mikrotik - de a-z para todos os níveis

10/10/13 MikroTik - De a-Z Para Todos os Níveis

https://under-linux.org/entry.php?b=2948 1/33

Blogs m4d3 MikroTik - De a-Z Para Todos os Níveis

16 Comentários

m4d3

MikroTik - De a-Z Para Todos os Níveis

por em 20-09-2012 às 09:57 (14158 Visualizações)

MikroTikDE a-Z PARA TODOS OS NÍVEISEscrito por: Luciano Rampanelli / M4D3

Dedico este material aos amigos online que conquistei ao longo destes anos, emespecial à minha esposa e nossos três filhos Luciano Junior, João Paulo e Pedro,principais motivadores desta publicação.

“Como bons administradores da multiforme graça de Deus, cada um coloque àdisposição dos outros o dom que recebeu” (Pedro I, v 4 a 10)

As práticas relatadas aqui estão em uso desde 2007 em diversos provedorescomerciais, passo a dividir com todos na busca de dias melhores na "internetbrasileira". As técnicas abordadas são baseadas na experimentação e simulação deacordo com as normas e leis que regem o acesso a internet. As informações aquicontidas são parte de algo maior e não foram copiadas ou tomadas em assalto, massão fruto do esforço individual deste que vos escreve. Faço este documento de usolivre para aqueles que assim necessitarem para uso pessoal e didático. Exceto parafins comerciais, impressão ou divulgação sem expressa autorização do autor.

__________________________________________________________________

Configurando o MikroTik do Zero

Vamos começar configurando um servidor básico com serviço de autenticação,escolhi o pppoe pela facilidade e compatibilidade com a maioria dos sistemascomerciais adotados no mercado além é claro do meu gosto pessoal.

Comecemos escolhendo a versão do MikroTik a utilizar, eu confio e utilizo a bastantetempo a versão 3.30, 4.17, 5.11, procuro manter uma versão estável até terconfiança suficiente de que todos os recursos que necessito estejam funcionando deacordo em uma versão mais atual, que além disso deve ter novos recursos paramerecer um upgrade.

Data de Ingresso: Aug 2007Idade: 36Posts: 1.089Posts de Blog: 9

Recuperação de RB através do software mikrotiknetinstall por EribertoTorres

MikroTik - De a-Z Para Todos os Níveis por RickBrito

Otimizando banda disponível com MikroTik e técnicade Burst/Threshold por: M4D3 por Conterato

Faça você mesmo seu painel solar economizandoaté 70 por cento por rubem

Repasse de IP Público com exemplo para PPPoEpor: M4D3 por F3RR3LL

Recuperação de RB através do software mikrotiknetinstall 18-03-2013 14:51

Faça você mesmo seu painel solar economizandoaté 70 por cento 21-11-2012 04:36

MikroTik - De a-Z Para Todos os Níveis 20-09-2012 09:57

Fazendo as coisas direito, começando com aRFC1918 por: M4D3 08-10-2011 19:17

DMZ no MikroTik para load balance PCC por: M4D3 23-09-2011 06:25

m4d3

Ir para Perfil

Marcar como Lido

Categorias de Blog

Categorias Globais

Artigos

Noticias

Dicas

Reviews

Negócios

TutoriaisCategorias Locais

Não Categorizado

Comentários Recentes

Posts Recentes nos Blogs

Visitantes Recentes

Tweetar 0 0 Visite também: BR-Linux · V iv aO Linux · LinuxSecurity · Dicas-L · NoticiasLinux · SoftwareLiv re.org

Home Novidades Notícias Fóruns Galeria Calendário FAQ

Recent Entries Most Popular Member Blogs Pesquisa Avançada

Share Curtir 1

m4d3

+ Criar Blog

Blogs

https://under-linux.org/index.php

https://under-linux.org/blog.php

https://under-linux.org/blog.php?u=48446

https://under-linux.org/entry.php?b=2948#comments

https://under-linux.org/entry.php?b=3009&bt=10602#comment10602

https://under-linux.org/member.php?u=76904









https://under-linux.org/entry.php?b=3009








https://under-linux.org/blog.php?u=48446&do=markread&readhash=

https://under-linux.org/blog.php?u=48446&blogcategoryid=46






https://under-linux.org/blog.php?u=48446&blogcategoryid=-1

https://under-linux.org/blog.php?u=48446&do=comments


https://twitter.com/intent/tweet?original_referer=https%3A%2F%2Funder-linux.org%2Fentry.php%3Fb%3D2948&text=MikroTik%20-%20De%20a-Z%20Para%20Todos%20os%20N%C3%ADveis&tw_p=tweetbutton&url=https%3A%2F%2Funder-linux.org%2Fentry.php%3Fb%3D2948&via=underlinux

http://twitter.com/search?q=https%3A%2F%2Funder-linux.org%2Fentry.php%3Fb%3D2948

http://br-linux.org/

http://www.vivaolinux.com.br/

http://www.linuxsecurity.com.br/

http://www.dicas-l.com.br/

http://www.noticiaslinux.com.br/

http://www.softwarelivre.org/

http://googleads.g.doubleclick.net/aclk?sa=L&ai=Cj52PKulWUrm6JdLulAe9rIDgDZ6ppP8BAAAQASCe-P0BUPGUt7cCYM2AgICsA8gBAqkCYQ-GiRXSnj7gAgCoAwHIA50EqgSGAU_QQmRrdJO66I6k0ISUl0DRy9jbLJGaCc71jbGYip0ux78DFiUk-3NFw7beWC4GH3I9OGJACv41BrpKqQPy5dxmPghuTct2ejkBK0UGKbhgapIUWjAC5xXGZKtr3B6kRCKN2XAAHZJCUZkwEkqYtNRLG3LO9oymQK6FfCyHXLLbBwaP3bOg4AQBoAYU&num=0&sig=AOD64_28LrkUJwdVyBOoVPlig-llnHxvxw&client=ca-pub-5231037339223764&adurl=http://tec-wi.com.br/site/%3Fp%3D599

https://under-linux.org/

https://under-linux.org/content.php?r=7807









https://under-linux.org/activity.php

https://under-linux.org/content.php

https://under-linux.org/forum.php

https://under-linux.org/picall.php

https://under-linux.org/calendar.php

https://under-linux.org/faq.php

https://under-linux.org/blog.php?do=list

https://under-linux.org/blog.php?do=list&blogtype=best

https://under-linux.org/blog.php?do=bloglist

https://under-linux.org/search.php

https://under-linux.org/blog_external.php?type=RSS2&bloguserid=48446


https://under-linux.org/register.php

https://under-linux.org/blog.php



__________________________________________________________________

Configuração as Interfaces

Dito isso vamos definir o nome das interfaces, começando com ether1 que vamosre-nomear para “EthLinkD” que será nossa entrada do link, este por sua vez pode terqualquer origem seja um link dedicado ou uma adsl, trataremos disso mais tarde.

Sem ordem o sucesso é uma possibilidade remota, na seqüência vamos agora re-nomear a interface ether2 para “EthClientes”, que como o próprio nome diz será ainterface por onde forneceremos o acesso aos clientes.

O objetivo deste documento não é ser o mais detalhista possível, mas oferecer umavisão clara de como configurar de maneira ordenada e lógica qualquer equipamento,a metodologia empregada na implantação depende muito da necessidade e prédisposições existentes, porém questões como a nomenclatura a ser utilizada e aseqüência só depende da forma de raciocínio de quem esta a configurar e do nívelde compreensão pretendido para qualquer usuário que acessar o sistema.

Em seguida faremos as definições de IP que são necessárias ao sistema, note queate agora estamos fazendo o acesso via MAC o que é extremamente lento.Supondo que temos um IP roteado disponível para nosso link, seja ele público ouprivado, vou identificar uma classe que servirá de exemplo durante nossasexplanações.

Classe de IP: 172.16.50.128/29 – Esta será a classe que recebemos do roteador(dedicado ou adsl não importa), no caso o IP que identifica no gateway será oprimeiro IP 72.16.50.129 e para a configuração do nosso sistema iremos utilizar oIP 172.16.50.130/29.

__________________________________________________________________

Configuração da Rota Default

Em seguida devemos informar o default gateway 172.16.50.129 na tabela de rotas.

Adriano Leite Mmn, celsonazireu, ericlmarx,eudesamarelo, gmgustavocruz, jailtonnetlink,labrbomfim, Marco0, marcoantoni, nanduu

Nuvem de Tags

painel netinstall potencia recuperar calculosolar energia mikrokti

Pesquisar por Tag

Arquivo

< Outubro 2013

D S T Q Q S S

22 23 24 25 26 27 28

29 30 1 2 3 4 5

6 7 8 9 10 11 12

13 14 15 16 17 18 19

20 21 22 23 24 25 26

27 28 29 30 31 1 2

Cambium EPMP1000www.winncom.com

Winncom - Best Price &Availability In Stock - GetYours Now!

Nome do Usuário Senha Conectar Registre-se Busca Under-Linux.Org











https://under-linux.org/blog.php?u=48446&tag=painel

https://under-linux.org/blog.php?u=48446&tag=netinstall

https://under-linux.org/blog.php?u=48446&tag=potencia

https://under-linux.org/blog.php?u=48446&tag=recuperar

https://under-linux.org/blog.php?u=48446&tag=calculo

https://under-linux.org/blog.php?u=48446&tag=solar

https://under-linux.org/blog.php?u=48446&tag=energia

https://under-linux.org/blog.php?u=48446&tag=mikrokti

https://under-linux.org/blog_tag.php?u=48446

https://under-linux.org/blog.php?u=48446&m=3&y=2013

https://under-linux.org/blog.php?u=48446&m=10&y=2013

http://www.googleadservices.com/pagead/aclk?sa=L&ai=C0--iaelWUqloyZqrAfn-gKAC66OAsAbLn6DXhgHAjbcBEAEgnvj9AVCng8bfA2DNgICArAOgAaXkqcwDyAEBqAMByAPTBKoEdk_QFzmjQbem2YWHZMbVKe-YvJz8kk1Ndl2aphIjTDkqg3ZGgy5igY6PL-M50pyy4c89BXQ6j2c5a9Cy2QkYtKW911fp0DSjySo7fYtTwgfo0sHZAYlilWdBwuk76DY1XvhO6bRWr1UX8sjt_UrPnCw6pRS3-6mIBgGAB8Ob1jM&num=1&cid=5GjROb6Ca1g_V9YCYG2Ky_Wn&sig=AOD64_27MZb7754M8VGToApbsd_o53HsPA&client=ca-pub-5231037339223764&adurl=http://www.winncom.com/manufacturer/cambium/epmp



https://under-linux.org/external.php?do=rss&type=newcontent&sectionid=1&days=120&count=10

http://twitter.com/underlinux

http://www.facebook.com/underlinux

http://www.linkedin.com/groups/UnderLinuxOrg-32612

http://plus.google.com/+underlinux




Resultando conforme abaixo em nossa tabela de rotas.

Se obtiver resultado diferente do exemplo (como uma rota na cor azul), pode serque o IP do gateway não tenha sido encontrado na rede ou que não tenha definidocorretamente o endereço IP na etapa anterior.

__________________________________________________________________

Configuração do DNS

Vamos agora para a configuração de DNS, eu particularmente confio no DNSgratuito OpenDNS, porém devo alertar em em certos casos já tive problema porconta disso, um exemplo é quando um dos clientes sabendo que utiliza dos serviçosdo OpenDNS vai até o site deste serviço e cadastra o/os IP’s utilizados por seusistema e cria regras de bloqueio (muito úteis inclusive principalmente para limitarserviços indesejados), fazendo isso qualquer resolução de DNS que partir dos IP’sinformados na regra de filtro passam a ter as limitações impostas em tais filtros,imagine um usuário mal intencionado bloqueando os serviços de redes sociais, issoiria gerar uma revolta entre os clientes e com certeza não desejamos algo dessetipo.

Portanto se utilizar deste serviço tenha certeza de que está imune a condição citada,outro DNS que posso sugerir são do Google que apresentam na maioria dos casosbom tempo de resposta e disponibilidade, no geral é o que conta, você pode utilizaros de sua preferência, no exemplo vamos utilizar um DNS do Google e outro doserviço gratuito OpenDNS.



GoogleDNS: 8.8.8.8/8.8.4.4OpenDNS: 208.67.222.222/208.67.220.220

Vale ressaltar que a opção “Allow Remote Request” permite utilizar o IP do seuMikroTik para resolução de DNS e cache deste serviço, sendo desejável eurecomendo que marque esta opção, tendo o cuidado de bloquear requisições vindasde fora do seu sistema para este serviço (90% dos casos).

Além disso devemos alterar o “Cache Size” para algo entre 4096 e 8192possibilitando armazenar o maior número de endereços DNS no MikroTik local dessaforma agilizando o processo de resolução dos equipamentos cliente quando fizeremuso do servidor DNS disponível no MikroTik.

Tendo concluído com sucesso esta primeira etapa faremos um teste de ping paraaferir o funcionamento do sistema básico, começando com um teste direto a umendereço IP. Para tal abra um terminal e digite:

ping 200.221.2.45

O resultado tem que ser como acima, se “packet loss” informar algo diferente de 0%você tem algum problema de conexão ou então o IP que tentou pingar não estamais acessível.

O próximo passo é testar a resposta dos servidores DNS e para isso vamos executarum ping informando o endereço de um site e não o seu IP.

ping uol.com.br



O resultado deve ser o mesmo anterior.

Desta vez quando efetuamos uma consulta ao DNS cache do MikroTik encontramosas resoluções já consultadas e com TTL não expirado.

Vamos agora definir um DNS próprio para uso nos clientes deste MikroTik emquestão, faremos isso acessando o DNS Static, utilizaremos um IP qualquer que noexemplo será 10.0.0.1.

O TTL é o tempo de expiração que vai manter a consulta a este DNS em cache,quando será necessária nova consulta para resolução do endereço, em certos casosé interessante manipular este tempo tendo em vista o grande número de solicitaçõesque podem ser feitas a um mesmo endereço, no caso de haverem poucas mudançasdo IP de destino.

Devemos observar que quando houver a manipulação do TTL padrão o resultado



pode ser um destino que aponta para um endereço que não corresponde mais aoendereço desejado até a renovação da consulta e portanto podendo causar falha noacesso, o MikroTik não suporta manipulação da tabela DNS cache, e se pretendeutilizar este serviço recomendo o BIND9 em servidor Linux que além disso oferecemuitas outras possibilidades.

Observe que após a inserção do “DNS Static” imediatamente a tabela “DNS Cache”foi incrementada e o TTL começa a contar até a próxima renovação.

__________________________________________________________________

Configuração do Concentrador PPPOE

Vamos agora configurar o serviço PPPOE, chamaremos o serviço de ‘PC.PPPoE’ eselecionando a interface pela qual os clientes farão acesso a este serviço vamosdefinir os valores padrões deste servidor.

Não faremos nenhuma alteração nos valores de MTU / MRRU / Timeout / MaxSessions e na maioria dos casos é isso mesmo que recomendo, só altere se houveruma necessidade que de outra forma não pode ser solucionada.

Marque “One Session Per Host” se desejar que apenas um usuário conecte para cadacadastro de usuário/senha.Com relação ao tipo de autenticação suportada pelo serviço até agora entre ossistemas comerciais que utilizam o FreeRadius só encontrei autenticação PAP, porémisso pode mudar, se o seu sistema suporta mais de um tipo marque as respectivasopções suportadas, caso contrario basta manter apenas PAP e desmarcar as demais,isso inclusive evita comportamento errôneo de alguns sistemas comerciais em usohoje em dia. Recomendo que busque informações adicionais sobre cada método, isso não vaimudar a sua vida, mas o hábito de pesquisar as opções o tornará apto a responderas mais diversas perguntas quando questionado.



Obs: se o seu sistema suporta outros métodos eu gostaria de conhecê-lo.

Vamos agora para a configuração do Profile que nada mais é do que asconfigurações do plano de acesso ao qual o cliente irá pertencer.

No primeiro plano vamos selecionar algo simples para assimilação rápida, vamoschamar de ‘PC.Conecta’ fazendo referencia a um plano de entrada onde o principalobjetivo é que acesso a internet. Sendo este um plano básico não tem como foco avelocidade de acesso, a principal característica deste plano será sua velocidade deacesso limitada em 128kbps para download e 64kbps para upload, o que em teoriadeve garantir downloads de até 16kb/s e upload de até 8kb/s.

- criando a pool de endereços ip

Em “Local Address” informaremos o IP que o cliente receberá como gateway e em“Remote Address” indicamos a “Pool” de IP’s a qual o profile pertence, ou seja osIP’s que os clientes irão receber após a conexão ter sido estabelecida com oservidor. Para este primeiro plano vamos criar a “Pool” de nome ‘pool_conecta’ aqual inicia no IP 10.0.0.11 e termina em 10.0.0.249, você deve estar seperguntando porquê não começar no antes e ir até o final dos IP’s, eu faço umareserva em cada pool quando possível para casos especiais em que eu preciso fixaro IP que um determinado equipamento irá receber.

Como resultado teremos a tabela IP Pool conforme abaixo:

- criando o plano de acesso

Na criação do profile ‘PC.Conecta’, selecionamos a ‘pool_conecta’ para o “RemoteAddress” e mantemos os campos Bridge / Incomming Filter / Outgoing Filter /Address List / WINS Server inalterados, bastando para tanto configurar apenas ocampo “DNS Server”.



Utilizaremos o próprio MikroTik como servidor DNS primário, isso nos trará avantagem do DNS Cache, como DNS secundário vamos utilizar um DNS qualquerinformado pela operadora que pode ser obtido junto ao serviço de atendimento aocliente ou com uma breve busca na internet. Para este caso vamos configurar osecundário com o SuperDNS servidor 1 cujo endereço é dns1.superdns.com.br e seuip corresponde a 72.233.55.28, entenda que é apenas um exemplo e nãorecomendo este como seu DNS secundário.

Ainda no profile em questão, na aba “General” as opções “Use Compression/Use VJCompression/Use Encryption” devem ficar na posição ‘no’ e “Change TCP MSS” em‘yes’, esta segunda pode lhe economizar alguma dor de cabeça com MSN e coisas dogênero e você pode optar por não utilizar as configurações indicadas aqui e aindaassim não ter problema algum desde que saiba o que esta fazendo, não tenha medode experimentar pois é também dessa forma que se adquire conhecimento.



Na aba “Limits” vamos utilizar as velocidades relativas ao plano sendo que noMikroTik como indicado no campo “Rate Limit” onde deve ser informado primeiro oupload do plano que no caso é o rx do servidor (em relação ao cliente que é quemvai utilizar o profile) e em seguida informar o download que é o tx do servidor comas velocidades separadas por “/” da seguinte forma 64k/128k ou ainda64000/128000. O campo “Rate Limit” permite configurações bastante diversas comou sem omissão de parâmetros, vale a pena estudar a respeito.

Exemplo 1: 64000/128000 ou 64k/128k2: 51k/102k 64k/128k 40k/81k3: 51k/102k 64k/128k 40k/81k 84: 51k/102k 64k/128k 40k/81k 6 85: 51k/102k 64k/128k 40k/81k 128/192 86: 51k/102k 64k/128k 40k/81k 128/192 8 32k/64k

Composição do campo “Rate Limit (tx/rx)”[rx-rate/rx-rate][rx-burst-rate/tx-burst-rate][rx-threshold/tx-threshold][rx-time/tx-time] [prio/prio] [rx-limit-at/tx-limit-at]

- cadastro de usuário

Para saber mais sobre estas opções consulte o manual do MikroTik e/ou defina osvalores de exemplo em um plano e consulte na tabela “Queue Simple” a fila dousuário após conexão. Também pode utilizar usar 1M no lugar de 1024k. Pode-seutilizar k, M ou G.

Configurado o primeiro plano de acesso siga configurando os demais para outrasvelocidades, mas antes disso voltamos ao serviço “PC.PPPoE” e alteramos o “DefaultProfile” para ‘PC.Conecta’.

Seguindo com a configuração vamos agora cadastrar o primeiro usuário/cliente paraconexão via servidor PPPoE. Acesse o menu “Secrets” e preencha os camposconforme indicado:

“Name:” testepc“Password:” senhapc“Profile:” “PC.Conecta”“Service:” (pppoe, para outros tipos selecione da lista)“Caller ID:” (opcional, cadastre o MAC se quiser amarração)“Local Address:” (opcional, pode usar outro IP que será o gateway)“Remote Address:” (opcional, IP do cliente que vai pegar do profile)



O campo “Caller ID:” pode ser preenchido com o MAC Address do equipamentocliente e tem a função de ‘amarrar’ o login/name ao MAC, podemos ainda preenchero campo “Remote Address” caso desejemos que este login/name conecte semprecom o mesmo endereço IP. O campo “Local Address” é fornecido automaticamente pelo profile selecionadosendo este o gateway da conexão PPPoE, podendo ser informado manualmente casohaja necessidade.

Curiosidades: em versões antigas (2.x) do MikroTik havia um bug de o clienteconectar e não navegar, a navegação somente era possível quando o mesmo recebiaoutro IP, esta situação era facilmente evitada preenchendo o endereço do “LocalAddress” nos cadastros.

__________________________________________________________________

Configuração do servidor NTP

Importante: configurar as informações de data, hora e localização, alguns podemachar que é algo desnecessário, eu afirmo que tem muita importância então vamosa isso. Primeiro configuramos o “Manual Time Zone”, no meu caso estou emComodoro que fica no interior do estado de Mato Grosso, sendo assim o “TimeZone” é -04:00, em seguida acerte os valores da aba “Time”.

Na seqüência configuramos o “NTP Client” para manter nosso relógio emsincronismo, fazemos isso utilizando os servidores nacionais sendo eles, ‘a.ntp.br’ e‘b.ntp.br’ ou outro de sua preferência.

Note que ao aplicar a configuração o texto digitado se converte automaticamente noIP de cada servidor e para isso utiliza o serviço DNS configurado neste equipamento.



__________________________________________________________________

Criando o MASCARAMENTO dos IP’s privados

Neste momento dado a natureza dos IP’s que utilizamos na ‘pool_acesso’ vamoscriar o mascaramento local para que seja possível o trafego de dados entre osclientes e a internet.

Acesse IP/Firewall/NAT e insira uma nova regra com as seguintes características:

Na aba “General”Chain: srcnatSrc. Address: 10.0.0.0/24 (classe destinada aos clientes)Out . Interface: EthLinkD

Na aba “Action”Action: masquerade

Você pode ter feito esse procedimento dezenas de vezes e de várias maneirasdiferentes sem se perguntar por que, neste caso quando fazemos o mascaramentoestamos dizendo para o MikroTik que todas as requisições vindas dos clientes(pool_acesso, IP’s 10.0.0.0/24) com saída pela interface “EthLinkD” serãomascaradas pelo NAT, em linhas gerais isso garante que o firewall seja afetadopositivamente para os acessos da sua rede interna, o que isso significa? Que quandovocê for fazer utilização de um servidor externo de quaisquer serviços conectados aoutra interface que não seja “EthLinkD” (pode ser EthIntranet ou outra qualquer),estes serviços irão registrar o IP individual de quem estiver buscando pelo serviço enão o IP do servidor o qual seria enviado caso não estivéssemos definindo umainterface especifica para a saída padrão (leia-se rota default).



Um exemplo prático são os redirecionamentos para servidores de proxy cache, seminformar a “Out. Interface” o servidor de cache vai entender que todas as requisiçõessão oriundas do IP do servidor MikroTik que fizer a conexão com o proxy cache,imagine então se for um servidor de firewall e ou autenticações, onde todos osusuários chegassem com o mesmo IP.

Feito isso já podemos conectar nosso primeiro cliente ainda que não tenhamosconfigurado o servidor de cache, e para tanto se faz necessário configurar umdiscador pppoe, seja em um rádio ou no próprio sistema operacional do usuário.

De posse do usuário e senha cadatrados na “Secrets” conecte um cabo de rede entrea interface “EthClientes” e o equipamento que fará a discagem, na maioria dos casosos rádios suportam auto-MDIX, para micros ligados diretamente ao servidor e placasde rede que não o suportem utilize um cabo de rede crossover.

http://en.wikipedia.org/wiki/Ethernet_crossover_cable

Após conexão observamos em “Active Connections” a presença da conexão discadae o respectivo endereço MAC na coluna “Caller ID”.

Na aba “Interface é” possível ver a interface criada pelo pppoe com trafego de tx/rx(download/upload pois o sentido é servidor>cliente)

Em “Queue List” na aba “Simple Queue” é possível observar o tráfego do cliente nocontrole de filas sendo que os valores instantâneos são para o tráfego que passapelo servidor com destino a internet.

http://en.wikipedia.org/wiki/Ethernet_crossover_cable



A cor vermelha indica que o trafego excede 75% do valor configurado em “MaxLimit”, outras cores são laranja para 50% e verde para 25%.

__________________________________________________________________

Integração ao sistema de cache NIMOC Power

Comecemos por configurar a interface que fará a comunicação com o cache, nestecaso especifico recomendo a instalação de uma interface com o único propósito dese comunicar com o servidor de cache.

Vamos agora re-nomear a interface ether3 para “EthCache”, que como o próprionome diz será a interface exclusiva que será conectada ao NIMOC Power.

Vamos agora configurar a conexão entre o MikroTik e o servidor de cache, noMikroTik acesse o menu ‘IP / Address’ e configure o seguinte IP 192.168.10.253/30na interface “EthCache”, este será o gateway e dns secundário do servidor de cache.

Feito isso configure o seu servidor de cache N!MOC com as seguintes informações.IP Address: 192.168.10.254Mascara: 255.255.255.252Gateway: 192.168.10.253Dns primário: 127.0.0.1Dns secundário: 192.168.10.253

Para tanto vamos utilizar o aplicativo ‘niconfig’ que se encontra presente no sistemainstalado a partir do N!MOC INSTALLER CD:

Tento logado como root digite no console do N!MOC Linux:niconfig <ENTER>

Caso sua placa de rede seja identificada diferente de ‘eth0’, não há problema apenaslembre em qual interface você configurou o IP para futuras configurações ouconsultas se necessárias.

https://under-linux.org/attachment.php?attachmentid=39053&d=1348145034




Na seqüencia vamos configurar IP 192.168.10.254 e mascara de rede255.255.255.252, esta classe possui apenas os 2 IP’s livres para uso quenecessitamos na comunicação entre os dois servidores.










Ao final clique aceitar sobre a seleção SAIR.

Antes que comece a se questionar sobre o que acabamos de fazer e o uso dosistema de cache com suporte a TPROXY quero adiantar que dessa forma serápossível e sem nenhuma limitação o uso do TPROXY tanto para IP’s públicos quantode IP’s privados, os IP’s configurados acima não influenciam no uso desse recurso esó servem para o transito das demais classes de IP.

Obs: N!MOC Power LYE tem suporte a TPROXY em LINUX/BSD além de muitosoutros recursos importantes para a configuração de uma rede profissional.

Note que os IP’s de gateway e dns indicam que o MikroTik será o gateway e dnssecundário do servidor de cache e portanto todo trafego que o servidor de cachesolicitar irá passar pelo MikroTik, para isso devemos configurar o mascaramentodesta classe em ‘IP / Firewall / NAT’, adicione uma nova regra da mesma forma queo fizemos quando criamos o mascaramento para os clientes.

Na aba “General” no campo “Chain” selecione ‘srcnat’ em seguida no campo “Src.Address:” digite 192.168.10.252/30 que será destinada a comunicação entre ocache e o MikroTik, em seguida no campo “Out Interface” selecione a interfaceutilizada na comunicação com a internet “EthLinkD”, e por último na aba “Action” ecampo de mesmo nome selecione ‘masquerade’.

E com isso concluímos o mascaramento da rede que dará suporte ao servidor decache.

Nossa tabela NAT deve agora estar como abaixo:




Agora vamos criar as marcações para o desvio do trafego via tabela mangle pararedirecionar as requisições da porta 80 até o cache N!MOC seguindo o exemplo aseguir .

Acesse IP / Firewall / Mangle e insira uma nova regra, na abra “General” selecione a“Chain” prerouting, “Protocol” tcp e “Dst. Port” 80 ainda em “In. Interface” selecionea ‘EthCache’ e marque a flag “!” que significa negação, ou seja todas as interfacesmenos esta, na aba “Extras” em “Src. Address List” informe o nome da lista que iráconter a lista que irá conter os IPs dos clientes e servidores internos que nãodeverão passar pelo cache. Em seguida informe em “Dst. Address List” a lista de IPsque irá conter os endereços de sites da internet os quais não deseja que passempelo cache, e não esqueça de marcar a flag de negação “!” para ambas as listas.

Vamos agora para a aba “Action” e na opção de mesmo nome selecionamos “markrouting” e em “New Routing Mark” nossa marcação de rota personalizadachamaremos de “to_nimoc”, com relação a flag “Passthrough” podemos deixarmarcada se desejamos que o trafego continue a ser analisado pelas regras seguintesda tabela ou desmarcarmos se não quisermos, é relativo e depende muito do que sevai fazer nas regras seguintes, no exemplo deixaremos marcada pois nosso exemploserá limitado e não teremos regras conflitantes que poderiam sobre gravar nossamarcação.



Esta regra como foi concebida fará a marcação de rota sobre os IP’s 10.0.0.0/24utilizados pelo plano/profile ”PC.Conecta” do “PPPoE Server” com a identificação de‘to_nimoc’.

IMPORTANTE: Quando os IP’s a receber a marcação forem privados emascarados, não há necessidade de tratar o retorno e a regra acima fará toda amarcação necessária bastando adicionar uma rota na tabela de rotas, porém quandose tratar de uma classe de IPs públicos ou mesmo uma classe cujo mascaramentoestiver atrás do equipamento onde estamos fazendo esta marcação fazendo com queutilizemos o TPROXY, existe a necessidade de tratarmos o retorno conforme a regraque segue.

Acesse IP / Firewall / Mangle e insira uma nova regra, na abra “General” selecione a“Chain” prerouting, “Protocol” tcp e “Src. Port” 80 ainda em “In. Interface” selecione‘EthLinkD’, na aba “Extras” em “Src. Address List” informe o nome da lista que iráconter os IP’s dos clientes e servidores internos que não deverão passar pelo cache.

Em seguida informe em “Dst. Address List” a lista de IPs que irá conter os endereçosde sites da internet os quais não deseja que passem pelo cache, note que aquiinvertemos a posição das listas e isso é proposital já que estamos tratando o trafegode retorno, e por último na aba “Action” no recurso de mesmo nome selecione“mark routing” e em “New Routing Mark” informamos o nome da rota que será“to_nimoc” mantendo a flag “Passthrough” marcada.



A tabela acima contém apenas a marcação de rotas necessária para uso comTPROXY ativado, em caso de TPROXY desativado e classes de IP’s privados comono exemplo 10.0.0.0/24 só é necessária a primeira regra onde utilizamos Src.Address e a segunda deve ser eliminada. Vale ainda lembrar que devemos ter umaregra ou conjunto de regras para cada classe de IP’s que desejamos marcar as rotaspara envio ao cache.

__________________________________________________________________

N!MOC Power – Regras úteis

Adiciona IP a interface do MikroTik que fará comunicação com N!MOC Power.

Código :

/ip addressadd address=192.168.10.253/24 comment=PC.NiMOC disabled=no interface=EthCache

Ativa resolução DNS para equipamentos remotes.

Código :

/ip dnsset allow-remote-requests=yes

Bloqueio de acesso externo ao cache N!MOC Power.

Código :

/ip firewall filteradd action=drop chain=input comment=PC.NIMOC disabled=no dst-port=8080 in-interface=EthLinkD protocol=tcp

Bloqueio de acesso externo ao DNS N!MOC Power.

Código :

/ip firewall filteradd action=drop chain=input comment=PC.NIMOC disabled=no dst-port=53 in-interface=EthLinkD protocol=udp

Suporte ao SSH N!MOC Power.

Código :

/ip firewall natadd action=dst-nat chain=dstnat comment=PC.NiMOC disabled=no dst-port=220 protocol=tcp to-addresses=192.168.10.254 to-ports=22

Suporte ao relatório HTTP N!MOC Power.

Código :

/ip firewall natadd action=dst-nat chain=dstnat comment=PC.NiMOC disabled=no dst-port=8282 protocol=tcp to-addresses=192.168.10.254 to-ports=82

Marcação de rota para IP privado no N!MOC Power.

Código :

/ip firewall mangleadd action=mark-routing chain=prerouting comment=PC.NIMOC disabled=no dst-address-list=!sem_cache_dst dst-port=80 in-interface=!EthCache new-routing-mark=to_nimoc passthrough=yes protocol=tcp src-address=10.0.0.0/24 src-address-list=!sem_cache_src

Marcação de rota para IP público no N!MOC Power.

Código :

/ip firewall mangleadd action=mark-routing chain=prerouting comment=PC.NIMOC disabled=no dst-address-list=!sem_cache_dst dst-port=80 in-interface=!EthCache new-routing-mark=to_nimoc passthrough=yes protocol=tcp src-address=200.201.202.0/24 src-address-list=!sem_cache_srcadd action=mark-routing chain=prerouting comment=PC.NIMOC disabled=no dst-address=200.201.202.0/24 dst-address-list=!sem_cache_src in-interface=EthLinkD new-routing-mark=to_nimoc passthrough=yes protocol=tcp src-address-list=!sem_cache_dst src-port=80

Redirecionamento de rota para N!MOC Power.



Código :

/ip routeadd comment=PC.NIMOC disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.10.254 routing-mark=to_nimoc scope=30 target-scope=10

Lista de IP dos sites que não deverão passar pelo cache N!MOC Power.

Código :

/ip firewall address-listadd address=1.2.3.4 comment="PC.NIMOC - IP DE SITE SEM CACHE" disabled=no list=sem_cache_dst

Lista de IP dos clientes que não deverão passar pelo cache N!MOC Power.

Código :

/ip firewall address-listadd address=1.2.3.4 comment="PC.NIMOC - IP DE CLIENTE SEM CACHE" disabled=no list=sem_cache_src

Monitoramento do N!MOC Power e desativação automática de marcações.

Código :

/tool netwatchadd comment=PC.NIMOC disabled=no down-script="/ ip firewall nat set [find comment=PC.NIMOC ] disabled=yes\r\ \n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=yes" host=192.168.10.254 interval=5s timeout=2s up-script=\ "/ ip firewall nat set [find comment=PC.NIMOC ] disabled=no\r\ \n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=no"

Monitoramento da internet e desativação automática de marcações.

Código :

/tool netwatchadd comment=PC.NIMOC disabled=no down-script="/ ip firewall nat set [find comment=PC.NIMOC ] disabled=yes\r\ \n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=yes" host=8.8.8.8 interval=30s timeout=5s up-script=\ "/ ip firewall nat set [find comment=PC.NIMOC ] disabled=no\r\ \n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=no"add comment=PC.NIMOC disabled=no down-script="/ ip firewall nat set [find comment=PC.NIMOC ] disabled=yes\r\ \n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=yes" host=200.221.2.45 interval=30s timeout=5s up-script=\ "/ ip firewall nat set [find comment=PC.NIMOC ] disabled=no\r\ \n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=no

__________________________________________________________________

Cache Full

Chegamos a um ponto importante, tanto se ouve falar em Cache Full que a definiçãopropriamente dita se torna confusa, seria um cache cheio ?

Cache Full na definição dos usuários que o utilizam significa enviar o conteúdo webnormalmente do tipo multimídia e armazenado em proxy cache local para osusuários/clientes da rede furando o controle de banda convencional da “QueueSimple” utilizando para isso a marcação de pacotes e a “Queue Three” quecomumente é utilizada para controle em sistemas de QoS.

O mais comum encontrado em dezenas de paginas web é baseado na marcação depacotes contendo o parâmetro o que pode ser feito pela tabela “Mangle” na “Chain”postrouting, em seguida na aba “Advanced” em “Content” digitando ‘X-Cache: HIT’seguindo para a aba “Action” em campo de mesmo nome selecione ‘mark packet’ eem “New Packet Mark” digite cachefull. Sequer darei um exemplo utilizando a“Queue Three” por considerar que este método possui uma série de problemasgraves.

No entanto existem outros métodos possíveis que podem ser aplicados, um dosquais relaciono abaixo tópicos que considero mais importantes.

1 – Marcar os pacotes pelo “DSCP/TOS” e não pela “Content”, isso porque estesegundo método além de inseguro é ineficaz e exige maior processamento.

2 – Informar por onde o trafego adentra ao MikroTik e/ou para onde segue, issoajuda a diminuir a carga e evita que a marcação seja utilizada para enviar algum



outro conteúdo forjado com a mesma marcação.

3 – Criar uma “Queue Type” que vai fazer o controle individua de uso do conteúdopreviamente marcado.

4 – Criar uma “Simple Queue” que será responsável por limitar o tráfego que seráenviado para determinada classe de IP’s. E inserir nela o controle individual comoveremos a seguir.

1.1 - Comecemos marcando os pacotes, para isso acesse IP / Firewall / Mangle einsira uma nova regra, na abra “General” selecione a “Chain” prerouting, “Protocol”tcp, “In. Interface” EthCache, na aba “Advanced” em “DSCP(TOS)” informe o valor18 que corresponde a marcação 72 no exemplo.

Ainda na mesma regra na aba “Action”, campo de mesmo nome selecione a opção‘mark connection’ e logo abaixo no campo “New Connection Mark” digite‘conn_nimoc’. Clique em OK e esta pronta esta primeira regra, o que ela faz éidentificar as conexões oriundas do servidor de cache e que contém a marcadesejável recebida via “DSCP/TOS”, ainda falta marcar os pacotes dessas conexões oque faremos na segunda regra.

Dica: para saber como funciona a relação entre valores basta saber que 0 = 0, 1 =4, 2 = 8, 3 = 12 e finalmente 18 = 72, portanto multiplique a marcação informadano MikroTik por 4 e vai obter o valor a ser configurado no parâmetro DSCP/TOSquando suportado pelo cache. N!MOC Power tem suporte a DSCP/TOS.

1.2 – Adicione uma nova regra e na abra “General” a “Chain” prerouting, e logoabaixo no campo “Connection Mark” selecione a marcação chamada ‘conn_nimoc’,vá até a aba “Action” no campo de mesmo nome selecione ‘mark packet’ e logoabaixo em “New Packet Mark” vamos colocar a identificação dos pacotes como‘pack_nimoc’, tendo o cuidado de desmarcar “Passthrough” pois não queremos queo mesmo pacote esteja sujeito a receber outra marca depois dessa o que faria comque a marca anterior fosse sobrescrita inutilizando nossa primeira marcação.



Tabela mangle contendo apenas regras para marcação do conteúdo em cache.

Em “Queue Type” adicione uma nova a qual daremos o nome de ‘nimoc_conecta’levando o nome do servidor de cache mais o plano de acesso onde será utilizada.No campo “kind” selecione o tipo ‘pcq’ se não sabe como funciona cada controle defilas recomendo que busque no manual, o pcq é um dos mais práticos e faz muitobem o trabalho neste caso.

No campo “Rate” podemos definir duas formas distintas de se trabalhar no caso dopcq, deixando o campo com valor 0 significa sem limite ou seja, o que for definidono queue pai será o limite e os casos que se enquadrarem neste queue typedividirão o valor do limite entre si, pode ser desejável em muitos casos. No nossoexemplo vamos definir o valor de 256k pois queremos forçar este limite individual,logo abaixo nos campos “Limit” e “Total Limit” vamos manter os valores padrõesque são adequados para o que já configuramos anteriormente neste exemplo, éinteressante que busquem estas informações nos manuais pois elas podem fazer adiferença entre um serviço congestionado e uma internet navegando solta.



Na seqüência temos quatro possíveis opções de classificadores ou “Classifier”, vamosmarcar apenas uma delas que é a “Dst. Address” ou seja do ponto de vista doservidor “por” endereço de destino.

3.2 – O próximo passo é criar o controle que irá utilizar a “Queue Type” recémcriada, acesse “Queue List” e na aba “Simple Queue” criemos uma nova a qualiremos chamar de NIMOC-Conecta, em “Target Address” identifique os IP’s queserão de certa forma favorecidos por ela, no nosso caso os do plano “PC.Conecta”representados pela classe 10.0.0.0/24, nos campos “Max Limit” devemos nospreocupar apenas com o “Target Download”, explicarei logo mais, para este campovamos utilizar o valor de 2M ou seja 2 Megas.

Seguimos para a próxima aba “Advanced” e nela selecionamos a “Queue Type” denome ‘nimoc_conecta’ criada no passo anterior.

Chegamos no pulo do gato, temos agora um controle que restringe em 2 Megaspara toda a classe de IP’s 10.0.0.0/24 que atende os clientes do plano de 128ksendo que o controle individual quem faz é a “Queue Type” a qual chamamos de‘nimoc_conecta’, neste estágio você deve estar se perguntando como identificar ospacotes oriundos do cache para que tal controle seja somente para o conteúdo vindodo cache com a marcação que fizemos, para tanto na aba “Advanced” selecione em“Packet Marks” a marcação criada sobre os pacotes vindos do cache que chamamosde ‘pack_nimoc’.



O último passo é fazer com que este controle seja sempre o primeiro na lista“Queue Simple” e para isso basta arrastar para a primeira posição da lista, casoutilize HOTSPOT irá precisar de um script para que cada vez que alguém logue nosistema ele redefina a ordem da lista jogando este controle pra primeira posição,como não é o caso do nosso exemplo vou tomar a liberdade e pular esta etapa.

Com a solução proposta espero liquidar de vez o chamado CacheFull que só trazdores de cabeça e deteriora completamente as conexões wireless, não que o quepropomos aqui se implementado erroneamente também não o faça mas o risco émenor se você compreender o que esta fazendo do que configurar as cegas.

O resultado dessa implementação é que o cliente ainda terá os 128k de downloadquando o trêfego for oriundo da internet porém ele terá mais 256k quando oconteúdo já estiver em cache totalizando uma banda de navegação de 384k fazendoo cliente muito mais satisfeito e o provedor muito mais econômico e competitivocom a banda disponível, como resultado temos uma melhora significativa emserviços com consumo de streaming, o cliente ainda consegue navegar pelos sitesmais visitados e falar ao skype ou utilizar tecnologias similares gastando o mínimode banda do seu link.

__________________________________________________________________

Repasse de IP Público com exemplo para PPPoE

Exemplo 1:O Provedor recebe o link dedicado e uma classe /29, utiliza o primeiro IP dessaclasse como gateway e o segundo como IP do seu servidor MikroTik .

1.1 - Neste caso, configure a interface do Link como proxy-arp e a interface dosclientes como reply-only depois adicione a seguinte regra no MikroTik em NEWTERMINAL e cole:

Código :

/ ip firewall natadd chain=dstnat action=passthrough src-address=XX.XX.XX.XX/XX comment="REPASSE DE IP" disabled=no

Onde XX.XX.XX.XX/XX é o IP/MASCARA que tiver disponível do seu linkApós ter feito isso adicione cada IP no campo 'Remote Address' em 'PPP secret' paracada cliente que tiver 'IP Público e fixo'. Ou crie uma pool em ‘IP / Pool' contendo osIPs disponíveis e defina esta 'pool' no 'profile' default de seu servidor PPPoE ouainda apenas no profile/plano que estiverem os clientes que vão receber IP Público eestes terão um IP dinâmico que poderá mudar a cada nova conexão.

Dica: PROXY-ARP não é o método mais seguro, mas permite alguma flexibilidadequando não dispuser de muitos IP’s e não tiver acesso à configuração do roteadorde borda.



Dica: Não crie um mascaramento dito 'genérico', mascare apenas as classes de IPprivadas que estiverem em uso. Ex: 10.0.0.0/24

Dica: Sempre informe a 'out-interface' no mascaramento como sendo a interface dolink (EthLinkD).

Dica: Cuidado com programas de gerenciamento para provedores que criam regrasem seu sistema, essa é pode ser a causa de muitos problemas.

Exemplo 2:O provedor recebe o link dedicado em uma classe e possui outras classes adicionaispara utilizar com clientes, ou ainda pode quebrar em subclasses para criar seuroteamento interno.Este é o típico caso onde podemos aplicar o roteamento de forma bastante simples.Basicamente o que deve fazer é seguir com o roteamento da operadora 'pra dentro'da sua estrutura, vamos lá:

2.1 - Coloque um IP público na interface do link.2.2 - Defina as classes públicas nos pools de IP’s que irá utilizar para seus usuáriose a cadeia de conexão que deverão seguir. Ex: PoolA cai no PoolB quando estivercheio e assim por diante, recomendo que faça isso pois terá um melhor controle epoderá utilizar para cada pool de IP’s um plano diferente e isso pode ter váriasimplicações positivas em uma futura QoS.2.3 - No profile padrão do ‘PPPoE Server’ indique que o 'Local Address' que será ogateway default dos clientes é o IP público da interface do link, assim o roteamentoestará completo.Trocando em miúdos, você estará indicando que a rota de saída dos IP’s segue seuroteamento padrão.

Dica: Nunca mascare classes de IP’s públicos a não ser que tenha uma boajustificativa, como por exemplo por possuir poucos IP’s pode criar ummascaramento para cada plano e indicar uma saída para cada plano ou grupo declientes ou seja, clientes do planoA/grupoA saem mascarados pelo ip público A, doB pelo B e assim por diante.

Exemplo 3:Repassando mais de um IP pela conexão PPPoE utilizando roteamento estático.

3.1 - Defina um IP fixo para o cadastro do secret/usuário em questão no campo'Remote Address', pode até ser um IP privado.3.2 - Acesse o menu ‘IP / Route’ e adicione uma rota contendo no destino ‘Dst-Address’ os IP’s que deseja repassar e no gateway o IP do usuário que definiu nocadastro do usuário/secret no passo anterior.

Obs.: Se tiver muitos clientes com esta mesma necessidade este método é inviável ese faz necessário implantar o OSPF para o gerenciamento das rotas. Na maioria doscasos a implantação é simples e rápida e vai depender de como a rede estiverconfigurada.

Exemplo 4:Repasse de IP público utilizando roteamento interno por OSFP.

No caso de muitas rotas e/ou onde já tiver a autenticação na borda deverá optar porum método de roteamento dinâmico e uma das vantagens é que com issoeconomizará recursos da central, diminuindo o tráfego de broadcast e possivelmenteaumentando a segurança da sua rede de distribuição.

Se for migrar uma bridge de distribuição por exemplo, o primeiro passo é passar aautenticação para as bordas, e na seqüência rotear os dispositivos conectados aborda, seguindo em direção a saída do link, com isso será possível fazer a migraçãoa quente e continuar usufruindo da estrutura em bridge até a virada total.

OSPF básico é também rápido de fazer configurar, você tem de definir a networkárea que fará o transporte redistribuindo a rota default e redistribuir as conectadastipo 1 no seu servidor ou apenas as conectadas quando tiver fixa a rota default.

FIG

Nas bordas precisa configurar a mesma network para o transporte e na instânciaredistribuir a rota default e conectadas tipo 2 ou apenas as conectadas na maioriados casos.

FIG



Dessa forma teremos o funcionamento esperado e será possível visualizar asinstâncias UP em ambos os lados. No exemplo temos 22 pontos participando do OSPF na área backbone.

FIG

Também podem existir outras áreas entre a borda e o seu concentradoraumentando a complexidade e até terminar num anel podendo utilizar essatopologia como backup de rotas com stp ou rstp e a possibilidade de custosdiferenciados para cada saída permitindo balancear melhor o tráfego.

__________________________________________________________________

PCC Load Balance

No exemplo utilizaremos Mikrotik 3.30 e 3 links de mesma velocidade.

EthLinkA = Interface do 1º linkEthLinkB = Interface do 2º linkEthLinkC = Interface do 3º linkEthLB = Interface de saída do balance

Quando em modo roteado:10.1.10.129 = IP do modem A10.1.10.161 = IP do modem B10.1.10.193 = IP do modem C

Endereços das interfaces no MikroTtik ROS – PCC Balance10.1.10.130/27 = IP da interface EthLinkA10.1.10.162/27 = IP da interface EthLinkB10.1.10.194/27 = IP da interface EthLinkC172.22.22.1/30 = IP de saída do balance

Endereço da interface do Servidor - Autenticador172.22.22.2/30 = IP do servidor conectado a saída do balance

Regras e explanações sobre PCC

Tabela MANGLE – Lista de destinos sem balanceamento

Código :

/ip firewall mangleadd action=accept chain=prerouting comment="PC.SB" disabled=no dst-address-list=sem_balance in-interface=EthLB

Esta regra aceita as conexões para todos os IP’s de destino que se encontrarem nalista 'sem_balance' que irão sair pela rota padrão, veja o texto mais adiante.

Tabela MANGLE – Marcação de conexões

Código :

/ip firewall mangleadd action=mark-connection chain=input comment="PC.IN" connection-state=new disabled=no in-interface=EthLinkA new-connection-mark=conn_na passthrough=yesadd action=mark-connection chain=input comment="" connection-state=new disabled=no in-interface=EthLinkB new-connection-mark=conn_nb passthrough=yesadd action=mark-connection chain=input comment="" connection-state=new disabled=no in-interface=EthLinkC new-connection-mark=conn_nc passthrough=yes

Cria as marcas (conn_na, conn_nb, conn_nc) para novas conexões em cada umadas interfaces (EthLinkA, EthLinkB, EthLinkC)

Tabela MANGLE – Marcação de rotas

Código :



/ip firewall mangleadd action=mark-routing chain=output comment="PC.OUT" connection-mark=conn_na disabled=no new-routing-mark=to_ra passthrough=noadd action=mark-routing chain=output comment="" connection-mark=conn_nb disabled=no new-routing-mark=to_rb passthrough=noadd action=mark-routing chain=output comment="" connection-mark=conn_nc disabled=no new-routing-mark=to_rc passthrough=no

Utiliza as marcações (conn_na, conn_nb, conn_nc) para criar as marcações dasrespectivas rotas (to_ra, to_rb, to_rc)

Tabela MANGLE – Peer Connection Classifier (Identificação dasconexões)Aqui começa o PCC propriamente dito.

Código :

/ip firewall mangleadd action=mark-connection chain=prerouting comment="PC.CON" disabled=no dst-address-type=!local in-interface=EthLB new-connection-mark=conn_na passthrough=yes per-connection-classifier=both-addresses:3/0add action=mark-connection chain=prerouting comment="" disabled=no dst-address-type=!local in-interface=EthLB new-connection-mark=conn_nb passthrough=yes per-connection-classifier=both-addresses:3/1add action=mark-connection chain=prerouting comment="" disabled=no dst-address-type=!local in-interface=EthLB new-connection-mark=conn_nc passthrough=yes per-connection-classifier=both-addresses:3/2

Agora utilizando os classificadores (0, 1 e 2) na interface de saída do balance ‘EthLB’criamos novas marcas de conexão (conn_na, conn_nb, conn_nc).

Note que se tivéssemos 4 links seria aqui que faríamos as alterações para (0, 1, 2 e3) ficando 4/0, 4/1, 4/2, 4/3 ou ainda se tivéssemos links assimétricos ( Ex: LinkXde 512k - LinkY de 1024k - LinkZ de 2048k), deveríamos somar os valores de todosos links e dividir pelo valor do menor link então teríamos:

Exemplo: (512k + 1024k + 2048k )/ 512k = 7

Assim teríamos 7 marcações de PCC indo de 7/0 até 7/6 das quais deveríamosdirecionar a primeira pro link X, a segunda e terceira pro link Y e as quatro restantespara o link Z fazendo nosso sistema perfeitamente equilibrado, vale ressaltar quesistemas do tipo ADSL não garantem a banda.

Portanto devemos fazer testes em cada um dos links para aferir as velocidadespossíveis em cada um, já vi muitos casos onde um link desse tipo de 2MB eramelhor do que o de 4MB da mesma operadora instalada no mesmo local, essarelação depende diretamente da ocupação/uso instantâneo do concentrador daoperadora ao que cada link estiver conectado, normalmente adsl.

Utilizando das novas marcações de conexão (conn_na, conn_nb e conn_nc) dopasso anterior (PCC), criamos uma nova marcação de rota para os pacotes entrandopela interface EthLB que chamaremos novamente de ‘to_ra’, ‘to_rb’ e ‘to_rc’.

Tabela MANGLE – Peer Connection Classifier (marcação das rotas)

Código :

/ip firewall mangleadd action=mark-routing chain=prerouting comment="PC.MR" connection-mark=conn_na disabled=no in-interface=EthLB new-routing-mark=to_ra passthrough=noadd action=mark-routing chain=prerouting comment="" connection-mark=conn_nb disabled=no in-interface=EthLB new-routing-mark=to_rb passthrough=noadd action=mark-routing chain=prerouting comment="" connection-mark=conn_nc disabled=no in-interface=EthLB new-routing-mark=to_rc passthrough=no

Assim tendo as conexões devidamente identificadas (conn_nX) e rotas definidas paracada conexão (to_rX), seguimos para o mascaramento.

Tabela NAT - Mascaramento

Código :

/ip firewall natadd action=masquerade chain=srcnat comment="PC.MSQ " disabled=no out-interface=EthLinkAadd action=masquerade chain=srcnat comment="" disabled=no out-interface=EthLinkBadd action=masquerade chain=srcnat comment="" disabled=no out-interface=EthLinkC

Vale ressaltar que o mascaramento pode ser feito de várias formas, indicando porexemplo o IP da interface de saída utilizando a action ‘src-nat’ (no caso de termosmais de um IP de saída na mesma interface). Pela interface de cada link comoacima, ou ainda apenas mascarando a interface de saída do balance ‘EthLB’ em



negação como abaixo, escolha a sua de acordo com o seu entendimento enecessidade.

Código :

/ip firewall natadd action=masquerade chain=srcnat comment="PC.MSQ " disabled=no out-interface=!EthLB

Tabela NAT – DMZ / Demilitarized Zone

Código :

/ip firewall natadd action=dst-nat chain=dstnat comment=PC.DMZ disabled=no dst-port=!8291 in-interface=!EthLB protocol=tcp to-addresses=172.22.22.2

O exemplo acima redireciona todas (menos as da porta 8291 que é do acesso aowinbox) as entradas pelas interfaces ‘diferentes’ da ‘EthLB’, portanto estamos nosreferindo as entradas dos links, para o IP 172.22.22.2 que no caso será o servidorligado a saída do balance.

O DMZ evita ter que criar uma regra para cada porta e cria uma zona de acessodireto havendo correspondência entre as portas, pode-se excluir uma ou mais portasdo DMZ caso tenham um destino diferente.No caso da porta de origem ser diferente da porta destino, devemos criar uma regraindicando tal situação e posicioná-la antes da regra do DMZ.

Código :

/ip firewall natadd action=dst-nat chain=dstnat comment=”PC.WBX” disabled=no dst-port=8292 in-interface=!EthLB protocol=tcp to-addresses=172.22.22.2 to-ports=8291

A regra acima serve para o acesso do servidor pelo winbox a partir da internet porqualquer dos links conectados ao balance e deve estar na tabela NAT antes da regrade DMZ.

Seguimos para a próxima etapa onde iremos definir as rotas padrão e backup paracada marcação criada até agora.

Tabela ROUTE – Indicação de rotas e redundância

Definimos 3 rotas sendo que cada uma tem um custo diferente e portanto a primeiraterá a preferência (distance=1), caso venha a faltar a segunda assume(distance=2),em seguida a terceira(distance=3).

Código :

/ip routeadd comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.129 add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.161 add comment="" disabled=no distance=3 dst-address=0.0.0.0/0 gateway=10.1.10.193

Sendo a rota de custo menor (ex: distance=1) a rota padrão (default) para todas asconexões que não receberem marca de rotas, nesta lista incluem-se os serviços edestinos da lista ‘sem_balance’ comentada no inicio, portanto é interessante que estelink tenha boa capacidade pois além das conexões oriundas das marcações iráreceber o trafego sem marcação.

Em seguida todas as 3 rotas que utilizam marca de rotas ‘to_ra’, ‘to_rb’ e ‘to_rc’dividem a carga que foi previamente marcada na tabela mangle.

Enviando ‘to_ra’ para o gateway 10.1.10.129, ‘to_rb’ para o gateway 10.1.10.161 e‘to_rc’ para o gateway 10.1.10.193 todas com ‘distance=1’ ou seja, como primeiraopção de todas as marcações.

Código :



/ip routeadd comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.129 routing-mark=to_raadd comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.161 routing-mark=to_rcadd comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.193 routing-mark=to_rb

Podemos ainda definir links de backup para cada marcação e no caso se um doslinks cair, o link de backup assume a tarefa de transmitir os pacotes como fizemospara a rota padrão, agora também para as marcações de rota.

Código :

/ip routeadd comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.161 routing-mark=to_raadd comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.193 routing-mark=to_rcadd comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.129 routing-mark=to_rb

Note que a o gateway de backup para ‘to_ra’ é 10.1.10.161, para ‘to_rb’ é10.1.10.193 e para a ‘to_rc’ é 10.1.10.129.

Pode-se opcionalmente criar várias rotas de backup com custos (distance) diferentesaté cobrir todas as possibilidades.

Dica: Também é possível fazer com que o próprio Mikrotik ROS disque as conexõesdo tipo ADSL/PPPOE aumentando a eficiência do sistema e utilizando modens embridge, sendo que neste caso é recomendado fazer o mascaramento e indicação dogateway ambos pela interface pppoe-out e não mais pelo IP.

Dica: com relação ao usar o check ping, devemos tomar cuidado pois links dediferentes tipos tendem a ter diferentes tempos de resposta ao ping e quando estemétodo é utilizado pode ocorrer desigualdade entre os consumos dos links apesarde as marcações estarem corretas, isso porque o sistema leva em consideração otempo de resposta de cada gateway.

Dica: para que o balance PCC funcione de maneira mais adequada, o menor linkdeve ser superior ao maior plano comercializado e a maior eficiência do balancedepende de requisições menores chegando ao balance em grande quantidade e nãoa poucas requisições em maior quantidade, lembre-se disso, balance não é soma delink mas sim a divisão das requisições.

__________________________________________________________________

DMZ no MikroTik

Se o que você quer no caso é apenas um redirecionamento público/privado e seuretorno, tens duas formas bastante simples de fazer, por dst-nat e src-nat ouutilizando netmap, observe os exemplos que seguem.

Adicione o ip público e mascara a interface pública do mikrotik (entrada do link).

Na tabela NAT adicione uma regra cuja chain dst-nat redirecione o que chegar parao ip público utilizando também a action dst-nat para o ip privado, identificando ainterface de entrada como sendo o seu link.

Código :

/ip firewall nat add action=dst-nat chain=dstnat comment="PC.DSTR" disabled=no dst-address=200.201.202.1 in-interface=EthLinkD to-addresses=10.90.1.1

Na sequencia faça o oposto, mascarando as requisições que chegarem do ip privadopara sairem pelo ip público identificando a interface de saída como sendo o link.

Código :

/ip firewall nataction=src-nat chain=srcnat comment="PC.MSQR" disabled=no out-interface=EthLinkD src-address=10.90.1.1 to-addresses=200.201.202.1

E não esqueça de colocar estas regras antes do seu mascaramento geral para que



tenha o resultado esperado, este é um exemplo de NAT 1:1, você também podeutilizar o netmap para a função e fazer o repasse para uma range de IPs semnecessidade de criar uma regra para cada IP.

__________________________________________________________________

Utilização de Burst no MikroTik

Acredito que a dúvida seja compartilhada com muitos, vou tentar explicar apartir deexemplo simples o funcionamento do burst.

ML - Max Limit 120k = Máxima taxa de transferência após atingido o limite que serácalculado com base no tempo de 8s podendo atingir a velocidade máxima de 'BurstLimit = 300k'BL - Burst Limit 300k = Limite máximo de velocidade usando o recurso de Burst ouem português 'Rajada' ou ainda ‘Estouro’.BT - Burst Threshold 96k = Valor que poderá ser consumido para ter direito a novoBL de 300k TB - Burst Time 8s = Tempo sobre o qual são calculados os limites de velocidade

Na prática: o burst é calculado utilizando ciclos com base no TB/16 (dividido por16), no exemplo acima teremos o ciclo de calculo executado a cada 0.5s ou seja,duas vezes por segundo, o que significa dizer que a cada meio segundo serãoanalisados os últimos 8s (TB) do tráfego.

De uma forma geral para ter direito ao burst o resultado calculado de BT deve serinferior ao valor informado para BT, seguindo fórmula: “(BTT/TB) < BT”, onde BTTé a média do consumo nos últimos ‘X’ segundos definidos em TB.

Exemplo:1s 2s 3s 4s 5s 6s 7s 8s300k + 100k + 200k + 50k + 30k + 200k + 250k + 150k = 1280k1280k/8s = 160k/s

Sendo a fórmula para a liberação de novo burst “BTT / TB < BT” e o valordefinido de BT atual definido de 96k, o calculo deste ciclo nos mostra o BT em160k/s, ou seja, maior que 96k, o burst não será liberado e o valor limite continuasendo de ML.

Ainda que o consumo nos próximos 6 segundos se mantenham em 120k:250k + 150k + 120k + 120k + 120k + 120k +120k + 120k = 1120k1120k/8s = 140k/s

O resultado continua acima do valor definido para BT que é de 96k, não tendodireito a novo burst até que o resultado do ciclo seja inferior a BT.

Suponhamos que nos próximos 2 segundos o consumo caia:120k + 120k 120k + 120k + 120k + 120k + 12k + 12k = 744k744k/8s = 93k

Neste instante o valor calculado é inferior ao definido em BT, sendo assim já estaráliberado novamente o valor de BL para a próxima solicitação.

Se você chegou até aqui parabéns, já consegui o que buscava ao escrever estematerial.

__________________________________________________________________

NIMOC Power Cache

Se quiser continuar farei uma explanação sobre o N!MOC Power, um sistema decache que desenvolvemos focado em alto desempenho entenda-se isso por rapidez ealto ganho.

O N!MOC Power incorpora os mais importantes recursos suportados por servidorescache, trabalha com conteúdo dinâmico e estático dos mais diversos sitessuportando grande volume de carga e armazenamento. Orkut, YouTube, Microsoft,dezenas de antivírus e sites de conteúdo multimídia de todos os tipos são



suportados, hoje são mais de 480 plugins já disponíveis e mesmo sem a existênciadestes todo o trafego que passar pelo NIMOC terá seu conteúdo analisado e alocadoem disco quando configurado.

Suporte nativo a T-PROXY, REDIRECT, DSCP/TOS em diversos níveis,personalização de plugins e listas são alguns dos recursos básicos presentes.

Recursos inovadores e exclusivos garantem a desempenho superior, a versão LYEagrega adicionais importantíssimos e na maioria inéditos.

O sistema N!MOC distingue-se dos similares por oferecer um ganho superior tantoem economia quanto em desempenho, o tempo de resposta é aproximadamente 6xmenor que os demais, podendo ultrapassar incríveis 50x para abertura de páginas enão estou falando sobre aceleração via “Queue Type” como alguns podem estarimaginando.

O conteúdo armazenado localmente é passível de uso por outras aplicações, sendoque nada é adicionado aos arquivos originais, os mesmos são armazenados damesma forma que são recebidos ou armazenados na internet excluído osutilizadores de responsabilidade por hospedar conteúdo ilegal e mantendo-se dentrodas normativas e leis internacionais que protegem alguns tipos de conteúdo.

O N!MOC tem suporte incluso, você não precisa se preocupar com o suporte doservidor, faremos isso pra você sem custo adicional e o valor é acessível aprovedores ou empresas de qualquer porte.

Não é necessário acessar nenhum painel, configurar nenhuma opção, basta ligar oservidor e já estará funcionando, quando e se for necessária alguma intervenção elaserá feita por pessoal altamente capacitado e homologado na plataforma.

Quando a implantação for feita por nossa equipe, oferecemos a “Garantia LifeTime”, ou seja, pelo tempo que você utilizar o sistema. Só quem tem o melhor podeoferecer algo assim, garantia por toda a vida do produto só com máxima qualidadedo N!MOC Power LYE.

As atualizações são disponibilizadas sem custo conforme o plano escolhido e não énecessária uma parada do sistema para 90% das atualizações, ou seja, as conexõesdos usuários não são interrompidas, os downloads não param no meio e issosignifica muito menos aborrecimentos pra você.

Se você tem interesse em ser representante ou desenvolvedor homologado deaplicações, envie-nos o seu currículo, é necessária experiência em sistemasoperacionais e desejável conhecimento de duas das plataformas suportadas, nossaintenção não é limitar o número de profissionais homologados, mas nivelar porcima as solicitações para que os clientes ao receberem o suporte, este seja adequadoe livre falhas.

Fornecemos o treinamento necessário inclusive para o sistema operacional então sevocê ainda não possui o conhecimento não deixe de buscá-lo.

E não se esqueça de quando usar ou citar material de terceiro em incluir as fontes,isso não é vergonha muito pelo contrário é sinal de respeito e reconhecimento etambém nos qualifica.

Meus sinceros agradecimentos ao under-linux, seus mantenedores e colaboradoresque fazem desse o melhor fórum técnico da América Latina.

Ao colega de fórum Anderson Machado por sua dedicação e incontáveiscolaborações, também o meu reconhecimento ao MK-AUTH e seu mantenedorPedro Filho e aos demais amigos que conquistei durante estes anos online, os meuscumprimentos de elevada estima.

Luciano Rampanelli / M4D3 pcram.com.br




msn: [email protected] / skype: m4d3m4n

Encontrou erros? Quer fazer um comentário ou dar sua sugestão?http://goo.gl/Cw6Kh

Links úteis:PCQ > http://goo.gl/p9Mfx / ConLiNUXCD > http://goo.gl/IMUtqPCC > http://goo.gl/0yMZP / 3x1 > http://goo.gl/Kb3L2

Demonstrativo de Resultado NIMOC Power

Exemplo de gráficos após 6 meses da implantação do sistema em uma rede com560 usuários, alto ganho entre consumo de banda (em verde) e entrega para osusuários (em azul) velocidade de acesso que melhorada exponencialmente aexperiência do usuário com conteúdo multimídia sem comparação.

N!MOC conta com modo turbo um diferencial exclusivo que torna a navegaçãomuito mais rápida sem depender de outros sistemas. Surpreenda-se com o que háde melhor em otimização de estrutura para internet com N!MOC Power LYE

DEUS SEJA LOUVADO

Miniaturas de Anexos

Atualizado 20-09-2012 em 12:49 por m4d3Tags: cache, configurar, mikrotik, nimoc, power, sobre, tudo, zeroCategorias: Artigos , Dicas , Tutoriais

Enviar Post de Blog por Email

« Fazendo as coisas direito, começando com a RFC1918 por: M4D3 Principal Faça você mesmoseu painel solar economizando até 70 por cento »

Comentários

alexandrecorrea - 21-09-2012 00:39

artigo muito bom.. so queria salientar para a configuração do pppoe..PAP é inseguro porque a senha vai em 'plain-text'.

deixe ativo todos menos PAP.. e configure o radius para suportaristo..

m4d3 - 21-09-2012 07:09

sim, inseguro porém muitos dos sistemas comerciais atuais só aceitam

mailto:[email protected]

http://goo.gl/Cw6Kh

http://goo.gl/p9Mfx

http://goo.gl/IMUtq

http://goo.gl/0yMZP

http://goo.gl/Kb3L2







https://under-linux.org/blog.php?u=48446&tag=cache

https://under-linux.org/blog.php?u=48446&tag=configurar

https://under-linux.org/blog.php?u=48446&tag=mikrotik

https://under-linux.org/blog.php?u=48446&tag=nimoc

https://under-linux.org/blog.php?u=48446&tag=power

https://under-linux.org/blog.php?u=48446&tag=sobre

https://under-linux.org/blog.php?u=48446&tag=tudo

https://under-linux.org/blog.php?u=48446&tag=zero




https://under-linux.org/entry.php?b=2948&do=sendtofriend










PAP, fica o pedido para que implementem os demais. Abraçoalexandre e obrigado por sua participação.

peritinaicos - 21-09-2012 09:31

Uma duvida que tenho já faz tempo, o uso do burst numa redepequena exemplo 100 usuários 70 simultâneos almenta muito o usoda RB? E parabéns.

alexandrecorrea - 21-09-2012 10:22

isso nao eh no sistema em si.. mas no radius !!!

autenticação PAP se o cara rodar um radius do tipo "MAN-IN-THE-MIDDLE" ele lê a senha..

m4d3 - 21-09-2012 17:15

rsss, pode ser até 'man in the side' basta configurar o radius que vaiexplorar a rede com password show, já era... me referi aos sistemascomerciais disponíveis no mercado alexandre, os famosos softwarespara ISP, já solicitei no minimo pra meia dúzia pra mudar do pap masparece que os clientes destes softwares desconhecem ou ignoramtotalmente este tipo de problema... fazer oque né..

r0n3n1x - 01-10-2012 16:57

muito bom o post

betaoity - 05-10-2012 14:56

Blz amigo! ótimo artigo, aprendi um bocado.

marcos.sebastiao - 11-10-2012 14:50

Pessoal boa tarde, gostaria de saber com um link Dedicado 2MBposso atender quantos clientes simultâneos usando Placa RouterboardMikrotik RB800 : - Cartão r52h e 3 antenas setoriais de 120°.

gigahertzinformatica - 26-10-201221:37

Parabens por disponibilizar este balance, foi de grande ajuda pra mim.Valeu mais uma vez pela força.

Evilazio - 27-10-2012 23:57

Parabéns pela dedicação e pela doação de tempo destinado aodesenvolvimento desse material tão rico de informação. Se houvesseaqui um material desses tão bem detalhado, muita gente tinhadeixado de gastar dinheiro com assessorias de terceiros kkkkkkkkinclusive eu né não Luciano! um abração!

alyssonbmx - 30-10-2012 12:42

sem comentários muito bom . no top, ae do nosso amigo

GERMANSISMAG - 09-11-2012 11:26

Buenas:Soy nuevo en el foro y en REDES WIFI. Quería comentarle que tengoun pequeño ISP y estado unas semanas muy duras, después de caersemi torre alguien me ha estado molestando, buscando información memuestra que es un problema en la capa 2 -se conectan como root-;tengo mis AP en modo RSTP Bridge y me están atacando, los clientesse desconectan y la red anda lenta. Buscando información también evisto que dice que dejarla en bridge es insegura. Por eso, por estemedio quería expresarle mi inquietud y si algún bondadososamaritano quiere ayudarme le agradecería. E leído por ahí queenrutar la red -o rutear- soluciona algo, así como ponerle mayorseguridad a la AP Y Clientes ( estaba viendo algo EAP-Certificada). Asícomo filtrar los puertos del Bridge, estube haciendo pruebas perohasta ahora nada me a salido como quería, si pudieran darme unaayuda con este problema le estaré agradecido de por vida.























+ Postar Comentário

2000-2013 Under-Linux.Org - Todos os direitos reservados. Fale Conosco Under-Linux.Org Condições de Uso FAQ Topo

P.D.: Muy buenos post e visto en este foro ... FELICITACIONES!!!

lucivaldo - 13-01-2013 22:31

Exelente, não sei como só agora lí esse post, parabens.

m4d3 - 08-02-2013 18:50

Fico feliz que tenha gostado, tem um tópico relacionado com odownload de um documento PDF que esta aos poucos sendocomplementado por mim.

Abraço

marioeliox - 10-02-2013 13:39

Queria pergunta para vc qual melhor versão para instalar em um PCmicrotik, vou usa hotspot e faze balance entre dois links em uma Rb450g. Desde já agradeço. Fica com DEUS e viva Cristo Rei.

RickBrito - 07-07-2013 09:52

material show, obrigado por compartilhar.

Under-Linux.Org

Curtir

7.228 pessoas curtiram Under-Linux.Org.

Plug-in social do Facebook


https://under-linux.org/sendmessage.php


https://under-linux.org/faq.php?faq=faq#faq_termodeuso

https://under-linux.org/faq.php

https://under-linux.org/entry.php?b=2948#top









https://www.facebook.com/underlinux

https://www.facebook.com/help/?page=209089222464503



https://www.facebook.com/help/?page=209089222464503

https://www.facebook.com/gilvana.camila

https://www.facebook.com/bruno.fermat

https://www.facebook.com/consultor.mikrotik

https://www.facebook.com/fabio.griesang

https://www.facebook.com/edson.jacobino.50

https://www.facebook.com/wagnerrossirs

https://www.facebook.com/jonadabe.serra.7

https://www.facebook.com/nelson.silvadosanjos

https://www.facebook.com/hannagmendes

https://www.facebook.com/naasson.vieiradasilva

https://www.facebook.com/adrianoneon

https://www.facebook.com/ivan.benassi.56

https://www.facebook.com/andre.luisjustinodesouza

https://www.facebook.com/alvesnoticias

https://www.facebook.com/tiago.ribeiro.9400

https://www.facebook.com/rafaelwoc

https://www.facebook.com/rafuxo.ramos

https://www.facebook.com/eduardo.denani.3

https://www.facebook.com/RenanEstevam

mikrotik - de a-z para todos os níveis

Documents