Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. #41

    Padrão

    Citação Postado originalmente por mson77 Ver Post
    Ola...




    Minha mensagem do dia [03-03-2008, 20:48] **APONTA** para o erro de distração. Por favor, confira se eu não apontei o erro de DISTRAÇÃO.


    Mas vou dar "colher de chá" e apontar NOVAMENTE.

    Voce pode me explicar essa regra mangle que eu copiei do seu ultimo post e colei aqui:

    Código :
     add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no \
        in-interface=Local connection-mark=odd comment="" disabled=no
    Voce parece um pouco **arrisco** nas minhas mensagens. Sua opção.
    • MAS as minhas mensagens SEMPRE foram para te ajudar, com regras lógicas e claras.
    Abracos,
    Grande amigo, eu consegui enxergar o erro, no ODD e EVEN pelos os codigos, porem pelo WINBOX eu ja conferi e reconferi e esta tudo ODD. Acho que eu ja havia concertado isso, desculpe-me por ter postado mensagem errada. ja esta tudo ODD.

    perdão pela insistencia


    Ahhh,
    ja esquecendo eu botei suas regras, e apontei para o ip do MEUIP.com.br

    eu notei que esta tendo um demora de +- 1 minuto para abrir o site.

    ele abre sempre com 1 ip, porem lento. Quando tiro a regra do nat ele abre rapido, porem usando os 3 ips, em todos os ips ele abre rapido.

    PS: botei a regra na frente das outras 3 NATs.
    Última edição por iuredaluz; 05-03-2008 às 23:01.

  2. #42

    Padrão

    Ola...



    pelo jeito... voce diz uma coisa e faz outra.

    A frase sua que eu li foi:

    Aqui vão as regras atuais
    Entao eu vou acreditar no que voce escreveu. Agora se no WinBOX, ou no TELNET, ou no SSH... ou .... (sem conclusão).

    Esse é o motivo de eu pedir: **POSTE SUAS REGRAS**

    Regras é como o RouterOS vai funcionar... e nenhuma descrição literária é melhor que **REGRAS POSTADAS**.


    Eu fiz uma edicao e coloquei informacao sobre tcp:443.
    Volte lá e veja... por favor.

    ================

    Pedi para voce postar /ip route
    para eu ver como estão as regras **DAS INTERFACES**, regras que voce EXCLUI.... mas que pode haver erro... se não examinar para garantir (e pode ser a causa do seu problema inicial).

    Se voce estive no meu lugar... querendo ajudar e a contra-parte economizando informação... eu pergunto: Passa alguma sensação dentro de voce?

    Declaro que: Eu nao peço para postar regras para eu copiar. Peço pois as exposições... as descrições postadas na mensagens... são pobres em informação. Assim...para ajudar... só "chutando"... e entao... isso perde o sentido de FORUM. Poderia chamar de LOTERIA.






    Abraços,



  3. #43

    Padrão

    Desculpe mais uma vez,
    acabei de dar um export

    / ip firewall nat
    add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
    protocol=tcp dst-address-list=meuip comment="" disabled=no
    add chain=srcnat action=src-nat to-addresses=192.168.64.18 to-ports=0-65535 \
    connection-mark=odd comment="" disabled=no
    add chain=srcnat action=src-nat to-addresses=10.246.21.6 to-ports=0-65535 \
    connection-mark=even comment="" disabled=no
    add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
    connection-mark=jump comment="" disabled=no

    / ip firewall mangle
    add chain=prerouting action=mark-connection new-connection-mark=odd \
    passthrough=yes connection-state=new in-interface=Local nth=2,1,0 \
    comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=odd passthrough=no \
    in-interface=Local connection-mark=odd comment="" disabled=no
    add chain=prerouting action=mark-connection new-connection-mark=even \
    passthrough=yes connection-state=new in-interface=Local nth=2,1,1 \
    comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no \
    in-interface=Local connection-mark=even comment="" disabled=no
    add chain=prerouting action=mark-connection new-connection-mark=jump \
    passthrough=yes connection-state=new in-interface=Local nth=2,1,2 \
    comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=jump passthrough=no \
    in-interface=Local connection-mark=jump comment="" disabled=no
    / ip firewall address-list
    add list=list address=170.66.11.1 comment="" disabled=no
    add list=list address=170.66.2.59 comment="" disabled=no
    add list=list address=65.55.197.126 comment="" disabled=no
    add list=list address=72.5.77.205 comment="" disabled=no
    add list=list address=170.66.11.10 comment="" disabled=no
    add list=list address=170.66.52.28 comment="" disabled=no
    add list=list address=170.66.1.60 comment="" disabled=no
    add list=list address=65.54.179.203 comment="" disabled=no
    add list=meuip address=200.184.179.19 comment="" disabled=no


    Grande amigo, de forma alguma eu tentei ocultar as regras, até porque todas foram pegas aqui no forum hehehe, deixa eu falar uma coisa, eu em umas das varias tentativas com o banco, tive a senha bloqueada, por esse motivo, estou testando com o ip do site meuip.com.br, eu removi a porta 443 da regra que você postou, e coloquei em dst-address-list o nome meuip, cujo eu botei na aba access-list a regra meuip e o ip do site. Esto abrindo o site sempre com o mesmo ip, porem notei uma demora na abertura significativa na abertura do mesmo.

    Aqui vai o /ip routes

    / ip route
    add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
    target-scope=10 comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
    target-scope=10 routing-mark=odd comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=192.168.27.2 distance=1 scope=255 \
    target-scope=10 routing-mark=jump comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=10.246.21.1 distance=1 scope=255 \
    target-scope=10 routing-mark=even comment="" disabled=no

  4. #44

    Padrão

    iuredaluz... voce é apressado DEMAIS.



    Seu codigo:
    Código :
     / ip firewall nat 
    add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
        protocol=tcp dst-address-list=meuip comment="" disabled=no
    está certo disso? Não está faltando DST_TCPPORT:443 ???


    Peço que voce reveja com calma.... com bastante calma... tudo novamente. Você é craque! Já deu pra perceber isso.
    Vá na confiança que voce resolve o problema.




    Abracos,



  5. #45

    Padrão

    Citação Postado originalmente por mson77 Ver Post
    iuredaluz... voce é apressado DEMAIS.



    Seu codigo:
    Código :
     / ip firewall nat 
    add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
        protocol=tcp dst-address-list=meuip comment="" disabled=no
    está certo disso? Não está faltando DST_TCPPORT:443 ???


    Peço que voce reveja com calma.... com bastante calma... tudo novamente. Você é craque! Já deu pra perceber isso.
    Vá na confiança que voce resolve o problema.




    Abracos,
    Grande amigo, eu entendi o que você quis dizer, entendi mesmo, porem eu disse para você que por enquanto estava testando com o site meuip.com.br e o mesmo não usa a porta 443 (https), ele é apenas http (80),porem continuo lento, mais eu fiz o que você mandou, listei todos os ips do banco do brasil, botei a porta 443 e a regra no NAT ficou assim:

    / ip firewall nat
    add chain=srcnat action=src-nat to-addresses=192.168.27.1 to-ports=0-65535 \
    dst-port=443 protocol=tcp dst-address-list=banco comment="" disabled=no

    ja no access-list onde tem os ips dos bancos olhe:

    / ip firewall address-list
    add list=banco address=170.66.11.1 comment="" disabled=no
    add list=banco address=170.66.2.59 comment="" disabled=no
    add list=banco address=65.55.197.126 comment="" disabled=no
    add list=banco address=72.5.77.205 comment="" disabled=no
    add list=banco address=170.66.11.10 comment="" disabled=no
    add list=banco address=170.66.52.28 comment="" disabled=no
    add list=banco address=170.66.1.60 comment="" disabled=no
    add list=banco address=65.54.179.203 comment="" disabled=no
    add list=meuip address=200.184.179.19 comment="" disabled=no
    add list=banco address=69.25.21.197 comment="" disabled=no

    Todos os ips são do banco do brasil,
    agora o que acontece?

    Eu tento abrir, ele pede agencia e conta, e quando dou entrar, ele demora e expira a pagina.
    Espero que você me entenda.

  6. #46

    Padrão

    Ola iuredaluz...


    Obviamente... cada um é cada um.
    Eu, particularmente... nao gosto muito de particularidades. Gosto de regras genéricas sempre que possivel.

    Entao... por partes:

    1) tcp_dst_port:443 (https)
    Muito bancos... ou quase todos... verificam se a conexão é proveniente de um UNICO IP... Isso é feito para garantir segurança na conexão a nivel de sessão e aplicação... da cada OSI.

    Entao... **EU** nao particularizaria a regra colocando uma LISTA DE IPs para ser analisada a cada momento. Isso consome CPU e seu voce estiver usando um RouterBoard... piorou.

    Então... esteja bem DITO: Eu usaria a regra tcp_dst_port:443 generica para TODAS as conexoes. Nao somente para BB... como voce diz e quer. E amanha... quem vai fazer manutencao dessa lista? (Lembre-se: "Quem planta vento... colhe tempestade!" Faça a coisa MAIS CORRETA E GENERICA POSSIVEL E SEMPRE)

    2) tcp_dst_port:1863 (MSN)
    AGORA... hoje... ano 2008... segue a mesma tendencia do https (bancos).

    3) Lentidão. Há que se diagnosticar a causa. Onde está a causa?
    Possiveis respostas:
    Na resolucao do nome (DNS);
    Na rota (no seu caso... LINK de saida)
    ==> crie uma regra estática e teste cada link
    ...e, essa lentidao é SEMPRE? Ou somente agora? Seu sistema está congestionado?... váaaarias coisas para observar.

    4) Seu /ip route... é somente isso que voce postou?
    Não está FALTANDO mais nada?
    Não tem as regras de cada rede... de cada interface?


    Infelizmente... PERDEMOS muito tempo até voce compreender como as REGRAS ditam tudo. Eu devo ter parecido CRUEL e RUDE. Peço que não veja sob essa ótica. Pense que alguem chegou a voce e perguntou:

    "Meu carro nao funciona mais! Me ajuda a resolver?"

    POSTOU esse abacaxi... e foi embora. Parece entao que essa pessoa é CARENTE DE CONVERSA... nao de solucao. Se fosse de solucao... postaria o MAXIMO DE INFORMACAO... de uma vez... para que TODOS POSSAM LER E AJUDAR NA HORA.

    É isso.





    Abraços,



  7. #47

    Padrão

    Citação Postado originalmente por mson77 Ver Post
    Ola iuredaluz...


    Obviamente... cada um é cada um.
    Eu, particularmente... nao gosto muito de particularidades. Gosto de regras genéricas sempre que possivel.

    Entao... por partes:

    1) tcp_dst_port:443 (https)
    Muito bancos... ou quase todos... verificam se a conexão é proveniente de um UNICO IP... Isso é feito para garantir segurança na conexão a nivel de sessão e aplicação... da cada OSI.

    Entao... **EU** nao particularizaria a regra colocando uma LISTA DE IPs para ser analisada a cada momento. Isso consome CPU e seu voce estiver usando um RouterBoard... piorou.

    Então... esteja bem DITO: Eu usaria a regra tcp_dst_port:443 generica para TODAS as conexoes. Nao somente para BB... como voce diz e quer. E amanha... quem vai fazer manutencao dessa lista? (Lembre-se: "Quem planta vento... colhe tempestade!" Faça a coisa MAIS CORRETA E GENERICA POSSIVEL E SEMPRE)

    2) tcp_dst_port:1863 (MSN)
    AGORA... hoje... ano 2008... segue a mesma tendencia do https (bancos).

    3) Lentidão. Há que se diagnosticar a causa. Onde está a causa?
    Possiveis respostas:
    Na resolucao do nome (DNS);
    Na rota (no seu caso... LINK de saida)
    ==> crie uma regra estática e teste cada link
    ...e, essa lentidao é SEMPRE? Ou somente agora? Seu sistema está congestionado?... váaaarias coisas para observar.

    4) Seu /ip route... é somente isso que voce postou?
    Não está FALTANDO mais nada?
    Não tem as regras de cada rede... de cada interface?


    Infelizmente... PERDEMOS muito tempo até voce compreender como as REGRAS ditam tudo. Eu devo ter parecido CRUEL e RUDE. Peço que não veja sob essa ótica. Pense que alguem chegou a voce e perguntou:

    "Meu carro nao funciona mais! Me ajuda a resolver?"

    POSTOU esse abacaxi... e foi embora. Parece entao que essa pessoa é CARENTE DE CONVERSA... nao de solucao. Se fosse de solucao... postaria o MAXIMO DE INFORMACAO... de uma vez... para que TODOS POSSAM LER E AJUDAR NA HORA.

    É isso.



    Abraços,
    Opa não tinha pensando em atuar em todas as portas 443, uma otima ideia sua isso, assim não preciso sair atras dos ips dos bancos.

    Possiveis respostas:
    Na resolucao do nome (DNS);
    Vou analisar isto

    Na rota (no seu caso... LINK de saida)
    ja tentei com os 3 links

    ==> crie uma regra estática e teste cada link

    ...e, essa lentidao é SEMPRE? Ou somente agora? Seu sistema está congestionado?... váaaarias coisas para observar.

    Essa lentido não ocorre quando estou so com 1 link ativado, se eu desativar o balanceamento, vai normal ok?

    Abraços e desculpe pelo mal entendido.

    o /ip route quando dou um export so aparece aquilo, mais quando dou um print aparece mais coisas.

    Vou mostrar aqui

    # DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
    0 A S 0.0.0.0/0 r 192.168.64.17 1 Hispamar
    1 A S 0.0.0.0/0 r 192.168.64.17 1 Hispamar
    2 A S 0.0.0.0/0 r 192.168.27.2 1 StarONE
    3 X S 0.0.0.0/0 r 10.246.21.1 1 Comsat
    4 A S 0.0.0.0/0 r 10.246.21.1 1 Comsat
    5 ADC 10.246.21.0/24 10.246.21.6 0 Comsat
    6 ADC 192.168.26.0/24 192.168.26.1 0 Local
    7 ADC 192.168.27.0/24 192.168.27.1 0 StarONE
    8 ADC 192.168.64.0/24 192.168.64.18 0 Hispamar

    aqui vai o export

    / ip route
    add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
    target-scope=10 comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
    target-scope=10 routing-mark=odd comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=192.168.27.2 distance=1 scope=255 \
    target-scope=10 routing-mark=jump comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=10.246.21.1 distance=1 scope=255 \
    target-scope=10 comment="" disabled=yes
    add dst-address=0.0.0.0/0 gateway=10.246.21.1 distance=1 scope=255 \
    target-scope=10 routing-mark=even comment="" disabled=no


    Quero lembrar que existe uma regra desativada ai no meio do routes ok?

    como posso criar uma regra estatica para usar sempre 1 link só? seria usando src nat?

    Última edição por iuredaluz; 06-03-2008 às 00:14.

  8. #48

    Padrão

    Para ajudar a você enxergar o erro de distração ja comentado pelo mson


    Veja o que voce tem (agora identificado em vermelho).
    add chain=prerouting action=mark-connection new-connection-mark=odd passthrough=yes connection-state=new in-interface=Local nth=2,1,0 comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no in-interface=Local connection-mark=odd comment="" disabled=no



    add chain=prerouting action=mark-connection new-connection-mark=even passthrough=yes connection-state=new in-interface=Local nth=2,1,1 comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no in-interface=Local connection-mark=even comment="" disabled=no



  9. #49

    Padrão

    Citação Postado originalmente por liandrocarniel Ver Post
    Para ajudar a você enxergar o erro de distração ja comentado pelo mson


    Veja o que voce tem (agora identificado em vermelho).
    add chain=prerouting action=mark-connection new-connection-mark=odd passthrough=yes connection-state=new in-interface=Local nth=2,1,0 comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no in-interface=Local connection-mark=odd comment="" disabled=no



    add chain=prerouting action=mark-connection new-connection-mark=even passthrough=yes connection-state=new in-interface=Local nth=2,1,1 comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no in-interface=Local connection-mark=even comment="" disabled=no
    Opa amigo, ja passamos dessa parte kkkk, obrigado, estou tentando resolver agora o problema com bancos, eles não abrem. Voce sabe como solucionar? Olhe meus posts e do mson para ver onde paramos pra ver você pode ajudar.

  10. #50

    Padrão

    Aqui resolvi o problema de bancos pelo Mangle


    Geral
    chain=prerouting protocol=tcp dst-port=443 action=mark-routing new-routing-mark=bancos passthrough=no

    Conectividade Social da Caixa
    chain=prerouting dst-address=200.201.174.0/24 action=mark-routing new-routing-mark=bancos passthrough=no

    Bradesco
    chain=prerouting dst-address-list=bradesco action=mark-routing new-routing-mark=bancos passthrough=no


    Porque várias? Para o sistema de conectividade da Caixa, nem sempre usa a porta 443, entao descobrimos o ip/faxia de destino e resolveu.

    No caso do Bradesco também tivemos problemas, pois as vezes somente com a porta 443 direcionando, nao funcionava. Acompanhei alguns clientes e identificamos os ips do banco.

    Estamos com isso funcionando há uns 8 meses, sem nenhuma reclamação



  11. #51

    Padrão

    Citação Postado originalmente por liandrocarniel Ver Post
    Aqui resolvi o problema de bancos pelo Mangle


    Geral
    chain=prerouting protocol=tcp dst-port=443 action=mark-routing new-routing-mark=bancos passthrough=no

    Conectividade Social da Caixa
    chain=prerouting dst-address=200.201.174.0/24 action=mark-routing new-routing-mark=bancos passthrough=no

    Bradesco
    chain=prerouting dst-address-list=bradesco action=mark-routing new-routing-mark=bancos passthrough=no


    Porque várias? Para o sistema de conectividade da Caixa, nem sempre usa a porta 443, entao descobrimos o ip/faxia de destino e resolveu.

    No caso do Bradesco também tivemos problemas, pois as vezes somente com a porta 443 direcionando, nao funcionava. Acompanhei alguns clientes e identificamos os ips do banco.

    Estamos com isso funcionando há uns 8 meses, sem nenhuma reclamação
    opa amigo, eu ja tentei assim, o que acontece? quando tento acessar os sites do banco fica muito, mais muito lento cara. não sei o que é.


    e to com outro problema, tentei por mais 1 gateway em outra ether, porem o gateway não fica AS, fica somente S, e assim não funciona, agora se eu desliga o de cima dele, funciona, ele fica AS.

  12. #52

    Padrão

    Ola iuredaluz...
    • Voce concorda em organizarmos... para melhor compreensão?
    Sinceramente eu não estou entendendo mais nada.
    Gostaria de gastar o meu tempo para encontrar uma solução... e hoje percebo que gasto tempo tentando entender o imbrólio que tomou conta aqui nesse tópico. Ou seja... nao sei se esse tópico será de muita serventia para futuros usuários pesquisadores desse fórum.
    Sugiro a voce que inicie um NOVO TOPICO... e como primeira mensagem... apresente:
    • /ip firewall mangle print
    • /ip firewall nat print
    • /ip route print detail
    • /ip address print
    Cada resultado/informação... dentro de cada par de tags <code>... por favor.

    E apos apresentar as regras... diga os problemas que voce está enfrentando com as regras expostas.

    Diante disso... acredito que vários colegas farão questão de ajudar você.



    Abraços,


    ==================
    Editado:
    Ola liandrocarniel... voce se importaria de trancar esse tópico?
    Última edição por mson77; 07-03-2008 às 22:33. Razão: trancar esse topico