Repassar Range de IPs Válidos

[tiagopks]

Ola a todos, minha dificuldade é a seguinte:

Tenho configurado em meu MK um ip do Link (189.xxx.xxx.xxx) que me roteia para os clientes a classe publica (186.xxx.xxx.xxx). Até ai tudo bem ja atrelei ips aos mac todos navegam e tals. Agora vem a duvida real:
Quero passar a um cliente os IPs de 186.xxx.xxx.10 a 186.xxx.xxx.30 sendo que o .10 seria seu IP principal e os outros para ele fazer o que quiser e fazer o controle de banda em cima do ip principal para que o restante dos IPs entrem atmbém nesse controle. Resumindo, como crio essa range de ips para o ip principal e controlo a banda deles? Espero que tenham compreendido minhas dúvidas. Desde ja agradeço pessoal. Abraços.

[cleitonrodrigue]

Voce pode criar um SIMPLE QUEUE como abaixo listando os ips que caiem na regra

/queue simple add name="teste" target-addresses=192.168.1.1/32,192.168.1.2/32,192.168.1.3/32 dst-address=0.0.0.0/0 interface=LAN parent=none direction=both priority=8 queue=default-small/default-small limit-at=256k/256k max-limit=256k/256k burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s total-queue=default-small

[tiagopks]

Muito Obrigado Cleiton ! Porém ainda não ainda não descobri como fazer o controle de acesso sobre essa range inteira de IPS, você saberia como ?

[cleitonrodrigue]

Como funciona a sua autenticação ip+mac, hotspot, pppoe, vc usa dhcp? Pois no que estou achando no seu caso vc vai precisar disponibilizar uma sub rede para este cliente tipo uma rede de 32 ips

neste endereço tem o um resumo de como separar as redes por mascara, no seu caso acredito que vai ter que usar uma mascara 255.255.255.224 (/27) com 32 ips sendo 30 disponiveis ao cliente
http://www.mikrotik.com/img/netaddresses2.pdf

[tiagopks]

Eu faço controle por MAC. Eu havia pensado nessa maneira que sitou acima, porém ai vai um exemplo, se eu divico essa rede em varias mascaras, se algum cliente resolver colocar o ip e a mascara de outro, ele não teria a conexão por apesar de estar dividido em mascaras porém com ips da mesma classe ?? Abraço !

[cleitonrodrigue]

Não entendi bem o que vc disse acima, mas deixa mas claro como o cliente esta se conectando a sua rede e as configurações que vc quer fornecer a ele ip mascara gateway, como funciona o meio de acesso, se o cliente esta se conectando via cabo de rede direto ao servidor, se via wi-fi, se a rede esta em modo bridge, se vc usa alguma rota estatica, ou se faz um nat no radio do cliente.

[tiagopks]

Vou lhe descrever como esta meu serviço e para que ser:
Vou distribuir Link dedicado via fibra Optica, em linux faço legal porem em MK estou tendo dificuldades. quero em MK para depois o pessoal do setor de TI terem masior facilidade me cadastro e controle dos clientes pois poucos tem conhecimento avançado em Linux. Vamos la:

Eu recebo um Link Principal onde nele esta roteada uma classe de Ips publicos /24. O Link esta na placa2 Link e os Publicos estão saindo pela Placa1 Clientes. Ja fixei um ips em uma maquina e fiz controle por MAC nele e funcionaram perfeitamente, também ja dividi a rede em mascaras e tambem funcionou, crei uma /29, fixei o Ip no cliente e beleza funciona normal. Ai vem a grande dúvida que vou lhe dizer pelo meu pouco conhecimento em MK em um ex:
Se eu gerei um /29 onde o GW é o 192.168.1.2 e os Ips do cliente vão de 3 a 6 e eu cadastro o 3 em uma maquina e faço seu controle por MAC no MK e os outros 2? como eu farei para controlar sem ter que cadastrar os MAC deles para que o cliente trabelhe com eles como quiser? Tipo eu queria gerar uma classse para um cliente onte tal recebe os ips de 3 a 6 e controle a banda dos 3 como um todo e um cadastro unico, porém nao sei como controlar o cadastro deles pois se ele cadastrar a mascara la beleza, mais e se ele sabe a range e mascara de outro ele nao vai poder usar essa banda ? Desculpa a complicação da explicação, rs mais acho que deu pra perceber que a dificuldade é no cadastro desses ips, no controle deles. Desde ja agradeço, muito obrigado pela força que esta me dando. Abraço.

[cleitonrodrigue]

Bom acredito que o cenário é este

MIKROTIK
gateway do cliente 192.168.1.1/29
SIMPLE QUEUE
Eu faria assim, uma queue 192.168.1.0/29 já controla todo mundo da rede.
Maquinas cliente
ip 1 192.168.1.2/29
ip 2 192.168.1.3/29
ip 3 192.168.1.4/29
ip 4 192.168.1.5/29
ip 5 192.168.1.6/29
A rede é transparente e o MAC de cada máquina chega no servidor, bom vc n quer ficar
cadastrando os MAC´s deste cliente especifico, como vc amarra IP+MAC no seu firewall vc deve estar negando acesso
aos IP+MAC não cadastrados no final do seu firewall, pois bem eu colocaria uma regra liberando a rede 192.168.1.0/29
antes da regra final que bloqueia todo o restante do trafego(estou imaginando que vc tem esta regra), e o cliente
navega sem se preoculpar com MAC, e os demais clientes ficam amarrados. POREM, tem uma falha se algum cliente descobre
que vc tem esta configuração, ele pode navegar usando as configurações deste cliente. como vc disse que seria cliente
coorporativo acredito ser melhor cadastrar MAC+IP para cada, mas isto tambem não é garantia de segurança, principalmente
se este cliente em algum momento passar por um enlace de rádio com WEP ou ate sem criptografia. Eu ja tive um caso deste
que um cara descobriu o ip de um cliente meu +- nesta mesma situação sua e ficou usando o link do cara, tive que mudar de
WEP para WPA e bloquear o MAC do cara em um monte de AP, para barrar o cara, fora que eu ainda consegui entrar no radio dele
e arrebentei com o firmware do radio. ele mereceru...kkkkk

Portanto não vejo que fico uma aprova de falhas, mas se a sua rede fica dentro de fibra, talvez vc pode estudar utilizar VLAN.

T logo

[tiagopks]

Deu certo ! Muito obrigado, eu separei as Vlans no Switch ai não ha necessidade de controlar via MAC. Uma duvida, eu estou repassando por proxy-arp Ips reias para todos meus clientes. Gostaria de saber se ha como eu liberar todas as portas para meus clientes pois como é um link dedicado nada mais justo, rs....Abraço!

[tiagopks]

Ahhh, só para lembrar, eu consigo liberar as portas para meu server mais clientes não, ex: quero acesso a area de trabalho remota de um ip, mais nao consigo, porem se digitar o ip do MK eu acesso a maquina, acho que estou fazendo bobeira né? rs.

[cleitonrodrigue]

Vc usou a VLAN, como vc fez? configurou cada vlan de cliente no MK e tb no seu Switch gerenciavel. Na verdade ainda n montei esta aplicação mas gostaria de ver como alguem fez na pratica. Com relação a sua pergunta de proxy-arp não sou expert mais veja este artigo e pondere se realmente eh necessario Proxy-Arp: O que é e como funciona - Blogs - Under-Linux.org , seria necessario um estudo da sua rede para saber a real necessidade do proxy-arp.
Na outra questão se entendi bem vc fornece IPs VALIDOS, se sim, acredito que vc deveria chegar a maquina do cliente sem problemas, precisa fazer alguns testes como ver se o ping chega ou um traceroute por exemplo so pra ver se esta roteando certo.

Um abraço

[tiagopks]

Boa tarde.... na verdade apenas configurei as Vlans no Switch para não conversarem entre sim, sendo assim o que esta em uma porta do swirch não reconhece a outra, com isso o cliente da porta 2 mesmo sabendo e usando a classe e subrede da porta 1 não consegue fazer nada pois o switch esta barrando. Uma questão para ver se me ajuda, como eu libero todas as portas para um cliente, tipo tudo liberado mesmo, pois serão IPs dedicados então nada mais justo. Abraço !

[cleitonrodrigue]

Na verdade para liberar o firewall eh so vc n barrar nada, ou seja quem barra eh vc e se n tiver regra passa todo o trafego. Caso tenha alguma regra no seu firewall, coloque duas regras de forward uma com destino o ip/rede do cliente e outra como source, como sendo as primeiras regras. Desta forma quando o trafego de entrada e saida passar pelo firewall ele ja passa direto sem ser checado pelas outras regras, lembrando que a opção passtrough do mikrotik deve estar DESMARCADA. Qual o modelo do switch que vc usou? e o custo?

[tiagopks]

Então eu usei um Switch Gerenciável 3Com 2226 24 Portas 10/100 + 2 Portas Giga 10/100/1000 ou SFP p/Fibra - 3CBLSF26H O valore dele foi de R$ 677,00, comprei no dreamshop.com.br, pessoal muito bom de negócio. Obrigado...Abraço !

[tiagopks]

Tem como voce me explicar como fazer essas regras e desmarcar essa opção do passtrough ? Valeu !