netlog

RADIUS (Remote Authentication Dial-In User Service) es el estándar de facto para centralizar la autenticación, autorización y contabilidad (AAA) de usuarios en redes de acceso. En ISPs pequeños y medianos, la combinación FreeRADIUS + MariaDB + daloRADIUS ofrece un stack robusto y gratuito que puede manejar miles de sesiones PPPoE. Este post cubre la instalación completa desde cero en Debian/Ubuntu, con un servidor PPPoE MikroTik como NAS. Arquitectura Suscriptor DSL/FTTH │ ▼ CPE (modem/bridge) │ PPPoE ▼ ┌─────────────────┐ RADIUS (UDP 1812/1813) ┌────────────────────┐ │ MikroTik L2TP │ ─────────────────────────────────► │ FreeRADIUS │ │ / PPPoE Server │ │ + MariaDB │ │ (NAS) │ ◄───────────────────────────────── │ (192.168.1.10) │ └─────────────────┘ Access-Accept / Reject └────────────────────┘ │ ┌────────────────────┐ │ daloRADIUS │ │ (web UI PHP) │ └────────────────────┘ Componente Rol FreeRADIUS Servidor AAA, procesa solicitudes del NAS MariaDB Backend con usuarios, grupos y atributos daloRADIUS Interfaz web para gestión de usuarios y reportes MikroTik NAS que autentica sesiones PPPoE contra RADIUS Paso 1: Instalar MariaDB y crear la base de datos apt update && apt install -y mariadb-server mysql_secure_installation Crear la base de datos y el usuario: ...

VyOS incluye un servidor DHCP completo basado en ISC DHCP. La configuración vive bajo set service dhcp-server y sigue el mismo modelo jerárquico que el resto del sistema: se edita en modo configuración, se valida con commit y se persiste con save. Este post parte del escenario definido en VyOS: Primera Configuración y agrega DHCP para la LAN principal y dos VLANs. Escenario de referencia Internet │ eth0 (WAN) │ [VyOS] │ eth1 LAN principal — 192.168.1.1/24 eth1.10 VLAN 10 Servidores — 10.10.10.1/24 eth1.20 VLAN 20 Usuarios — 10.10.20.1/24 Cada segmento necesita su propio servidor DHCP, porque VyOS actúa como gateway de cada red. ...

VyOS es un router/firewall de código abierto basado en Debian. A diferencia de equipos como MikroTik o Cisco, toda la configuración vive en un árbol jerárquico que se edita en modo de configuración y se confirma con commit. Este modelo — inspirado en Junos — hace que los cambios sean atómicos y reversibles, lo cual es una ventaja real en producción. Este post cubre los cuatro bloques fundamentales para dejar un router VyOS operativo: NAT, Firewall, Rutas Estáticas y VLANs. ...

El balanceo de dos enlaces WAN en MikroTik es uno de esos temas donde la documentación oficial muestra el esqueleto pero omite los detalles que hacen que la configuración sea estable en producción. Este post cubre la implementación completa con Per-Connection Classifier (PCC), failover automático con Netwatch, y las reglas de mangle necesarias para que el tráfico saliente y las conexiones establecidas se comporten correctamente. Escenario ISP1 ─── ether1 (100 Mbps) ┐ ├─── MikroTik ─── LAN (192.168.1.0/24) ISP2 ─── ether2 (100 Mbps) ┘ Variable ISP1 ISP2 Interfaz ether1 ether2 IP del router 203.0.113.2/30 198.51.100.2/30 Gateway 203.0.113.1 198.51.100.1 Ajusta las IPs a tu entorno. El procedimiento es idéntico con direcciones DHCP — solo cambia cómo obtienes el gateway. ...

OPNsense es un firewall serio. Pero la GUI puede generar confusión sobre el orden correcto de operaciones — especialmente cuando combinas VLANs, interfaces, y reglas de firewall que dependen unas de otras. Este post sigue el orden exacto en que debes hacer cada paso para llegar a una configuración funcional y segura. Escenario Un único puerto físico (em1) actúa como trunk hacia un switch administrado. Cinco VLANs para segmentos distintos: ...

Subnetting is one of those skills that seems intimidating until it clicks, and then it feels obvious. This post builds from first principles — binary representation, masks, and block sizes — through variable-length subnet masking (VLSM) and summarization. IP Address Structure An IPv4 address is 32 bits divided into two logical parts: network and host. 192.168.10.25 = 11000000.10101000.00001010.00011001 The subnet mask defines the split. A 255.255.255.0 mask (or /24 in CIDR) means the first 24 bits identify the network, the last 8 identify the host. ...

BGP Graceful Restart (GR) is one of those features you turn on everywhere because the vendor datasheet says it improves availability — and then you spend the next year debugging weird convergence behavior because of it. Let me break down what GR actually does, and more importantly, when it helps versus when it makes things worse. The Problem It Solves When a BGP speaker restarts (software upgrade, process crash, failover), it tears down all its sessions. Every peer withdraws the routes it learned from that speaker, and the network reconverges. This takes time — seconds to minutes, depending on your topology. ...

Most network automation tutorials start with a playbook that configures a VLAN. That’s fine, but it skips the part where you understand why Ansible is structured the way it is and when you should reach for something else. Here’s a practical foundation. Why Ansible for Networks? Ansible uses an agentless model — it connects via SSH (or NETCONF, or HTTPS depending on the platform). No agent to install. For network devices, this is almost always the right model. ...

OSPF link-state advertisements are the currency of the protocol. Understanding which LSA type carries what information — and who generates it — is essential for troubleshooting convergence issues. Quick Reference Type Name Originated By Scope 1 Router LSA Every router Single area 2 Network LSA DR on broadcast segment Single area 3 Summary LSA ABR Area → backbone 4 ASBR Summary ABR Area → backbone 5 AS External ASBR Entire OSPF domain 7 NSSA External ASBR in NSSA Single NSSA area Type 1 — Router LSA Every OSPF router originates one Type 1 LSA per area it belongs to. It describes: ...