[GTER] Firewall no ASN

Marcelo Gondim gondim at bsdinfo.com.br
Fri Sep 21 12:00:32 -03 2018 

Em 20/09/2018 22:13, Lucas Willian Bocchi escreveu:
> Fernando.
> Falo de algumas configurações, somente, não do equipamento em si. Neste
> caso, achei que estava implícito que seria do Firewall. Pois bem, citando
> mais detalhadamente, quando o pessoal faz a venda pro cliente, tenho uma
> página que gera o firmware já com os dados do cliente padronizados
> (incluindo ssid, senha do wifi, etc) e a senha do sistema. No caso do pppoe
> tem um certo problema quando se troca a senha no sistema e por um acaso o
> cliente depois de sei lá quanto tempo decide resetar o equipamento, mas
> nada que não dê pra contornar (quase sempre usam cnpj ou cpf do cliente de
> senha, ou uma combinação disso). Se caso não conseguir carregar as
> configurações, ele não executa os scripts, simples assim.

No caso aqui do sistema da Anlix a gente gera uma firmaware deles pra 
cada router que sai pra assinante. Nessa firmware já vai com um usuário 
padrão PPPoE de implantação. Quando o técnico liga o router na ONU, o 
router se conecta com o usuário padrão, vai no sistema Flashman e 
provisiona com o login e senha corretos daquele cliente. Bem automático. 
Do Flashman também podemos atualizar todas as firmwares nos assinantes 
remotamente com as melhorias e implementações de segurança.
O trabalho deles está muito bem feito. Pro assinante tem o FlashApp que 
no nosso caso é personalizado com nossa logo e tudo e pode ser instalado 
em Android ou iOS e o cliente consegue configurar o seu SSID e outras 
coisas. Se o assinante esquecer a senha do SSID dele, remotamente 
podemos resetar ela e aí o assinante pode configurar novamente pelo 
FlashApp.

>
>
> Em qui, 20 de set de 2018 às 22:04, Fernando Frediani <fhfrediani at gmail.com>
> escreveu:
>
>> Olá Lucas
>>
>> Pode esclarecer algumas dúvidas a respeito ? Para que um roteador que
>> foi resetado intencionamente ou não conseguir se comunicar com o
>> servidor em PHP e receber essa configuração ele precisa de
>> conectividade. Como isso é feito ? Em paralelo à Vlan de PPPoE existe
>> também algum DHCP server que só responde aos MAC Address previamente
>> cadastrados com um range que serve especificamente a esse propósito ? Ou
>> é uma Vlan tageada e a Vlan PPPoE é nativa ?
>>
>> Ele possui alguma flag que é verificada durante o processo de boot pra
>> dizer se ele está sem configuração e precisa ir buscar ?
>>
>> Sobre essa possível Vlan ou Rede Interna que o roteador utiliza para
>> buscar a configuração, no caso dele ter acesso à interface web (para
>> configuração de redirecionamento de portas por exemplo) como é feito
>> para que esse tipo de informação não apareça pra ele ?
>>
>> Fernando
>>
>>
>> On 20/09/2018 20:15, Lucas Willian Bocchi wrote:
>>> Marcelo
>>> Tenho bons cases usando OpenWRT com firmware customizada. Define um
>>> endereço para baixar um arquivo de configuração gerado por PHP que já
>> manda
>>> os scripts personalizados pro cliente. Super simples de fazer, porém
>>> trabalhoso de implementar.
>>>
>>> Em qui, 20 de set de 2018 às 18:59, Marcelo Gondim <
>> gondim at bsdinfo.com.br>
>>> escreveu:
>>>
>>>> Estamos tentando jogar o controle pras ONUs mas estamos com problemas no
>>>> controle da banda. Nos testes não tem controlado a banda corretamente e
>>>> aqui as ONUs tem vlan de Internet e vlan de IPTV nossa. Se fosse um
>>>> serviço só dava pra fazer o controle na PON sem problemas mas precisamos
>>>> controlar a banda por serviço. Pelo menos na FiberHome isso tá sendo uma
>>>> desgraça aqui mas a hora que conseguirmos, aí sim as caixas PPPoE vão
>>>> ficar levíssimas.
>>>> Estamos implantando o UNM2000 aqui ou pelo menos tentando. rsrsrsrs
>>>>
>>>> Em 20/09/2018 17:00, Douglas Fischer escreveu:
>>>>> Coloca o cara do sistema para fazer ele integrar com a gerência das
>> OLTs!
>>>>> Como eu disse, tem uns caras que prometem que isso acontece.
>>>>> Nas que são SSH, isso com ansible é "mole para o vasco" como diria o
>>>>> Eurico...
>>>>> Mas naquele troço chamado ANM-2000, grrrrr...
>>>>>
>>>>>
>>>>>
>>>>> Em qui, 20 de set de 2018 às 14:57, Marcelo Gondim <
>>>> gondim at bsdinfo.com.br>
>>>>> escreveu:
>>>>>
>>>>>> Aqui as queues são feitas nas CCRs mesmo mas com o conntrack
>> habilitado
>>>>>> a performance cai e começa à ter problemas inclusive com perdas. Eu
>> sei
>>>>>> porque passamos já por isso e resolvemos não usar mais e tem
>> funcionado
>>>>>> muito bem.
>>>>>> Hoje estamos tranquilos já tive caixa com 2200 assinantes conectados e
>>>>>> sem problema mas preferimos manter na média dos 2000.
>>>>>> O dia que tirarmos as queues das caixas aí você pode ter certeza que
>> vou
>>>>>> colocar pelo menos uns 10.000 conectados numa mesma caixa rsrsrsrs
>>>>>>
>>>>>> Em 20/09/2018 09:05, Douglas Fischer escreveu:
>>>>>>>      Quem mata a performance da caixa de verdade não é nem tanto ACL,
>>>>>> Firewall,
>>>>>>> Contrack...
>>>>>>>
>>>>>>> Para conseguir colocar esses número de sessões/PPS/Banda nessas
>> caixas
>>>>>> deve
>>>>>>> estar sem filas...
>>>>>>>
>>>>>>> Controle de banda todo por conta da OLT?
>>>>>>> Integrou sistema de Gestão na definição da porta na OLT?
>>>>>>>
>>>>>>> Teve um brasiguaio que me disse que tem um sistema de gestão
>> milagroso
>>>>>> que
>>>>>>> faz esse provisionamento lindamente.
>>>>>>> Estou curioso!
>>>>>>>
>>>>>>> Em qui, 20 de set de 2018 às 07:16, Marcelo Gondim <
>>>>>> gondim at bsdinfo.com.br>
>>>>>>> escreveu:
>>>>>>>
>>>>>>>> Oi Douglas,
>>>>>>>>
>>>>>>>> Então aqui em uma das cidades que atendemos, a principal tenho 6
>> CCRs
>>>>>>>> sendo 5 com 2000 assinantes conectados e planos que variam entre
>>>> 10Mbps
>>>>>>>> e 50Mbps. Nessa cidade o tráfego total no pico é de quase 9Gbps.
>>>> Tráfego
>>>>>>>> em cada CCR dessa perto dos 2Gbps. Uma outra CCR aqui só para
>> clientes
>>>>>>>> corporativos. Aqui trabalhamos para que o IPv6 seja o mais adotado
>>>>>>>> possível pois nossos técnicos na instalação do assinante habilitam o
>>>>>>>> dual stack. O novo sistema que estamos usando inclusive o router que
>>>>>>>> levamos para o assinante já se auto provisiona e configura IPv4 e
>> IPv6
>>>>>>>> sem intervenção do técnico. Para nós ficou muito melhor montar um
>>>>>>>> servidor Linux com 2 interfaces Intel X520-SR2 com 4 portas de
>> 10GbE e
>>>>>>>> direcionar apenas os clientes de CGNAT (100.64.0.0/10) para ele.
>>>> Nosso
>>>>>>>> objetivo aqui é um dia nem precisar mais do CGNAT e por isso
>> contamos
>>>>>>>> com a intensificação do uso do IPv6. Tudo é uma questão de
>>>> planejamento.
>>>>>>>> Como nós aqui fazemos FTTH, o router colocado no assinante é de
>> nossa
>>>>>>>> responsabilidade e com o recurso de auto provisionamento,
>> acreditamos
>>>>>>>> que cada vez mais o CGNAT será menos utilizado e não o contrário.
>> :)
>>>>>>>> Veja eu tenho 1 servidor de CGNAT atendendo 5 CCRs e não 1 pra cada
>>>> CCR.
>>>>>>>> Uma outra cidade que atendemos aqui o tráfego é menor, 6Gbps e só de
>>>>>>>> CGNAT o consumo é de uns 300Mbps. Nessa cidade são 5 CCRs e o
>> restante
>>>>>>>> dos acessos são IPv4 público e IPv6 e também fazemos a mesma coisa,
>> um
>>>>>>>> Linux fazendo o papel de CGNAT sendo que com 1 Intel X520-SR2.
>>>>>>>>
>>>>>>>> Mas é como você colocou, cada um faz a abordagem que melhor se
>>>> enquadra
>>>>>>>> ao seu cenário sem aquilo de certo ou errado, apenas a maneira que
>>>> acha
>>>>>>>> melhor.
>>>>>>>>
>>>>>>>> Em 19/09/2018 16:29, Douglas Fischer escreveu:
>>>>>>>>> Opa Marcelo!
>>>>>>>>> Eu pessoalmente não gosto dessa metodologia de separar o CG-NAT do
>>>>>> B-RAS.
>>>>>>>>> Prefiro tratar todas essas questões de filtragem e CG-NAT no
>> próprio
>>>>>>>> B-RAS.
>>>>>>>>> Perder um pouco em performance, ganha em resiliência e
>>>> escalabilidade.
>>>>>>>>> Falando de CCR, jogando CG-NAT no B-RAS(PPPoE server) você acaba
>>>>>>>> "perdendo"
>>>>>>>>> um pouco de capacidade nominal em número de clientes em banda.
>>>>>>>>> Se conseguia colocar 1500-1600 clientes, vai passar a colocar uns
>>>>>>>>> 1100-1200(talvez nem isso dependendo do perfil de cliente).
>>>>>>>>>
>>>>>>>>> Mas se estiver considerando um cenário com 2 B-RAS com 1500
>> clientes,
>>>>>>>>> e precisaria de uma 3ª e 4ª caixas só para fazer CG-NAT e sua
>>>>>> respectiva
>>>>>>>>> redundância...
>>>>>>>>> Pegue essas 4 caixas e coloque as 4 para fazer
>>>> B-RAS+CG-NAT+Filtragens
>>>>>>>>> simples.
>>>>>>>>> Isso dá 750 clientes por caixa, ou 1000 clientes em caso de falha
>> de
>>>>>> uma
>>>>>>>>> das caixas...
>>>>>>>>>
>>>>>>>>> Pro CG-NAT, já vai ter que está com o Contrack ligado mesmo!
>>>>>>>>> Então fazer algumas filtragens(Ex.: TCP/25, SSDP, etc) ali, não vai
>>>> te
>>>>>>>>> tomar tantos ciclos de processamento a mais do que já está
>> usando...
>>>>>>>>> (FastTrack pode ajudar bem a by-passar algumas coisas. RAW também.)
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Em ter, 18 de set de 2018 às 22:34, Marcelo Gondim <
>>>>>>>> gondim at bsdinfo.com.br>
>>>>>>>>> escreveu:
>>>>>>>>>
>>>>>>>>>> Essa abordagem que o Rubens colocou é a melhor mesmo. Aqui usamos
>>>>>> assim:
>>>>>>>>>> BRAS ----- CGNAT ----- Router/Firewall --- Borda
>>>>>>>>>>        |                                      |
>>>>>>>>>>        +------------------------------+
>>>>>>>>>>                    IPv6
>>>>>>>>>>
>>>>>>>>>> Em 18/09/2018 22:16, Rubens Kuhl escreveu:
>>>>>>>>>>> O recomendável é um terceiro equipamento entre esses dois, em
>>>>>>>>>> configuração
>>>>>>>>>>> não redundante.
>>>>>>>>>>>
>>>>>>>>>>> BRAS - Firewall - Borda
>>>>>>>>>>> +------------------------+
>>>>>>>>>>>
>>>>>>>>>>> Essa conexão direta entre BRAS e Borda é a que já existe hoje, e
>>>>>> seria
>>>>>>>>>>> contingência caso o firewall pife.
>>>>>>>>>>> Dá para fazer isso em L2 ou L3 à sua escolha... se for L2 com
>>>>>>>>>> spanning-tree
>>>>>>>>>>> de redundância, se for L3 com OSPF de redundância. Se for L2 com
>>>>>>>> firewall
>>>>>>>>>>> bridge, se for L3 com firewall roteado.
>>>>>>>>>>>
>>>>>>>>>>> Um servidor x86, rodando RouterOS, Linux ou FreeBSD seria um bom
>>>>>>>>>> candidato.
>>>>>>>>>>> Rubens
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> On Tue, Sep 18, 2018 at 9:04 PM Tárcio Dutra <
>>>>>> tarcio_dutra at hotmail.com
>>>>>>>>>>> wrote:
>>>>>>>>>>>
>>>>>>>>>>>> Boa tarde, Turma.
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>> Recentemente recebemos alguns avisos de "Os IPs abaixo são
>> origem
>>>> de
>>>>>>>>>>>> ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
>>>>>>>>>>>>
>>>>>>>>>>>> Ele pedem para bloquearmos, a exemplo, o trafego que sai através
>>>> de
>>>>>>>> uma
>>>>>>>>>>>> porta X.
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>> Bem, devemos sempre colaborar...
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>> Configurar um Firewall Foward no Router BGP, nos Concentradores
>>>>>> PPPoE?
>>>>>>>>>> Se
>>>>>>>>>>>> eu subir um FIREWALL eu vou ter um aumento considerável no
>>>>>>>> processamento
>>>>>>>>>>>> dos meus equipamentos.  😖  :(
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>> Realmente gostaria de ler a experiência de vocês. Agradeço a
>> quem
>>>> me
>>>>>>>>>>>> ajudar.
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>> Att,
>>>>>>>>>>>>

More information about the gter mailing list