mikrotik configurar routa para rede mista -- com IP Publico e IP Privado

[tonsilvas]

Boa Tarde,
Estou tendo dificuldades para configurar minha rede e gostaria da ajuda de vocês.
Segue abaixo o cenário atual (já funcionando) e o novo cenário (implantando o MK)

Cenário Atual (exemplo) (já em operação):
IP's: 189.19.66.240/28
Gateway: 189.19.66.254

Router ISP (189.19.66.254)
==>
CPU Linux (Não posso acessar nem reiniciar devido a uma atualização mal sucedida)
NIC1 WAN - 189.19.66.241 (Conectado ao Router ISP)
NIC2 LAN - 10.0.0.2/16 (Conectado ao Switch - clientes - rede interna)
==>
Cliente 1: 10.0.4.5/16 gateway 10.0.0.2
Cliente 2: 189.19.66.242/28 Gateway 189.19.66.254 -- Navegação OK e ping 189.19.66.254 OK

O Cenário acima já está operacional e foi executado pelo técnico anterior, mas como não tenho acesso a máquina para conferir e tentar desvendar as configurações e não conheço tanto de iptables / rotas quero remover a CPU e instalar um mikrotik mas estou tendo dificuldades de adaptar no mikrotik.

Novo Cenário (Com o Mikrotik):
MK - RB750
ETH1 = 189.19.66.241/28 --- WAN Conectado ao router ISP
ETH2 = Reservada
ETH3 = 10.0.0.2/16 -- LAN -- Conectado ao Switch Clientes
ETH4 = Slave-eth3
ETH5 = Slave-eth3

ip -> Firewall --> Nat --> print
0 ;;; default configuration
chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ETH1
ip -> route --> print
0 A S 0.0.0.0/0 189.19.66.254 1
1 ADC 10.0.0.0/16 10.0.0.2 ETH3 0
2 ADC 189.19.66.240/28 190.19.66.241 ETH1 0



Cliente 1: 10.0.4.5/16 ----> Navegação OK
Cliente 2: 189.19.66.242/28 ----> Sem Navegação e sem ping no 189.19.66.254 (Router ISP)

Como configurar o MK para que ele opere como o linux que já está rodando? Tanto clientes com IP Publico quanto os que tem IP Privado naveguem normalmente

Encontrei alguns impressos aqui do técnico anterior e tem as seguintes informações (talvez seja útil):
/etc/rc.d/rc.firewall
#Abre portas Rede Valida

iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 -d 189.19.66.242 -j ACCEPT
iptables -A INPUT -p udp -s 0.0.0.0/0.0.0.0 -d 189.19.66.242 -j ACCEPT

/etc/rc.d/rc.rotas
#!/bin/bash
#Ativando rotas para proxy
route add –host 189.19.66.242 dev eth1

Agradeço desde já a ajuda de todos.

[hagahood]

bem, nao tenho experiência com ip validos, mas o que é certo é que ip validos não podem/devem ser "nateados".

"cha ve se intendi":
1- vc não tem um ip valido pro roteador?
2- vc tem os clientes com ip validos(200.x.x.x) na mesma rede, i.e. entrando pela mesma porta do router, que os ip de redes(10.x.x.x)?

se for vc tem que remover a regra de NAT dos ipvalidos, e criar uma ponte entre a eth1 e eth3.

[renatocostas]

O Ideal é vc pegar as configurações de rede com seu provedor de acesso e reconfigurar com base nas configurações que enviarem para vc.

Se bem entendi vc estava usando os ip´s públicos na interface de clientes com o barramento /28, sem quebrá-lo. para conseguir isso vc teria que receber esse barramento /28 por outro ip que nao faz parte deste barramento na wan, e configurar um ip na lan dos clientes, podendo assim usar o barramento sem a necessidade de quebrá-lo. no entanto estou apenas supondo, nao entendi seu cenário direito. se conseguir as configs com seu provedor de acesso posso ajudá-lo melhor. Isso é roteamento básico não é dificil, mas preciso dos dados.

Att,

Renato Costa.
Suporte UNICA TELECOM

[tonsilvas]

Obrigado desde já,
e vamos dar outro exemplo, supondo que eu tenho apenas 2 clientes
cliente 1 IP: 10.0.4.5/16 gw 10.0.0.2
cliente 2 IP: 189.19.66.243/28 gw 189.19.66.254
router ISP: 189.19.66.254 --- Gateway para IP validos
MK:
Lan1 - 189.19.66.241 -- conectado router ISP
Lan3/4/5 - 10.0.0.2 -- gateway clientes com IP Privado

MIkrotik
lan1 - 189.19.66.241/28 gw 189.19.66.254
lan2 - reserved
lan3 - 10.0.0.2/16 (clientes)
lan4 - slave-lan3 (clientes)
lan5 - slave-lan3 (clientes)

cliente 1 -- IP 10.0.4.5/16 GW 10.0.0.2 ---> navegação ok
em www.meuip.com.br: 189.19.66.241 <-- é o IP Correto
até aqui tudo bem.

já no cliente 2 - 189.19.66.243/28 GW 189.19.66.254
- Sem navegação
- ping no gateway 189.19.66.254 -- Sem sucesso

A ideia é usar o MK e controlar a banda.

Deu pra entender melhor?

[hagahood]

vamos la.
imagina o seguinte.

o cliente 2 IP: 189.19.66.243/28 gw 189.19.66.254
ao tentar pingar o 192.19.66.254 ele nunca vai ser possivel, pois o 254 não está na rede.

tente gritar numa sala "mensagem para o flavio" se não houver "flavio"(189.19.66.254) na sala vc não tem como entregar a mensagem.
logo o computador pede para o 'mensageiro'(gateway) para que ele envie a mensagem para outra sala. porem vc informou que o mensageiro é o 'flavio'(189.19.66.254), logo o computador não tem o que fazer. vc tem somente um 'flavio' na outra sala, isto é, do outro lado do roteador.
(conseguiu entender minha metáfora?)
logo não adianta colocar os ips da rede 189.19.66.200/28 com um engatado na porta 10.0.0.2 .

-"mas no linux ta funcionando!!"
no linux está configurado uma ponte é como um hub tudo que chega em uma placa de rede é replicado do outro lado.
é uma "gambiarra" feia, mas funciona.
contudo vc não terá como gerenciar o limite de banda dos ips

outro metodo seria o sugerido pelo renatocostas

vc teria que receber esse barramento /28 por outro ip que nao faz parte deste barramento na wan, e configurar um ip na lan dos clientes, podendo assim usar o barramento sem a necessidade de quebrá-lo.

percebe-se que vc não tem um grande conhecimento de gerenciamento de redes, então sugiro tentar estudar essa parte para que vc consiga tomar qual a decisão fazer.

[tonsilvas]

De rede eu conheço,,, não conheço de criação de rotas.
Eu sei que como são ranges diferentes, só será possível criando uma rota.

E considerando que a CPU com linux atual está com problemas, mesmo que seja uma "gambiarra", será útil.

então voltando ao post inicial, por enquanto o que achei impresso:

Encontrei alguns impressos aqui do técnico anterior e tem as seguintes informações (talvez seja útil):
/etc/rc.d/rc.firewall
#Abre portas Rede Valida

iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 -d 189.19.66.242 -j ACCEPT
iptables -A INPUT -p udp -s 0.0.0.0/0.0.0.0 -d 189.19.66.242 -j ACCEPT

/etc/rc.d/rc.rotas
#!/bin/bash
#Ativando rotas para proxy
route add –host 189.19.66.242 dev eth1

Alguma sugestão de como adaptar as rotas para funcionar no mikrotik?

Obrigado desde já.

[hagahood]

ok

não sei como fazer isso por linha de comando
então espero que esteja usando ainterface grafica.

va no menu bridge e adicione uma nova ponte, depois na aba ports adicione a porta eth1 e eth3 a ponte
agora na regra nat altere a que vc tem adicionando src-address = 10.0.0.0/16

isso é pra funcionar.

[tonsilvas]

Usando sua dica aqui no laboratório deu certo.
Aqui eu não tenho vários IP Válidos mas o conceito que usei é o mesmo e funcionou inclusive nos testes de portas.

Ficando assim a configuração:
Bridge

/interface bridge
add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
disabled=no forward-delay=15s l2mtu=1524 max-message-age=20s mtu=1500 name=\
ponte priority=0x8000 protocol-mode=none transmit-hold-count=6
/interface bridge filter
add action=drop chain=forward disabled=no mac-protocol=ipv6 out-interface=\
clientes-ether3
/interface bridge port
add bridge=ponte disabled=no edge=auto external-fdb=auto horizon=none \
interface=internet-ether1 path-cost=10 point-to-point=auto priority=0x80
add bridge=ponte disabled=no edge=auto external-fdb=auto horizon=none \
interface=clientes-ether3 path-cost=10 point-to-point=auto priority=0x80
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=\
no

NAT

/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ponte

Controle de banda - Queue
** usando a dica deste post: https://under-linux.org/showthread.php?t=156120

/queue simple
add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s comment=\
"Rede Privada IP1" direction=both disabled=yes interface=all \
limit-at=0/0 max-limit=256k/1M name=queue1 parent=none priority=8 queue=\
default-small/default-small target-addresses=10.0.2.29/32 total-queue=\
default-small
add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s comment=\
"rede que sera IP Publico IP1" direction=both disabled=no \
interface=all limit-at=0/0 max-limit=256k/1M name=queue2 parent=none \
priority=8 queue=default-small/default-small target-addresses=192.168.2.50/32 \
total-queue=default-small

Vou levar o MK para o local e fazer os testes com IP Real.
Por enquanto muito obrigado a todos.

[renatocostas]

Desculpe a demora para responder. Vamos lá. a única maneira de vc repassar estes ip´s públicos para os clientes no cenário que se encontra, seria quebrando este barramento 28 para 2 /29 e redirecionar 1 /29 para a interface de clientes colocando 1 ip deste novo barramento na interface de clientes, este ip deste novo barramento que vc criaria seria o gateway dos seus clientes ip´s públicos, lembrando que vc tem que criar uma excessão para estes ips no Nat, pois não podem passar pelo NAT. Para que vc não precise de quebrar este barramento vc tem que pedir para a operadora que lhe passou estes ips para direcionar estes ips, para um ip em sua interface wan que não seja deste barramento ( detalhe, pode ser privado pois é um roteamento interno), fazendo assim vc colocaria 1 ip deste barramento direto na interface de clientes, e este seria o gateway de seus cliente, não esquecendo da exceção no NAT. Espero que tenha entendido o raciocínio pois é assim que fazemos aqui e nunca tivemos problemas, mas qualquer coisa so perguntar ou mandar um e-mail.

- - - Atualizado - - -

Desculpe a demora para responder. Vamos lá. a única maneira de vc repassar estes ip´s públicos para os clientes no cenário que se encontra, seria quebrando este barramento 28 para 2 /29 e redirecionar 1 /29 para a interface de clientes colocando 1 ip deste novo barramento na interface de clientes, este ip deste novo barramento que vc criaria seria o gateway dos seus clientes ip´s públicos, lembrando que vc tem que criar uma excessão para estes ips no Nat, pois não podem passar pelo NAT. Para que vc não precise de quebrar este barramento vc tem que pedir para a operadora que lhe passou estes ips para direcionar estes ips, para um ip em sua interface wan que não seja deste barramento ( detalhe, pode ser privado pois é um roteamento interno), fazendo assim vc colocaria 1 ip deste barramento direto na interface de clientes, e este seria o gateway de seus cliente, não esquecendo da exceção no NAT. Espero que tenha entendido o raciocínio pois é assim que fazemos aqui e nunca tivemos problemas, mas qualquer coisa so perguntar ou mandar um e-mail.