[GTER] Firewall no ASN

Fernando Frediani fhfrediani at gmail.com
Thu Sep 20 20:41:52 -03 2018 

Olá Lucas

Pode esclarecer algumas dúvidas a respeito ? Para que um roteador que 
foi resetado intencionamente ou não conseguir se comunicar com o 
servidor em PHP e receber essa configuração ele precisa de 
conectividade. Como isso é feito ? Em paralelo à Vlan de PPPoE existe 
também algum DHCP server que só responde aos MAC Address previamente 
cadastrados com um range que serve especificamente a esse propósito ? Ou 
é uma Vlan tageada e a Vlan PPPoE é nativa ?

Ele possui alguma flag que é verificada durante o processo de boot pra 
dizer se ele está sem configuração e precisa ir buscar ?

Sobre essa possível Vlan ou Rede Interna que o roteador utiliza para 
buscar a configuração, no caso dele ter acesso à interface web (para 
configuração de redirecionamento de portas por exemplo) como é feito 
para que esse tipo de informação não apareça pra ele ?

Fernando


On 20/09/2018 20:15, Lucas Willian Bocchi wrote:
> Marcelo
> Tenho bons cases usando OpenWRT com firmware customizada. Define um
> endereço para baixar um arquivo de configuração gerado por PHP que já manda
> os scripts personalizados pro cliente. Super simples de fazer, porém
> trabalhoso de implementar.
>
> Em qui, 20 de set de 2018 às 18:59, Marcelo Gondim <gondim at bsdinfo.com.br>
> escreveu:
>
>> Estamos tentando jogar o controle pras ONUs mas estamos com problemas no
>> controle da banda. Nos testes não tem controlado a banda corretamente e
>> aqui as ONUs tem vlan de Internet e vlan de IPTV nossa. Se fosse um
>> serviço só dava pra fazer o controle na PON sem problemas mas precisamos
>> controlar a banda por serviço. Pelo menos na FiberHome isso tá sendo uma
>> desgraça aqui mas a hora que conseguirmos, aí sim as caixas PPPoE vão
>> ficar levíssimas.
>> Estamos implantando o UNM2000 aqui ou pelo menos tentando. rsrsrsrs
>>
>> Em 20/09/2018 17:00, Douglas Fischer escreveu:
>>> Coloca o cara do sistema para fazer ele integrar com a gerência das OLTs!
>>>
>>> Como eu disse, tem uns caras que prometem que isso acontece.
>>> Nas que são SSH, isso com ansible é "mole para o vasco" como diria o
>>> Eurico...
>>> Mas naquele troço chamado ANM-2000, grrrrr...
>>>
>>>
>>>
>>> Em qui, 20 de set de 2018 às 14:57, Marcelo Gondim <
>> gondim at bsdinfo.com.br>
>>> escreveu:
>>>
>>>> Aqui as queues são feitas nas CCRs mesmo mas com o conntrack habilitado
>>>> a performance cai e começa à ter problemas inclusive com perdas. Eu sei
>>>> porque passamos já por isso e resolvemos não usar mais e tem funcionado
>>>> muito bem.
>>>> Hoje estamos tranquilos já tive caixa com 2200 assinantes conectados e
>>>> sem problema mas preferimos manter na média dos 2000.
>>>> O dia que tirarmos as queues das caixas aí você pode ter certeza que vou
>>>> colocar pelo menos uns 10.000 conectados numa mesma caixa rsrsrsrs
>>>>
>>>> Em 20/09/2018 09:05, Douglas Fischer escreveu:
>>>>>     Quem mata a performance da caixa de verdade não é nem tanto ACL,
>>>> Firewall,
>>>>> Contrack...
>>>>>
>>>>> Para conseguir colocar esses número de sessões/PPS/Banda nessas caixas
>>>> deve
>>>>> estar sem filas...
>>>>>
>>>>> Controle de banda todo por conta da OLT?
>>>>> Integrou sistema de Gestão na definição da porta na OLT?
>>>>>
>>>>> Teve um brasiguaio que me disse que tem um sistema de gestão milagroso
>>>> que
>>>>> faz esse provisionamento lindamente.
>>>>> Estou curioso!
>>>>>
>>>>> Em qui, 20 de set de 2018 às 07:16, Marcelo Gondim <
>>>> gondim at bsdinfo.com.br>
>>>>> escreveu:
>>>>>
>>>>>> Oi Douglas,
>>>>>>
>>>>>> Então aqui em uma das cidades que atendemos, a principal tenho 6 CCRs
>>>>>> sendo 5 com 2000 assinantes conectados e planos que variam entre
>> 10Mbps
>>>>>> e 50Mbps. Nessa cidade o tráfego total no pico é de quase 9Gbps.
>> Tráfego
>>>>>> em cada CCR dessa perto dos 2Gbps. Uma outra CCR aqui só para clientes
>>>>>> corporativos. Aqui trabalhamos para que o IPv6 seja o mais adotado
>>>>>> possível pois nossos técnicos na instalação do assinante habilitam o
>>>>>> dual stack. O novo sistema que estamos usando inclusive o router que
>>>>>> levamos para o assinante já se auto provisiona e configura IPv4 e IPv6
>>>>>> sem intervenção do técnico. Para nós ficou muito melhor montar um
>>>>>> servidor Linux com 2 interfaces Intel X520-SR2 com 4 portas de 10GbE e
>>>>>> direcionar apenas os clientes de CGNAT (100.64.0.0/10) para ele.
>> Nosso
>>>>>> objetivo aqui é um dia nem precisar mais do CGNAT e por isso contamos
>>>>>> com a intensificação do uso do IPv6. Tudo é uma questão de
>> planejamento.
>>>>>> Como nós aqui fazemos FTTH, o router colocado no assinante é de nossa
>>>>>> responsabilidade e com o recurso de auto provisionamento, acreditamos
>>>>>> que cada vez mais o CGNAT será menos utilizado e não o contrário.  :)
>>>>>> Veja eu tenho 1 servidor de CGNAT atendendo 5 CCRs e não 1 pra cada
>> CCR.
>>>>>> Uma outra cidade que atendemos aqui o tráfego é menor, 6Gbps e só de
>>>>>> CGNAT o consumo é de uns 300Mbps. Nessa cidade são 5 CCRs e o restante
>>>>>> dos acessos são IPv4 público e IPv6 e também fazemos a mesma coisa, um
>>>>>> Linux fazendo o papel de CGNAT sendo que com 1 Intel X520-SR2.
>>>>>>
>>>>>> Mas é como você colocou, cada um faz a abordagem que melhor se
>> enquadra
>>>>>> ao seu cenário sem aquilo de certo ou errado, apenas a maneira que
>> acha
>>>>>> melhor.
>>>>>>
>>>>>> Em 19/09/2018 16:29, Douglas Fischer escreveu:
>>>>>>> Opa Marcelo!
>>>>>>> Eu pessoalmente não gosto dessa metodologia de separar o CG-NAT do
>>>> B-RAS.
>>>>>>> Prefiro tratar todas essas questões de filtragem e CG-NAT no próprio
>>>>>> B-RAS.
>>>>>>> Perder um pouco em performance, ganha em resiliência e
>> escalabilidade.
>>>>>>>
>>>>>>> Falando de CCR, jogando CG-NAT no B-RAS(PPPoE server) você acaba
>>>>>> "perdendo"
>>>>>>> um pouco de capacidade nominal em número de clientes em banda.
>>>>>>> Se conseguia colocar 1500-1600 clientes, vai passar a colocar uns
>>>>>>> 1100-1200(talvez nem isso dependendo do perfil de cliente).
>>>>>>>
>>>>>>> Mas se estiver considerando um cenário com 2 B-RAS com 1500 clientes,
>>>>>>> e precisaria de uma 3ª e 4ª caixas só para fazer CG-NAT e sua
>>>> respectiva
>>>>>>> redundância...
>>>>>>> Pegue essas 4 caixas e coloque as 4 para fazer
>> B-RAS+CG-NAT+Filtragens
>>>>>>> simples.
>>>>>>> Isso dá 750 clientes por caixa, ou 1000 clientes em caso de falha de
>>>> uma
>>>>>>> das caixas...
>>>>>>>
>>>>>>> Pro CG-NAT, já vai ter que está com o Contrack ligado mesmo!
>>>>>>> Então fazer algumas filtragens(Ex.: TCP/25, SSDP, etc) ali, não vai
>> te
>>>>>>> tomar tantos ciclos de processamento a mais do que já está usando...
>>>>>>> (FastTrack pode ajudar bem a by-passar algumas coisas. RAW também.)
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Em ter, 18 de set de 2018 às 22:34, Marcelo Gondim <
>>>>>> gondim at bsdinfo.com.br>
>>>>>>> escreveu:
>>>>>>>
>>>>>>>> Essa abordagem que o Rubens colocou é a melhor mesmo. Aqui usamos
>>>> assim:
>>>>>>>> BRAS ----- CGNAT ----- Router/Firewall --- Borda
>>>>>>>>       |                                      |
>>>>>>>>       +------------------------------+
>>>>>>>>                   IPv6
>>>>>>>>
>>>>>>>> Em 18/09/2018 22:16, Rubens Kuhl escreveu:
>>>>>>>>> O recomendável é um terceiro equipamento entre esses dois, em
>>>>>>>> configuração
>>>>>>>>> não redundante.
>>>>>>>>>
>>>>>>>>> BRAS - Firewall - Borda
>>>>>>>>> +------------------------+
>>>>>>>>>
>>>>>>>>> Essa conexão direta entre BRAS e Borda é a que já existe hoje, e
>>>> seria
>>>>>>>>> contingência caso o firewall pife.
>>>>>>>>> Dá para fazer isso em L2 ou L3 à sua escolha... se for L2 com
>>>>>>>> spanning-tree
>>>>>>>>> de redundância, se for L3 com OSPF de redundância. Se for L2 com
>>>>>> firewall
>>>>>>>>> bridge, se for L3 com firewall roteado.
>>>>>>>>>
>>>>>>>>> Um servidor x86, rodando RouterOS, Linux ou FreeBSD seria um bom
>>>>>>>> candidato.
>>>>>>>>> Rubens
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> On Tue, Sep 18, 2018 at 9:04 PM Tárcio Dutra <
>>>> tarcio_dutra at hotmail.com
>>>>>>>>> wrote:
>>>>>>>>>
>>>>>>>>>> Boa tarde, Turma.
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Recentemente recebemos alguns avisos de "Os IPs abaixo são origem
>> de
>>>>>>>>>> ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
>>>>>>>>>>
>>>>>>>>>> Ele pedem para bloquearmos, a exemplo, o trafego que sai através
>> de
>>>>>> uma
>>>>>>>>>> porta X.
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Bem, devemos sempre colaborar...
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Configurar um Firewall Foward no Router BGP, nos Concentradores
>>>> PPPoE?
>>>>>>>> Se
>>>>>>>>>> eu subir um FIREWALL eu vou ter um aumento considerável no
>>>>>> processamento
>>>>>>>>>> dos meus equipamentos.  😖  :(
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Realmente gostaria de ler a experiência de vocês. Agradeço a quem
>> me
>>>>>>>>>> ajudar.
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Att,
>>>>>>>>>>
>>>>>>>>>> Tárcio
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list