+ Responder ao Tópico



  1. #1

    Question mikrotik configurar routa para rede mista -- com IP Publico e IP Privado

    Boa Tarde,
    Estou tendo dificuldades para configurar minha rede e gostaria da ajuda de vocês.
    Segue abaixo o cenário atual (já funcionando) e o novo cenário (implantando o MK)

    Cenário Atual (exemplo) (já em operação):
    IP's: 189.19.66.240/28
    Gateway: 189.19.66.254

    Router ISP (189.19.66.254)
    ==>
    CPU Linux (Não posso acessar nem reiniciar devido a uma atualização mal sucedida)
    NIC1 WAN - 189.19.66.241 (Conectado ao Router ISP)
    NIC2 LAN - 10.0.0.2/16 (Conectado ao Switch - clientes - rede interna)
    ==>
    Cliente 1: 10.0.4.5/16 gateway 10.0.0.2
    Cliente 2: 189.19.66.242/28 Gateway 189.19.66.254 -- Navegação OK e ping 189.19.66.254 OK

    O Cenário acima já está operacional e foi executado pelo técnico anterior, mas como não tenho acesso a máquina para conferir e tentar desvendar as configurações e não conheço tanto de iptables / rotas quero remover a CPU e instalar um mikrotik mas estou tendo dificuldades de adaptar no mikrotik.

    Novo Cenário (Com o Mikrotik):
    MK - RB750
    ETH1 = 189.19.66.241/28 --- WAN Conectado ao router ISP
    ETH2 = Reservada
    ETH3 = 10.0.0.2/16 -- LAN -- Conectado ao Switch Clientes
    ETH4 = Slave-eth3
    ETH5 = Slave-eth3

    ip -> Firewall --> Nat --> print
    0 ;;; default configuration
    chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ETH1
    ip -> route --> print
    0 A S 0.0.0.0/0 189.19.66.254 1
    1 ADC 10.0.0.0/16 10.0.0.2 ETH3 0
    2 ADC 189.19.66.240/28 190.19.66.241 ETH1 0



    Cliente 1: 10.0.4.5/16 ----> Navegação OK
    Cliente 2: 189.19.66.242/28 ----> Sem Navegação e sem ping no 189.19.66.254 (Router ISP)

    Como configurar o MK para que ele opere como o linux que já está rodando? Tanto clientes com IP Publico quanto os que tem IP Privado naveguem normalmente

    Encontrei alguns impressos aqui do técnico anterior e tem as seguintes informações (talvez seja útil):
    /etc/rc.d/rc.firewall
    #Abre portas Rede Valida

    iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 -d 189.19.66.242 -j ACCEPT
    iptables -A INPUT -p udp -s 0.0.0.0/0.0.0.0 -d 189.19.66.242 -j ACCEPT

    /etc/rc.d/rc.rotas
    #!/bin/bash
    #Ativando rotas para proxy
    route add –host 189.19.66.242 dev eth1

    Agradeço desde já a ajuda de todos.

  2. #2

    Padrão Re: mikrotik configurar routa para rede mista -- com IP Publico e IP Privado

    bem, nao tenho experiência com ip validos, mas o que é certo é que ip validos não podem/devem ser "nateados".

    "cha ve se intendi":
    1- vc não tem um ip valido pro roteador?
    2- vc tem os clientes com ip validos(200.x.x.x) na mesma rede, i.e. entrando pela mesma porta do router, que os ip de redes(10.x.x.x)?

    se for vc tem que remover a regra de NAT dos ipvalidos, e criar uma ponte entre a eth1 e eth3.



  3. #3
    Avatar de renatocostas
    Ingresso
    Dec 2007
    Localização
    Av. Santos Dumont 119, centro -Montes Claros MG
    Posts
    288

    Padrão Re: mikrotik configurar routa para rede mista -- com IP Publico e IP Privado

    O Ideal é vc pegar as configurações de rede com seu provedor de acesso e reconfigurar com base nas configurações que enviarem para vc.

    Se bem entendi vc estava usando os ip´s públicos na interface de clientes com o barramento /28, sem quebrá-lo. para conseguir isso vc teria que receber esse barramento /28 por outro ip que nao faz parte deste barramento na wan, e configurar um ip na lan dos clientes, podendo assim usar o barramento sem a necessidade de quebrá-lo. no entanto estou apenas supondo, nao entendi seu cenário direito. se conseguir as configs com seu provedor de acesso posso ajudá-lo melhor. Isso é roteamento básico não é dificil, mas preciso dos dados.

    Att,

    Renato Costa.
    Suporte UNICA TELECOM

  4. #4

    Padrão Re: mikrotik configurar routa para rede mista -- com IP Publico e IP Privado

    Obrigado desde já,
    e vamos dar outro exemplo, supondo que eu tenho apenas 2 clientes
    cliente 1 IP: 10.0.4.5/16 gw 10.0.0.2
    cliente 2 IP: 189.19.66.243/28 gw 189.19.66.254
    router ISP: 189.19.66.254 --- Gateway para IP validos
    MK:
    Lan1 - 189.19.66.241 -- conectado router ISP
    Lan3/4/5 - 10.0.0.2 -- gateway clientes com IP Privado

    MIkrotik
    lan1 - 189.19.66.241/28 gw 189.19.66.254
    lan2 - reserved
    lan3 - 10.0.0.2/16 (clientes)
    lan4 - slave-lan3 (clientes)
    lan5 - slave-lan3 (clientes)

    cliente 1 -- IP 10.0.4.5/16 GW 10.0.0.2 ---> navegação ok
    em www.meuip.com.br: 189.19.66.241 <-- é o IP Correto
    até aqui tudo bem.

    já no cliente 2 - 189.19.66.243/28 GW 189.19.66.254
    - Sem navegação
    - ping no gateway 189.19.66.254 -- Sem sucesso

    A ideia é usar o MK e controlar a banda.

    Deu pra entender melhor?



  5. #5

    Padrão Re: mikrotik configurar routa para rede mista -- com IP Publico e IP Privado

    vamos la.
    imagina o seguinte.

    o cliente 2 IP: 189.19.66.243/28 gw 189.19.66.254
    ao tentar pingar o 192.19.66.254 ele nunca vai ser possivel, pois o 254 não está na rede.

    tente gritar numa sala "mensagem para o flavio" se não houver "flavio"(189.19.66.254) na sala vc não tem como entregar a mensagem.
    logo o computador pede para o 'mensageiro'(gateway) para que ele envie a mensagem para outra sala. porem vc informou que o mensageiro é o 'flavio'(189.19.66.254), logo o computador não tem o que fazer. vc tem somente um 'flavio' na outra sala, isto é, do outro lado do roteador.
    (conseguiu entender minha metáfora?)
    logo não adianta colocar os ips da rede 189.19.66.200/28 com um engatado na porta 10.0.0.2 .

    -"mas no linux ta funcionando!!"
    no linux está configurado uma ponte é como um hub tudo que chega em uma placa de rede é replicado do outro lado.
    é uma "gambiarra" feia, mas funciona.
    contudo vc não terá como gerenciar o limite de banda dos ips

    outro metodo seria o sugerido pelo renatocostas
    vc teria que receber esse barramento /28 por outro ip que nao faz parte deste barramento na wan, e configurar um ip na lan dos clientes, podendo assim usar o barramento sem a necessidade de quebrá-lo.
    percebe-se que vc não tem um grande conhecimento de gerenciamento de redes, então sugiro tentar estudar essa parte para que vc consiga tomar qual a decisão fazer.

  6. #6

    Padrão Re: mikrotik configurar routa para rede mista -- com IP Publico e IP Privado

    De rede eu conheço,,, não conheço de criação de rotas.
    Eu sei que como são ranges diferentes, só será possível criando uma rota.

    E considerando que a CPU com linux atual está com problemas, mesmo que seja uma "gambiarra", será útil.

    então voltando ao post inicial, por enquanto o que achei impresso:

    Encontrei alguns impressos aqui do técnico anterior e tem as seguintes informações (talvez seja útil):
    /etc/rc.d/rc.firewall
    #Abre portas Rede Valida

    iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 -d 189.19.66.242 -j ACCEPT
    iptables -A INPUT -p udp -s 0.0.0.0/0.0.0.0 -d 189.19.66.242 -j ACCEPT

    /etc/rc.d/rc.rotas
    #!/bin/bash
    #Ativando rotas para proxy
    route add –host 189.19.66.242 dev eth1
    Alguma sugestão de como adaptar as rotas para funcionar no mikrotik?

    Obrigado desde já.



  7. #7

    Padrão Re: mikrotik configurar routa para rede mista -- com IP Publico e IP Privado

    ok

    não sei como fazer isso por linha de comando
    então espero que esteja usando ainterface grafica.

    va no menu bridge e adicione uma nova ponte, depois na aba ports adicione a porta eth1 e eth3 a ponte
    agora na regra nat altere a que vc tem adicionando src-address = 10.0.0.0/16

    isso é pra funcionar.

  8. #8

    Padrão Re: mikrotik configurar routa para rede mista -- com IP Publico e IP Privado

    Usando sua dica aqui no laboratório deu certo.
    Aqui eu não tenho vários IP Válidos mas o conceito que usei é o mesmo e funcionou inclusive nos testes de portas.

    Ficando assim a configuração:
    Bridge
    /interface bridge
    add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
    disabled=no forward-delay=15s l2mtu=1524 max-message-age=20s mtu=1500 name=\
    ponte priority=0x8000 protocol-mode=none transmit-hold-count=6
    /interface bridge filter
    add action=drop chain=forward disabled=no mac-protocol=ipv6 out-interface=\
    clientes-ether3
    /interface bridge port
    add bridge=ponte disabled=no edge=auto external-fdb=auto horizon=none \
    interface=internet-ether1 path-cost=10 point-to-point=auto priority=0x80
    add bridge=ponte disabled=no edge=auto external-fdb=auto horizon=none \
    interface=clientes-ether3 path-cost=10 point-to-point=auto priority=0x80
    /interface bridge settings
    set use-ip-firewall=yes use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=\
    no
    NAT
    /ip firewall nat
    add action=masquerade chain=srcnat disabled=no out-interface=ponte
    Controle de banda - Queue
    ** usando a dica deste post: https://under-linux.org/showthread.php?t=156120
    /queue simple
    add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s comment=\
    "Rede Privada IP1" direction=both disabled=yes interface=all \
    limit-at=0/0 max-limit=256k/1M name=queue1 parent=none priority=8 queue=\
    default-small/default-small target-addresses=10.0.2.29/32 total-queue=\
    default-small
    add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s comment=\
    "rede que sera IP Publico IP1" direction=both disabled=no \
    interface=all limit-at=0/0 max-limit=256k/1M name=queue2 parent=none \
    priority=8 queue=default-small/default-small target-addresses=192.168.2.50/32 \
    total-queue=default-small
    Vou levar o MK para o local e fazer os testes com IP Real.
    Por enquanto muito obrigado a todos.



  9. #9
    Avatar de renatocostas
    Ingresso
    Dec 2007
    Localização
    Av. Santos Dumont 119, centro -Montes Claros MG
    Posts
    288

    Padrão Re: mikrotik configurar routa para rede mista -- com IP Publico e IP Privado

    Desculpe a demora para responder. Vamos lá. a única maneira de vc repassar estes ip´s públicos para os clientes no cenário que se encontra, seria quebrando este barramento 28 para 2 /29 e redirecionar 1 /29 para a interface de clientes colocando 1 ip deste novo barramento na interface de clientes, este ip deste novo barramento que vc criaria seria o gateway dos seus clientes ip´s públicos, lembrando que vc tem que criar uma excessão para estes ips no Nat, pois não podem passar pelo NAT. Para que vc não precise de quebrar este barramento vc tem que pedir para a operadora que lhe passou estes ips para direcionar estes ips, para um ip em sua interface wan que não seja deste barramento ( detalhe, pode ser privado pois é um roteamento interno), fazendo assim vc colocaria 1 ip deste barramento direto na interface de clientes, e este seria o gateway de seus cliente, não esquecendo da exceção no NAT. Espero que tenha entendido o raciocínio pois é assim que fazemos aqui e nunca tivemos problemas, mas qualquer coisa so perguntar ou mandar um e-mail.

    - - - Atualizado - - -

    Desculpe a demora para responder. Vamos lá. a única maneira de vc repassar estes ip´s públicos para os clientes no cenário que se encontra, seria quebrando este barramento 28 para 2 /29 e redirecionar 1 /29 para a interface de clientes colocando 1 ip deste novo barramento na interface de clientes, este ip deste novo barramento que vc criaria seria o gateway dos seus clientes ip´s públicos, lembrando que vc tem que criar uma excessão para estes ips no Nat, pois não podem passar pelo NAT. Para que vc não precise de quebrar este barramento vc tem que pedir para a operadora que lhe passou estes ips para direcionar estes ips, para um ip em sua interface wan que não seja deste barramento ( detalhe, pode ser privado pois é um roteamento interno), fazendo assim vc colocaria 1 ip deste barramento direto na interface de clientes, e este seria o gateway de seus cliente, não esquecendo da exceção no NAT. Espero que tenha entendido o raciocínio pois é assim que fazemos aqui e nunca tivemos problemas, mas qualquer coisa so perguntar ou mandar um e-mail.