Ver Feed RSS

Brain Stress

Roteamento interno, sem fazer NAT !!

Avalie este Post de Blog
Hoje estava trocando uma idéia com o Luciano (Cacique aqui da UndeR) no MSN, a idéia seria não fazer NAT no router do cliente, e fazer NAT apenas na saida do gateway.

Complicando um pouco mais, a conexão do cliente com o provedor é PPPOE com ip DINAMICO (só para complicar nosso exemplo).

Vamos analisar a lógica do que acontece:

O ambiente:

- Gateway Mikrotik, ether1 recebendo link da operadora e ether2 sendo a interface que o pppoe-server esta ativo....
- No cliente, um radinho comum, um gi-link por exemplo...

Configuração do ap do cliente:

- Configurar normalmente como ROUTER (WIRELES SENDO WAN), fazendo a conexão PPPOE, mas NAO FAZER NAT.. e o ip da LAN do cliente colocar o bloco designado (*** VER OBSERVAÇÃO NO FINAL ***), por exemplo: 10.0.0.0/24, entao na interface LAN do router do cliente seria o ip 10.0.0.1/24 .. vc ativa o dhcp server para distribuir ips na lan dele.. OK, router do cliente funcionando...
no ap router, o modo de operação é o Roteador (WAN Wireless)

Em uma nano station, o modo ela é ROUTER, e basta desmarcar a opção de fazer NAT !!


Configuração do mikrotik:


- Também não tem segredo, o que vamos fazer é adicionar uma rota fixa (static) para o bloco da lan do cliente apontando o next-hop do bloco para a interface dinamica do pppoe do cliente:

Código :
/ ip route add comment="Rota alexandre" disabled=no distance=1 dst-address=10.0.0.0/24 gateway=<pppoe-alexandre>
pronto

*** OBSERVAÇÕES ***
Cada cliente vai precisar ter um bloco diferente.. NÃO pode ter blocos iguais para mais de 1 cliente...
Portante para CADA cliente voce vai precisar adicionar uma ROTA especifica !!!

IMPORTANTE: quando o cliente desconecta a rota se torna invalida.. entao se na regra, vc especificar o IP no lugar da interface pppoe.. resolve !!


O que este método proporciona:

Como não existe NAT/PAT, voce consegue identificar TODAS as maquinas internas do cliente, se o cliente tem 10 maquinas internas na lan dele.. voce vai conseguir ver TODAS !! e no seu GATEWAY voce vai ver o ip de cada maquina..

O radinho do cliente trabalha menos.. consome menos memoria... e o forward dos pacotes eh bem mais rápido do que NAT...

Possibilidades de acesso:
Bloquear sites para apenas determinadas maquinas, sem a necessidade de ter um proxy na rede do cliente..
Limitar ou bloquear maquinas a acessar internet (por ex.. somente a maquina do chefe tem internet)


sabendo utilizar, da pra montar uma rede 100% gerenciada !!

Atualizado 27-11-2009 em 02:37 por alexandrecorrea

Categorias
mikrotik , Artigos , Dicas

Comentários

Página 2 de 2 PrimeiroPrimeiro 12
  1. Avatar de alexandrecorrea
    tem como sim.. so criar rotas para as maquinas apontando as interfaces de saida para o cliente..
  2. Avatar de linuxerbel
    Alexandre,

    blz amigo, agora me diga isso é que ter uma rede roteada? como fazer o roteamento dinamico? como repassar ip público para os clientes dinamicaente?

    até mais
  3. Avatar de aka2005
    Acompanhando a discuçao... interessante esse modelo de rota...
  4. Avatar de jwjunior
    Opa alexandre uma maravilha, como eu faço para clientes com plaquinhas?
    Nesse caso foi feito em radios e como va ficar para plaquinhas?
  5. Avatar de ediekes
    gostaria de saber, como eu poderia adicionar em minha rede?
  6. Avatar de claudinhohw
    tenho um bloco de ip 200.100.200.1/28 como ficaria a divisão dele?
Página 2 de 2 PrimeiroPrimeiro 12

+ Enviar Comentário