Você já conhece o projeto 555? Todos os sábados às 5:55 da manhã a Redes Brasil realiza aulas de reciclagem e aprimoramento para os seus colaboradores. Hoje a aula foi aberta ao público, e nela nós configuramos um ISP do zero!
Nessa aula você vai ver alguns tópicos essenciais para provedores de acesso, tais como:
Configurar uma sessão BGP e anunciar os seus prefixos;
Configurar o roteamento da rede com OSPF;
Onde e como fazer o CGNAT;
Concentradores PPPoE;
Boas práticas para cada função de equipamento.
Vocês podem baixar o laboratório e a apostila usada nessa aula nos seguintes links:
Olá Manoel, tudo bem?
Agradeço o feedback!
O aulão de CGNAT ficou disponível como bônus do curso de Firewall online
disponível aqui no site.
Qualquer dúvida não hesite em entrar em contato, grande abraço!
Olá Jânio, tudo bem?
O que está acontecendo é o seguinte: o seu OSPF está sendo “nateado” pelas regras de NAT.
Existem algumas formas bem simples de você resolver isso, vou citar duas aqui:
Primeiro, você pode criar uma regra de acept no NAT e colocar ela em primeiro, aceitando apenas o protocolo OSPF, da seguinte forma:
/ip firewall nat add chain=srcnat action=accept protocol=89 place-before=0 comment=”Remove o NAT do OSPF”
Segundo, você pode usar a action notrack da tabela raw para que o OSPF não passe pela conntrack, consequentemente não sendo “nateado”:
/ip firewall raw add chain=prerouting protocol=89 action=notrack place-before=0 comment=”Remove o OSPF da conntrack”
Qualquer dúvida não hesite em entrar em contato, grande abraço!
Caro amigo Thales, obrigado pela orientação eu ja suspeitado que o problema fosse esse, então fiz o seguinte: adicionei ao addres-list rede-local-global a rede 224.0.0.0/4, poderia comentar essa ação? desde ja obrigado por ter respondido.
Olá Jânio, agradeço o feedback. Para não influenciar em outras coisas, eu particularmente não utilizaria
a rede de multicast na mesma list rede-local-global. Existem outras formas mais específicas para você trabalhar isso,
como por exemplo na sua regra de NAT geral você pode colocar no campo extra em dst-address-type=multicast e marcar o invert.
Ou então você pode fazer o contrário, cria um srcnat action acept e em dst-address-type=multicast e subir a regra para ser a primeira do
firewall NAT. Ou seja, tudo que for destinado a tipos de endereço multicast, vai aceitar sem NATear.
Qualquer dúvida não hesite em entrar em contato, grande abraço!
Olá grande Thales, boa noite! tudo bem? olha assistir seu aulão da 5:55 e foi sensacional. Muito bom mesmo, parabéns e espero novas oportunidades. Mais vim pedi um ajuda ao tentar baixar arquivo e importar para o EVE-NG esta apresentando erro de tamanho de 0,01kb. poderia me orientar como posso importar o LAB para estudos?
Olá Jorge, tudo bem?
Fico muito grato com o feedback! Vou verificar o arquivo do laboratório e fazer uns testes,
além de postar outro link para download do mesmo. Em breve estará disponível para você testar.
Grande abraço!
Boa noite tem o seguinte senário dois links dedicados um da vivo com um /29 entregue na ether1 perco 3 ips como fazer o cgnat dos restante de ip piblicos, tenho o outro link2 com um /30 entregue na ether 2, porem a empresa me deu mais um /30 para publico para usar. Atualmente eu uso srcnat do link 2 para todos os meus clientes, porem quando esse link cai eu não consigo usar o link 1 da vivo para clientes usar até o outro restabelecer a conexão, ai tenho que desativar as regras de srcnat do link 2 para ai o link 1 comecar a funcionar porem como masquared, pode me da uma dica. mais vou fazer o curso pra aprofundar mais.
Olá Gilson, tudo bem? Você pode tentar especificar a “out-interface” e selecionar a interface que você recebe o link nas suas regras de src-nat e utilizar a action src-nat ao invés do masquerade, assim aquela regra vai ficar mais específica e só vai funcionar caso os pacote estejam saindo pela interface que você recebe o link daquela operadora. Qualquer dúvida não hesite em entrar em contato, grande abraço!
Projeto 555 – Aula 1: ISP do Zero
Você já conhece o projeto 555?
Todos os sábados às 5:55 da manhã a Redes Brasil realiza aulas de reciclagem e aprimoramento para os seus colaboradores. Hoje a aula foi aberta ao público, e nela nós configuramos um ISP do zero!
Nessa aula você vai ver alguns tópicos essenciais para provedores de acesso, tais como:
Vocês podem baixar o laboratório e a apostila usada nessa aula nos seguintes links:
14 replies to “Projeto 555 – Aula 1: ISP do Zero”
Manoel Xavier da Costa Neto
Boa tarde Thales, tudo bem?
A aula foi sensacional!
Mas infelizmente não acompanhei o aulão de cgnat, teria alguma possibilidade de disponibilizar novamente?
Obrigado.
Thales Moisés
Olá Manoel, tudo bem?
Agradeço o feedback!
O aulão de CGNAT ficou disponível como bônus do curso de Firewall online
disponível aqui no site.
Qualquer dúvida não hesite em entrar em contato, grande abraço!
Jânio Felix de Souza
Meu NAT geral não funciona com Same e nem com src-nat, so funciona com masquerade. quando coloco qualquer outro o OSPF cai….poderia ajudar?
Thales Moisés
Olá Jânio, tudo bem?
O que está acontecendo é o seguinte: o seu OSPF está sendo “nateado” pelas regras de NAT.
Existem algumas formas bem simples de você resolver isso, vou citar duas aqui:
Primeiro, você pode criar uma regra de acept no NAT e colocar ela em primeiro, aceitando apenas o protocolo OSPF, da seguinte forma:
/ip firewall nat add chain=srcnat action=accept protocol=89 place-before=0 comment=”Remove o NAT do OSPF”
Segundo, você pode usar a action notrack da tabela raw para que o OSPF não passe pela conntrack, consequentemente não sendo “nateado”:
/ip firewall raw add chain=prerouting protocol=89 action=notrack place-before=0 comment=”Remove o OSPF da conntrack”
Qualquer dúvida não hesite em entrar em contato, grande abraço!
Jânio Felix de Souza
Caro amigo Thales, obrigado pela orientação eu ja suspeitado que o problema fosse esse, então fiz o seguinte: adicionei ao addres-list rede-local-global a rede 224.0.0.0/4, poderia comentar essa ação? desde ja obrigado por ter respondido.
Thales Moisés
Olá Jânio, agradeço o feedback. Para não influenciar em outras coisas, eu particularmente não utilizaria
a rede de multicast na mesma list rede-local-global. Existem outras formas mais específicas para você trabalhar isso,
como por exemplo na sua regra de NAT geral você pode colocar no campo extra em dst-address-type=multicast e marcar o invert.
Ou então você pode fazer o contrário, cria um srcnat action acept e em dst-address-type=multicast e subir a regra para ser a primeira do
firewall NAT. Ou seja, tudo que for destinado a tipos de endereço multicast, vai aceitar sem NATear.
Qualquer dúvida não hesite em entrar em contato, grande abraço!
Jânio Felix de Souza
Valew Thales…..vou testar essas opçoes tambem..muito obrigado.
Thales Moisés
Qualquer dúvida não hesite em entrar em contato!
Grande abraço!
Jânio Felix de Souza
Fiz essa “você pode colocar no campo extra em dst-address-type=multicast e marcar o invert.” ficou top…valew grande abraço
Thales Moisés
Fico feliz que funcionou, Jânio! Qualquer dúvida não hesite em entrar em contato, grande abraço!
Jorge Leonardo Almeida de Jesus
Olá grande Thales, boa noite! tudo bem? olha assistir seu aulão da 5:55 e foi sensacional. Muito bom mesmo, parabéns e espero novas oportunidades. Mais vim pedi um ajuda ao tentar baixar arquivo e importar para o EVE-NG esta apresentando erro de tamanho de 0,01kb. poderia me orientar como posso importar o LAB para estudos?
Thales Moisés
Olá Jorge, tudo bem?
Fico muito grato com o feedback! Vou verificar o arquivo do laboratório e fazer uns testes,
além de postar outro link para download do mesmo. Em breve estará disponível para você testar.
Grande abraço!
Gilson Luiz Custodio da Silva
Boa noite tem o seguinte senário dois links dedicados um da vivo com um /29 entregue na ether1 perco 3 ips como fazer o cgnat dos restante de ip piblicos, tenho o outro link2 com um /30 entregue na ether 2, porem a empresa me deu mais um /30 para publico para usar. Atualmente eu uso srcnat do link 2 para todos os meus clientes, porem quando esse link cai eu não consigo usar o link 1 da vivo para clientes usar até o outro restabelecer a conexão, ai tenho que desativar as regras de srcnat do link 2 para ai o link 1 comecar a funcionar porem como masquared, pode me da uma dica. mais vou fazer o curso pra aprofundar mais.
Thales Moisés
Olá Gilson, tudo bem? Você pode tentar especificar a “out-interface” e selecionar a interface que você recebe o link nas suas regras de src-nat e utilizar a action src-nat ao invés do masquerade, assim aquela regra vai ficar mais específica e só vai funcionar caso os pacote estejam saindo pela interface que você recebe o link daquela operadora. Qualquer dúvida não hesite em entrar em contato, grande abraço!