[GTER] PPPoE para redes de acesso via rádio

Otavio Augusto otavioti at gmail.com
Wed Aug 14 16:22:15 -03 2013 

@adriano
Quanto aos IPs vc pode ter uma rede roteada com classes quebradas, se
estiver esgotando os ips vc pode pedir mais pro Nic.BR, O fato de usar
ips em roteamento justifica o pedido junto ao Nic.BR
Quanto ao uso de caixas pode ser mas eu usaria a caixa em redes onde o
usuário é cabeado e no NÓ principal  (provavelmente o datacenter).
Outra coisa que deve ser levado em consideração é a topologia da rede.
No meu caso específico a saida do link é lado oposto do meu
datacenter. Colocar o concentrador no ponto de saída do link é ruim
pois é um lugar ermo coloco o mínimo de equipamento lá e trazer o
tráfego de todo mundo para o datacenter fica muito caro.
Quanto a gerenciar os servidores o radius que reponde todas as
configurações para cada concentrador, então as configs dos
concentradores, no meu caso MK, é mínima e não armazenam nada do
usuário.
Mas como existem várias maneiras de se fazer a mesma coisa , e isto é
bom, cada um faz da maneira que achar melhor e mais seguro
para a qualidade do serviço de acordo com suas condições e
necessidades é legal ver o seu ponto de vista pois abre mais opções
para todos na hora de projetar uma rede nova :)

@Raimundo
O PPPOE em si não traz segurança para usa rede com relação a acesso
indevidos e garantia de privacidade do cliente.
Em redes sem fio todos sabemos de WiFi é bem fácil de penetrar podendo
um cliente seu ter seu trafego capturado por terceiros ou faciltando a
entrada de usuários piratas.
Usar chaves de criptografia WPA2 faz aumenta em muito a segurança da
rede. E checar as chaves dos usuário por radius é uma ótima opção pois
vc não teria uma única chave que poderia cair nas mão de alguém mal
intencionado.
Algumas pessoas acham que por PPPOE resolve os problemas de segurança,
mas estão enganados pois mesmo criptografado ele traz segurança baixa.
PPPOE é ótimo para gerenciamento de usuários mas fraco em segurança.
Independente de sua estratégia ser centralizada ou não com PPPOE ou
não, pense em implantar uma solução de segurança robusta ao meio
físico, no nosso caso o ar.

Sobre WPA com radius vc pode começar por aqui :
http://www.smallnetbuilder.com/content/view/30210/98/

Em 14 de agosto de 2013 15:25, Raimundo Santos <raimundo at w1.com.br> escreveu:
> @clecio:
>
> Rapaz, muito obrigado pelas dicas! Aqui usamos Ubiquity e Mikrotik, nada
> além disso (talvez uma ou outra exceção). Creio que não terei problemas
> então quando for tentar. Trabalhamos com quase tudo a 5.8GHz.
>
> @otavio:
>
> Legal teu case, Otavio, e como já temos RouterBOARDs rodando na maioria dos
> APs, a ideia de descentralizar fica simples. Porém pretendo implementar - e
> já estou no caminho! - redundância de máquinas que servirão o PPPoE, e
> pensei que, sendo a rede giga interna ao CPD, e essas máquinas conversando
> com os APs via VLANs, o problema de descentralizar não seja tão relevante
> assim.
>
> Não entendi muito bem seu último parágrafo. Eis o que entendi: devo usar
> uma chave WPA2 para cada cliente, independente da autenticação feita por
> PPPoE?
>
>
> []s!
>
>
> 2013/8/13 Otavio Augusto <otavioti at gmail.com>
>
>> Tenho provedores parceiros com PPPOE a uns 10 anos. E funciona muito bem.
>> O maior benefício é o gerenciamento via radius.
>> Dica use uma solução distribuída ao invés da centralizada.
>> Tenho no mínimo um concentrador PPPOE em cada torre, uso mikrotik pela
>> facilidade, o concentrador que tem mais clientes conectados tem 40
>> sessões.
>> Já usei rp-pppoe com linux lá no inicio mas o problema é que tinha que
>> ficar centralizado e ficava inviável por uma máquina em cada torre (
>> Até tentei mas a manutenção ficava alta).
>> As desvantagens do PPPOE é que o link com o cliente tem que ficar
>> muito bom senão fica desconectando mas até incentiva vc a ter sempre o
>> melhor serviço e achar problemas em um POP.
>> O Problema do FreeBSD + MPD é o mesmo do linux vc vai ter que
>> centralizar as conexões e pode deixar a rede mais complexa e criar um
>> ponto único de falha.
>> Vá de uma solução distribuída que a sua experiencia com o PPPOE será
>> melhor.
>> Com relação a segurança o não deixe para o PPPOE e sim para o enlace
>> físico usando cryptografias WPA2 uma para cada usuário autenticada
>> pelo radius.
>>
>>
>>
>>
>> Em 12 de agosto de 2013 11:22, Raimundo Santos <raimundo at w1.com.br>
>> escreveu:
>> > Bom dia lista!
>> >
>> > Meu debut acontece aqui perguntando: qual a implicação, quais os prós e
>> > contras (http://en.wikipedia.org/wiki/The_Pros_and_Cons_of_Hitch_Hiking-
>> > citação graças a TDAH) de uso de um esquema PPPoE para autenticar
>> clientes
>> > numa rede de rádios?
>> >
>> > Alguém já fez isso com sucesso? Conheço dois exemplos de provedores que
>> > desistiram, porém nenhum deles soube me informar o motivo para isso.
>> Creio
>> > que foi falta de massa crítica para gerenciamento.
>> >
>> > Pretendo implementar MPD5 + FreeRADIUS, devido ao baixo custo e minha
>> > familiaridade com FreeBSD.
>> >
>> > Alguma outra sugestão?
>> >
>> > Muito obrigado!
>> >
>> > Raimundo Santos
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>>
>>
>> --
>> Otavio Augusto
>> ---------------------
>> Consultor de TI
>> Citius Tecnologia
>> 31 37761866
>> 31 88651242
>> http://www.citiustecnologia.com.br
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



-- 
Otavio Augusto
---------------------
Consultor de TI
Citius Tecnologia
31 37761866
31 88651242
http://www.citiustecnologia.com.br

More information about the gter mailing list