[GTER] Entrega de IPv4 Fixo /32

Andre Almeida andre at bnet.com.br
Tue Mar 21 14:33:58 -03 2017 

Eu não posso entregar esse IP Publico via DHCP para a minha CPE.
Caso contrário teria que ter um NAT para o cliente.

O objetivo é entregar o IP Publico /32 direto ao equipamento do cliente,
entretanto, passando por esse tunel PPPoE de forma transparente para o
cliente.

Até poderia ser outra vlan como @Douglas Fischer sugeriu, entregando /32
mas ela sendo /24.
Porém se eu fizer isso, o DHCP teria que ser antes da CPE e para entregar
fixo teria que fixar um MAC (no caso o MAC do dispositivo do cliente... e
isso poderia me causar transtornos)

Para isolamento como o @Fernando Frediani sugeriu, seria adicionar ao ARP
todos os leases entregues (pinando o MAC ao IP entregue) e deixar a
interface da vlan como reply only.
Como existe um isolation de camada 2 entre os clientes, não teriam
comunicação entre si, somente até o concentrador e que não faria o
encaminhamento mesmo que tentassem)....
Acho que seria isso.... (?)

Mas esse tipo de procedimento não iria atingir meu objetivo, que seria de
entregar ao equipamento do cliente o /32 mesmo usando o PPPoE.

Por isso queria manter o PPPoE (porque por enquanto trabalhamos dessa
forma) mas que o tunel ficasse transparente ao cliente.
No Tunel não gastaria IP pois entregaria um IP privado e a rota do IP
publico seria entregue pelo radius como atributo à conexão PPPoE, de forma
dinâmica.

O lease time poderia ser bem grande. Mas poderiamos limpar os leases no
startup.
Então um reboot no equipamento permitiria ao cliente usar outro dispositivo
sem precisar informar nada pra nós.

O gateway do cliente poderia ser um IP que não interferisse no roteamento,
como um ip de network ou broadcast usado em outro segmento. (como eu disse,
para nao ficar "feio" de entregar para o cliente um IP Publico mas com
Gateway Privado)

Ainda não consegui montar esse cenário.....

A parte do DHCP principalmente. Acho que teria que ter uma rota estática
apontando o IP Publico que estaria do lado do cliente para a interface onde
ele conectará o cabo (na CPE)
......... (?)


Não sei ainda como fazer.... a ideia base seria essa.
Entregar o /32 ao cliente, tornando o túnel transparente, mantendo a
gerencia da CPE (em camada 3).

Att,

Andre H. de Almeida


Em 21 de março de 2017 13:38, Fernando Frediani <fhfrediani at gmail.com>
escreveu:

> Ola Andre.
>
> É possivel fazer isso sem desperdiçar IPs mas você vai ter que abandonar a
> idéia de PPPoE e em uma outra VLAN utilizar DHCP com /32.
>
> Existem alguns procedimentos que devem ser feitos para garantir a
> integridade e segurança dessa Vlan de clientes e principalmente garantir
> que nenhum cliente irá atribuir um IP estaticamente a si mesmo e
> obrigatóriamente recebera através de um DHCP Request. E sim, você pode
> pinar o MAC do cliente com o IP desinado a ele.
>
> Porém atente-se a algo muito importante: nem toda CPE funciona ou entende
> bem DHCP /32, mesmo algumas com firmware mais novo, então teste a CPE que
> você irá usar antes.
>
> Fernando Frediani
>
> On 21 Mar 2017 10:11, "Andre Almeida" <andre at bnet.com.br> wrote:
>
> > Amigos, bom dia!
> >
> > Temos alguns clientes que possuem um serviço um pouco diferenciado, e que
> > não querem usar PPPoE nos seus dispositivos.
> >
> > Mas não queremos desperdiçar IPv4 nesse momento delicado fazendo entrega
> de
> > /30 desnecessariamente.
> >
> > Pensei em alguma forma de entregar o /32 publico ao cliente.
> >
> > Como aqui utilizamos PPPoE para entregar o serviço, pensei em fazer algo
> > diferente:
> >
> > 1 ) Incluir no pacote um roteador Mikrotik (como CPE) para fazer o PPPoE
> > (esse tunel receberia um IP Privado)
> > 2 ) Criar um atributo de Framed-route no Radius para ao logar, criar
> > dinamicamente no concentrador a rota do IP Publico com gateway o IP
> Privado
> > do PPPoE
> > 3 ) No OSPF do Concentrador, distribuir rotas estáticas, para encaminhar
> > essas rotas entregues pelo Radius às bordas.
> >
> > A partir dai, já dava pra começar a pensar em entregar o IP Privado
> > diretamente para o cliente.
> >
> > Pensei em separar um IP para ser gateway de todos esses clientes.
> > Como assim? Seria o IP de gateway do cliente, ficaria visível apenas
> para o
> > cliente. Esse IP, mesmo público, poderia até mesmo ser o IP network ou
> > broadcast de qualquer outro segmento, pois não seria utilizado para
> > destinos. Seria só para ficar mais "bonito" do que entregar um IP Publico
> > com Gateway privado.
> >
> > E entregar um DHCP (ou dar a possibilidade de adicionar estaticamente) um
> > IP Publico /32 ao cliente.
> > Dessa forma, o cliente só usaria 1 IP e não 4 IPs (que acontece quando
> > usamos um /30).
> >
> > O que vocês acham? Tem alguma outra forma de fazer isso usando PPPoE
> quando
> > no final das contas o PPPoE nao vai direto no equipamento do cliente?
> >
> > Alguém tem alguma sugestão? Várias cabeças sempre pensam melhor que uma.
> >
> > Obrigado
> >
> > Andre Almeida
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list