[GTER] Firewall no ASN

Lucas Willian Bocchi lucas.bocchi at gmail.com
Thu Sep 20 22:13:05 -03 2018


Fernando.
Falo de algumas configurações, somente, não do equipamento em si. Neste
caso, achei que estava implícito que seria do Firewall. Pois bem, citando
mais detalhadamente, quando o pessoal faz a venda pro cliente, tenho uma
página que gera o firmware já com os dados do cliente padronizados
(incluindo ssid, senha do wifi, etc) e a senha do sistema. No caso do pppoe
tem um certo problema quando se troca a senha no sistema e por um acaso o
cliente depois de sei lá quanto tempo decide resetar o equipamento, mas
nada que não dê pra contornar (quase sempre usam cnpj ou cpf do cliente de
senha, ou uma combinação disso). Se caso não conseguir carregar as
configurações, ele não executa os scripts, simples assim.



Em qui, 20 de set de 2018 às 22:04, Fernando Frediani <fhfrediani at gmail.com>
escreveu:

> Olá Lucas
>
> Pode esclarecer algumas dúvidas a respeito ? Para que um roteador que
> foi resetado intencionamente ou não conseguir se comunicar com o
> servidor em PHP e receber essa configuração ele precisa de
> conectividade. Como isso é feito ? Em paralelo à Vlan de PPPoE existe
> também algum DHCP server que só responde aos MAC Address previamente
> cadastrados com um range que serve especificamente a esse propósito ? Ou
> é uma Vlan tageada e a Vlan PPPoE é nativa ?
>
> Ele possui alguma flag que é verificada durante o processo de boot pra
> dizer se ele está sem configuração e precisa ir buscar ?
>
> Sobre essa possível Vlan ou Rede Interna que o roteador utiliza para
> buscar a configuração, no caso dele ter acesso à interface web (para
> configuração de redirecionamento de portas por exemplo) como é feito
> para que esse tipo de informação não apareça pra ele ?
>
> Fernando
>
>
> On 20/09/2018 20:15, Lucas Willian Bocchi wrote:
> > Marcelo
> > Tenho bons cases usando OpenWRT com firmware customizada. Define um
> > endereço para baixar um arquivo de configuração gerado por PHP que já
> manda
> > os scripts personalizados pro cliente. Super simples de fazer, porém
> > trabalhoso de implementar.
> >
> > Em qui, 20 de set de 2018 às 18:59, Marcelo Gondim <
> gondim at bsdinfo.com.br>
> > escreveu:
> >
> >> Estamos tentando jogar o controle pras ONUs mas estamos com problemas no
> >> controle da banda. Nos testes não tem controlado a banda corretamente e
> >> aqui as ONUs tem vlan de Internet e vlan de IPTV nossa. Se fosse um
> >> serviço só dava pra fazer o controle na PON sem problemas mas precisamos
> >> controlar a banda por serviço. Pelo menos na FiberHome isso tá sendo uma
> >> desgraça aqui mas a hora que conseguirmos, aí sim as caixas PPPoE vão
> >> ficar levíssimas.
> >> Estamos implantando o UNM2000 aqui ou pelo menos tentando. rsrsrsrs
> >>
> >> Em 20/09/2018 17:00, Douglas Fischer escreveu:
> >>> Coloca o cara do sistema para fazer ele integrar com a gerência das
> OLTs!
> >>>
> >>> Como eu disse, tem uns caras que prometem que isso acontece.
> >>> Nas que são SSH, isso com ansible é "mole para o vasco" como diria o
> >>> Eurico...
> >>> Mas naquele troço chamado ANM-2000, grrrrr...
> >>>
> >>>
> >>>
> >>> Em qui, 20 de set de 2018 às 14:57, Marcelo Gondim <
> >> gondim at bsdinfo.com.br>
> >>> escreveu:
> >>>
> >>>> Aqui as queues são feitas nas CCRs mesmo mas com o conntrack
> habilitado
> >>>> a performance cai e começa à ter problemas inclusive com perdas. Eu
> sei
> >>>> porque passamos já por isso e resolvemos não usar mais e tem
> funcionado
> >>>> muito bem.
> >>>> Hoje estamos tranquilos já tive caixa com 2200 assinantes conectados e
> >>>> sem problema mas preferimos manter na média dos 2000.
> >>>> O dia que tirarmos as queues das caixas aí você pode ter certeza que
> vou
> >>>> colocar pelo menos uns 10.000 conectados numa mesma caixa rsrsrsrs
> >>>>
> >>>> Em 20/09/2018 09:05, Douglas Fischer escreveu:
> >>>>>     Quem mata a performance da caixa de verdade não é nem tanto ACL,
> >>>> Firewall,
> >>>>> Contrack...
> >>>>>
> >>>>> Para conseguir colocar esses número de sessões/PPS/Banda nessas
> caixas
> >>>> deve
> >>>>> estar sem filas...
> >>>>>
> >>>>> Controle de banda todo por conta da OLT?
> >>>>> Integrou sistema de Gestão na definição da porta na OLT?
> >>>>>
> >>>>> Teve um brasiguaio que me disse que tem um sistema de gestão
> milagroso
> >>>> que
> >>>>> faz esse provisionamento lindamente.
> >>>>> Estou curioso!
> >>>>>
> >>>>> Em qui, 20 de set de 2018 às 07:16, Marcelo Gondim <
> >>>> gondim at bsdinfo.com.br>
> >>>>> escreveu:
> >>>>>
> >>>>>> Oi Douglas,
> >>>>>>
> >>>>>> Então aqui em uma das cidades que atendemos, a principal tenho 6
> CCRs
> >>>>>> sendo 5 com 2000 assinantes conectados e planos que variam entre
> >> 10Mbps
> >>>>>> e 50Mbps. Nessa cidade o tráfego total no pico é de quase 9Gbps.
> >> Tráfego
> >>>>>> em cada CCR dessa perto dos 2Gbps. Uma outra CCR aqui só para
> clientes
> >>>>>> corporativos. Aqui trabalhamos para que o IPv6 seja o mais adotado
> >>>>>> possível pois nossos técnicos na instalação do assinante habilitam o
> >>>>>> dual stack. O novo sistema que estamos usando inclusive o router que
> >>>>>> levamos para o assinante já se auto provisiona e configura IPv4 e
> IPv6
> >>>>>> sem intervenção do técnico. Para nós ficou muito melhor montar um
> >>>>>> servidor Linux com 2 interfaces Intel X520-SR2 com 4 portas de
> 10GbE e
> >>>>>> direcionar apenas os clientes de CGNAT (100.64.0.0/10) para ele.
> >> Nosso
> >>>>>> objetivo aqui é um dia nem precisar mais do CGNAT e por isso
> contamos
> >>>>>> com a intensificação do uso do IPv6. Tudo é uma questão de
> >> planejamento.
> >>>>>> Como nós aqui fazemos FTTH, o router colocado no assinante é de
> nossa
> >>>>>> responsabilidade e com o recurso de auto provisionamento,
> acreditamos
> >>>>>> que cada vez mais o CGNAT será menos utilizado e não o contrário.
> :)
> >>>>>> Veja eu tenho 1 servidor de CGNAT atendendo 5 CCRs e não 1 pra cada
> >> CCR.
> >>>>>> Uma outra cidade que atendemos aqui o tráfego é menor, 6Gbps e só de
> >>>>>> CGNAT o consumo é de uns 300Mbps. Nessa cidade são 5 CCRs e o
> restante
> >>>>>> dos acessos são IPv4 público e IPv6 e também fazemos a mesma coisa,
> um
> >>>>>> Linux fazendo o papel de CGNAT sendo que com 1 Intel X520-SR2.
> >>>>>>
> >>>>>> Mas é como você colocou, cada um faz a abordagem que melhor se
> >> enquadra
> >>>>>> ao seu cenário sem aquilo de certo ou errado, apenas a maneira que
> >> acha
> >>>>>> melhor.
> >>>>>>
> >>>>>> Em 19/09/2018 16:29, Douglas Fischer escreveu:
> >>>>>>> Opa Marcelo!
> >>>>>>> Eu pessoalmente não gosto dessa metodologia de separar o CG-NAT do
> >>>> B-RAS.
> >>>>>>> Prefiro tratar todas essas questões de filtragem e CG-NAT no
> próprio
> >>>>>> B-RAS.
> >>>>>>> Perder um pouco em performance, ganha em resiliência e
> >> escalabilidade.
> >>>>>>>
> >>>>>>> Falando de CCR, jogando CG-NAT no B-RAS(PPPoE server) você acaba
> >>>>>> "perdendo"
> >>>>>>> um pouco de capacidade nominal em número de clientes em banda.
> >>>>>>> Se conseguia colocar 1500-1600 clientes, vai passar a colocar uns
> >>>>>>> 1100-1200(talvez nem isso dependendo do perfil de cliente).
> >>>>>>>
> >>>>>>> Mas se estiver considerando um cenário com 2 B-RAS com 1500
> clientes,
> >>>>>>> e precisaria de uma 3ª e 4ª caixas só para fazer CG-NAT e sua
> >>>> respectiva
> >>>>>>> redundância...
> >>>>>>> Pegue essas 4 caixas e coloque as 4 para fazer
> >> B-RAS+CG-NAT+Filtragens
> >>>>>>> simples.
> >>>>>>> Isso dá 750 clientes por caixa, ou 1000 clientes em caso de falha
> de
> >>>> uma
> >>>>>>> das caixas...
> >>>>>>>
> >>>>>>> Pro CG-NAT, já vai ter que está com o Contrack ligado mesmo!
> >>>>>>> Então fazer algumas filtragens(Ex.: TCP/25, SSDP, etc) ali, não vai
> >> te
> >>>>>>> tomar tantos ciclos de processamento a mais do que já está
> usando...
> >>>>>>> (FastTrack pode ajudar bem a by-passar algumas coisas. RAW também.)
> >>>>>>>
> >>>>>>>
> >>>>>>>
> >>>>>>>
> >>>>>>> Em ter, 18 de set de 2018 às 22:34, Marcelo Gondim <
> >>>>>> gondim at bsdinfo.com.br>
> >>>>>>> escreveu:
> >>>>>>>
> >>>>>>>> Essa abordagem que o Rubens colocou é a melhor mesmo. Aqui usamos
> >>>> assim:
> >>>>>>>> BRAS ----- CGNAT ----- Router/Firewall --- Borda
> >>>>>>>>       |                                      |
> >>>>>>>>       +------------------------------+
> >>>>>>>>                   IPv6
> >>>>>>>>
> >>>>>>>> Em 18/09/2018 22:16, Rubens Kuhl escreveu:
> >>>>>>>>> O recomendável é um terceiro equipamento entre esses dois, em
> >>>>>>>> configuração
> >>>>>>>>> não redundante.
> >>>>>>>>>
> >>>>>>>>> BRAS - Firewall - Borda
> >>>>>>>>> +------------------------+
> >>>>>>>>>
> >>>>>>>>> Essa conexão direta entre BRAS e Borda é a que já existe hoje, e
> >>>> seria
> >>>>>>>>> contingência caso o firewall pife.
> >>>>>>>>> Dá para fazer isso em L2 ou L3 à sua escolha... se for L2 com
> >>>>>>>> spanning-tree
> >>>>>>>>> de redundância, se for L3 com OSPF de redundância. Se for L2 com
> >>>>>> firewall
> >>>>>>>>> bridge, se for L3 com firewall roteado.
> >>>>>>>>>
> >>>>>>>>> Um servidor x86, rodando RouterOS, Linux ou FreeBSD seria um bom
> >>>>>>>> candidato.
> >>>>>>>>> Rubens
> >>>>>>>>>
> >>>>>>>>>
> >>>>>>>>>
> >>>>>>>>> On Tue, Sep 18, 2018 at 9:04 PM Tárcio Dutra <
> >>>> tarcio_dutra at hotmail.com
> >>>>>>>>> wrote:
> >>>>>>>>>
> >>>>>>>>>> Boa tarde, Turma.
> >>>>>>>>>>
> >>>>>>>>>>
> >>>>>>>>>> Recentemente recebemos alguns avisos de "Os IPs abaixo são
> origem
> >> de
> >>>>>>>>>> ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
> >>>>>>>>>>
> >>>>>>>>>> Ele pedem para bloquearmos, a exemplo, o trafego que sai através
> >> de
> >>>>>> uma
> >>>>>>>>>> porta X.
> >>>>>>>>>>
> >>>>>>>>>>
> >>>>>>>>>> Bem, devemos sempre colaborar...
> >>>>>>>>>>
> >>>>>>>>>>
> >>>>>>>>>> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
> >>>>>>>>>>
> >>>>>>>>>>
> >>>>>>>>>> Configurar um Firewall Foward no Router BGP, nos Concentradores
> >>>> PPPoE?
> >>>>>>>> Se
> >>>>>>>>>> eu subir um FIREWALL eu vou ter um aumento considerável no
> >>>>>> processamento
> >>>>>>>>>> dos meus equipamentos.  😖  :(
> >>>>>>>>>>
> >>>>>>>>>>
> >>>>>>>>>> Realmente gostaria de ler a experiência de vocês. Agradeço a
> quem
> >> me
> >>>>>>>>>> ajudar.
> >>>>>>>>>>
> >>>>>>>>>>
> >>>>>>>>>> Att,
> >>>>>>>>>>
> >>>>>>>>>> Tárcio
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list