IP PUBBLICI SU PPPOE SERVER

[sincerbex]

i ponti escono da 5 ether, il proxy-arp l'ho abilitato sia sulle 5 ether sia sul bridge.. giusto?

[steste64]

Per me e' errato il local address.
Non dovrebbe essere un IP pubblico?

[sincerbex]

niente da fare..
appena tolgo il masquerade i client non navigano..
ho anche impostato in local address l'ip pubblico, sia del server che del router..
però penso: ogni client attraverso il pppoe ottiene un ip pubblico,ma sa qualè il suo gateway e la sua mask?
il masquerade "nasconde"gli ip dei client mettendo al loro posto l'ip del server infatti ogni client da ilmioip.it mi da lo stesso ip ma appena lo disabilito( il masquerade) non va..

[steste64]

Dunque ho guardato la mia conf funzionante
Nella CPE se vado in ip address e faccio clic sull'IP pubblico assegnato ho in address l'ip pubblico assegnato
in network l'ip che ho messo in local address sul server
Se faccio un tracert verso esterno dalla cpe il primo hop è il local address del server
il secondo hop è il router che fa da gateway al server pppoe

Spero di esserti stato utile

stefano

[xanio]

La mia configurazione è pppoe server con routerOS e radius esterno.

Tramite radius rilascio l'ip privato (viene mascherato in uscita con l'ip pubblico del pppoe) oppure un ip pubblico, che viene assegnato direttamente alla CPE, ma tramite il proxy-arp settato sull'interfaccia di ascolto del pppoe-server, viene visto direttamente dall'esterno.

Di seguito la mia configurazione del pppoe-server

Codice: Seleziona tutto

/interface pppoe-server server print
Flags: X - disabled
0   service-name="pppoeClienti" interface=ether5 max-mtu=1480 max-mru=1480 mrru=disabled
     authentication=pap,chap,mschap1,mschap2 keepalive-timeout=120
     one-session-per-host=yes max-sessions=0 default-profile=default-encryption


/ppp profile print
Flags: * - default
0 * name="default" use-mpls=default use-compression=default
     use-vj-compression=default use-encryption=default only-one=default
     change-tcp-mss=yes

1 * name="default-encryption" local-address=172.27.0.1 use-mpls=default
     use-compression=default use-vj-compression=default use-encryption=yes
     only-one=default change-tcp-mss=yes

in questo modo la mia CPE che ha ip pubblico, ha come default gw 172.27.0.1.

PS: senza proxy-arp la cpe con ip pubblico non viene vista dall'esterno!

[sincerbex]

proxy arp sull'interfaccia di ascolto significa verso l'interno o verso l'esterno??se è verso l'interno solo sul bridge verso i ponti o anche sulle singole ether??e ho provate tutte ma niente!!
non penso che l'unica soluzione sia nat 1:1!!!

[sincerbex]

HO RISOLTO!!

non mi avevate setto di fare un bridge fra l'interfaccia che va verso il router e l'interfaccia di ascolto del pppoe.
adesso funziona..ogni cpe ha il suo ip pubblico raggiungibile dall'esterno..
ora però ho la necessità di settare il firewall a dovere.
la mia domanda è:
devo settare il firewall di ogni singola cpe oppure posso settare a monte il firewall del pppoe server(dato che tutto il traffico passa da la)??
vorrei chiudere tutte le porte i ping dall'esterno,i tentativi d attacco ddos, ecc..
pensavo di lasciarmi un canale d'accesso su un unico ip sotto vpn..
è giusto cosi?
inoltre volevo sapere se avete script già pronti e aggiornati contro virus e attacchi in genere.. che mi consigliate??
grazie anticipatamente

[robin1]

Buonasera, rianimo il post perchè ho più o meno lo stesso problema che vi espongo:
Il mio provider mi ha assegnato una subnet di indirizzi ip pubblici di cui il primo indirizzo ip è il router di frontiera (xx.xx.xx.1). La situazione è che per dare ip pubblici ai clienti ho dovuto dichiarare ogni ip della subnet sulla porta wan del mio CCR e poi fare nat 1:1 per ogni ip di classe lan rilasciato dal pppoe server. Volevo sapere se esiste qualche soluzione più pulita oltre a questa, che funziona, ma la vedo un pò macchinosa. HO provato anche ad abilitare proxy-arp sulla porta in ascolto del pppoe-server e dare ip pubblico direttamente dal radius ma non funziona.
Grazie

[ibm]

Buonasera, rianimo il post perchè ho più o meno lo stesso problema che vi espongo:
Il mio provider mi ha assegnato una subnet di indirizzi ip pubblici di cui il primo indirizzo ip è il router di frontiera (xx.xx.xx.1). La situazione è che per dare ip pubblici ai clienti ho dovuto dichiarare ogni ip della subnet sulla porta wan del mio CCR e poi fare nat 1:1 per ogni ip di classe lan rilasciato dal pppoe server. Volevo sapere se esiste qualche soluzione più pulita oltre a questa, che funziona, ma la vedo un pò macchinosa. HO provato anche ad abilitare proxy-arp sulla porta in ascolto del pppoe-server e dare ip pubblico direttamente dal radius ma non funziona.
Grazie

Devi chiedere al provider una /30 e farti routare su quella la tua subnet.