Que bom!!
Agora tu precisa nos detalhar essas ligações, interfaces e IPs, para poder achar o problema do NAT. Faz um desenho no Paint mesmo, para ilustrar.
Abraço
Que bom!!
Agora tu precisa nos detalhar essas ligações, interfaces e IPs, para poder achar o problema do NAT. Faz um desenho no Paint mesmo, para ilustrar.
Abraço
Blza tem o anexo com o desenho ai mas vou tentar explicar.
Tenho um gateway (MK GW) que é uma RB 1100 que distribui ip 172 para toda a rede.
Tenho uma RB 1200 (MK192) que distribui ip 192 para a minha vlan.
Tenho um switch central da 3com (SW central) e um switch HP que distribui rede para o prédio A (SW prédio A).
Tenho um servidor DNS.
Vamos as conexões:
O MK192 se conecta ao MK GW, ele sai pela eth1 e entra pela eth11 no MK GW.
Esse meu MK192 se conecta ao SW central, ele sai pela eth2 e entra pela eth30 no SW Central.
Esse meu Sw central se conecta via fibra ao Sw predio A, ele sai pela eth52 e se entra pela eth26 no SW predio A
Em duas portas o SW predio A vão para os laboratórios que estão como untag, a eth1 e 9.
O meu servidor DNS está conectado diretamente ao SW central, servidor de DNS para rede 172 do MK GW.
Tenho um Servidor WEB que também está no central e com ip 172.
Também tenho um domínio com DNS configurado para a rede 192, porém essa rede tem que se conectar a páginas que estão no meu servidor web com ip 172.
No MK192 tenho a rota de endereçamento default 192.168.0.0/22 com gateway 192.168.0.1 e criei uma rota 0.0.0.0/0 com gateway porém não ta saindo pra internet.
Estou quase entendendo!! hahaha
De onde vem a internet?
No router que possui a ligação com a internet, nos mande a saída dos comandos:
Código :/interface ethernet print
Código :/ip address print
Código :/ip route print
Código :/ip firewall nat print
Cara a internet vem pela gvt e entra no MK GW conforme a figura, esqueci de por isso no desenho, entra na eth1.
segue os comandos feitos dentro do MK GW, como na figura o MK192 se conecta diretamente ao MK GW(como no desenho ele sai do MK192 pela eth1 e se conecta ao MK GW pela eth11), tem q se ter uma rota que direciona os pacotes 192 para o MK GW e eu não to sabendo fazer isso.
Coloquei as informações que considerei pertinente ao caso.
ip address print
;;; Rede GVT
0 177.x.x.x/29 177.x.x.x ether1
1 ;;; Rede Interna
172.x.x.x/20 172.x.x.x bridge1
A bridge é feita pela eth6
/interface ethernet print
# NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH
0 ether12 1500 D4:CA:6D:2A:61:CF enabled
1 ether13 1500 D4:CA:6D:2A:610 enabled
2 R ;;; Link GVT
ether1 1500 D4:CA:6D:2A:61:C4 enabled none switch2
3 ether2 1500 D4:CA:6D:2A:61:C5 enabled none switch2
4 R ;;; VPN Novacia
ether3 1500 D4:CA:6D:2A:61:C6 enabled none switch2
5 ether4 1500 D4:CA:6D:2A:61:C7 enabled none switch2
6 ether5 1500 D4:CA:6D:2A:61:C8 enabled none switch2
7 R ;;; Rede Corporativa
ether6 1500 D4:CA:6D:2A:61:C9 enabled none switch1
8 R ;;; Rede hotspot
ether7 1500 D4:CA:6D:2A:61:CA enabled none switch1
9 ether8 1500 D4:CA:6D:2A:61:CB enabled none switch1
10 ether9 1500 D4:CA:6D:2A:61:CC enabled none switch1
11 ether10 1500 D4:CA:6D:2A:61:CD enabled none switch1
12 R ether11 1500 D4:CA:6D:2A:61:CE enabled
ip route print
# DST-ADDRESS PREF-SRC
0 A S ;;; Gateway Link GVT
0.0.0.0/0
1 ADC 10.x.x.x/30 10.x.x.x
3 ADC 172.x.x.x/20 172.x.x.x
NAT
;;; Masquerade
chain=srcnat action=masquerade src-address=172.x.x.x/20
out-interface=ether1
Os clientes da rede 192 não vão para a internet?
Se for isso mesmo, crie uma regra de NAT também para essa rede, com o src-address=192.x.x.x.
Outra coisa. Você tem uma rota conectada para a rede 10.x.x.x, mas no IP address não tem esse IP.
Essa rota 10.x.x.x é de vpn, ta funcionando certinho ai num entrei em detalhes aqui não.
Vou colocar essa src nat e testar.
Mas os pacotes vai se conectar ao meu servidor web na rede 172?
Se o roteamento entre as redes passar por esse router, não.
Para isso você precisa fazer uma exceção que pode ser feita de várias maneiras, como interface, ip, etc.
Exemplo.
Em cada regra de masquerade, você coloca em dst-address o endereço da rede de destino, e marque o operador not (!).
Código :/ip firewall nat add src-address=192.x.x.x/20 dst-address=!172.x.x.x/20 ..... /ip firewall nat add dst-address=172.x.x.x/20 src-address=!192.x.x.x/20 .....
Obs.: As regras estão incompletas, porque era apenas para ilustrar a configuração dos endereços.
Tente isso.
Código :/ip firewall nat add src-address=192.x.x.x/20 dst-address=!172.x.x.x/20 ..... /ip firewall nat add src-address=172.x.x.x/20 dst-address=!192.x.x.x/20 .....
Me passei na hora de copiar a regrae inverti os parâmetros.
Em suas regras de masquerade, você não tem nada configurado em dst-address, certo?
Na regra que mascara a rede 192.x.x.x, você coloca dst-address=!172.x.x.x..
Isso quer dizer que é apenas para ir para a internet, quando o destino NÃO for a rede 172. Faça o mesmo para a outra rede que você tem.
Pode me ligar se quiser, peça o número por PVT.
Abraço
Veja bem meus testes:
No Rb192 configurei o masquerade como vc citou acima e permanece a rota 0.0.0.0/0 na eth1, a eth que liga a RB192 a RB GW, porém sem sucesso.
Testei tbm sem a rota no RB192, porém sem sucesso.
Exclui o masquerade da RB192 e configurei na RB Gw porém ainda sem sucesso, sem acesso a internet
Rapaz fiz um trem aqui, num sei se ta certo mas ta roteando direitinho.
Na eth2, que é ligada na minha rede normal coloquei como address um ip da rede 172.
Na hora de fazer o nat com masquerade, coloquei pra fazer na eth2 sem a exceção !172.x.x.x/20.
Rodou beleza agora.
Segunda feira vou testar o nmap e verificar se não acha nada da outra rede.
Só para finalizar,
Configurei regras que bloqueiam nmap para minha rede 172.x.x.x e proibi acesso as principais portas...
Vou ver como vai ficar em produção.
Agradeço todo e qualquer auxílio.
Se tiver alguma ressalva ou algo que esteja errado só dizer.
Abs-