[TÓPICO DEDICADO] Mikrotik Rb750 - Experiencia no Ambiente Domestico

[capa_da_gaita]

Bom vamos lá uma RB450g, dependendo das regras configuradas nela, não vai dar conta de 500Mb de jeito nenhum!
Você disse que não passa dos 150Mb na RB450g, isso com apenas você testando ou todo mundo nela?

Bom são muitas variáveis, você tem um provedor, está querendo aumentar e já começa errando, saindo de um suposto link "semidedicado"(?) de 20mb para uma conexão residência da claro.
Meu conselho é primeiro lugar fazer um estudo de viabilidade, ver se esse negocio tem futuro. Entendo que se você contratou a claro, é porque tem na sua cidade então porque iriam assinar com você ao invés da claro?
Enfim, se você acha que tem futuro, arruma uma consultoria e faz um curso de redes se realmente deseja levar para frente a ideia de provedor e crescer.

Eu estava pensando numa maneira delicada de dizer isso, mas vc já mandou a real a seco .
Claro residencial PODE ter limitações de número de conexões.
Meu exemplo: chega a ter 1200 conexões simultâneas.
Imagina 20 casas com 1000 cada uma. Já são 20000 portas para o router gerenciar. Isso demanda hardware profissional, juníper ou cisco pra cima.
Ou vai ser mais um provedor amador com core tplink ou Intelbras cheio de restrições para os clientes pra não derrubar a rede.

 

[Paulao.]

Eu estava pensando numa maneira delicada de dizer isso, mas vc já mandou a real a seco .
Claro residencial PODE ter limitações de número de conexões.
Meu exemplo: chega a ter 1200 conexões simultâneas.
Imagina 20 casas com 1000 cada uma. Já são 20000 portas para o router gerenciar. Isso demanda hardware profissional, juníper ou cisco pra cima.
Ou vai ser mais um provedor amador com core tplink ou Intelbras cheio de restrições para os clientes pra não derrubar a rede.

Eu sou assim direto, muitas pessoas me acham bruto, ignorante, arrogante, etc e tal e só posso pedir desculpas, nunca foi minha intenção.
Só não quero ver o colega ali perdendo dinheiro.
E lembrando, para ganhar dinheiro, precisa gastar dinheiro!

 

[rmo1600]

post deleted By user.

 

[Arris]

Olá povo, com a chegada dessa nova internet fibra de um provedor da região eu, pela primeira vez, estou vendo como funciona autenticação PPoE.
Eu reparei que nessa internet, quando há alguma tentativa de acesso indevido ao meu roteador o ip vem de forma diferente. Antigamente, na NET vírtua, o ip "perigoso" aparecia normal tipo 189.... Agora os ips eles parecem que são convertidos para o ip do provedor, então não enxergo o verdadeiro ip que tenta invadir.

Eu fiz um teste durante tentativa de invasão na porta 8729 no provedor fibra e o ip era 45... (que é o do provedor) e durante a tentativa troquei pro link da net vírtua e na hora o ip mudou, foi pra 189 e tals. Acredito que o ip verdadeiro do ataque é 189.

É normal isso?

(eu sei que é ideal mudar numero de portas e etc, é apenas uma forma de sanar a minha dúvida sobre o ip correto)

 

[neo666]

Olá povo, com a chegada dessa nova internet fibra de um provedor da região eu, pela primeira vez, estou vendo como funciona autenticação PPoE.
Eu reparei que nessa internet, quando há alguma tentativa de acesso indevido ao meu roteador o ip vem de forma diferente. Antigamente, na NET vírtua, o ip "perigoso" aparecia normal tipo 189.... Agora os ips eles parecem que são convertidos para o ip do provedor, então não enxergo o verdadeiro ip que tenta invadir.

Eu fiz um teste durante tentativa de invasão na porta 8729 no provedor fibra e o ip era 45... (que é o do provedor) e durante a tentativa troquei pro link da net vírtua e na hora o ip mudou, foi pra 189 e tals. Acredito que o ip verdadeiro do ataque é 189.

É normal isso?

(eu sei que é ideal mudar numero de portas e etc, é apenas uma forma de sanar a minha dúvida sobre o ip correto)

Provavelmente são clientes do próprio provedor que estão fazendo scan... Sua conexão está atrás de CGNAT?

Melhor coisa é dar uma faxinada em todas as portas externas desnecessárias que estão abertas, começando pelas administrativas do roteador.

 

[Arris]

Provavelmente são clientes do próprio provedor que estão fazendo scan... Sua conexão está atrás de CGNAT?

Melhor coisa é dar uma faxinada em todas as portas externas desnecessárias que estão abertas, começando pelas administrativas do roteador.

Minha conexão estava em cgnat, mas o provedor me deu um ipv4 válido posteriormente. Consigo abrir portas e fazer acesso externo normalmente.

Sobre essa questão de portas eu to ligado, foi apenas um exemplo que eu citei para facilitar a compreensão do pessoal sobre a minha dúvida.

Desde que eu to usando a fibra sempre que há esses log no roteador de tentativa de invasão fica com o mesmo ip inicial 45. Só eu mudar pra net que já vai pro ip "comum" 189, 172 e etc.

Será que é algum tipo de túnel da operadora que tudo que vem pro meu roteador vem por esse ip 45? Se for, fica difícil banir esses ips se eu quiser em algum momento.

 

[neo666]

Desde que eu to usando a fibra sempre que há esses log no roteador de tentativa de invasão fica com o mesmo ip inicial 45. Só eu mudar pra net que já vai pro ip "comum" 189, 172 e etc.

45.xxx.xxx.xxx também é um IP "comum", estranho seria se a tentativa de ataque partisse sempre do mesmo IP (o endereço completo, não apenas o inicio dele).

Será que é algum tipo de túnel da operadora que tudo que vem pro meu roteador vem por esse ip 45? Se for, fica difícil banir esses ips se eu quiser em algum momento.

Já vi provedores fazerem cada malandragem com CGNAT mas acho que não é o caso.

Para tirar a dúvida basta comparar o IP que você recebe na sessão PPP com o que é listado em sites que mostram o IP externo, se for o mesmo não deve haver tunelamento.

 

[Arris]

45.xxx.xxx.xxx também é um IP "comum", estranho seria se a tentativa de ataque partisse sempre do mesmo IP (o endereço completo, não apenas o inicio dele).


Já vi provedores fazerem cada malandragem com CGNAT mas acho que não é o caso.

Para tirar a dúvida basta comparar o IP que você recebe na sessão PPP com o que é listado em sites que mostram o IP externo, se for o mesmo não deve haver tunelamento.

No ppp interface tem o local address e o remote address.

O que aparece no local address é o mesmo do site meuip.com.br, começa com 45, já o remote address é diferente, começa com 172

 

[neo666]

No ppp interface tem o local address e o remote address.

O que aparece no local address é o mesmo do site meuip.com.br, começa com 45, já o remote address é diferente, começa com 172

Tudo certo, no MK o local address é seu IP Externo.

Se não quiser bloquear o acesso externo ao roteador por completo em seu lugar eu bloquearia a(s) rede(s) do provedor, dessa forma nenhum robô de algum 'vizinho' seu (ou do próprio provedor, vai saber) ficará tentando acessar seu equipamento, pois aparentemente é isso que está acontecendo por aí.

 

[Arris]

Tudo certo, no MK o local address é seu IP Externo.

Se não quiser bloquear o acesso externo ao roteador por completo em seu lugar eu bloquearia a(s) rede(s) do provedor, dessa forma nenhum robô de algum 'vizinho' seu (ou do próprio provedor, vai saber) ficará tentando acessar seu equipamento, pois aparentemente é isso que está acontecendo por aí.

No menu IP services eu deixei as portas com a faixa interna de ip pra acesso, qualquer outro IP que tente acessar da denied. Qual a melhor forma de eu proteger a rede?

Eu tenho vpn L2TP IPSEC no MK e qualquer coisa que eu precise fazer em casa sempre faço via vpn

 

[neo666]

No menu IP services eu deixei as portas com a faixa interna de ip pra acesso, qualquer outro IP que tente acessar da denied. Qual a melhor forma de eu proteger a rede?

Eu tenho vpn L2TP IPSEC no MK e qualquer coisa que eu precise fazer em casa sempre faço via vpn

Eu fiz umas regrinhas mais simples para basicamente dar drop em IPs externos sem nem logar mas da forma como você fez também funciona, dá pra seguir o baile assim.

 

[Arris]

Eu tava olhando a rb4011 e vi que tem uma porta sfp, aquilo ali é entrada de fibra né? Teria como eu substituir o conversor de fibra pra cabo de rede que o meu provedor usa apenas com a rb4001 na porta sfp? @neo666

 

[vorlon]

Eu tava olhando a rb4011 e vi que tem uma porta sfp, aquilo ali é entrada de fibra né? Teria como eu substituir o conversor de fibra pra cabo de rede que o meu provedor usa apenas com a rb4001 na porta sfp? @neo666

sfp não é sinônimo de porta de fibra.
sftp, sfp + são um tipo de porta versátil onde pode conectar vário tipos de tranceivers tais como base-t, gbic ( fibra ) , dac ( cabo ponto a ponto ).
Exemplo: gbic 10gb/s sfp+ https://produto.mercadolivre.com.br...IEm-1Yqn5zVDpFHWreNcShCQzYOm54kRoC6scQAvD_BwE
sfp para utp https://produto.mercadolivre.com.br...cking_id=48e1a454-cc04-4c88-b02d-189cc95fc7df
cabo dac sfp https://produto.mercadolivre.com.br...4MmY2ZWYtNTNkYi00NzkxLWI3NzctZTkyYzgzZWIwNmFl

 

[Arris]

sfp não é sinônimo de porta de fibra.
sftp, sfp + são um tipo de porta versátil onde pode conectar vário tipos de tranceivers tais como base-t, gbic ( fibra ) , dac ( cabo ponto a ponto ).
Exemplo: gbic 10gb/s sfp+ https://produto.mercadolivre.com.br...IEm-1Yqn5zVDpFHWreNcShCQzYOm54kRoC6scQAvD_BwE
sfp para utp https://produto.mercadolivre.com.br...cking_id=48e1a454-cc04-4c88-b02d-189cc95fc7df
cabo dac sfp https://produto.mercadolivre.com.br...4MmY2ZWYtNTNkYi00NzkxLWI3NzctZTkyYzgzZWIwNmFl

Entendi.
O meu provedor usa um pequeno conversor de fibra da Intelbras, modelo ONU 110B

https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTOJRadx_mnCUrLLlJ5yTjbsryGeXK1lbYLJw&usqp=CAU

Ele usa a mesma porta do rb4011?
Tem algum jeito de não precisar manter os 2 equipamentos?

 

[vorlon]

Entendi.
O meu provedor usa um pequeno conversor de fibra da Intelbras, modelo ONU 110B

https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTOJRadx_mnCUrLLlJ5yTjbsryGeXK1lbYLJw&usqp=CAU

Ele usa a mesma porta do rb4011?
Tem algum jeito de não precisar manter os 2 equipamentos?

Não consegui ver direito na imagem, mas parece ser uma porta GPON.
É este aqui ? https://produto.mercadolivre.com.br...6cqRtsei6M69IKzDCvORvYmYP4WHaZKhoCg5oQAvD_BwE
Se sim a porta da direita é um conector otico para conexão em fibra. Não é sfp.

 

[Arris]

Não consegui ver direito na imagem, mas parece ser uma porta GPON.
É este aqui ? https://produto.mercadolivre.com.br...6cqRtsei6M69IKzDCvORvYmYP4WHaZKhoCg5oQAvD_BwE
Se sim a porta da direita é um conector otico para conexão em fibra. Não é sfp.

É esse mesmo.
Entendi. Então o rb4011 não conseguiria substituir a ONU. Eu tenho pouco espaço pra colocar tanto aparelho junto kkkkkk

 

[Vattar]

É esse mesmo.
Entendi. Então o rb4011 não conseguiria substituir a ONU. Eu tenho pouco espaço pra colocar tanto aparelho junto kkkkkk

Conseguir consegue, a questão é se o custo e a dor de cabeça que você vai ter apenas para se livrar de um equipamento valerá a pena. Tem um tópico no fórum mikrotik que o povo conseguiu fazer isso com algumas operadoras espanholas.

Usage GPON module SFP in Spain - MikroTik

forum.mikrotik.com

Com o sucesso de alguns usuários houve um aumento da demanda por transceivers GPON que fosse compatíveis com as principais marcas e modelos de roteadores e que dispusessem de um firmware desbloqueado para que as informações de validação e provisionamento da ONT pudessem ser inseridas no mesmo. O CarlitoxxPro fez uma encomenda razoavelmente grande de sfp's com estas características e os disponibilizou para venda, porém não sei dizer se ainda estão disponíveis e por quanto cada unidade.

 

[Arris]

Tem alguma forma de eu usar o hostname dos equipamentos da rede ao invés de utilizar o IP fixo deles?
Eu defini no MK q minha raspberry pi tem o IP 10.0.0.17 mas gostaria de saber se ao invés de sempre digitar esse IP, teria como eu definir um nome pra ela e sempre usar o nome

 

[neo666]

Tem alguma forma de eu usar o hostname dos equipamentos da rede ao invés de utilizar o IP fixo deles?
Eu defini no MK q minha raspberry pi tem o IP 10.0.0.17 mas gostaria de saber se ao invés de sempre digitar esse IP, teria como eu definir um nome pra ela e sempre usar o nome

Basta criar um apontamento estático para eles (IP -> DNS -> Static)

 

[Arris]

Basta criar um apontamento estático para eles (IP -> DNS -> Static)

Tá me ajudando bastante esse DNS estático rsrs.

Ontem consegui fazer funcionar fail over finalmente, e ficou bem legal


Eu uso duckdns pra IP, e vocês usam o que?
Eu vi que o próprio Mikrotik tem o ddns mas o nome é meio bizarro...

 

[werlitong]

Tá me ajudando bastante esse DNS estático rsrs.

Ontem consegui fazer funcionar fail over finalmente, e ficou bem legal


Eu uso duckdns pra IP, e vocês usam o que?
Eu vi que o próprio Mikrotik tem o ddns mas o nome é meio bizarro...

Uso cloudflare + um script que atualiza o ipv4 publico automaticamente.

 

[Arris]

Uso cloudflare + um script que atualiza o ipv4 publico automaticamente.

É gratuito?
Atualmente o duckdns me supre 100% mas gostaria de conhecer outras alternativas free também

 

[Snk B]

Pessoal, aqui parece que meu mikrotik está bloqueando o servidor NTP de funcionar (não consegue atualizar a hora dos PCS automaticamente, nem do Pi)
Já se depararam com algo assim?

 

[Arris]

Pessoal, aqui parece que meu mikrotik está bloqueando o servidor NTP de funcionar (não consegue atualizar a hora dos PCS automaticamente, nem do Pi)
Já se depararam com algo assim?

Aqui eu sempre tive problemas com horario do windows não atualizar, não sei pq.
Tem um vídeo q talvez te ajude de alguma forma

 

[neo666]

Eu uso duckdns pra IP, e vocês usam o que?
Eu vi que o próprio Mikrotik tem o ddns mas o nome é meio bizarro...

Uso um script com o No-IP há vários anos, único contra é vez ou outra ter que confirmar a existência do domínio mas avisam por e-mail e resolve-se em 1 ou 2 cliques.

Pessoal, aqui parece que meu mikrotik está bloqueando o servidor NTP de funcionar (não consegue atualizar a hora dos PCS automaticamente, nem do Pi)
Já se depararam com algo assim?

Será que não há alguma regra bloqueando a porta? Salvo engano é a 123 (UDP).

Não tenho NTP interno, aqui meus devices consultam fora e não tenho problemas, por padrão uso o pool.ntp.br.