik, por padrão, ao criarmos um ppoe server, ele já começa com o MTU em 1480, quando esse valor poderia estar em até 1492.
Acredito que por padrão ele vem assim devido a "maior compatibilidade" dos equipamentos clientes.
Por experiencia e apenas como exemplo do pq eu acho ele vem assim por padrão...: Já cheguei a configurar ppoe server com MTU 1492, mas alguns roteadores simplesmente não funcionavam a contento.
Já com MTU em 1480 no ppoe server a compatibilidade era maior.

Também já vi casos onde o próprio Mikrotik criou a regra de Change MSS com valor em 1412.

[eduardomazolini]

No mikrotik, por padrão, ao criarmos um ppoe server, ele já começa com o MTU em 1480, quando esse valor poderia estar em até 1492.
Acredito que por padrão ele vem assim devido a "maior compatibilidade" dos equipamentos clientes.
Por experiencia e apenas como exemplo do pq eu acho ele vem assim por padrão...: Já cheguei a configurar ppoe server com MTU 1492, mas alguns roteadores simplesmente não funcionavam a contento.
Já com MTU em 1480 no ppoe server a compatibilidade era maior.

Também já vi casos onde o próprio Mikrotik criou a regra de Change MSS com valor em 1412.

Você já olhou o MTU do wireless? Dá até pra ser 1500.