Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Balanceamento com NTH tendo problemas com sites de bancos

    Amigos boa tarde, pessoal tenho um balanceamento rodando aqui com 2 ADSL, funcionando td perfeito, MSN, orkut, navegação porem agora tenho um cliente usando o site do Bradesco e não consegui, pois o IP muda durante a sessão de acesso ao Site. Alguem tem uma dica ai pra poder me ajudar, abaixo segue as informações de configuração do meu servidor Mikrotik

    ENDEREÇAMENTO IP
    / ip address
    add address=189.47.176.133/24 network=189.47.176.0 broadcast=189.47.176.255 interface=ADSL01 comment="" disabled=no
    add address=189.47.130.139/24 network=189.47.130.0 broadcast=189.47.130.255 interface=ADSL02 comment="" disabled=no
    add address=192.168.100.1/24 network=192.168.100.0 broadcast=192.168.100.3 interface=RADIOS comment="" disabled=no
    ROTAS
    / ip route
    add dst-address=0.0.0.0/0 gateway=189.47.130.1 scope=255 target-scope=10 comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=189.47.130.1 scope=255 target-scope=10 routing-mark=segunda_rota comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=189.47.176.1 scope=255 target-scope=10 routing-mark=primeira_rota comment="" disabled=no
    MANGLE
    / ip firewall mangle
    add chain=prerouting in-interface=RADIOS connection-state=new nth=1,1,0 action=mark-connection new-connection-mark=primeiro passthrough=yes comment="Loadbalance" disabled=no
    add chain=prerouting in-interface=RADIOS connection-mark=primeiro action=mark-routing new-routing-mark=primeira_rota passthrough=no comment="" disabled=no
    add chain=prerouting in-interface=RADIOS connection-state=new nth=1,1,1 action=mark-connection new-connection-mark=segunda passthrough=yes comment="" disabled=no
    add chain=prerouting in-interface=RADIOS connection-mark=segunda action=mark-routing new-routing-mark=segunda_rota passthrough=no comment="" disabled=no
    NAT
    / ip firewall nat
    add chain=srcnat connection-mark=primeiro action=src-nat to-addresses=189.47.176.139 to-ports=0-65535 comment="NAT" disabled=no
    add chain=srcnat connection-mark=segunda action=src-nat to-addresses=189.47.130.133 to-ports=0-65535 comment="" disabled=no
    Abraços

    Clecio

  2. #2

    Padrão

    tenta direcionar os ips 200.155.84.15 e 200.155.88.15 para o mesmo link e veja se resolve. se nao resolver eu tenho uma outra lista de ips do Bradesco aqui ok? Mas acho que o problema ocorre com esses dois ips mesmo.

    Abraço
    Fabricio



  3. #3

    Padrão

    opa amigo, você teria uma lista com ips do bb e bradesco ai?

  4. #4

    Padrão

    Ola cleciorodrigo...



    Esse problema é típico para TODOS os tipos de load balancing. Ou seja, não é privilegio do universo mikrotik.

    O problema decorre pois os sites de bancos (conexão tcp:443) verificam se os acessos originam-se do mesmo IP (cliente).

    Assim... a única forma de resolver isso é filtrar a porta tcp:443 e direcionar para APENAS um link específico.

    Ao inves de ficar listando IP por IP de sites de bancos... (voce vai ficar louco e vai deixar o processador do MK.RouterOS tambem fervendo)... faz um sourcenat especifico tcp:443 para um link que voce escolher: link1 ou link2.

    Ou seja:

    Código :
    /ip firewall nat add
    chain=srcnat
    protocol=tcp 
    dst-port=443 
    action=src-nat 
    to-addresses=<IP DO LINK1> 
    to-ports=0-65535
    Aproveito para sugerir o uso da mesma técnica para [tcp:1863] pois o MSN tambem está verificando se a conexão parte do mesmo IP.




    Abraços,



  5. #5

    Padrão Redirecinamento de bancos.

    Amigo,

    Eu criei uma regra no mangle direcionando todas as conexões via porta 443 para o link1 (adsl1), antes das regras de balanceamento, e acabou os problemas com o bradesco.

    Segue:

    ;;; Rota1 - Para Bancos
    chain=forward src-address=192.168.0.0/16 protocol=tcp dst-port=443 connection-state=new action=mark-connection new-connection-mark=Rota1 passthrough=yes

    Pode fazer que funciona.

  6. #6

    Padrão

    Caro mson77 já tinha efetuado um teste da forma que vc passo, porem não obtive sucesso. Farei o teste novamente com a sua regra e com a postada pelo limajr.

    Obrigado

    Clecio

    Citação Postado originalmente por mson77 Ver Post
    Ola cleciorodrigo...



    Esse problema é típico para TODOS os tipos de load balancing. Ou seja, não é privilegio do universo mikrotik.

    O problema decorre pois os sites de bancos (conexão tcp:443) verificam se os acessos originam-se do mesmo IP (cliente).

    Assim... a única forma de resolver isso é filtrar a porta tcp:443 e direcionar para APENAS um link específico.

    Ao inves de ficar listando IP por IP de sites de bancos... (voce vai ficar louco e vai deixar o processador do MK.RouterOS tambem fervendo)... faz um sourcenat especifico tcp:443 para um link que voce escolher: link1 ou link2.

    Ou seja:

    Código :
    /ip firewall nat add
    chain=srcnat
    protocol=tcp 
    dst-port=443 
    action=src-nat 
    to-addresses=<IP DO LINK1> 
    to-ports=0-65535
    Aproveito para sugerir o uso da mesma técnica para [tcp:1863] pois o MSN tambem está verificando se a conexão parte do mesmo IP.




    Abraços,



  7. #7

    Padrão

    limajr vou testar esse sua regra aqui!!! Depois posto os resultados

    Obrigado

    Clecio

    Citação Postado originalmente por limajr Ver Post
    Amigo,

    Eu criei uma regra no mangle direcionando todas as conexões via porta 443 para o link1 (adsl1), antes das regras de balanceamento, e acabou os problemas com o bradesco.

    Segue:

    ;;; Rota1 - Para Bancos
    chain=forward src-address=192.168.0.0/16 protocol=tcp dst-port=443 connection-state=new action=mark-connection new-connection-mark=Rota1 passthrough=yes

    Pode fazer que funciona.

  8. #8

    Padrão

    Ae pessoal não consegui resolver ate agora o problemas com bancos... sera que alguem tem mais alguma ideia ou uma dica de como resolvo isso, testei as dicas acima porem notei lentidão na rede com as regras aplicas.

    Abraços

    Clecio



  9. #9

    Padrão

    Citação Postado originalmente por cleciorodrigo Ver Post
    Ae pessoal não consegui resolver ate agora o problemas com bancos... sera que alguem tem mais alguma ideia ou uma dica de como resolvo isso, testei as dicas acima porem notei lentidão na rede com as regras aplicas.

    Abraços

    Clecio
    caro amigo, estive utilizando a regra também, e notei grande lentidão nos sites com a regra, fiz um teste depois e no lugar de Dst Port., botei o ip do site meuip.com.br em Dst. Address, e todas as vezes abria com o mesmo ip, então a regra esta funcionando (tudo que for pro ip X no caso o do site meuip.com.br sai por 1 link só.) porem notei grande lentidão para abrir o site. Sem a regra o site abre igual bala em todos os 3 links de internet.

  10. #10

    Padrão

    Ola cleciorodrigo,



    posso dizer que nunca tive problemas com respeito a site de bancos e nem com MSN. E, obviamente... existem varias formas de implementar isso. Mas a solução é fazer com que a conexao tcp:443 saia por apenas um link somente.


    Tenho visto algumas regras de várias pessoas amigas... e me parece que quase todos colaram as regras da mesma fonte. Ou seja: Na tabela mangle tem um monte de regras... na nat idem e na filter muito mais. E confesso que tentei entender essas regras visitadas... mas cheguei a conclusão que as regras são inócuas ou sem relevancia... mas que atrapalham bem o processador da RB ou PC. Várias regras apontam para address-lists que nem existem.

    Reafirmo que o caminho é esse...e qto a fazer ou não-fazer efeito vai depender do contexto como um todo.





    Abraços,



  11. #11

    Padrão

    A configuração abaixo são as regras aplicadas apenas estas, sem nenhum outra configuração, o que esta acontecendo é que durante o acesso ao site dos bancos os IPs são alterados, e a sessão é encerrada com o servidor, por este motivo, tentei marcar as conexões com destino na porta 443, e determinar uma rota, e tambem fazer nat nesta porta pra 1 endereço IP, porem sem sucesso, a rede fica lenta apos aplicar estas regras

    ENDEREÇAMENTO IP
    / ip address
    add address=189.47.176.133/24 network=189.47.176.0 broadcast=189.47.176.255 interface=ADSL01 comment="" disabled=no
    add address=189.47.130.139/24 network=189.47.130.0 broadcast=189.47.130.255 interface=ADSL02 comment="" disabled=no
    add address=192.168.100.1/24 network=192.168.100.0 broadcast=192.168.100.3 interface=RADIOS comment="" disabled=no
    ROTAS
    / ip route
    add dst-address=0.0.0.0/0 gateway=189.47.130.1 scope=255 target-scope=10 comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=189.47.130.1 scope=255 target-scope=10 routing-mark=segunda_rota comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=189.47.176.1 scope=255 target-scope=10 routing-mark=primeira_rota comment="" disabled=no
    MANGLE
    / ip firewall mangle
    add chain=prerouting in-interface=RADIOS connection-state=new nth=1,1,0 action=mark-connection new-connection-mark=primeiro passthrough=yes comment="Loadbalance" disabled=no
    add chain=prerouting in-interface=RADIOS connection-mark=primeiro action=mark-routing new-routing-mark=primeira_rota passthrough=no comment="" disabled=no
    add chain=prerouting in-interface=RADIOS connection-state=new nth=1,1,1 action=mark-connection new-connection-mark=segunda passthrough=yes comment="" disabled=no
    add chain=prerouting in-interface=RADIOS connection-mark=segunda action=mark-routing new-routing-mark=segunda_rota passthrough=no comment="" disabled=no
    NAT
    / ip firewall nat
    add chain=srcnat connection-mark=primeiro action=src-nat to-addresses=189.47.176.139 to-ports=0-65535 comment="NAT" disabled=no
    add chain=srcnat connection-mark=segunda action=src-nat to-addresses=189.47.130.133 to-ports=0-65535 comment="" disabled=no

  12. #12

    Padrão

    Ola cleciorodrigo,



    ... apenas para reafirmar:

    a regra da direcionamento tcp:443 voce colocou onde? No inicio de tabela "ip firewall nat"?
    Poste a versao do seu RouterOS.


    Aparentemente está tudo correto no meu ponto de vista.

    Sendo assim aproveito para convidar todos os leitores a participar dessa discussão.






    Abraços,



  13. #13

    Padrão

    Caro mson77, sim amig esta no inicio da talela nat, é primeira regra no topo de cima para baixo, porem oq acontece é que ao acionar esta regra a navegação fika muito lenta, vc tem um exemplo da regra.

    Abraços

    Clecio Rodrigo

    Citação Postado originalmente por mson77 Ver Post
    Ola cleciorodrigo,



    ... apenas para reafirmar:

    a regra da direcionamento tcp:443 voce colocou onde? No inicio de tabela "ip firewall nat"?
    Poste a versao do seu RouterOS.


    Aparentemente está tudo correto no meu ponto de vista.

    Sendo assim aproveito para convidar todos os leitores a participar dessa discussão.






    Abraços,

  14. #14

    Padrão

    Ola cleciorodrigo,


    sua afirmação de navegação lenta me parece ser extensiva... ou seja, "O TODO" passa a ficar mais lento. É isso mesmo que voce está afirmando?

    Implica que uma navegação http comum ficou mais lenta?
    Implica que um ftp/pop3/smtp passa a ficar mais lento apos ativação dessa regra que deveria atingir somente o protocolo tcp:443?


    Novamente: Qual versao do seu RouterOS? 2.9.x? 3.x????


    ===================

    Sem a regra NAT sobre tcp:443... o LB está como desejado? Digo... com respeito ao tráfego convencional... o tráfego de dados pelos ADSL01 e ADSL02 estão compativeis com o trafego pelo RADIOS?

    Observando /interfaces...:
    A soma dos TXD (ADSL01+ADSL02) ==> lembra RXD (RADIOS)?
    A soma dos RXD (ADSL01+ADSL02) ==> lembra TXD (RADIOS)?







    Abracos,



  15. #15

    Padrão

    Caro mason boa noite,

    sim a soma do trafego da interface radios, onde esta os clientes, e o trafego na interface ADSL01 e ADSL02 somados, a as 2 tem mais ou menos os mesmo consumo, e tambem nas regras do mangle a marcação é quase igual, mudando muito pouco, testei apenas o trafego http.

    Abraços

    Clecio

    Citação Postado originalmente por mson77 Ver Post
    Ola cleciorodrigo,


    sua afirmação de navegação lenta me parece ser extensiva... ou seja, "O TODO" passa a ficar mais lento. É isso mesmo que voce está afirmando?

    Implica que uma navegação http comum ficou mais lenta?
    Implica que um ftp/pop3/smtp passa a ficar mais lento apos ativação dessa regra que deveria atingir somente o protocolo tcp:443?


    Novamente: Qual versao do seu RouterOS? 2.9.x? 3.x????


    ===================

    Sem a regra NAT sobre tcp:443... o LB está como desejado? Digo... com respeito ao tráfego convencional... o tráfego de dados pelos ADSL01 e ADSL02 estão compativeis com o trafego pelo RADIOS?

    Observando /interfaces...:
    A soma dos TXD (ADSL01+ADSL02) ==> lembra RXD (RADIOS)?
    A soma dos RXD (ADSL01+ADSL02) ==> lembra TXD (RADIOS)?







    Abracos,

  16. #16

    Padrão

    Ola,



    esqueça a regra de NAT tcp:443 (desative-a)... e tente fazer via MANGLE:



    Código :
     /ip firewall mangle add chain=prerouting protocol=tcp dst-port=443 action=mark-routing  \
    new-routing-mark=primeira-rota passthrough=yes comment="" disabled=no
    Coloque essa regra no inicio da sua tabela MANGLE.

    POste se:
    a) Está acessando sites de BANCOS corretamente?
    b) Ficou lenta a navegação como um TODO?

    Por favor... realimente esse topico com informações/resultados de testes. Os ITENS (a) e (b) são 02 pontos importantes que estamos OBSERVANDO. Okay?


    • QUAL VERSÃO DO SEU RouterOS?






    .



  17. #17

    Padrão

    Citação Postado originalmente por cleciorodrigo Ver Post
    Amigos boa tarde, pessoal tenho um balanceamento rodando aqui com 2 ADSL, funcionando td perfeito, MSN, orkut, navegação porem agora tenho um cliente usando o site do Bradesco e não consegui, pois o IP muda durante a sessão de acesso ao Site. Alguem tem uma dica ai pra poder me ajudar, abaixo segue as informações de configuração do meu servidor Mikrotik

    ENDEREÇAMENTO IP


    ROTAS


    MANGLE


    NAT


    Abraços

    Clecio

    Brow.. vc tem que fazer uma regra direcionando tod trafego Http para sair sempre por um unico link q resolve... ip / firewall / mangle

  18. #18

    Padrão

    Mson boa noite, farei o teste amanha ou segundo e posto o resultado, mais certeza na segunda =)

    Estou usando o seguinte 2.9.50, e 2.9.27

    Obrigado

    Citação Postado originalmente por mson77 Ver Post
    Ola,



    esqueça a regra de NAT tcp:443 (desative-a)... e tente fazer via MANGLE:



    Código :
     /ip firewall mangle add chain=prerouting protocol=tcp dst-port=443 action=mark-routing  \
    new-routing-mark=primeira-rota passthrough=yes comment="" disabled=no
    Coloque essa regra no inicio da sua tabela MANGLE.

    POste se:
    a) Está acessando sites de BANCOS corretamente?
    b) Ficou lenta a navegação como um TODO?

    Por favor... realimente esse topico com informações/resultados de testes. Os ITENS (a) e (b) são 02 pontos importantes que estamos OBSERVANDO. Okay?


    • QUAL VERSÃO DO SEU RouterOS?





    .



  19. #19

    Padrão

    Farei o teste amigo muito obrigado

    abraços

    Clecio

    Citação Postado originalmente por Shturbo Internet Ver Post
    Brow.. vc tem que fazer uma regra direcionando tod trafego Http para sair sempre por um unico link q resolve... ip / firewall / mangle

  20. #20

    Padrão

    ate hj nada em clecio, fala serio, vamos tentar resolver isso aqui, na verdade mesmo marcando no mangle dentro do balance acho que nao vai dar certo, tem que marcar os pacotes antes de chegar no balance, aqui eu fiz o seguinte:
    servidor ---------- saida wireless
    servidor ---------- rede interna
    servidor----------- link balance
    servidor------------link proxy

    marcando os pacotes no mangle do servidor estou pondo rota no gateway mark=pacote mas mesmo assim nao estou conseguindo direcionar esses pacotes para o servidor proxy.

    obs: minha ideia eh enviar os pacotes http msn e tals para o servidor proxy que esta o link dedicado e deixando o lixo para o balance.

    o mais interresante eh o seguinte, na rede interna funciona blz...vai entender... ne...
    se quizer posto aqui o script que estou usando....