+ Responder ao Tópico



  1. #1

    Padrão Direcionar cliente para um ip válido

    Pessoal preciso fazer o seguinte :

    Tenho um link de 10 mb com vários ips válidos, e uns 10 cliente de empresas que precisam de ip válido e redirecionamento de portas para acessos externos ou outro tipo de comunicação. O link entra por uma porta em uma RB1100 e os clientes entra por outra.

    Preciso fazer o redirecionamento dos clientes para esses ips válidos e suas respectivas portas, gostaria de fazer via nat para não precisar fazer marcação de pacotes.

    Alguém teria alguma ideia ?

  2. #2
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Direcionar cliente para um ip válido

    Boa noite,


    Segue um exemplo de regra de redirecionamento.

    Código :
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=200.200.200.200 dst-port=8080 protocol=tcp to-addresses=192.168.0.1

    Voce também precisa fazer com que a saída desse cliente seja pelo mesmo IP válido usado na entrada.

    Código :
    /ip firewall nat
    add action=src-nat chain=srcnat out-interface=ether-wan src-address=192.168.0.1 to-addresses=200.200.200.200

    Lembre-se que ao menos a segunda regra precisa ficar antes da sua regra de NAT geral.

    Abraço



  3. #3

    Padrão Re: Direcionar cliente para um ip válido

    Citação Postado originalmente por gamineiro Ver Post
    Boa noite,


    Segue um exemplo de regra de redirecionamento.

    Código :
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=200.200.200.200 dst-port=8080 protocol=tcp to-addresses=192.168.0.1

    Voce também precisa fazer com que a saída desse cliente seja pelo mesmo IP válido usado na entrada.

    Código :
    /ip firewall nat
    add action=src-nat chain=srcnat out-interface=ether-wan src-address=192.168.0.1 to-addresses=200.200.200.200

    Lembre-se que ao menos a segunda regra precisa ficar antes da sua regra de NAT geral.

    Abraço
    Desculpa não poder ajudar e levantar mais dúvidas, mas acho melhor do que criar um outro tópico com assunto parecido.
    Seguinte, utilizo suas regras citadas pra direcionar ip validos aqui, funciona. Pois estou com um probleminha, seguindo seu exemplo imagine o cenário

    200.200.200.201 - INTERFACE-LINK
    200.200.200.202 - INTERFACE-LINK
    200.200.200.203 - INTERFACE-LINK
    200.200.200.204 - INTERFACE-LINK
    192.168.0.254/24 - INTERFACE-CLIENTES1
    192.168.1.254/24 - INTERFACE-CLIENTES2



    Como viu tenho 4 ips válidos adicionados na interface que recebo o link.

    Meu mascaramento ta assim:
    1 Chain: srcnat , Src Address: 192.168.0.0/24, Action Masquerade
    2 Chain: srcnat , Src Address: 192.168.1.0/24, Action Masquerade


    Usando as regras citadas eu eu defino dois ips públicos para dois clientes qualquer:
    200.200.200.204 > 192.168.0.100
    200.200.200.203 > 192.168.0.101

    Até ai sem problemas, agora como defino qual qual endereço publico os clientes normais vão utilizar? (os das duas lans citadas acima)

    As vezes quando adiciono um IP VALIDO na interface do LINK para redirecionar para algum cliente acaba que os clientes das duas lans são redirecionadas automaticamente pra ele, impossibilitando eu utilizar para para um cliente especifico.

    Tentei a regra citada usando o endereço da rede invés do endereço do cliente especifico (exemplo 192.168.0.0/24)
    Apesar de funcionar perco o acesso ao mikrotik pelo IP Válido.

    Grato pela ajuda =D

  4. #4

    Padrão Re: Direcionar cliente para um ip válido

    Woops, Pensando bem aqui, nesse caso eu deveria usar apenas a regra dizendo que tudo que vem da faixa local sai por determinado IP valido, correto? Ou devo fazer de outra forma?



  5. #5
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Direcionar cliente para um ip válido

    Bom dia,

    A segunda regra que te passei é justamente para isso. Quando você utiliza masquerade, digamos que seja "aleatório" a escolha do IP de saída quando você tem mais de um IP na interface WAN.

    Use esse código e faça as alterações necessárias:
    Código :
    /ip firewall nat add action=src-nat chain=srcnat out-interface=ether-wan src-address=192.168.0.1 to-addresses=200.200.200.200

    Abraço

  6. #6

    Padrão Re: Direcionar cliente para um ip válido

    A melhor forma de fazer é usando autenticação radius com pppoe, nosso sistema tem essa funcionalidade.
    A lógica é bem simples cadastra o IP no sistema e no mikrotik tirar o mascaramento.



  7. #7

    Padrão Re: Direcionar cliente para um ip válido

    Citação Postado originalmente por gamineiro Ver Post
    Bom dia,

    A segunda regra que te passei é justamente para isso. Quando você utiliza masquerade, digamos que seja "aleatório" a escolha do IP de saída quando você tem mais de um IP na interface WAN.

    Use esse código e faça as alterações necessárias:
    Código :
    /ip firewall nat add action=src-nat chain=srcnat out-interface=ether-wan src-address=192.168.0.1 to-addresses=200.200.200.200

    Abraço
    Então, estou utilizando essa regra, só que invés do endereço do cliente estou colocando faixa dos clientes.
    Talvez esteja faltando algo nas minhas regras, só sei que está muito estranho. Duas coisas que notei:

    O Acesso as minhas ao ips por meio da VPN fica muito lento já que o trafego acaba sedo obrigado a sair pelo ip publico.
    Essa regra em especifico, que deveria sempre estar acima do mascaramento, AUTOMATICAMENTE apos uns 10 segundos acaba descendo pra baixo e o redirecionamento parando de funcionar.

    Segue as regras que tenho no meu firewall

    /ip firewall natadd action=src-nat chain=srcnat comment="FAIXA 20 > IP PUBLICO COROMANDEL" disabled=no src-address=10.0.20.0/24 to-addresses=\
    200.XXX.XXX.208
    add action=src-nat chain=srcnat comment="FAIXA 21 > IP PUBLICO COROMANDEL" disabled=no src-address=10.0.21.0/24 to-addresses=\
    200.XXX.XXX.208
    add action=src-nat chain=srcnat comment="FAIXA 22 > IP PUBLICO PATROCINIO" disabled=no src-address=10.0.22.0/24 to-addresses=\
    200.XXX.XXX.210
    add action=masquerade chain=srcnat comment="=========================== MASCARAMENTO COROMANDEL" disabled=no src-address=\
    10.0.20.0/22
    add action=masquerade chain=srcnat comment="=========================== MASCARAMENTO PATROCINIO" disabled=no src-address=\
    10.0.24.0/28
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO DNS CTBC > OI" disabled=no dst-address=200.225.197.34 to-addresses=\
    200.222.0.34
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO DNS CTBC > OI" disabled=no dst-address=200.225.197.37 to-addresses=\
    200.222.0.35
    add action=src-nat chain=srcnat comment="FAIXA 24 > IP PUBLICO PATROCINIO" disabled=no src-address=10.0.24.0/28 to-addresses=\
    200.XXX.XXX.210
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO PORTA 2010TCP" disabled=no dst-port=2010 protocol=tcp to-addresses=\
    10.0.21.38 to-ports=2010
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO PORTA 2012TCP" disabled=no dst-port=2012 protocol=tcp to-addresses=\
    10.0.21.38 to-ports=2012
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO PORTA 2012UDP" disabled=no dst-port=2012 protocol=udp to-addresses=\
    10.0.21.38 to-ports=2012
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO PORTA 2010UDP" disabled=no dst-port=2010 protocol=udp to-addresses=\
    10.0.21.38 to-ports=2010
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO PORTA 2011TCP" disabled=no dst-port=2011 protocol=tcp to-addresses=\
    10.0.21.38 to-ports=2011
    add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO PORTA 2011UDP" disabled=no dst-port=2011 protocol=udp to-addresses=\
    10.0.21.38 to-ports=2011

    No caso a regra que apresenta problemas é justamente a FAIXA 24 > IP PUBLICO PATROCINIO.
    Note que ela esta abaixo do mascaramento, apesar de eu ter colocado ela acima ela desceu pra baixo.

  8. #8
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Direcionar cliente para um ip válido

    Bom dia,

    Você esqueceu de mencionar a interface de saída na regra de src-nat. Observe o código que mandei.

    Abraço



  9. #9

    Padrão Re: Direcionar cliente para um ip válido

    Citação Postado originalmente por gamineiro Ver Post
    Bom dia,

    Você esqueceu de mencionar a interface de saída na regra de src-nat. Observe o código que mandei.

    Abraço
    Passou despercebido aqui! hehe, muito obrigado! Ajudou bastante. Está funcionando, só uma pequena dúvida...
    No meu caso eu recebo o link direto em uma ether, essa ether ta dentro de uma bridge,
    meus ips publicos estão setados na ether invés da bridge.
    Coloquei a regra src-nat com out na ether do link, não funcinou, na BRIDGE sim.
    Ai te pergunto, o correto é eu colocar os IPS públicos na bridge ou manter do jeito que ta(setados na interface 'ether-link')?
    Sempre tive essa duvida, só que achei besta de mais pra criar tópicos!

    Obrigado pela ajuda! =)

  10. #10
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Direcionar cliente para um ip válido

    Se você tem apenas uma interface na Bridge, acredito que não faça diferença.

    Sobre a regra de firewall, teria que ter funcionado sim, alguma coisa deve ter ficado para trás.

    Abraço