Ip validos para clientes Agora resolve.
Vamos ver se a gente resolve isso.
Ip validos para clientes
Cenário 1
Operadora link de fibra com conversor de mídia, roteador uma Mikrotikt-1 com 2 placas de rede
Gateway dos clientes Mikrotik-2 com 2 placas de rede.
E de lambuja mais para fazer um firewall full tudo mundo com IP valido.
E o tal cliente com IP valido.
Tanto pode ser por PPPoe ou IP x Mac
Rede disponível
Rede de exemplo.
1 201.202.203.0 201.202.203.1 - 201.202.203.126 201.202.203.127
Isso é o que a operadora esta te fornecendo.
O básico seria assim
201.202.203.1/25 router
201.202.203.2/25 seu gateway com Nat e os clientes atrás.
192.168.0.xxx/24 esses os clientes
Agora vamos modificar a coisa.
Primeiro vamos dividir a rede valida em 2 partes
Blocos de IP/26
1 201.202.203.0 201.202.203.1 - 201.202.203.62 201.202.203.63
2 201.202.203.64 201.202.203.65 - 201.202.203.126 201.202.203.127
Agora vamos dividir a primeira parte em duas novamente, já explico porque.
1 201.202.203.0 201.202.203.1 - 201.202.203.30 201.202.203.31
2 201.202.203.32 201.202.203.33 - 201.202.203.62 201.202.203.63
Desta forma temos 3 blocos de rede
Primeiro : 1 201.202.203.0 201.202.203.1 - 201.202.203.30 201.202.203.31
Segundo: 2 201.202.203.32 201.202.203.33 - 201.202.203.62 201.202.203.63
E o Terceiro: 2 201.202.203.64 201.202.203.65 - 201.202.203.126 201.202.203.127
A rede da Operadora.
1 201.101.102.0 201.101.102.1 - 201.101.102.2 201.101.102.3
Onde o IP 201.101.102.2 é o IP da usa wan e o 201.101.102.1 o seu default gateway.
Rede dos clientes
172.25.40.0/24
Obs. use esta faixa assim seus clientes poderão usar a 192.168.0.xx para montar redes internas sem problemas com rota de retorno.
E ??? 2 201.202.203.64 201.202.203.65 - 201.202.203.126 201.202.203.127
A rede Valida para seu clientes.
Agora que já temos uma lista com as faixa de ip a serem usadas vamos configurar as rotas.
No MT 1 fica assim
ether 1 ip 201.101.102.2/30
Ether2 201.202.203.1/27
Defalt gateway 201.101.102.1
Default gateway da rede 2 201.202.203.2
Default gateway da rede 3 dos clients validos. 201.202.203.5
No MT faz assim
/ip address
add address=201.101.102.2/30 broadcast=201.101.102.3 comment="" disabled=no \
interface=ether1 network=201.101.102.0
add address=201.202.203.1/27 broadcast=201.202.203.31 comment="" disabled=no \
interface=ether2 network=201.202.203.0
/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
201.101.102.1 scope=255 target-scope=10
add comment="" disabled=no distance=1 dst-address=201.202.203.32/27 gateway=\
201.202.203.2 scope=255 target-scope=10
add comment="" disabled=no distance=1 dst-address=201.202.203.64/26 gateway=\
201.202.203.5 scope=255 target-scope=10
Dessa maneira o perímetro de rede 1 fica com 32 ips onde você pode colocar suas maquina visíveis diretamente na internet.
A perímetro 2 fica atrás de um firewall com mais 32 ips
E o perímetro 3 fica para os clientes com IP validos.
Você pode modificar as mascaras rede para alocar os ips de acordo suas necessidades
O MT 2 fica assim . Esse é o seu gateway para os clientes.
IP valido e visível na internet
ether 1 201.202.203.5/27
Ether 2 201.202.203.65/26
Ether 2 172.25.40.1/24
/ip address
add address=201.202.203.5/27 broadcast=201.202.203.31 comment="" disabled=no \
interface=ether1 network=201.202.203.0
add address=201.202.203.65/26 broadcast=201.202.203.127 comment="" disabled=no \
interface=ether2 network=201.202.203.64
add address=172.25.40.1/24 broadcast=201.202.203.255 comment="" disabled=no \
interface=ether2 network=172.25.40.0
/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
201.202.203.1 scope=255 target-scope=10
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no src-address=\
172.25.40.0/24
Obs para rede valida não fazer Nat esses vão sair com rota apenas.
Agora nos clientes com IP x MAC configura assim
172.25.40.2 /24 gw 172.25.40.1 cliente ip por NAT
E 201.202.203.65/26 gw 201.202.203.65 cliente IP valido.
O problema é o broadcast isso resolve com firewall e configuração nos APS.
Para usar PPP basta atribuir um IP valido para o cliente na secret do ppp ai não tem broadcast
--------
Config das rotas no firewall
/ip address
add address=201.202.203.2/27 broadcast=201.202.203.31 comment="" disabled=no \
interface=ether1 network=201.202.203.0
add address=201.202.203.33/27 broadcast=201.202.203.63 comment="" disabled=no \
interface=ether2 network=201.202.203.32
/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
201.202.203.1 scope=255 target-scope=10
Agora para fazer isso com um cisco.
- Entrando no modo enable
Acesse o roteador Cisco. Entre no modo privilegiado (enable).
User Access Verification
Password:
routername> enable
Password:
routername#
2 - Adicionando a rota
Entre no modo de configuração:
routername# configure terminal
routername(config)#
routername(config)#interface fastEthernet 0/0
routername(config-if)#ip address 201.202.203.1 255.255.255.224
routername(config-if)#exit
Adicione a rota:
routername(config)# ip route 201.202.203.32 255.255.255.224 201.202.203.2
routername(config)# ip route 201.202.203.64 255.255.255.224 201.202.203.5
routername(config)# exit
routername#
Salve as alterações no arquivo de configuração de inicialização:
routername# copy running-config startup-config
Pronto! Agora os clientes na rede 201.202.203.64/26 podem navegar normalmente na internet.
E as maquinas atras do firewall tambem na rede 201.202.203.64/27 tambem.
As rodas das MT ficas as mesmas.