Re: Acesso Remoto ao Servidor Após o PCC
tentei usar o DMZ mas nao rolou, ou alguma coisa de errado estou fazendo
está ai as regras de nat do meu PCC
/ip firewall nat
add action=dst-nat chain=dstnat comment=PC.WBX disabled=no dst-port=8292 \
protocol=tcp to-addresses=192.168.4.4 to-ports=8291
add action=dst-nat chain=dstnat disabled=yes dst-address=200.150.000.000 \
dst-port=0-6550 protocol=tcp to-addresses=192.168.4.4 to-ports=0-6550
add action=dst-nat chain=dstnat disabled=yes dst-address=200.150.000.000 \
dst-port=8292 protocol=tcp to-addresses=192.168.4.4 to-ports=8292
add action=masquerade chain=srcnat comment="************************************\
******************************************************************" \
disabled=yes out-interface=ISP1
add action=masquerade chain=srcnat disabled=yes out-interface=ISP2
add action=dst-nat chain=dstnat comment=PC.DMZ disabled=no dst-port=!8291,888 \
in-interface=!local protocol=tcp to-addresses=192.168.4.4
add action=masquerade chain=srcnat comment=PC.MSQ disabled=no out-interface=\
!local src-address=0.0.0.0/0
lembrando que o ip 192.168.4.4 é de meu servidor mikrotik onde autentco meus clientes e onde estao todas as regras de firewall
Re: Acesso Remoto ao Servidor Após o PCC
A princípio está correto, só precisas conferir pra ver se não está escapando algum detalhe...
Veja meu NAT do Load Completo:
/ip firewall nat
add action=dst-nat chain=dstnat comment="WINBOX ( BALANCE => CONCENTRADOR ) ==\
/==/==/==> REDIRECIONAMENTOS ASSIM\C9TRICOS <==\\==\\==\\==\\==" \
disabled=no dst-port=8292 in-interface=!Local protocol=tcp to-addresses=\
192.168.1.2 to-ports=8291
add action=dst-nat chain=dstnat comment="==/==/==/==/==/==/==/==/==/==/==/==/=\
=/==/==/==/==> DMZ ==> CONCENTRADOR <==\\==\\==\\==\\==\\==\\==\\==\\==" \
disabled=no dst-port=!8291 in-interface=!Local protocol=tcp to-addresses=\
192.168.1.2
add action=masquerade chain=srcnat comment="==/==/==/==/==/==/==/==/==/==/==/=\
=/==/==/==/==/==> NATEAMENTO APENAS LINKS <==\\==\\==\\==\\==\\==\\==\\==\
" disabled=no out-interface=!Local
Meu Balance se comunica pela interface chamada "Local", e possui IP 192.168.1.1/30.
Meu Concentrador se comunica pela interface chamada "internet", e possui IP 192.168.1.2/30
Se você estava acostumado a deixar o MK criar as rotas adicionando discadores PPPoE para os Modens. Neste caso, como não há discadores e criação "automática" de rotas no Concentrador, é preciso criar a rota.
No meu cenário aqui, a rota no Concentrador é essa:
/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=30 target-scope=10
É preciso um masquerade também ( com exceção se a rede toda é na mesma faixa ). Como meus clientes estão em faixa diferente, preciso indicar a saida da internet, que seria:
add action=masquerade chain=srcnat comment="==/==/==/==/==/==/==/==/==/==/==/==/==/==/==/==/==> NATEAMENTO EXCE\C7\C3O CLIENTES <==\\==\\==\\==\\==\\=" disabled=no \
out-interface=internet
Neste caso, "internet" é a interface que comunica com o balance ( para tu te achar, esta interface está com o IP 192.168.1.2/30 ). Desenhando:
Internet -> NAT(se discando ADSL) ou Rota (se Dedicado) -> Balance -> DMZ (ou NAT 1:1) -> Interface Local -> <- Interface internet <- NAT <- Clientes
Qualquer coisa, manda MP aí, dou uma olhada pra ti e não te cobro nada ;-)
Mas claro, insista sozinho primeiro, é na tentativa e erro que a gente mais aprende.
Abraço.
Re: Acesso Remoto ao Servidor Após o PCC
OLHA EU AI DE NOVO.
consegui fazer o redirecionamento da porta 8291 do winbox, entao menos um serviço, mas o dmz pra mim nao funcionou ou estou fazendo algo de errado, outra coisa tbm que gostaria de saber, e se cair um link meu, o outro nao esta levantando, mas se o que caiu volta os 2 funcionam
será que alguem pode me ajudar?
Re: Acesso Remoto ao Servidor Após o PCC
Eu uso o PCC do Gerônimo. Por ele, independentemente de quantos links se tenha, se um estiver ativo, a internet funciona, ou seja, há failover.
Re: Acesso Remoto ao Servidor Após o PCC
pode me passar o modelo pra eu comparar com o meu e ver no que eu estou errando?
Re: Acesso Remoto ao Servidor Após o PCC
Re: Acesso Remoto ao Servidor Após o PCC
Citação:
Postado originalmente por
francli
Amigos, finalmente consegui resolver o problema. O Rodrigo Aguilar (Acronimo) criou as seguintes regras:
No balance ip-firewall-filter rules:
chain=input protocol=tcp dst-port=8295 action=accept
chain=input protocol=udp dst-port=8295 action=accept
Em ip-firewall-nat:
chain=dstnat protocol=tcp dst.port=8292 action=dst-nat to address=10.10.10.2 (ip que meu balance fornece ao servidor) to ports=8291
chain=srcnat src.address=10.0.0.0/30 action=masquerade
No servidor ip-firewall-filter rules:
chain=input protocol=tcp dst-port=8292 action=accept
Pronto pessoal, estou acessando o meu servidor de qualquer lugar do mundo.
Sou muito grato ao Rodrigo que resolveu meu problema e tambem a todos do forum que tiveram muita boa vontade.
Estou com o mesmo problema, e não consigo acessar meus computadores na rede interna com o loadbalance ativo.
como tenho 2 links tenho 2 ips tento acessar pelos ips e da somente por um, e é misto. um ip da acesso a algumas maquinas e outras nao.. e ai troco ip ai funciona. o load balance está interferindo no comportamento do dst-nat.
fiz a regra do filter e no meu caso nao resolveu. Isso pra mim está sendo uma tortura.
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=5502 in-interface=ether3 \
protocol=tcp to-addresses=192.168.0.101 to-ports=5500
add action=dst-nat chain=dstnat dst-port=5502 in-interface=ether2 \
protocol=tcp to-addresses=192.168.0.101 to-ports=5500
Re: Acesso Remoto ao Servidor Após o PCC
Boa tarde pessoal do portal.
Depois de quebrar muito a cabeça tentando fazer o redirecionamento e quase ficar doido, de de ler e reler todo o tópico sem exito nas tentativas de fazer o acesso remoto, resolvi pedi ajuda a um amigo. Ele fez tudo do mesmo jeito que eu fiz, e que o pessoal já citou anteriormente aqui no post. A unica coisa que ele fez diferente foi redirecionar a porta do winbox "8291" para a porta "8254" em Dst. Port ou qualquer outro valor da sua preferencia. Outra coisa que vale salientar é que o acesso deve ser feito de FORA DA REDE. Acredito que muita gente, assim como eu, deve ter quase enlouquecido tentando fazer o acesso de dentro da rede, então vai ai a dica simples mais as vezes não prestamos atenção.