Re: Routerboard Pinga mais não tenho acesso diretamente
Citação:
Postado originalmente por
marconipcd
Obrigado pela resposta Trober, já exportei novamente as regras, quanto ao Endereço de loopback estarem violando a RFC1918, fora deste padrão(ainda não li realmente sobre a RFC1918, mais lerei.. hehehe), você acha que isso pode esta causando algum dos problemas que citei?
De forma genérica, não deveria causar problemas. Entretanto, por eu não saber como estão outros filtros e regras de firewall, nos seus ativos, pode, na existência desses, apresentar problemas.
Segundo o RFC1918, o endereço 172.0.0.0 é público, uma vez que os endereços privados, de mesma classe, iniciam em 172.16.0.0 e terminam em 172.31.255.255, ou seja 172.16.0.0/12. É uma boa prática filtrar endereços privados para que não "vazem" para uma rede pública, e que endereços que não são detidos por você, não acessem seus ativos.
Analogicamente falando, é um postura igual a filtros de bogon.
Analisando seu código, agora compactado, vi que na RB-Central, você não anunciou a interface e rede de acesso externo. Só para confirmar, essa RB que é sua saída para a internet. Correto?
Saudações,
Trober
Re: Routerboard Pinga mais não tenho acesso diretamente
Citação:
Só para confirmar, essa RB que é sua saída para a internet. Correto?
Sim, antes dessa rb Central tenho uma Outra que Faz um Balanceamento PCC e estão conectadas e a Rb Central existe um rota default para rb Balanceamento, quanto as regras da Rb Firewall específicamente configurações do "firewall" são:
/ip firewall address-list
add address=69.171.247.0/24 disabled=yes list=facebook
add address=66.220.153.0/24 disabled=yes list=facebook
add address=192.168.20.10 list=excessao
add address=192.168.20.5 list=excessao
/ip firewall connection tracking
set generic-timeout=3m tcp-established-timeout=10m tcp-syncookie=yes
/ip firewall filter
add chain=input dst-port=801 protocol=tcp
add chain=input dst-port=10001 protocol=tcp
add chain=input dst-port=10002 protocol=tcp
add chain=input dst-port=15000 protocol=tcp
add chain=input dst-port=36456 protocol=tcp
add chain=input dst-port=36567 protocol=tcp
add chain=input dst-port=36570 protocol=tcp
add chain=input dst-port=37466 protocol=tcp
add chain=input dst-port=47611 protocol=tcp
add chain=input dst-port=27888 protocol=udp
add chain=input dst-port=28888 protocol=udp
add action=drop chain=forward comment="BLOQUEIO DO FACEBOOK" content=facebook in-interface=LOJA protocol=tcp src-address-list=!excessao
add action=drop chain=forward src-address-list=bloqueado
/ip firewall mangle
add action=mark-connection chain=prerouting comment=FACEBOOK dst-address-list=facebook dst-port=80 new-connection-mark=conn_facebook protocol=tcp
add action=mark-packet chain=postrouting comment="dscp->12) => [packet_speedr_HIT]" new-packet-mark=packet_speedr_HIT passthrough=no src-address=192.168.20.13
add action=mark-packet chain=postrouting comment="dscp->10 => [packet_speedr_HIT]" dscp=10 dst-address=192.168.20.13 new-packet-mark=packet_speedr_HIT passthrough=no
add action=jump chain=prerouting comment=" PG CORTE" jump-target=hotspot
/ip firewall nat
add chain=srcnat protocol=ospf
add action=masquerade chain=srcnat comment=COMPARTILHAMENTO out-interface=LINK100MB src-address=0.0.0.0/0
add action=dst-nat chain=hotspot comment="PG CORTE PARA HOSTPOT + RADIUS" packet-mark=bloqueado protocol=tcp to-addresses=192.168.20.13 to-ports=89
add action=dst-nat chain=dstnat comment="CREMOSINHO - REDIRECIONAMENTO IP VALIDO" dst-address=192.10.2.2 protocol=udp to-addresses=172.0.1.7
add action=dst-nat chain=dstnat dst-address=192.10.2.2 protocol=tcp to-addresses=172.0.1.7
add action=dst-nat chain=dstnat comment="JOSE ALBERTO DE LUNA BORGES - REDIRECIONAMENTO IP VALIDO" dst-address=10.10.0.2 protocol=tcp to-addresses=192.8.210.2
add action=dst-nat chain=dstnat dst-address=10.10.0.2 protocol=udp to-addresses=192.8.210.2
add action=dst-nat chain=dstnat comment="WJV COMPANY - IND. E COM. LTDA. - REDIRECIONAMENTO IP VALIDO" dst-address=11.11.0.2 protocol=tcp to-addresses=20.20.0.2
add action=dst-nat chain=dstnat dst-address=11.11.0.2 protocol=udp to-addresses=20.20.0.2
add action=dst-nat chain=dstnat comment="STANDALONE DIGITAL - REDIRECIONAMENTO IP VALIDO" dst-address=12.12.0.2 protocol=tcp to-addresses=192.168.20.14
add action=dst-nat chain=dstnat dst-address=12.12.0.2 protocol=udp to-addresses=192.168.20.14
add action=dst-nat chain=dstnat comment="SANTO ANTONIO MOTOS LTDA - REDIRECIONAMENTO IP VALIDO" dst-address=13.13.0.2 protocol=tcp to-addresses=192.5.125.2
add action=dst-nat chain=dstnat dst-address=13.13.0.2 protocol=udp to-addresses=192.5.125.2
add action=dst-nat chain=dstnat dst-address=14.14.0.2 protocol=tcp to-addresses=192.168.20.13
add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO - MARCONI" dst-address=19.19.0.2 protocol=tcp to-addresses=192.168.20.13
Agradeço mais uma vez as informações!
Re: Routerboard Pinga mais não tenho acesso diretamente
É possível um convívio harmonioso[1] entre OSPF e NAT, mas requer alguns cuidados.
A regra que destaco abaixo, que é uma porção do seu script, talvez seja um problema.
Citação:
Postado originalmente por
marconipcd
Código :
/ip firewall nat add chain=srcnat protocol=ospf
OSPF não deve ser "mascarado". Quando for fazer NAT na interface que tem OSPF em execução, o ideal é definir explicitamente a faixa de endereços (source address) dos clientes, excluindo assim, implicitamente, seus endereços de enlace.
Você também precisa anunciar seus endereços de WAN, no OSPF (network). Somente na RB-Central você anunciará a rota padrão (as-type-1).
[1] https://under-linux.org/f343/sequenc...49/#post624208
Saudações,
Trober
Re: Routerboard Pinga mais não tenho acesso diretamente
Citação:
OSPF não deve ser "mascarado". Quando for fazer NAT na interface que tem OSPF em execução, o ideal é definir explicitamente a faixa de endereços (source address) dos clientes, excluindo assim, implicitamente, seus endereços de enlace.
a referida regra foi justamente uma tentativa de resolver este problema, tinha colocado ela em todas as rbs, mais pra ser sincero, não vi nenhuma mudança antes e depois de configura-la, então acho que poderia desabilita-la, o que acha?
Citação:
Você também precisa anunciar seus endereços de WAN, no OSPF (network). Somente na RB-Central você anunciará a rota padrão (as-type-1).
Eu anuncie em network no OSPF meu endereço WAN, a dúvida é se a Interface WAN deve continuar passiva, como atualmente esta ou não??
Obrigado mais uma vez, pela paciência e empenho em tentar me ajudar Trober, cada dia estou aprendendo um pouquinho mais com este forum, graças a Pessoas como você!
Re: Routerboard Pinga mais não tenho acesso diretamente
Citação:
Postado originalmente por
marconipcd
a referida regra foi justamente uma tentativa de resolver este problema, tinha colocado ela em todas as rbs, mais pra ser sincero, não vi nenhuma mudança antes e depois de configura-la, então acho que poderia desabilita-la, o que acha?
Pode apagar. Em versões antigas do MikroTik RouterOS era necessário fazer uma tratativa ao protocolo OSPF, colocando uma exceção na regra mais ao topo (0 - zero). Atualmente não é mais necessário.
Citação:
Postado originalmente por
marconipcd
Eu anuncie em network no OSPF meu endereço WAN, a dúvida é se a Interface WAN deve continuar passiva, como atualmente esta ou não??
Sim. Interfaces que não "conversam OSPF", devem ser declaradas como passivas.
Não vejo sua WAN declarada em network, conforme seu código original.
Citação:
Postado originalmente por
marconipcd
Código :
/routing ospf network
add area=backbone network=172.0.0.1/32
add area=backbone network=172.17.1.0/29
Citação:
Postado originalmente por
marconipcd
Obrigado mais uma vez
Espero ter ajudado.
Saudações,
Trober