+ Responder ao Tópico



  1. #1

    Exclamation Ajuda com NAT + IP Válido

    Olá amigos.

    Após várias tentativas frustradas, venho solicitar ajuda de vcs.
    Já li vários tópicos aqui no fórum falando sobre isso mas até agora não consegui fazer funcionar.

    Eu preciso mandar um IP válido pra um cliente sob NAT.
    Eu sei q eu posso colocar um outro rádio entre meu roteador e meu servidor, mas perderia o gráfico de consumo do link, o que é sempre bom a gente estar acompanhando.

    Minha range de ip´s é /26, então eu tenho o seguinte:

    Vou assumir 10.0.0.176/26 como sendo minha faixa de ip´s apenas por questão de privacidade.
    O que consegui até agora foi pingar apenas o servidor, não consegui sair pro roteador.

    Tá configurado da seguinte forma:

    /ip address> print
    Flags: X - disabled, I - invalid, D - dynamic
    # ADDRESS NETWORK BROADCAST INTERFACE
    0 192.168.100.1/24 192.168.100.0 192.168.100.255 Rede Local
    1 10.0.0.177/24 10.0.0.0 10.0.0.255 LinkTelefonica
    2 10.0.0.181/30 10.0.0.180 10.0.0.183 Rede Local

    e no cliente configuro:

    IP: 10.0.0.182
    Mask: 255.255.255.252
    GATEWAY: 10.0.0.181

    DNS: 10.0.0.181
    DNS2: 208.67.222.222 (dns do open dns)

    e além disso tem a regrinha no firewall pra dar acesso ao servidor

    5 ;;; Allow access to router from known network_TESTE DE IP VALIDO
    chain=input action=accept src-address=10.0.0.182

    e tb coloquei ip e mac cliente na lista do arp.

    O máximo que consegui foi pingar o ip 181 e o 177, mas não consigo pingar o 176, que é meu roteador, e que está ligado no link.

    Será que além disso não é necessário criar algo em route?

    Por favor, se alguém souber como resolver me dá uma ajuda.

    Muito obrigado.

  2. #2

  3. #3

  4. #4

    Padrão

    cara,

    nesse caso a solucao é fazer NAT 1:1. Muito simples e facil de implementar.

    segue abaixo a regra, é so colocar o IP e colar!

    /ip firewall nat
    add action=dst-nat chain=dstnat comment="" disabled=no dst-address=<ip publico> to-addresses=<ip privado>
    add action=src-nat chain=srcnat comment="" disabled=no src-address=<ip privado> to-addresses=<ip publico>

  5. #5

    Padrão

    boa solucao...

    Citação Postado originalmente por anjunior Ver Post
    cara,

    nesse caso a solucao é fazer NAT 1:1. Muito simples e facil de implementar.

    segue abaixo a regra, é so colocar o IP e colar!

    /ip firewall nat
    add action=dst-nat chain=dstnat comment="" disabled=no dst-address=<ip publico> to-addresses=<ip privado>
    add action=src-nat chain=srcnat comment="" disabled=no src-address=<ip privado> to-addresses=<ip publico>

  6. #6

    Padrão

    Citação Postado originalmente por anjunior Ver Post
    cara,

    nesse caso a solucao é fazer NAT 1:1. Muito simples e facil de implementar.

    segue abaixo a regra, é so colocar o IP e colar!

    /ip firewall nat
    add action=dst-nat chain=dstnat comment="" disabled=no dst-address=<ip publico> to-addresses=<ip privado>
    add action=src-nat chain=srcnat comment="" disabled=no src-address=<ip privado> to-addresses=<ip publico>
    usando essa regra, qual é o IP de saida do cliente, o do servidor ou o ip publico que está na regra?
    criei a regra, consegui navegar, mas continuei saindo com o ip do servidor. Eu instalei o apache na máquina pra tentar entrar, de outra máquina, nesta que está com o ip publico mas nao entrou, mesmo desativando todas as regras de firewall.

  7. #7

    Padrão

    Citação Postado originalmente por byosni Ver Post
    amigo acho que este link poderia te ajudar...

    Mikrotik Fácil.com: IP Válido no MikroTik e Repasse

    Até mais..
    Então, o pouco que eu consegui fazer foi em cima daquele artigo seu.

    Só que uma diferença q notei da sua rede pra minha é q meu primeiro IP já é o ip do gateway.
    Aí acontece o seguinte, se eu fizer do jeitinho q tá lá, qd eu coloco /30 no IP da WAN, o servidor perde contato com o roteador, então voltei a deixar do jeito q estava, /24.

    Aí volto ao problema inicial, não consigo sair pro roteador na máquina cliente.

  8. #8

    Padrão

    Citação Postado originalmente por lrmurad Ver Post
    usando essa regra, qual é o IP de saida do cliente, o do servidor ou o ip publico que está na regra?
    criei a regra, consegui navegar, mas continuei saindo com o ip do servidor. Eu instalei o apache na máquina pra tentar entrar, de outra máquina, nesta que está com o ip publico mas nao entrou, mesmo desativando todas as regras de firewall.
    O Ip de saida do cliente para a internet é o IP publico.
    Levanta esse IP que voce colocou na regra na sua interface, e testa novamente.
    Voce fazendo essa regra é como se o ip publico estivesse diretamente setado no cliente. Ele faz uma traducao completa.
    Por exemplo, se o cliente quiser acessar externamente a maquina dele, ele vai poder acessar normalmente pelo ip que vc redirecionou.

  9. #9

    Padrão

    vou postar as regras.

    Tentei de duas maneiras.
    1º TESTE
    ADDRESS
    # ADDRESS NETWORK BROADCAST INTERFACE
    0 192.168.100.1/24 192.168.100.0 192.168.100.255 Rede Local
    1 201.63.186.177/24 201.63.186.0 201.63.186.255 LinkTelefonica
    2 201.63.186.180/32 201.63.186.180 201.63.186.180 LinkTelefonica

    NAT
    0 ;;; NAT
    chain=srcnat action=masquerade src-address=192.168.100.0/24
    out-interface=LinkTelefonica
    1 ;;; TESTE
    chain=dstnat action=dst-nat to-addresses=192.168.100.250
    dst-address=201.63.186.180
    2 ;;; TESTE
    chain=srcnat action=src-nat to-addresses=201.63.186.180
    src-address=192.168.100.250
    3 ;;; REDIRECIONANDO PARA O PROXY
    chain=dstnat action=redirect to-ports=3128 protocol=tcp
    src-address=192.168.100.0/24 in-interface=Rede Local dst-port=80


    2º TESTE
    ADDRESS
    0 192.168.100.1/24 192.168.100.0 192.168.100.255 Rede Local
    1 201.63.186.177/24 201.63.186.0 201.63.186.255 LinkTelefonica
    2 201.63.186.181/30 201.63.186.180 201.63.186.183 LinkTelefonica
    NAT
    0 ;;; NAT
    chain=srcnat action=masquerade src-address=192.168.100.0/24
    out-interface=LinkTelefonica
    1 ;;; TESTE
    chain=dstnat action=dst-nat to-addresses=192.168.100.250
    to-ports=0-65535 protocol=tcp dst-address=201.63.186.181
    dst-port=0-65535
    2 ;;; TESTE
    chain=srcnat action=src-nat to-addresses=201.63.186.181 to-ports=0-65535
    protocol=tcp src-address=192.168.100.250 dst-port=0-65535
    3 ;;; REDIRECIONANDO PARA O PROXY
    chain=dstnat action=redirect to-ports=3128 protocol=tcp
    src-address=192.168.100.0/24 in-interface=Rede Local dst-port=80

    Sempre desativo todas as regras do Firewall, pra ter certeza q ele não está barrando.
    Tem alguma coisa errada ou faltando?

  10. #10

    Padrão

    Consegui, ufa. até que enfim.
    Fiz o Nat 1:1.
    Agradeço imensamente a ajuda que todos vcs me deram.

    Agora, o que estava ocorrendo mesmo, é q o firewall do cliente não estava deixando acessar a máquina dele, mesmo apache estando na lista de excecoes. E eu desativando o meu firewall !!!
    Última edição por lrmurad; 04-12-2009 às 17:29. Razão: pra completar

  11. #11

    Padrão

    Só que percebi que o upload do cliente está passando por fora do controle de banda.

    Tem como resolver isso tb?

    valeu

  12. #12

    Padrão

    marquei os pacotes q passavam pela porta do ip valido e joguei no queue , pronto.