Bienvenido a la Comunidad UBNT

Historia Exitosa: Sistema Hotspot + UniFi para Cabañas/Lugares Turísticos

danielcsdanielcs 4191 Puntos
editado enero 2017 en Historias Exitosas
Historia Exitosa: Sistema Hotspot + UniFi para Cabañas/Lugares Turísticos

Bueno, con este post doy inicio a una serie de post que voy a estar realizando sobre Historias Exitosas de Instalaciones realizadas con Equipamientos Ubiquiti y de Terceros acompañados de Ubiquiti.

En esta ocasión, nuestro cliente necesitaba principalmente mejorar el Nivel de Señal de su Lugar Turístico, una Serie de 10 cabañas, con un promedio aproximado de 3/4 personas por cada una de las cabañas y 3 a 5 personas de administración. Un total aproximado de 35/45 clientes aproximados. A su vez el cliente solicito el Control de Ancho de Banda independiente de cada usuario, con una velocidad mínima necesaria para navegar y libre para los administradores.

Se utilizaron los siguientes equipos:
Mikrotik RB2011UiAS-RM: Como Router Principal con una Configuración Básica de Servidor Hotspot + Control de Ancho de Banda por Usuarios dividido en dos Perfiles, Invitados y Privados. Adicionalmente se realizo un Bloqueo de P2P y Torrents (solamente para los invitados).

Ubiquiti UniFi UAP LR: Como Access Points, cubriendo aproximadamente 100Mtrs.

Diagrama de la instalación:

ejemplo2011unifi

Funcionamiento:
El primer día tras la instalación el funcionamiento fue optimo, pero se encontró con el paso del tiempo que habían clientes en particular que tenían mucho consumo de subida, indagando en estos clientes se encontró que estaban utilizando servicios de P2P y Torrent, se notifico el cliente y el ordeno el bloqueo de dichos servicios para los usuarios invitados y libre para los usuarios privados.

Los días siguientes el funcionamiento Optimo, tanto para usuarios invitados como privados.

Recomendaciones:
En el caso de tener más cantidad de clientes a 35/45, recomiendo colocar un equipo superior: RB3011UiAS-RM o RB1100AHx2.- ya que con la cantidad de clientes indicado mas toda la configuración el CPU llegaba a un 75/90%.-

PREGUNTAS FRECUENTES:

¿Porque no utilizaste el UniFi Controller?
Solo se utilizo para configurar los Equipos, como no se iba a utilizar para nada más, no se empleo.

¿Porque no utilizaste UniFi Linea AC?
El cliente quería abaratar costos, se les recomendó pero no acepto su costo.

¿Porque no utilizaste el UniFi Cloud Key/Security Gateway/Switch PoE?
Principalmente porque fue un proyecto rápido, como todo cliente lo necesitaba para ayer, con lo cual se utilizaron equipos en stock y se entrego todo en menos de 45 minutos! A su vez los costos, el cliente quería tener todo lo mejor pero no quería invertir en lo que sale tener todo lo mejor, por lo que se llevo la solución que él creía que era suficiente para su necesidad. Por este motivo adiciono las "Recomendaciones" ya que el equipo estaba muy justo para todo lo que se realizo. También porque gran parte de dichos equipos son muy difíciles de conseguir.

¿El cliente tiene acceso a la configuración del Mikrotik?
Si, el equipo es de él, acceso 100% con un usuario especial, también se creo un usuario con un perfil modificado de interfaz web completamente en español para que pueda agregar clientes, planes, modificar anchos de banda, entre otros. Se entrego también manuales paso a paso de uso. 

¿Como detectaste el uso de P2P y/o Torrent?
Principalmente porque no hay muchos servicios que consuman una subida constante al tope del servicio contratado, primero se tomo a un usuario que estaba saturando su Subida, al ver los Gráficos, se veía que el usuario aproximadamente entre las 21 y las 23hs utilizo el 100% de su bajada y de su subida, luego desde las 23hs hasta las 10hs solo consumió el 100% de su subida. Entonces con esto teníamos o un Usuario que estaba subiendo muchos archivos o un usuario que vio una Película por Torrent (Popcorn Time/Ares/etc.), termino la misma, se fue a dormir y dejo el ordenados encendido, con lo cual todas estas horas se estaba compartiendo la Película con otros Usuarios. Con lo cual se realizo un Torch (detalles de consumo de usuarios/interfaces) y se encontraron direcciones a servidores Torrent. Con lo cual se notifico al administrador y el dio por aceptado el Bloqueo de dichos servicios.

¿Como Bloqueaste el P2P y/o Torrent?
Para el P2P hay una regla simple, luego el Torrent fue por L7, les dejo el script:

# jan/10/2017 18:24:48 by RouterOS 6.37.3
# software id = ????-????

/ip firewall layer7-protocol
add name=torrent-wwws regexp="^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitnova|bitsoup|meganova|fulldls|btbot|fenopy|gpirate|commonbits).*\$"
add name=torrent-dns regexp="^.+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitnova|bitsoup|meganova|fulldls|btbot|fenopy|gpirate|commonbits).*\$"

/ip firewall filter
add action=drop chain=forward comment="Bloqueo P2P" p2p=all-p2p src-address-list=!PERMITIDOS
add action=drop chain=forward comment="Bloqueo Torrent wwws" layer7-protocol=torrent-wwws src-address-list=!PERMITIDOS
add action=drop chain=forward comment="Bloqueo Torrent DNS" dst-port=53 layer7-protocol=torrent-dns protocol=udp

/ip firewall address-list
add address=192.168.10.20 comment="USUARIOS PERMITIDOS SIN BLOQUEOS" list=PERMITIDOS

Con estas lineas de comando ya tendrian bloqueado P2P y Torrent, en el Address-List, pueden especificar la IP de los usuarios permitidos.

Cualquier duda y/o consulta, pueden realizarlo en los comentarios o enviandome un mensaje privado.
DimebagDarrellresetel

Comentarios

  • gracias por el scypt mk  :)>-
    danielcs
  • infex987infex987 170 Puntos
    danielcs dijo:


    danielcs dijo:

    Historia Exitosa: Sistema Hotspot + UniFi para Cabañas/Lugares Turísticos

    Bueno, con este post doy inicio a una serie de post que voy a estar realizando sobre Historias Exitosas de Instalaciones realizadas con Equipamientos Ubiquiti y de Terceros acompañados de Ubiquiti.

    En esta ocasión, nuestro cliente necesitaba principalmente mejorar el Nivel de Señal de su Lugar Turístico, una Serie de 10 cabañas, con un promedio aproximado de 3/4 personas por cada una de las cabañas y 3 a 5 personas de administración. Un total aproximado de 35/45 clientes aproximados. A su vez el cliente solicito el Control de Ancho de Banda independiente de cada usuario, con una velocidad mínima necesaria para navegar y libre para los administradores.

    Se utilizaron los siguientes equipos:
    Mikrotik RB2011UiAS-RM: Como Router Principal con una Configuración Básica de Servidor Hotspot + Control de Ancho de Banda por Usuarios dividido en dos Perfiles, Invitados y Privados. Adicionalmente se realizo un Bloqueo de P2P y Torrents (solamente para los invitados).

    Ubiquiti UniFi UAP LR: Como Access Points, cubriendo aproximadamente 100Mtrs.

    Diagrama de la instalación:

    ejemplo2011unifi

    Funcionamiento:
    El primer día tras la instalación el funcionamiento fue optimo, pero se encontró con el paso del tiempo que habían clientes en particular que tenían mucho consumo de subida, indagando en estos clientes se encontró que estaban utilizando servicios de P2P y Torrent, se notifico el cliente y el ordeno el bloqueo de dichos servicios para los usuarios invitados y libre para los usuarios privados.

    Los días siguientes el funcionamiento Optimo, tanto para usuarios invitados como privados.

    Recomendaciones:
    En el caso de tener más cantidad de clientes a 35/45, recomiendo colocar un equipo superior: RB3011UiAS-RM o RB1100AHx2.- ya que con la cantidad de clientes indicado mas toda la configuración el CPU llegaba a un 75/90%.-

    PREGUNTAS FRECUENTES:

    ¿Porque no utilizaste el UniFi Controller?
    Solo se utilizo para configurar los Equipos, como no se iba a utilizar para nada más, no se empleo.

    ¿Porque no utilizaste UniFi Linea AC?
    El cliente quería abaratar costos, se les recomendó pero no acepto su costo.

    ¿Porque no utilizaste el UniFi Cloud Key/Security Gateway/Switch PoE?
    Principalmente porque fue un proyecto rápido, como todo cliente lo necesitaba para ayer, con lo cual se utilizaron equipos en stock y se entrego todo en menos de 45 minutos! A su vez los costos, el cliente quería tener todo lo mejor pero no quería invertir en lo que sale tener todo lo mejor, por lo que se llevo la solución que él creía que era suficiente para su necesidad. Por este motivo adiciono las "Recomendaciones" ya que el equipo estaba muy justo para todo lo que se realizo. También porque gran parte de dichos equipos son muy difíciles de conseguir.

    ¿El cliente tiene acceso a la configuración del Mikrotik?
    Si, el equipo es de él, acceso 100% con un usuario especial, también se creo un usuario con un perfil modificado de interfaz web completamente en español para que pueda agregar clientes, planes, modificar anchos de banda, entre otros. Se entrego también manuales paso a paso de uso. 

    ¿Como detectaste el uso de P2P y/o Torrent?
    Principalmente porque no hay muchos servicios que consuman una subida constante al tope del servicio contratado, primero se tomo a un usuario que estaba saturando su Subida, al ver los Gráficos, se veía que el usuario aproximadamente entre las 21 y las 23hs utilizo el 100% de su bajada y de su subida, luego desde las 23hs hasta las 10hs solo consumió el 100% de su subida. Entonces con esto teníamos o un Usuario que estaba subiendo muchos archivos o un usuario que vio una Película por Torrent (Popcorn Time/Ares/etc.), termino la misma, se fue a dormir y dejo el ordenados encendido, con lo cual todas estas horas se estaba compartiendo la Película con otros Usuarios. Con lo cual se realizo un Torch (detalles de consumo de usuarios/interfaces) y se encontraron direcciones a servidores Torrent. Con lo cual se notifico al administrador y el dio por aceptado el Bloqueo de dichos servicios.

    ¿Como Bloqueaste el P2P y/o Torrent?
    Para el P2P hay una regla simple, luego el Torrent fue por L7, les dejo el script:

    # jan/10/2017 18:24:48 by RouterOS 6.37.3
    # software id = ????-????

    /ip firewall layer7-protocol
    add name=torrent-wwws regexp="^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitnova|bitsoup|meganova|fulldls|btbot|fenopy|gpirate|commonbits).*\$"
    add name=torrent-dns regexp="^.+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitnova|bitsoup|meganova|fulldls|btbot|fenopy|gpirate|commonbits).*\$"

    /ip firewall filter
    add action=drop chain=forward comment="Bloqueo P2P" p2p=all-p2p src-address-list=!PERMITIDOS
    add action=drop chain=forward comment="Bloqueo Torrent wwws" layer7-protocol=torrent-wwws src-address-list=!PERMITIDOS
    add action=drop chain=forward comment="Bloqueo Torrent DNS" dst-port=53 layer7-protocol=torrent-dns protocol=udp

    /ip firewall address-list
    add address=192.168.10.20 comment="USUARIOS PERMITIDOS SIN BLOQUEOS" list=PERMITIDOS

    Con estas lineas de comando ya tendrian bloqueado P2P y Torrent, en el Address-List, pueden especificar la IP de los usuarios permitidos.

    Cualquier duda y/o consulta, pueden realizarlo en los comentarios o enviandome un mensaje privado.





    Recomendacion 

    /system package update >check-for-update

    /system package update >download

    /system package update >install

    P2P estaba roto desde hace mucho tiempo
    teniendo unifi puedes crear 2 vlan en el mikrotik y propagarlos en los unifi
    vlan invitados con servicios dns http https ima pop etc servicios esenciales
    vlan privados con acceso a todos los servicios
    falta proxy dns, filtrado de spam, optimizacion de conexiones en el firewall,  optimizacion del conecction tracking, limite de conexiones por ip etc

    rb2011 muy malo mejor usar rb750gr3 que es el mismo hardware que el edgerouter X 

    En lo personal prefiero trabajar con hospot unifi o cnpilot de cambium

  • acriolloacriollo 858 Puntos
    Puede ser que gran parte del consumo del CPU pueda ser por la detección de P2P/torrent ? se está evaluando todo el trafico que pasa por L7 y eso consume muchisimo CPU.  Lo mejor seria hacerlo con marcado de conexiones y paquetes.

    Realmente no son tantos usuarios , aunque no mencionas que tipo de salida a internet se tiene.

    saludos
  • hola alguien puede darme información de como configurar hostpot por favor se los agrede seria mucho apenas ando en eso pero no le entiendo muy bien gracias les dejo mi correo si son tan amables timohdez@outlook.com
Accede o Regístrate para comentar.