quinta-feira, 25 de abril de 2024

Desbloqueio OLT Huawei

 Além da antiga linha MA56XX R017 e R018, desbloqueamos OLTs da linha MA5800 sendo a X2 X7 X15 ou X17.

Todas as controladoras MPLA, MPLB, MPSA, MPSG...

R019, R021, R022


Entrar em contato whatsapp para valores (19) 98604-5016.

sexta-feira, 4 de agosto de 2023

Como atualizar switch huawei (firmware e patch)

Primeiramente, ligue o switch, conectando o cabo serial console em um PC ou outro dispositivo, no meu exemplo utilizei um MikroTik CCR1009 que tem porta serial db9;

Aproveite e ligue um cabo de rede CAT5e em uma porta do PC/Router.


No meu exemplo deixei a porta 1 do switch ligado na ether5 da ccr;
Na ether5 deixei criado a vlan 3000 e o ip 10.11.104.1/24 na vlan;

Vamos configurar a interface serial0 do MikroTik com bauld rate em 9600 digitando no new terminal:

/port set 0 baud-rate=9600

Ainda no terminal, vamos desativar a porta serial ativa na CCR, deixando a interface passiva escutando os equipamentos ligados nela (Switch no caso):

/system console set numbers=0 disabled=yes

vamos logar no switch pelo terminal do MikroTik:

/system serial-terminal serial0

Com acesso ao Huawei, no nosso exemplo um S5700, entre no modo de privilégio com o comando a seguir:

 system-view

Em seguida, crie a vlan 3000 e depois saia da interface vlan:

vlan 3000

quit

Acesse a interface nº1 do switch que ligamos o cabo de rede na ether5 da CCR e habilite a vlan 3000 em modo trunk:

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 3000

quit

Vamos criar a interface VLAN 3000 (L3) e adicionar o ip de gerencia do equipamento:

interface vlanif 3000

ip address 10.11.104.2 255.255.255.0

quit

Verifique se o estado do switch está em modo de operação normal antes de prosseguir com o comando abaixo:

display device


Verifique qual firmware e patch está ativo atualmente com o comando abaixo:

display startup


Acesse o MikroTik via ftp com um usuario e senha cadastrado no mesmo:

ftp 10.11.104.1


Ative o modo binário com o comando abaixo para baixar o patch e firmware e depois baixe-os com os dois comandos abaixo:

binary


get S5700-P-LI-V200R011C10SPC600.cc

get S5700LI-V200R011SPH033.pat

quit


Depois disto confira os arquivos presentes na raíz do switch (flash:/)

dir


com o arquivo de firmware e patch armazenados na memória flash do switch, vamos carregá-los para que no próximo boot eles sejam ativos:

startup system-software S5700-P-LI-V200R011C10SPC600.cc

startup patch S5700LI-V200R011SPH033.pat

Salve as configurações com o comando abaixo:

save


Confira o próximo firmware e patch a ser carregados no próximo boot que seja a que vc acabou de enviar via FTP:

display startup


Reinicie o switch:

reboot



Pronto, após o boot e ter logado, pode verificar com os dois comandos abaixo que subiu a nova firmware/patch com êxito:

display verion

display startup

sábado, 1 de julho de 2023

PASSO A PASSO INSERIR IMAGEM DO MK-AUTH NO PNETLAB

Este artigo supõe que seu PNETLab já esteja rodando e funcional, caso não tenha instalado ainda, siga a dica do camarada Christian do canal Café com backup:




 ENTRE NO DIRETÓRIO DE IMAGENS

# cd /opt/unetlab/addons/qemu


CRIE A PASTA DO MKAUTH

# mkdir linux-mkauth


ENTRE NA PASTA CRIADA

# cd linux-mkauth/


FAÇA DOWNLOAD DA ISO DO MKAUTH

# wget https://iso.mk-auth.com.br/mk-auth.iso


RENOMEIE A ISO:

# mv mk-auth.iso cdrom.iso


CRIE O HDD INTERNO ONDE O MKAUTH SERA INSTALADO

# /opt/qemu/bin/qemu-img create -f qcow2 hda.qcow2 50G


AJUSTES FINAIS E FIX

# /opt/unetlab/wrappers/unl_wrapper -a fixpermissions







terça-feira, 6 de junho de 2023

Case de sucesso concentrador baixo custo

 



Recentemente tivemos um case de sucesso cujo cliente possuía um PC com um processador Intel Core I3 de terceira geração (modelo 3470) e queria testá-lo colocando esta maquina como B-RAS e separar borda e concentrador.

Pois bem, foi feito um up bacana nele com uma placa de rede Intel X520 e uma fonte Corsair para garantir que não nos deixe na mão.

Ligamos toda a base de clientes dele após ter feito alguns testes por alguns meses com alguns clientes, configuramos tal concentrador com uma pool de ipv4 privada que é feito cgnat no MikroTik de borda e contamos também com uma pool ipv6 entregando /56 na lan dos clientes conforme RFC.

O cenário é que temos uma máquina bem mais barata que uma CCR1009 (PC avaliado em 500 reais, fonte em 300, placa de rede em torno de mil reais) e com apenas 546 logins se comportou razoavelmente bem sem picos de CPU alto, mesmo em PPPoE, e entregamos utilizando controle de banda padrão Cisco que tem um "tchan" na hora do cliente consumir empurramos um pouco mais de banda por alguns segundos e depois o cliente consome exatamente o plano contratado, sem chegar abaixo do plano assinado.


Acreditamos que este B-RAS pode facilmente passar dos mil clientes sem efetuar quaisquer upgrades nele, tendo até mesmo mais capacidade que uma CCR1036/2116.

sexta-feira, 5 de maio de 2023

Tutorial Servidor DNS Recursivo Unbound Debian 11 Bullseye



Saudações, hoje vou deixar aqui como criar um proxy-cache utilizando o Debian Bullseye junto com unbound para consultas dns recursivo.


Atualize o servidor com os comandos:


apt update
apt upgrade


Instalar pacotes necessários para o funcionamento do servidor:

apt install dnsutils build-essential libssl-dev wget

Instale o unbound:

apt install unbound

Agora acesse o diretório do servidor unbound:

cd /etc/unbound

 Faça o download do arquivo "named.cache" com a lista atualizada dos "root servers".

wget ftp://ftp.internic.net/domain/named.cache

Execute o comando "unbound-control-setup" para gerar os arquivos de chaves necessárias para o TLS.

unbound-control-setup

Altere o proprietário da pasta "/etc/unbound" e também as permissões:

chown unbound:root unbound_* ; chmod 440 unbound_*

Agora vamos editar as configurações do unbound.conf, necessário para permitir o funcionamento do mesmo:

nano unbound.conf

Inclua o conteúdo no arquivo, edite conforme a necessidade (numero de processadores e blocos de ips):

include-toplevel: "/etc/unbound/unbound.conf.d/*.conf"
server:
chroot: ""
logfile: /var/log/unbound.log
verbosity: 0
num-threads: 4
log-queries: no
directory: "/etc/unbound"
username: unbound
interface: ::0
interface: 0.0.0.0
interface: 127.0.0.1
interface: ::1
access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/8 allow
access-control: 100.64.0.0/10 allow
access-control: 192.168.0.0/16 allow
access-control: 172.16.0.0/12 allow
access-control: 10.0.0.0/8 allow
access-control: 198.18.0.0/22 allow
access-control: 2001:db8::/32 allow
port: 53
do-udp: yes
do-tcp: yes
do-ip4: yes
do-ip6: yes

auth-zone:
 name: "."
 master: 192.228.79.201 # b.root-servers.net
 master: 192.33.4.12 # c.root-servers.net
 master: 192.5.5.241 # f.root-servers.net
 master: 192.112.36.4 # g.root-servers.net
 master: 193.0.14.129 # k.root-servers.net
 master: 192.0.47.132 # xfr.cjr.dns.icann.org
 master: 192.0.32.132 # xfr.lax.dns.icann.org
 master: 2001:500:84::b # b.root-servers.net
 master: 2001:500:2f::f # f.root-servers.net
 master: 2001:7fd::1 # k.root-servers.net
 master: 2620:0:2830:202::132 # xfr.cjr.dns.icann.org
 master: 2620:0:2d0:202::132 # xfr.lax.dns.icann.org
 fallback-enabled: yes
 for-downstream: no
 for-upstream: yes
for-upstream: yes
 zonefile: "root.zone"
 forward-zone:
    name: "."
    forward-addr: 1.0.0.1
    forward-addr: 8.8.4.4


Verifique se encontra algum erro em seu "unbound.conf" com o comando:


unbound-checkconf /etc/unbound/unbound.conf


Caso esteja em um container no proxmox, que usa uma configuração diferente para entrega do DNS, rode os comandos a seguir, caso não utilize, pode pular esta etapa dos dois comandos e reiniciar o serviço do unbound:

systemctl stop systemd-resolved

systemctl disable systemd-resolved



Reiniciar o serviço do unbound:

service unbound restart


Altere o arquivo de DNS, apontando a loopback (local) do servidor:

nano /etc/resolv.conf


deixe somente assim:

nameserver 127.0.0.1


Firewall:

Edite o arquivo do NFtables:

nano /etc/nftables.conf


Inclua o conteúdo no arquivo:

#!/usr/sbin/nft -f

  

flush ruleset

 

table inet filter {

 

    set acesso-dns4 {

        flags interval

        type ipv4_addr

        elements = { 127.0.0.1, 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12, 100.64.0.0/10, 198.18.0.0/22 }

    }

    set acesso-dns6 {

        flags interval

        type ipv6_addr

        elements = { ::1, 2001:db8::/32 }

    }

    chain input {

        type filter hook input priority 0;

 

        # Permite Acesso DNS na porta 53

        ip saddr  @acesso-dns4 udp dport 53 counter accept

        ip saddr  @acesso-dns4 tcp dport 53 counter accept

        ip6 saddr @acesso-dns6 udp dport 53 counter accept

        ip6 saddr @acesso-dns6 tcp dport 53 counter accept

        udp dport 53 counter drop

        tcp dport 53 counter drop

 

        type filter hook input priority 0;

    }

    chain forward {

        type filter hook forward priority 0;

    }

    chain output {

        type filter hook output priority 0;

    }

}



Reiniciar o firewall:

systemctl enable nftables
systemctl restart nftables


[BONUS]: REDIRECIONAMENTO DE SITES BLOQUEADOS POR ORDEM JUDICIAL:

apt install nginx

edite arquivo nano /etc/nginx/sites-available/default, adicionando a configuração abaixo:

########Configuração Ngnix arquivo Default

server {
    listen 80;
    listen [::]:80;
    server_name site.bloqueado.com.br;

    return 301 https://www.pcdf.df.gov.br/alerta-de-golpe$request_uri;
}

server {
    listen 80;
    listen [::]:80;
    server_name outrositebloqueado.com.br;

    return 301 https://www.pcdf.df.gov.br/alerta-de-golpe$request_uri;
}


Editar arquivo unbound.conf adicionando os parâmetros abaixo;


##############Zonas Estáticas Unbound#################
forward-zone:
    name: "."
    forward-addr: 172.16.251.53   # my DNS server
    forward-addr: 8.8.8.8   # my other DNS server
server:
    local-data: "site.bloqueado.com.br IN A 172.16.251.53"
    local-data-ptr: "172.16.251.53 site.bloqueado.com.br"

server:
    local-data: "outrositebloqueado.com.br. IN A 172.16.251.53"
    local-data-ptr: "172.16.251.53 outrositebloqueado.com.br"


Obs: troque o 172.16.251.53 em todas configurações pelo ip do seu servidor DNS.

Créditos e agradecimentos

Juliano Oliveira por trocar ideias e configurações do unbound.
Rudimar Remontti pela etapa do firewall NFTables

sexta-feira, 31 de março de 2023

SNMP HUAWEI MA5800 2023

 Olá à todos, sempre vejo tutoriais diferentes na internet, cada um ensinando de um jeito para liberar snmp na OLT para o Zabbix, pois bem, eu uso do jeito abaixo onde dá muito certo para utilizar.

Primeiramente sua OLT deverá estar devidamente configurada com vlan de gerencia, ip de gerencia inband

Depois de entrar no modo system-view e em seguida config, vamos criar uma acl e filtrar para somente o servidor do zabbix ter acesso, por boas práticas:

MA5800-X2(config)# acl 2000

set rule 1 permit source 10.180.1.26 0
set rule 100 deny

Primeiro permitimos o servidor Zabbix no caso, ip 10.180.1.26 com a wild card 0, ou seja, somente este host..
depois criamos uma regra descartando o resto...
saia da acl com a opção quit

Supondo que foi criado a vlan 1000 de gerencia, vamos permitir a passagem de snmp e coleta por ela:

MA5800-X2(config)# sysman source trap vlanif 11000
MA5800-X2(config)# sysman server source snmp vlanif 1000



Vamos permitir que qualquer tipo de palavra seja usada para community snmp:

MA5800-X2(config)# undo system snmp-user password security

Reforçamos a acl para permitir somente o ip do zabbix:

MA5800-X2(config)# snmp-agent acl 2000

Agora finalizamos com a sequencia:

MA5800-X2(config)# snmp-agent community read PUBLIC

MA5800-X2(config)# snmp-agent target-host trap-hostname "Zabbix" address 10.180.1.26 udp-port 161 trap-paramsname "NMS"

MA5800-X2(config)# snmp-agent sys-info version v2c


Pronto, agora pode rodar um snmpwalk em seu zabbix para a olt e testar.


OBS, community PUBLIC somente para documentação, jamais usar em produção ;-)

OBS 2: Testado na R21C11, na R22 o comando para permitir senha comum no snmp não está funcionando como acima, assim que souber a sintaxe correta atualizo o post

sexta-feira, 24 de março de 2023

Estou de volta neste espaço!

 Muito tempo se passou desde a última vez que escrevi neste espaço.

Montei uma infraestrutura local para hospedar uma versão "melhorada" do blog em wordpress.
Posteriormente fiquei só com o site...


Porém depois de ter cancelado um serviço de link dedicado, resolvi hospedar o site em um espaço de um parceiro (meus sinceros agradecimentos a Juliano e Rafael pelo apoio). Afim de economizar recursos financeiros, ainda mais durante uma mudança de endereço, toda ajuda é bem-vinda.


Bom, agora estou atuando com BGP/BNGs Huawei, Cisco, e CGNAT da A10 Networks.

sexta-feira, 25 de março de 2022

Como configurar balanceamento de links simples e funcional 2022

 Olá prezados, decidi contribuir com a comunidade com esta dica de como fazer um balanceamento de links de forma eficaz e sem problemas de compatibilidade com aplicativos e jogos.

Neste método funciona da seguinte maneira:
Cada cliente sai e volta pelo mesmo link, dividindo cada cliente por um determinado link.


Facilidades:

Fácil identificação de problemas caso um dos links tem problema, os clientes que navegam por este link irão reclamar, só desativá-lo e os clientes navegarão pelo outro link;
Caso um link tem problemas, quem navega pelos outros não sentirão problemas;



sexta-feira, 3 de setembro de 2021

Monitoramento Zabbix + Grafana Integrado com Telegram

 A LupaNet, consultoria para ISPs, inicialmente focada no suporte para configurações de roteadores MikroTik, está trazendo mais uma novidade, que é o monitoramento via zabbix e grafana, integrado com Telegram para envio de notificações, podemos monitorar o consumo de links, estado de interfaces, clientes online/offline, conectividade com serviços externos como redes sociais e servidores de jogos, e muito mais!

Entre em contato para obter um orçamento e implante agora mesmo em sua rede!




sexta-feira, 30 de abril de 2021

Dica: Baixando processamento CPU CCR 1016 BGP

 Em um cenário onde o cliente utiliza uma CCR 1016-12S-1S+ como roteador de borda, sem full route com duas operadoras, o CPU em horário de pico sempre esteve acima de 60%, as vezes com picos acima de 70%.

Com um estudo de uso do equipamento, rapidamente foi identificado o que poderíamos fazer para resolver este problema e poupar o cliente de comprar outro equipamento.

A solução foi muito simples, rodando um comando disponível na wiki da MikroTik:

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related



Desta forma conseguimos reduzir o uso de CPU de cerca de mais de 60% para menos de 20%!







Como podem ver, um equipamento processando cerca de 2Gb, conseguimos reduzir muito o consumo.
OBS Jamais deve ser aplicado esta técnica em um concentrador PPPoE!



quinta-feira, 25 de março de 2021

Como fazer ponto a ponto entre MikroTik e Ubiquiti maneira correta

Olá amigos, venho por meio desta trazer uma vídeo-aula como fazer um ponto a ponto de maneira correta entre rádio MikroTik e Ubiquiti, com wds ativo para ter um enlace 100% transparente e repassar os macs dos clientes por trás do enlace

Segue vídeo tutorial:



Desbloqueio OLT Huawei

 Além da antiga linha MA56XX R017 e R018, desbloqueamos OLTs da linha MA5800 sendo a X2 X7 X15 ou X17. Todas as controladoras MPLA, MPLB, MP...