Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Vlan no Mikrotik

    Que bom!!

    Agora tu precisa nos detalhar essas ligações, interfaces e IPs, para poder achar o problema do NAT. Faz um desenho no Paint mesmo, para ilustrar.

    Abraço

  2. #22

    Padrão Re: Vlan no Mikrotik

    Blza tem o anexo com o desenho ai mas vou tentar explicar.

    Tenho um gateway (MK GW) que é uma RB 1100 que distribui ip 172 para toda a rede.

    Tenho uma RB 1200 (MK192) que distribui ip 192 para a minha vlan.

    Tenho um switch central da 3com (SW central) e um switch HP que distribui rede para o prédio A (SW prédio A).

    Tenho um servidor DNS.

    Vamos as conexões:

    O MK192 se conecta ao MK GW, ele sai pela eth1 e entra pela eth11 no MK GW.

    Esse meu MK192 se conecta ao SW central, ele sai pela eth2 e entra pela eth30 no SW Central.

    Esse meu Sw central se conecta via fibra ao Sw predio A, ele sai pela eth52 e se entra pela eth26 no SW predio A

    Em duas portas o SW predio A vão para os laboratórios que estão como untag, a eth1 e 9.

    O meu servidor DNS está conectado diretamente ao SW central, servidor de DNS para rede 172 do MK GW.

    Tenho um Servidor WEB que também está no central e com ip 172.

    Também tenho um domínio com DNS configurado para a rede 192, porém essa rede tem que se conectar a páginas que estão no meu servidor web com ip 172.

    No MK192 tenho a rota de endereçamento default 192.168.0.0/22 com gateway 192.168.0.1 e criei uma rota 0.0.0.0/0 com gateway porém não ta saindo pra internet.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         vlan.jpg
Visualizações:	118
Tamanho: 	120,1 KB
ID:      	47002  



  3. #23
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Vlan no Mikrotik

    Estou quase entendendo!! hahaha

    De onde vem a internet?

    No router que possui a ligação com a internet, nos mande a saída dos comandos:

    Código :
    /interface ethernet print

    Código :
    /ip address print

    Código :
    /ip route print

    Código :
    /ip firewall nat print

  4. #24

    Padrão Re: Vlan no Mikrotik

    Cara a internet vem pela gvt e entra no MK GW conforme a figura, esqueci de por isso no desenho, entra na eth1.

    segue os comandos feitos dentro do MK GW, como na figura o MK192 se conecta diretamente ao MK GW(como no desenho ele sai do MK192 pela eth1 e se conecta ao MK GW pela eth11), tem q se ter uma rota que direciona os pacotes 192 para o MK GW e eu não to sabendo fazer isso.

    Coloquei as informações que considerei pertinente ao caso.

    ip address print
    ;;; Rede GVT
    0 177.x.x.x/29 177.x.x.x ether1
    1 ;;; Rede Interna
    172.x.x.x/20 172.x.x.x bridge1

    A bridge é feita pela eth6


    /interface ethernet print
    # NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH
    0 ether12 1500 D4:CA:6D:2A:61:CF enabled
    1 ether13 1500 D4:CA:6D:2A:610 enabled
    2 R ;;; Link GVT
    ether1 1500 D4:CA:6D:2A:61:C4 enabled none switch2
    3 ether2 1500 D4:CA:6D:2A:61:C5 enabled none switch2
    4 R ;;; VPN Novacia
    ether3 1500 D4:CA:6D:2A:61:C6 enabled none switch2
    5 ether4 1500 D4:CA:6D:2A:61:C7 enabled none switch2
    6 ether5 1500 D4:CA:6D:2A:61:C8 enabled none switch2
    7 R ;;; Rede Corporativa
    ether6 1500 D4:CA:6D:2A:61:C9 enabled none switch1
    8 R ;;; Rede hotspot
    ether7 1500 D4:CA:6D:2A:61:CA enabled none switch1
    9 ether8 1500 D4:CA:6D:2A:61:CB enabled none switch1
    10 ether9 1500 D4:CA:6D:2A:61:CC enabled none switch1
    11 ether10 1500 D4:CA:6D:2A:61:CD enabled none switch1
    12 R ether11 1500 D4:CA:6D:2A:61:CE enabled




    ip route print


    # DST-ADDRESS PREF-SRC
    0 A S ;;; Gateway Link GVT
    0.0.0.0/0
    1 ADC 10.x.x.x/30 10.x.x.x

    3 ADC 172.x.x.x/20 172.x.x.x





    NAT


    ;;; Masquerade
    chain=srcnat action=masquerade src-address=172.x.x.x/20
    out-interface=ether1



  5. #25
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Vlan no Mikrotik

    Os clientes da rede 192 não vão para a internet?

    Se for isso mesmo, crie uma regra de NAT também para essa rede, com o src-address=192.x.x.x.

    Outra coisa. Você tem uma rota conectada para a rede 10.x.x.x, mas no IP address não tem esse IP.

  6. #26

    Padrão Re: Vlan no Mikrotik

    Essa rota 10.x.x.x é de vpn, ta funcionando certinho ai num entrei em detalhes aqui não.

    Vou colocar essa src nat e testar.

    Mas os pacotes vai se conectar ao meu servidor web na rede 172?



  7. #27
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Vlan no Mikrotik

    Se o roteamento entre as redes passar por esse router, não.

    Para isso você precisa fazer uma exceção que pode ser feita de várias maneiras, como interface, ip, etc.

    Exemplo.

    Em cada regra de masquerade, você coloca em dst-address o endereço da rede de destino, e marque o operador not (!).

    Código :
    /ip firewall nat add src-address=192.x.x.x/20 dst-address=!172.x.x.x/20 .....
     
    /ip firewall nat add dst-address=172.x.x.x/20 src-address=!192.x.x.x/20 .....

    Obs.: As regras estão incompletas, porque era apenas para ilustrar a configuração dos endereços.

    Tente isso.

  8. #28

    Padrão Re: Vlan no Mikrotik

    Citação Postado originalmente por gamineiro Ver Post
    Se o roteamento entre as redes passar por esse router, não.

    Para isso você precisa fazer uma exceção que pode ser feita de várias maneiras, como interface, ip, etc.

    Exemplo.

    Em cada regra de masquerade, você coloca em dst-address o endereço da rede de destino, e marque o operador not (!).

    Código :
    /ip firewall nat add src-address=192.x.x.x/20 dst-address=!172.x.x.x/20 .....
     
    /ip firewall nat add dst-address=172.x.x.x/20 src-address=!192.x.x.x/20 .....

    Obs.: As regras estão incompletas, porque era apenas para ilustrar a configuração dos endereços.

    Tente isso.

    Bom eu sempre entendi oq diz mas dessa vez boiei... desculpa se estou sendo chato... mas realmente não entendi...



  9. #29
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão Re: Vlan no Mikrotik

    Código :
    /ip firewall nat add src-address=192.x.x.x/20 dst-address=!172.x.x.x/20 .....  
     /ip firewall nat add src-address=172.x.x.x/20 dst-address=!192.x.x.x/20 .....

    Me passei na hora de copiar a regrae inverti os parâmetros.

    Em suas regras de masquerade, você não tem nada configurado em dst-address, certo?

    Na regra que mascara a rede 192.x.x.x, você coloca dst-address=!172.x.x.x..

    Isso quer dizer que é apenas para ir para a internet, quando o destino NÃO for a rede 172. Faça o mesmo para a outra rede que você tem.

    Pode me ligar se quiser, peça o número por PVT.

    Abraço

  10. #30

    Padrão Re: Vlan no Mikrotik

    Veja bem meus testes:

    No Rb192 configurei o masquerade como vc citou acima e permanece a rota 0.0.0.0/0 na eth1, a eth que liga a RB192 a RB GW, porém sem sucesso.

    Testei tbm sem a rota no RB192, porém sem sucesso.

    Exclui o masquerade da RB192 e configurei na RB Gw porém ainda sem sucesso, sem acesso a internet



  11. #31

    Padrão Re: Vlan no Mikrotik

    Rapaz fiz um trem aqui, num sei se ta certo mas ta roteando direitinho.

    Na eth2, que é ligada na minha rede normal coloquei como address um ip da rede 172.

    Na hora de fazer o nat com masquerade, coloquei pra fazer na eth2 sem a exceção !172.x.x.x/20.

    Rodou beleza agora.

    Segunda feira vou testar o nmap e verificar se não acha nada da outra rede.

  12. #32

    Padrão Re: Vlan no Mikrotik

    Só para finalizar,

    Configurei regras que bloqueiam nmap para minha rede 172.x.x.x e proibi acesso as principais portas...

    Vou ver como vai ficar em produção.

    Agradeço todo e qualquer auxílio.

    Se tiver alguma ressalva ou algo que esteja errado só dizer.

    Abs-