PPPOE AND OSPF ROUTES SOLUTION MikroTik | Leonardo Vieira
Vložit
- čas přidán 12. 09. 2024
- In this class I show several options of solution of the / 32 routes in the OSPF network that has PPPoE; Among them I show the best option that until the posting date of this video did not see anything like it on youtube.
I posted an exclusive video for the guys that are on the Telegram channel showing how to build a LAB of this for practice. Because the best way to learn is by practicing.
Join our channel t.me/dominando...
Can I ask for a force? Share this video
🎯 Treinamento presencial em sua cidade?
Preencha esse formulário 👉 bit.ly/sixcoreaqui
Quanto mais pessoas interessadas maiores as chances que eu vá na sua cidade.
Excelente explicação sobre o assunto. Parabéns.
Creio que ficou faltando só justificar o porquê de colocar as rotas para blackhole que é evitar o loop de pacotes com endereço de destino de algum cliente que não está conectado. E, sem isso, o pacote ficaria batendo e voltando no concentrador e MK da borda até estourar o TTL, o que causa um consumo desnecessário de banda e traz uma vulnerabilidade pra ataques DoS.
Obrigado pelo feedback
Cara, excelente explanação, realmente é algo que não tem material por ai,claro tem vídeos sobre o mesmo assunto, mas não com essa abordagem detalhada, inclusive mostrando algumas formas de como nao fazer e fazer da forma correta, didática perfeita, obrigado Léo por compartilhar mais essa experiência com a gente!
Muito obrigado por vir aqui nos comentários e deixar este depoimento que me anima a continuar ensinando. Valeu!!!
Parabens pelo conteúdo, quero sugerir um novo conteúdo, já que falou de ppoe com OSPF nesse mesmo cenário gostaria de ver a implementação do IPV6 usando a mesma estrutura. Um grande abraço e mais uma vez parabéns.
Valeu Flávio anotado
Excelente explicação. Demonstrar formas comuns de configuração reduz drasticamente a chance de cometermos erros e acelera o processo de aprendizagem do protocolo. Parabéns!
Boa tarde!
Leonardo
Parabens pelos videos são de grande ajuda acretido que para muito aqui, continue postando Vídeos.
Muito obrigado pela força, que Deus te abençoe.
Eu uso o area range nos concentradores. Uso sempre a mesma area id para as rede que quero sumarizar e funciona"ex: area name=pppoe id=1.1.1.1", no caso não precisa s ser uma area diferente para cada novo concentrador.
Cheguei até esse video pq infelizmente em um cenário meu aqui, os routers estão na versão 6.47 e o metodo de area range não funciona, talvez algum bug da versão.
A sugestão de usar a rota me serviu como alternativa.. obrigado ai pelo video!
Excelente explicação. Parabéns , professor !
Parabéns pela excelente explicação.
Primeiro quero parabenizar e agradecer pela sua iniciativa como consultor mikrotik dividindo suas experiencias conosco do ramo de provedor.
Segundo, na opção de tunel pppoe, isolo com a malha em mpls e vpls. É uma boa opção pelo fato de não aumentar o processamento das rb´s seguintes. Leo, vc acha que é um bom procedimentos para o cenário de provedor?
Forte abraço cheio de saude paz e felicidades a vc e toda sua familia.
Top , Sabe Passar o conhecimento muito bem. top
Valeu obrigado
Excelente explicação, me ajudou bastante, aguardo aula sobre divisão por áreas.
Valeu !!!
Top demais Leo, estou começando agora e já vou corrigir e aplicar conforme aprendi neste vídeo.
Show, muito obrigado por comentar aqui e saber que de alguma forma ajudei é massa
Olá Leo,
- Como sempre, seus vídeos vêm ajudando bastante à comunidade. Agradecido! 🤝
- Sobre esse assunto do OSPF, é muito comum o provedor colocar um IP /30 público nos concentradores PPPoE no qual está sendo representado no seu cenário a faixa 10.10.1.../30 e para as loopback IP /32 privado que está sendo representado como 10.10.255.../32
Com isso, seria mais interessante usar IP /30 privado para essa comunicação com a borda(MK1) e IP de loopback como público?
Assim, iríamos ter economia de endereço de IPs públicos né? Rsrs
O que você acha, funcionaria de boa?
Muito obrigado pela dica! A alguns dias estava olhando sobre mas ainda nao havia encontrado uma solução tao eficiente. Vlw!!
Muito obrigado por comentar; Valeu!!!
Parabens Muito Bem explicado.
Fazendo uma análise profunda é a melhor opção sem duvida, top!
Valeu!
Top demais, vou é refazer minhas configurações depois disso
Show!
Excelente vídeo, ajudou bastante a entender sobre ! Obrigado
Obrigado Igor pela força em deixar aqui seu comentario.
Parabéns pelo video, é uma ótima solução!
Valeu Lyon!!!!
Quanto fiz o curso aí contigo ainda não tinha essa solução, bacana!
Parabéns! Prático, didático e objetivo!
Muito bom o conteúdo, parabés.... Gostaria de sugerir um outro tipo de cenário, utilizando 3 RBs (Borda + CGNAT + Concentrador) como ficaria o OSPF neste cenário específico ?
Sensacional ! De parabéns. Ainda teria mais alguns ajustes ai dependendo do cenário. Mas ta top mesmo !
Exatamente tem mais ajustes, eu queria neste vídeo era mais mostrar as opções. Muito obrigado por comentar e acompanhar
@@LeoMikrotik belo trabalho !!! Grande abraço !
Parabéns Léo pelo excelente trabalho! Apliquei esse solução porém tive dificuldade com o cliente com IP válido, o mesmo perde a conexão. Como resolver?
na borda passa por fora do nat
Não uso nat amigo!
Veja no roteador da borda da rede se tem rota pra voltar para o cliente. As vezes o cliente ate sai para a internet mas na volta nao tem rota
Os ips públicos (válidos) estão vindo do pool de ips compartilhados no servidor radius ?
claro que estou falando de ips validos que uma hora ta em um concentrador e outra hora ta em outro (vindo de um pool compartilhado via radius), pois neste caso o ip não é reservado para nenhum concentrador e com isso a unica forma é usar redistribute connected routes na instancia do ospf !
@@alextrindade8772Existe uma faixa reservada para CGNAT é outra faixa para entregar via pool pra os clientes.
Meus parabens. Pelo video..vai me ajudar muito...
Show, muito obrigado por comentar!
Vivendo e aprendendo \0/
Show, eu tmb aprendo o tempo todo!
Boa tarde, muito top o vídeo
conteúdo assim é sempre importante pra nos
agora só estou pensando em quando vai rolar um sorteio pro mtcine
Rsrsr bora pensar no sorteio
Excelente!!!!
Valeu!
Ola Leo
E quando vc tiver clientes com ip valido e invalidos, tenho que ficar anunciando no network os ips validos?
Top, estou usando aqui dessa forma! A respeito de um IP em outra interface, por exemplo um /29, que irá ficar diretamente conectado, e se fizer blackhole a rota fica inalcançavel... a mellhor forma seria anuncia esse /29 nas networks e deixar a interface passiva?
Leo vídeo top de mais!
Lá no grupo não vi o link de como montar o LAB...
Opa vou gravar nesta quinta feira e postar la no Grupo do Telegram pra facilitar o LAB
@@LeoMikrotik Boa tarde amigo vc já gravou essa aula?
Muito bom seu video amigo, mas tenho uma duvida, no caso de CGNAT o ip 100.64.0.x, e usamos em varios concentradores a faixa de ip, nao separamos por /22 em cada uma network diferente, tem cliente com 100.64.0.1 em um, em outro tem 100.64.0.10, rssss oque sugere? pelo oque eu entendi, teria de separar uma rede para cada concentrador, mas isso traria problema para o povo que faz o cadastro do cliente, nao saber em qualquer NAS colocar na hora do cadastro, rs
Muito boa orientação.
Mas como faria caso tenhamos bgp ,cgnat e concentradores com mkatuh gerenciando os ips?
No caso o concentrador redistribui as rotas conectadas, pois ele pode receber uma faixa de IP que existe em outro concentrador. Para o concentrador não receber as rotas de outros concentradores usamos um filtro ospf para rota padrão. Esteve funcionando muito bem por mais de 1 ano ,mas agora o ospf no bgp está recebendo a rota e demora muito a passar para a route list. Ou seja ,continua funcionando,mas as vezes demora até 7 minutos para o bgp carregar a rota de um cliente que conectou em qualquer concentrador.
Alguém tem uma sugestão de como posso resolver este problema ?
Bom dia, Leonardo !
Tendo um pool de IPS públicos compartilhados no servidor radius precisamos usar o redistrihute connected routes, com isso não temos como sumarizar, neste caso tem algum filtro que se possa usar nos roteadores pra diminuir as rotas /32 vindas de outros roteadores ? Eu vi vc falar dos filtros, porém não explicou como funciona, um vídeo dedicado a esses filtros seria top demais.
Routing > Filters > OSPF IN e Out
Leonardo, e como fazer para entregar um ip fixo publico /32 para o cliente, sendo que o mesmo pode se autenticar em qualquer um dos servidores pppoe?
BOA NEITE AMIGO ESTOU COM VARIAS DUVIDAS SOBRE PPOE
Hola Leonardo que pasaria si quiera tener un concentrador pppoe en el router MK1 como podria tener nat y al mismo tiempo un server pppoe?
Estou com uma dúvida tremenda, tenho vários rádios ubiquiti que estão no core-PPPoE, e no mikrotik no IP Address estão apontando uma faixa /24 pra eles e pingo normal, porém de fora não consigo mais, perdi o acesso e o ping mesmo que em uma comunicação estática na mesma rb pra outra
O que teria que fazer para não perder acesso aos roteadores dos clientes, caso precise realizar acesso a configuração dele. Tem que anunciar essas faixas de ip.
Nesse caso utilize roteador que tenha s opção de acesso remoto
Na versão V7 há uma rota minha que esta DUoHI e não esta divulgando ela.
Olá amigo , em minha outra rb a que eu quero colocar como concentrador não tem a opção de istance e network oque fazer?
Boa tarde, Leo! como você faz usando ip privado no OSPF e não tem NAT?
Bom dia!
Como funcionaria um CGNAT NO R2 ,se já estivesse pronto, já que vc falou que nao precisa mais do nat para os pppoe navegarem?
like e novo inscrito
Valeu pela ajuda
Uma duvida . Fazendo isso o cliente "esperto" mesmo setando ip e gateway fixo no mesmo range ele nao navegará ?
Leo, estou sofrendo ataques de rasomware uso ts para fazer acesso remoto, tem regra no firewall no Mikrotik para fazer bloqueio!
Bom dia Celio, vc nao pode abrir a porta padrao do TS para a internet, o ideal e primeiro fechar a VPN pra depois ter acesso ao terminal service. Quando abre a porta de Terminal Service para a internet aumenta muito a chance de invasão .
top
Valeu!
*Excelente cenário, porém tenho uma dúvida, caso o provedor não utilize faixas específicas (/24 /28...) para cada RB, use apenas /32 atribuída aleatoriamente pelo programa gerenciador, seria possível diminuir o tamanho da tabela de rotas?*
E possível usar área range que é sumarizar as rotas.
@@LeoMikrotik 👍
Leonardo onde eu acho o video como fazer esse Laboratório?
O lab da pra fazer no gns3 ou no eve, eu geralmente uso o gns3. Se quiser aprender a criar labs me chama +55 22 99293-4194
EVE-NG é o que eu uso e acho muito bom. Vou postar aqui no canal uma aula de como montar um LAB deste
@@LeoMikrotik eve-ng eu uso pra cisco, pra mikrotik tem hora que voce seleciona uma interface no eve e ele conecta em outra kkkkkk
no gns3 nao acontece isso com o mikrotik não
@@LeoMikrotik o problema do EVE com mikrotik eu consegui resolver quando eu atualizei o router-os, mas no gns3 funciona bem com qualquer versão, então pra mim tanto faz eve-ng ou gns3, mas quando se trata de emular switchs cisco o eve-ng da um banho no gns3. Outra vantagem do eve é o espaço que ele tem na área de trabalho ja que é via web
Muito Bom, minha duvida seria neste senário, se vc só trabalhasse com ips reais e sua network foce igual para todos os clientes pppoes , mas subdivididos em POP's - (exemplo) MK1 BGP - TODOS POP'S CONECTADOS NELES - MK2 PPPoE , MK3PPPoE e MK4 PPPoE, E SUA rede foce toda em cima de uma rede de ip exemplo 1.1.1.1/22 não teria conflito entre as regaras no MK1 em entender qual ip vai para qual lado?
estou com mesma duvida!
Então você apenas seta na network de cada concentrador os Ip´s que vão ser usados neles
O Leonardo boa noite, como eu consigo passa ip público que é /31 que normal para clientes banda larga compartilhada que não é dedicada e um PS4 ou Xbox One tenha IP externo, isso é consiga Nat tipo 1 mesmo no Mikrotik ou outra marca. Por gentileza faça um vídeos explicando todas as formas de configurações. Obrigado!
essa parada de Nat tipo 1 é embaçada, aqui em casa eu coloquei um ip publico só pra eu usar direto no PS4 e mesmo assim não fica Nat tipo 1..
solução para nat, pelo menos no xbox, é entregar ipv6 para o cliente, assim que recebe um ipv6 no xbox já fica nat aberto.
se fornece ip público para os clientes pppoe passa eles por fora do NAT ... mudando de assunto eu tenho visto a utilização de /31 ao invés de um /30 no enlace ponto a ponto para economia de ip
Excelente cotribuição dos colegas aqui tentando ajudar; de fato se vc entrega IP Publico direto vc pode anunciar o bloco de IP la no concentrador; fazer com que a borda aprenda a rota para chegar nestes clientes com IP publico.
@@CiroMoniz da pra usar até /32 rsrs
Tem curso seu na udemy ?
Olá Julio na Udemy não tenho. Tenho ao vivo contracttreinamentos.com.br e o dominandomikrotik.com.br
Fiquei com uma dúvida, ele fala que não faz o nat no concentrador pq quando desconectar/conectar muitos clientes vai topar o processamento, mas isso tbm não vai acontecer no roteador que estiver fazendo esse nat?
O roteador que ta fazendo o nat só recebe as rotas sumarizadas já que ele não tem clientes pra gerar as rotas /32, enquanto que os concentradores terão as rotas /32 de cada cliente, ou seja, 200 clientes se desconectando de uma única vez seriam 200 conexões para serem desfeitas na contrack de uma vez só e isso iria gastar processamento, se o roteador que faz o nat só ta recebendo as rotas sumarizadas, ele não terá essas 200 conexões para desfazer, já que ele tera apenas uma rota sumarizada representando todos os clientes daquele setor.
Olá, primeiro parabéns pelo vídeo. possuo um cenário onde tenho mais de 15 pops onde todos os clientes se autenticam em um concentrador pppoe utilizando túneis EoIP + Vlan, toda a rede esta com ospf sumarizadas as rotas, como eu aplicaria seu método a minha rede uma vez que tenho que levar todos os tuneis do pppoe ao concentrador?
O ideal seria não usar eoip pois degrada a rede devido ao tamanho do cabecalho. Cada cliente deve se autenticar no roteador/concentrador mais proximo aí vc usa o que mostrei no video. Se ficar dúvida vamos combinar uma vídeo chamada gravada pra postar aqui para os demais amigos 31 9.9555-8380
@@LeoMikrotik Antes de colocar a rede para operar da forma como descrevi funcionava da maneira como mostrou no video (não exatamente igual), todos os clientes autenticavam via pppoe no próprio pop , porem a medida que fomos adicionando clientes, o processamento dos roteadores do pops fora subindo "por serem roteadores mais simples" a solução foi concentrar as conexoes PPPoE, a forma mais viavel que encontrei foi o tunelamento EoIP, teria alguma outra forma de concentrar sem precisar ultilizar o proprio pop?
@@elvismachado1069 Cara pra isso basta vc fazer vlans entre as rbs nos pops ate a sua borda, assim os clientes vão autenticar lá, não precisa do Eoip
Você está usando uma abordagem da década de 90.
Hoje, não se deve usar um único concentrador JAMAIS...
Coloque 2, 5 10 RB 750gr3 em um pop, mas deixa o pop independente.
@@mateuscaldasbr uso da forma que vc falou, porem tenho um caminhao de rotas no rb de borda, sera que errei algo?
Eai Tudo bem, apliquei esta sua configuração aqui para testa, porém obsevei que pedir acesso a minhas antenas e acesso às antena dos cliente onde eu conseguia acessar usado o ip do PPPoE, o que vc me sugere
Sim vc consegue acesso pelo IP do PPPoE do lado cliente. uma outra opçao é VLAN administrativa.
Qual valor da sua consultoria?
Posso te ajudar! Ola Lucas, como estou gravando aulas, toco uma empresa e viajo para dar treinamentos não estou conseguindo pegar consultoria, mas se me passar o que vc precisa vejo se consigo ajuda-lo leonardo@contractti.com.br
Chefe, me tira uma dúvida. Em todos meus roteadores existem a área Backbone e a área 1, as networks que formam adjacências eu coloquei na área backbone, ja na área 1 eu coloquei a network do pppoe e usei sumarização com área range, dessa forma cada concentrador tem sua range pppoe diferente, porem todos os concentradores usam a área 1 com id 1 para a range do pppoe, tem algum problema ter a área 1 com mesmo id em todos os concentradores ?
Dentro da sua rede cada área tem que ter seu própria área ID diferente; Só a Área Backbone que sempre será Area ID 0.0.0.0
eu adotei solução parecida, a única diferença q eu tinha feito igual como ele mostrou no vídeo, cada concentrador com sua respectiva área, porém além das rotas diretamente conectadas o /32 aparece na minha lista de rotas (no próprio concentrador) a rota sumarizada na área range com a distância 109 (ñ deveria ter esse anúncio) ... e as sumarizadas dos demais concentradores aparecem corretamente ... até hj ñ descobri pq o ospf está anunciando pra ele próprio quando já tem as rotas diretamente conectadas e fica DoU (unreachable) com distância 109 ... agradeço se apontarem o erro
@@CiroMoniz Bom dia, Ciro ! o roteador quando autentica os clientes, é criada a rota /32 para cada cliente, já que esses clientes estão conectados diretamente, então aparece as rotas /32 escrito DAC e isso é normal e é assim que tem que ser... para que o ospf não repasse esses /32 para os outros roteadores, você configurou a sumarização pelo calculo de área range e o que o área range faz é criar uma range com a rota do tipo unreachable, e no lugar do ospf enviar os /32 para os outros roteadores, o ospf vai enviar a range da rota unreachable....... já nesse vídeo como não está sendo utilizado o recurso de área range, então a range não foi criada automaticamente nas rotas, e com isso temos que criar a range estaticamente na tabela de rotas, a unica coisa que muda é que quando ele criou a rota ele selecionou o tipo como blackhole, da mesma forma ele poderia selecionar o tipo unreachable, só que existe uma diferença entre esses dois tipos de rotas que não vou comentar aqui porque a explicação ja ta muito grande, e como ele criou a rota de forma estatica, ele teve que pedir o ospf pra repassar essa rota estatica, basicamente é feito a mesma coisa que é feito com o area range, a unica diferença é que o área range cria a rota automaticamente e a rota é repassada automaticamente, e é claro, a rota que é criada automaticamente é criada com o tipo unreachable. te respondendo, não tem nada de errado na sua configuração, o roteador precisa ter essa rota sumarizada pra ele repassar, repare no video que o roteador fica com as rotas /32 + a rota sumarizada que foi criada de forma estatica.
ok, vamos usar o exemplo do vídeo se me lembro corretamente o roteador um é a borda e nat ... router 2 3 e 4 pppoe, com r2 10.2.0.0/24, r3 10.3.0.0/24 e r4 10.4... vamos supor q está assim ... então vc fez area 1 (se eu entendi) pra todos pppoe em cada roteador 2 3 e 4 ... eu fiz algo do tipo ele mostrou no vídeo área 2 pppoe r2 ... área 3 pppoe r3 e área 4 r4 ... e sumarizei a sub rede do pppoe e passa certo para todos os outros roteadores, por exemplo, o r2 recebe 10.3../24 do r3 e 10.4/24 do r4 enquanto q naturalmente terá todos os /32 de cada pppoe da subrede 10.2.... o problema q está recebendo a subrede dele mesmo sumarizada 10.2.0.0/24 com distância 109 (de erro do ospf né q é 110) e DoU inacessível unreachable ... ñ sei pq, embora na prática ñ comprometa pq está "azul" inacessível e já possui a rota mais específica /32 q está diretamente conectada ... ñ entendo pq o roteador está distribuindo a sumarização pra ele mesmo
@@CiroMoniz o ospf só distribui rotas que estejam presentes na tabela de roteamento do roteador, nunca que vc vai conseguir anunciar uma rota que não exista na sua tabela de roteamento, tente anunciar na network do ospf uma rota que não existe na sua tabela de roteamento que vc vera que essa rota não sera repassada para os outros roteadores... então o ospf cria a rota sumarizada na própria tabela de roteamento, para que assim ele possa repassar essa rota. Enquanto a parte de estar azul, é sinal que essa rota está duplicada !
essa rota é criada automaticamente pelo recurso de área range, então se está aparecendo azul é porque você também criou essa mesma rota de outra forma e duplicou !
Quando vc tem duas rotas iguais, a que tiver distância menor fica ativa e a com distância maior fica como backup, verifique sua tabela de roteamento que vc vai encontrar outra rota igual, só que com distancia menor e por isso essa do ospf ta azul... Distância 110 são rotas que ele recebeu de outros roteadores, essa rota 109 ele não recebeu de nenhum outro roteador e por isso não tera distância 110...
se quiser fornecer 1 Ip publico para cliente gamer , basta colocar o ip publico no backhole ?
Fiz o precedimento, porém nao funcionou
@@VictorSilva-fk8se em blackhole você vai anular o tráfego para este IP, você precisa colocar no campo Remote Address do secret do Cliente, caso sua rede esteja roteada (utilizando OSPF ou rota estática).
Leonardo qual o nome do app de caneta virtual que vc usa?
EpicPen
Tenho um provedor d internet cada 50 minuto cai um cliente alguém pode me ajuda
Espero que ja tenha resolvido mas quedas podem ser algo relacionado a rede e para conseguir ajudar dependeria de ter mais informações como por exemplo se é wireless ou fibra.
bom dia
Sei que o video é de 2019, porem estou assistindo esse ano, rsss, enfim, nao entendi o porque dos Ip de LO!!
Olá Sidnei, IP na Loopback é usado por exemplo para monitoramento onde o roteador pode ter mais de uma rota (forma) de chegar até ele e vc conseguirá fazer acesso, tunnel, monitoramento usando o mesmo IP independente se uma interface cair.
@@LeoMikrotik ficou top, poderia simplificar em um novo video apenas como fazer isso do zero. Por exemplo (como remover o nat do concetrador pppoe de forma segura)
Opa pode deixar; inclusive tá rolando uma sequência se Lives e este será um dos tópicos abordados nas Lives
@@leonardonascimento7157 Blza vou anotar aqui pra gravar
Muito bom seu video amigo, mas tenho uma duvida, no caso de CGNAT o ip 100.64.0.x, e usamos em varios concentradores a faixa de ip, nao separamos por /22 em cada uma network diferente, tem cliente com 100.64.0.1 em um, em outro tem 100.64.0.10, rssss oque sugere? pelo oque eu entendi, teria de separar uma rede para cada concentrador, mas isso traria problema para o povo que faz o cadastro do cliente, nao saber em qualquer NAS colocar na hora do cadastro, rs
No caso o correto é dividir o bloco em/22 e colocar cada bloco em seus respectivos concentrador.