MK-AUTH

Olá, gostaria de sugerir uma idéia para melhorar o mkauth, estamos começando a trabalhar com cgnat e precisamos que os clientes usem sempre o mesmo ip privado para que o cgnat funcione corretamente. no mkauth já temos a opção de amarrar o ip, e temos tbm a opção de cadastrar um ip pool, só que para selecionar esse ip pool eu tenho que acessar os clientes um por um e escolher o pool, sei que deve ter formas de fazer isso com todos os clientes com algum comando no banco de dados, mas infelizmente nem todo mundo tem o conhecimento suficiente para fazer tal operação!

A minha proposta é a seguinte, ao invés da opção de pool ficar no cliente, ela ficaria no cadastro do servidor mikrotik, e todo cliente que for designado para aquele ponto de roteamento já pegaria o próximo ip disponível no pool automaticamente, facilitando assim o trabalho de migração, e naqueles três pontinhos que ficam ao lado do campo de ip no cadastro do cliente, mostraria os ips já usados no range pool designado para aquele mikrotik. isso facilitaria muito principalmente pro pessoal que tem menos conhecimento, tendo em vista que os principais usuários do mkauth são os provedores iniciantes de pequeno porte!

Desde já gostaria de parabenizar pelo sistema que a cada dia vem trazendo novidades e melhorias para a gerencia de provedores!

Obrigado!

Exibições: 1426

Responder agora

Respostas a este tópico

Ola Gleidson, tudo bem?

Só para melhor compreensão...
Você está sugerindo que o Mk-auth possa gerenciar um ip pool para cada concentrador da rede, onde estes concentradores recebem blocos de ips válidos vindo de um BGP certo?
Daí, você pretende utilizar o CGNAT com PORT MAPPING, onde, os clientes que se conectam ao concentrador 01 irão assumir e ficar fixos com um ip NAT do pool referente ao concentrador 01, e daí por diante, certo?

Pois bem, eu sugiro algo um pouco diferente...

Manter o Mk-auth da forma que ele já é. Porém, sempre ao cadastrar os clientes, você apenas informa no cadastro do cliente que ele estará se conectando no concentrador 01 e pegará um IP do Pool 01. Além disso, você marca a opção de amarrar o IP. Pronto, Desta forma creio eu que funciona facinho, facinho...

Além de você ter um CGNAT Funcional, você vai poder desfrutar do recurso de Port Mapping, e, poderá determinar antecipadamente o tamanho do bloco público que você irá utilizar em cada concentrador.

Espero ter ajudado...
Abraço.

Ôpa Pedro, tudo jóia?

Cara, eu tenho aqui um material muito bom, e creio que daria para implantar no Mk-Auth de forma que facilitaria muito mesmo o dia a dia dos provedores.

Tenho até um script já pronto onde informamos o tamanho do bloco válido, o tamanho do bloco inválido, e, as portas de comunicação que serão utilizados por cada IP de NAT. 
Rodou o Script, o CGNAT ta pronto e funcional.
A, a única outra coisa que será necessário fazer, é habilitar o ARP na WAN do concentrador se o bloco for roteado, ou se for apenas um bloco /29 ou /28... Se faz necessário também, criar uma interface loopback e adicionar todos os IPs válidos DISPONÍVEIS do bloco como sendo /32 e apontar para a interface loopback.


Qualquer coisa, manda um e-mail que eu te respondo com mais detalhes.

Abraço.

Pedro Filho disse:

obrigado Gleidson e amigo não entendi sobre colocar a função do pool no cadastro de servidor, se for assim acho que perderia o sentido do controle do pool no mk-auth e ficaria melhor usar o pool diretamente nas configurações do mikrotik e não no mk-auth.

Quais regras vc está usando para o seu CGNAT ? estou pensando em colocar esse recurso e estou vendo dicas.

Habilitar o Proxy ARP na WAN é bem perigoso dependendo de como o link chega.
A minha equipe pode avaliar seu material?

Anderson Alves disse:

Ôpa Pedro, tudo jóia?

Cara, eu tenho aqui um material muito bom, e creio que daria para implantar no Mk-Auth de forma que facilitaria muito mesmo o dia a dia dos provedores.

Tenho até um script já pronto onde informamos o tamanho do bloco válido, o tamanho do bloco inválido, e, as portas de comunicação que serão utilizados por cada IP de NAT. 
Rodou o Script, o CGNAT ta pronto e funcional.
A, a única outra coisa que será necessário fazer, é habilitar o ARP na WAN do concentrador se o bloco for roteado, ou se for apenas um bloco /29 ou /28... Se faz necessário também, criar uma interface loopback e adicionar todos os IPs válidos DISPONÍVEIS do bloco como sendo /32 e apontar para a interface loopback.


Qualquer coisa, manda um e-mail que eu te respondo com mais detalhes.

Abraço.

Eu acho interessante poder definir um pool e associá-lo a um ramal.
Só não acho que isso seja melhor do que definir um pool local dentro do ramal em condições normais. Isso pode facilitar a gerência e evitar duplicidades pela mera centralização do dado.

Anderson Alves disse:

Ola Gleidson, tudo bem?

Só para melhor compreensão...
Você está sugerindo que o Mk-auth possa gerenciar um ip pool para cada concentrador da rede, onde estes concentradores recebem blocos de ips válidos vindo de um BGP certo?
Daí, você pretende utilizar o CGNAT com PORT MAPPING, onde, os clientes que se conectam ao concentrador 01 irão assumir e ficar fixos com um ip NAT do pool referente ao concentrador 01, e daí por diante, certo?

Pois bem, eu sugiro algo um pouco diferente...

Manter o Mk-auth da forma que ele já é. Porém, sempre ao cadastrar os clientes, você apenas informa no cadastro do cliente que ele estará se conectando no concentrador 01 e pegará um IP do Pool 01. Além disso, você marca a opção de amarrar o IP. Pronto, Desta forma creio eu que funciona facinho, facinho...

Além de você ter um CGNAT Funcional, você vai poder desfrutar do recurso de Port Mapping, e, poderá determinar antecipadamente o tamanho do bloco público que você irá utilizar em cada concentrador.

Espero ter ajudado...
Abraço.

Amigo Boa noite, recebi um /29 da operado e quero fazer cgnat eu consegui o script para regras mas estou pouco confuso na parte de colocar os ips publicos na interface para sair pelo cgnat, poderia me ajudar ???

Anderson Alves disse:

Ôpa Pedro, tudo jóia?

Cara, eu tenho aqui um material muito bom, e creio que daria para implantar no Mk-Auth de forma que facilitaria muito GNAT ta pronto e funcional.
A, a única outra coisa que será necessário fazer, é habilitar o ARP na WAN do concentrador se o bloco for roteado, ou se for apenas um bloco /29 ou /28... Se faz necessário também, criar uma interface loopback e adicionar todos os IPs válidos DISPONÍVEIS do bloco como sendo /32 e apontar para a interface loopback.


Qualquer coisa, manda um e-mail que eu te respondo com mais detalhes.

Abraço.

Pedro Filho disse:

obrigado Gleidson e amigo não entendi sobre colocar a função do pool no cadastro de servidor, se for assim acho que perderia o sentido do controle do pool no mk-auth e ficaria melhor usar o pool diretamente nas configurações do mikrotik e não no mk-auth.

Quais regras vc está usando para o seu CGNAT ? estou pensando em colocar esse recurso e estou vendo dicas.

Boa noite, esse esses ips da loopback precisar ser /32 ou pode ser /29?

Anderson Alves disse:

Ôpa Pedro, tudo jóia?

Cara, eu tenho aqui um material muito bom, e creio que daria para implantar no Mk-Auth de forma que facilitaria muito mesmo o dia a dia dos provedores.

Tenho até um script já pronto onde informamos o tamanho do bloco válido, o tamanho do bloco inválido, e, as portas de comunicação que serão utilizados por cada IP de NAT. 
Rodou o Script, o CGNAT ta pronto e funcional.
A, a única outra coisa que será necessário fazer, é habilitar o ARP na WAN do concentrador se o bloco for roteado, ou se for apenas um bloco /29 ou /28... Se faz necessário também, criar uma interface loopback e adicionar todos os IPs válidos DISPONÍVEIS do bloco como sendo /32 e apontar para a interface loopback.


Qualquer coisa, manda um e-mail que eu te respondo com mais detalhes.

Abraço.

Pedro Filho disse:

obrigado Gleidson e amigo não entendi sobre colocar a função do pool no cadastro de servidor, se for assim acho que perderia o sentido do controle do pool no mk-auth e ficaria melhor usar o pool diretamente nas configurações do mikrotik e não no mk-auth.

Quais regras vc está usando para o seu CGNAT ? estou pensando em colocar esse recurso e estou vendo dicas.

Cara, vai depender muito do teu cenário.

Se a sua operadora lhe fornece um unico bloco maior que um /30, você tera que setar 1 ip na interface que chega o link para servir como enlace entre você e a operadora, e os demais ips do bloco você seta na loopback, sendo cada ip restante do bloco como /32.

Eberty Rodrigues disse:

Boa noite, esse esses ips da loopback precisar ser /32 ou pode ser /29?

Anderson Alves disse:

Ôpa Pedro, tudo jóia?

Cara, eu tenho aqui um material muito bom, e creio que daria para implantar no Mk-Auth de forma que facilitaria muito mesmo o dia a dia dos provedores.

Tenho até um script já pronto onde informamos o tamanho do bloco válido, o tamanho do bloco inválido, e, as portas de comunicação que serão utilizados por cada IP de NAT. 
Rodou o Script, o CGNAT ta pronto e funcional.
A, a única outra coisa que será necessário fazer, é habilitar o ARP na WAN do concentrador se o bloco for roteado, ou se for apenas um bloco /29 ou /28... Se faz necessário também, criar uma interface loopback e adicionar todos os IPs válidos DISPONÍVEIS do bloco como sendo /32 e apontar para a interface loopback.


Qualquer coisa, manda um e-mail que eu te respondo com mais detalhes.

Abraço.

Pedro Filho disse:

obrigado Gleidson e amigo não entendi sobre colocar a função do pool no cadastro de servidor, se for assim acho que perderia o sentido do controle do pool no mk-auth e ficaria melhor usar o pool diretamente nas configurações do mikrotik e não no mk-auth.

Quais regras vc está usando para o seu CGNAT ? estou pensando em colocar esse recurso e estou vendo dicas.

Ok, vamos no passo a passo blz?

1 - va na interface onde chega seu link e habilite o proxy arp.

2 - crie uma interface bridge com o nome loopback.

3 - o primeiro ip do seu bloco /29 você seta na interface onde chega o link, la em IP>ADDRESSESS.

4 - Seta os outros 4 ips restantes apontando para interface loopback, sendo todos com mascara /32.

Vá até o seu Firewall e na aba NAT você configura seu CGNat ou se for por script, basta jogar la em New Terminal.

Fernando Lazarone disse:

Amigo Boa noite, recebi um /29 da operado e quero fazer cgnat eu consegui o script para regras mas estou pouco confuso na parte de colocar os ips publicos na interface para sair pelo cgnat, poderia me ajudar ???

Anderson Alves disse:

Ôpa Pedro, tudo jóia?

Cara, eu tenho aqui um material muito bom, e creio que daria para implantar no Mk-Auth de forma que facilitaria muito GNAT ta pronto e funcional.
A, a única outra coisa que será necessário fazer, é habilitar o ARP na WAN do concentrador se o bloco for roteado, ou se for apenas um bloco /29 ou /28... Se faz necessário também, criar uma interface loopback e adicionar todos os IPs válidos DISPONÍVEIS do bloco como sendo /32 e apontar para a interface loopback.


Qualquer coisa, manda um e-mail que eu te respondo com mais detalhes.

Abraço.

Pedro Filho disse:

obrigado Gleidson e amigo não entendi sobre colocar a função do pool no cadastro de servidor, se for assim acho que perderia o sentido do controle do pool no mk-auth e ficaria melhor usar o pool diretamente nas configurações do mikrotik e não no mk-auth.

Quais regras vc está usando para o seu CGNAT ? estou pensando em colocar esse recurso e estou vendo dicas.

Recebo um /29

ex:

192.168.1.16/29 gateway

192.168.1.17 ip que recebo no pppoe

18 ao 22 posso usar.

Cenario 01

/ip address
add address=192.168.1.18/29 interface=lo 
add address=192.168.1.19/29 interface=lo 
add address=192.168.1.20/29 interface=lo 
add address=192.168.1.21/29 interface=lo 
add address=192.168.1.22/29 interface=lo 

Cenario 02

/ip address
add address=192.168.1.18/32 interface=lo 
add address=192.168.1.19/32 interface=lo 
add address=192.168.1.20/32 interface=lo 
add address=192.168.1.21/32 interface=lo 
add address=192.168.1.22/32 interface=lo 


Anderson Alves disse:

Cara, vai depender muito do teu cenário.

Se a sua operadora lhe fornece um unico bloco maior que um /30, você tera que setar 1 ip na interface que chega o link para servir como enlace entre você e a operadora, e os demais ips do bloco você seta na loopback, sendo cada ip restante do bloco como /32.

Eberty Rodrigues disse:

Boa noite, esse esses ips da loopback precisar ser /32 ou pode ser /29?

Anderson Alves disse:

Ôpa Pedro, tudo jóia?

Cara, eu tenho aqui um material muito bom, e creio que daria para implantar no Mk-Auth de forma que facilitaria muito mesmo o dia a dia dos provedores.

Tenho até um script já pronto onde informamos o tamanho do bloco válido, o tamanho do bloco inválido, e, as portas de comunicação que serão utilizados por cada IP de NAT. 
Rodou o Script, o CGNAT ta pronto e funcional.
A, a única outra coisa que será necessário fazer, é habilitar o ARP na WAN do concentrador se o bloco for roteado, ou se for apenas um bloco /29 ou /28... Se faz necessário também, criar uma interface loopback e adicionar todos os IPs válidos DISPONÍVEIS do bloco como sendo /32 e apontar para a interface loopback.


Qualquer coisa, manda um e-mail que eu te respondo com mais detalhes.

Abraço.

Pedro Filho disse:

obrigado Gleidson e amigo não entendi sobre colocar a função do pool no cadastro de servidor, se for assim acho que perderia o sentido do controle do pool no mk-auth e ficaria melhor usar o pool diretamente nas configurações do mikrotik e não no mk-auth.

Quais regras vc está usando para o seu CGNAT ? estou pensando em colocar esse recurso e estou vendo dicas.

Cenário 2 é o correto e também é a unica forma de funcionar =)

Eberty Rodrigues disse:

Recebo um /29

ex:

192.168.1.16/29 gateway

192.168.1.17 ip que recebo no pppoe

18 ao 22 posso usar.

Cenario 01

/ip address
add address=192.168.1.18/29 interface=lo 
add address=192.168.1.19/29 interface=lo 
add address=192.168.1.20/29 interface=lo 
add address=192.168.1.21/29 interface=lo 
add address=192.168.1.22/29 interface=lo 

Cenario 02

/ip address
add address=192.168.1.18/32 interface=lo 
add address=192.168.1.19/32 interface=lo 
add address=192.168.1.20/32 interface=lo 
add address=192.168.1.21/32 interface=lo 
add address=192.168.1.22/32 interface=lo 


Anderson Alves disse:

Cara, vai depender muito do teu cenário.

Se a sua operadora lhe fornece um unico bloco maior que um /30, você tera que setar 1 ip na interface que chega o link para servir como enlace entre você e a operadora, e os demais ips do bloco você seta na loopback, sendo cada ip restante do bloco como /32.

Eberty Rodrigues disse:

Boa noite, esse esses ips da loopback precisar ser /32 ou pode ser /29?

Anderson Alves disse:

Ôpa Pedro, tudo jóia?

Cara, eu tenho aqui um material muito bom, e creio que daria para implantar no Mk-Auth de forma que facilitaria muito mesmo o dia a dia dos provedores.

Tenho até um script já pronto onde informamos o tamanho do bloco válido, o tamanho do bloco inválido, e, as portas de comunicação que serão utilizados por cada IP de NAT. 
Rodou o Script, o CGNAT ta pronto e funcional.
A, a única outra coisa que será necessário fazer, é habilitar o ARP na WAN do concentrador se o bloco for roteado, ou se for apenas um bloco /29 ou /28... Se faz necessário também, criar uma interface loopback e adicionar todos os IPs válidos DISPONÍVEIS do bloco como sendo /32 e apontar para a interface loopback.


Qualquer coisa, manda um e-mail que eu te respondo com mais detalhes.

Abraço.

Pedro Filho disse:

obrigado Gleidson e amigo não entendi sobre colocar a função do pool no cadastro de servidor, se for assim acho que perderia o sentido do controle do pool no mk-auth e ficaria melhor usar o pool diretamente nas configurações do mikrotik e não no mk-auth.

Quais regras vc está usando para o seu CGNAT ? estou pensando em colocar esse recurso e estou vendo dicas.



Anderson Alves disse:

Ôpa Pedro, tudo jóia?

Cara, eu tenho aqui um material muito bom, e creio que daria para implantar no Mk-Auth de forma que facilitaria muito mesmo o dia a dia dos provedores.

Tenho até um script já pronto onde informamos o tamanho do bloco válido, o tamanho do bloco inválido, e, as portas de comunicação que serão utilizados por cada IP de NAT. 
Rodou o Script, o CGNAT ta pronto e funcional.
A, a única outra coisa que será necessário fazer, é habilitar o ARP na WAN do concentrador se o bloco for roteado, ou se for apenas um bloco /29 ou /28... Se faz necessário também, criar uma interface loopback e adicionar todos os IPs válidos DISPONÍVEIS do bloco como sendo /32 e apontar para a interface loopback.


Qualquer coisa, manda um e-mail que eu te respondo com mais detalhes.

Abraço.

Pedro Filho disse:

obrigado Gleidson e amigo não entendi sobre colocar a função do pool no cadastro de servidor, se for assim acho que perderia o sentido do controle do pool no mk-auth e ficaria melhor usar o pool diretamente nas configurações do mikrotik e não no mk-auth.

Quais regras vc está usando para o seu CGNAT ? estou pensando em colocar esse recurso e estou vendo dicas.

pedro, essa idéia é apenas para facilitar a gerência por pessoas inexperientes, eu uso um pool x para um concentrador e um pool y para outro, e na minha rede um concentrador só roteia para a borda aquela faixa de ips, isso prq preciso sumarizar as rotas para não poluir minhas tabelas, só que acontece dos meus clientes selecionarem os pools errados e os clientes ficam sem conexão, isso por falta de conhecimento mesmo, colocando a função de pool no cadastro do concentrador, no ato do cadastro o pessoal só vai ter que escolher o concentrador correto mesmo, facilitando serviço entende?? mas como disse é apenas pro pessoal "bruto" hehe!

tenho um script semelhante ao do amigo, só que eu uso netmap, pois fica com menos regras e alivia a carga das rbs, com 128 regrinhas e um /24 público eu crio um cgnat para 16.320 clientes com pouca mais de 1.000 portas para cada cliente e 100% funcional!

Responder à discussão

RSS

TheLinuxF

© 2019   Criado por Pedro Filho.   Ativado por

Badges - Divulgar  |  Relatar erro no site  |  Termos de serviço