Página 1 de 4 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá.

    Tenho um router A que possui alguns endereços IP na Internet. Há o router B, que não possui IP na Internet e está atrás de um NAT em um terceiro router C que possui IP na Internet mas por algumas questões não posso fazer o port forwarding nele. Ambos rodam Mikrotik RouterOS.
    Os routers A e B estão ligados por túneis EoIP por meio de um bridge no router C:

    router A ---- eoip ---- router C [bridge] ---- eoip ---- router B

    Estou tentando fazer o port forwarding de uma range de portas em um dos IPs do router A para o router B através desse túnel.

    No router A tenho somente as seguintes regras no firewall, nenhuma mais:
    Código :
    /ip firewall nat
    add action=src-nat chain=srcnat disabled=no protocol=tcp src-address=\
        <IP DO ROUTER B NO EOIP> src-port=<RANGE DE PORTAS> to-addresses=<IP NA INTERNET> to-ports=\
        <RANGE DE PORTAS>
    add action=dst-nat chain=dstnat disabled=no dst-address=<IP NA INTERNET> \
        dst-port=<RANGE DE PORTAS> protocol=tcp to-addresses=<IP DO ROUTER B NO EOIP> to-ports=\
        <RANGE DE PORTAS>
    add action=src-nat chain=srcnat disabled=no protocol=udp src-address=\
        <IP DO ROUTER B NO EOIP> src-port=<RANGE DE PORTAS> to-addresses=<IP NA INTERNET> to-ports=\
        <RANGE DE PORTAS>
    add action=dst-nat chain=dstnat disabled=no dst-address=<IP NA INTERNET> \
        dst-port=<RANGE DE PORTAS> protocol=udp to-addresses=<IP DO ROUTER B NO EOIP> to-ports=\
        <RANGE DE PORTAS>

    No router B quero fazer o forwarding de uma dessas portas para um servidor em uma rede interna, e para isso tenho as seguintes regras nele, as únicas regras:
    Código :
    /ip firewall nat
    add action=src-nat chain=srcnat disabled=no protocol=tcp src-address=\
        <IP DO SERVIDOR INTERNO> src-port=<PORTA> to-addresses=<IP DO ROUTER B NO EOIP> to-ports=\
        <PORTA>
    add action=dst-nat chain=dstnat disabled=no dst-address=<IP DO ROUTER B NO EOIP> \
        dst-port=<PORTA> protocol=tcp to-addresses=<IP DO SERVIDOR INTERNO> to-ports=\
        <PORTA>
    add action=src-nat chain=srcnat disabled=no protocol=udp src-address=\
        <IP DO SERVIDOR INTERNO> src-port=<PORTA> to-addresses=<IP DO ROUTER B NO EOIP> to-ports=\
        <PORTA>
    add action=dst-nat chain=dstnat disabled=no dst-address=<IP DO ROUTER B NO EOIP> \
        dst-port=<PORTA> protocol=udp to-addresses=<IP DO SERVIDOR INTERNO> to-ports=\
        <PORTA>

    Configurei a interface web do RouterOS no router B para uma das portas na range forwarded, sem restrição de origem de acesso, mas não consigo acessá-la por meio do endereço http://<IP DO ROUTER A NA INTERNET>:<PORTA>.
    Fica carregando interminantemente. Também não consigo acessar na rede do router B o servidor interno devidamente configurado na porta encaminhada para ele.

    O tracking está ativo no firewall dos dois routers. Quando tento acessar a interface web do router B pelo IP público do router A posso ver que o tráfego está passando pela regra dstnat, somente ela. Vejo que na lista de conexões surgem algumas com destino ao IP do router B no túnel EoIP e a porta que tentei acessar (da interface web), porém o estado delas está sempre em syn-received ou syn-sent. Isso ocorre com qualquer porta que eu tentar acessar, inclusive a que encaminhei no router B para o servidor interno.

    No router B não surge nenhum tráfego em regra alguma dstnat ou srcnat, porém vejo na lista de conexões ativas que as mesmas que aparecem no router A aparecem também nesse, e na mesma situação, sempre no estado syn-received ou syn-sent. Isso também ocorre como no caso anterior, em conexões a quaisquer portas, inclusive a que encaminho para o servidor interno.

    Eu consigo fazer "funcionar" substituindo de src-nat para masquerade o action das regras do chain srcnat. Porém não quero assim pois o IP que vejo nos acessos que chegam, tanto no router B quanto no servidor interno são dos routers, quando na verdade quero o IP na Internet de quem fez a conexão, como aparece nas conexões com status syn-received e syn-sent na lista, como citei anteriormente.

    E aí, galera, o que está acontecendo com esses routers? Como posso resolver isso? Já tentei reiniciar os dois, definir a interface de saída nas regras srcnat e alterar os action para netmap, mas nada solucionou o caso.
    Conto com a ajuda de vocês. Até mais.
    Última edição por TsouzaR; 11-05-2014 às 22:11.

  2. Boa noite amigo,

    Muito interessante esse seu cenário, mas fica praticamente impossível entender sem um desenho. Poderia fazer um esboço?

    Abraço



  3. Citação Postado originalmente por gamineiro Ver Post
    Boa noite amigo, Muito interessante esse seu cenário, mas fica praticamente impossível entender sem um desenho. Poderia fazer um esboço? Abraço
    Fiz esse aqui, espero que ajude:

    Clique na imagem para uma versão maior

Nome:	         topologia.png
Visualizações:	111
Tamanho: 	38,1 KB
ID:      	51731

    No router C há um bridge entre o túnel EoIP com o router A e o outro com o router B.
    Não mencionei no post inicial nem na imagem, mas entre os routers C e B há um PC rodando Linux que é quem efetivamente faz a conexão entre os dois. Ele faz um NAT bidirecional (uma regra para cada sentido) com masquerade, mas ao meu ver isso não tem influência alguma no problema tratado, por isso não citei esse detalhe.

  4. Resumindo, você precisa que o SERVIDOR navegue na internet por meio do Router A, isso?
    Precisa que TODAS as portas saiam por esse router, ou apenas esse range de portas?



  5. Citação Postado originalmente por gamineiro Ver Post
    Resumindo, você precisa que o SERVIDOR navegue na internet por meio do Router A, isso?
    Precisa que TODAS as portas saiam por esse router, ou apenas esse range de portas?
    Não não, preciso que todo tráfego que chegue no router A em uma range de portas específicas (ex.: 8451-8456) seja encaminhado para o router B, que por sua vez encaminha o tráfego em algumas dessas portas (ex.: 8454-8456) para o servidor, enquanto usa as restantes para permitir acesso remoto a si mesmo.

    Vamos supor que o IP público no router A que quero usar seja 198.51.100.26.
    O túnel EoIP é endereçado na faixa 192.168.84.0/30, sendo que 192.168.84.2 é o router A e 192.168.84.1 é o router B.

    O tráfego que chegar em 198.51.100.26, nas portas entre 8451 e 8456 deve ser encaminhado para 192.168.84.1.
    Agora no router B, o tráfego que chegar em 192.168.84.1 nas portas entre 8454 e 8456 deve ser encaminhado para o servidor interno, ex.: 10.2.15.121.
    As portas restantes, 8451-8453, o router B usará para fornecer acesso a si mesmo pela Internet, ex.: interface web de configuração, SSH e API, acessíveis cada um por uma porta dessas no IP 198.51.100.26.

    Configurei nos dois routers as regras que citei no começo do tópico, mas estão ocorrendo os problemas que falei.






Tópicos Similares

  1. Respostas: 1
    Último Post: 10-05-2013, 10:10
  2. Port Forwarding com o Putty + OpenSSH
    Por supercelso no fórum Servidores de Rede
    Respostas: 4
    Último Post: 10-01-2006, 10:50
  3. Port Forward com Iptables
    Por Luciano_g no fórum Servidores de Rede
    Respostas: 1
    Último Post: 25-05-2005, 08:12
  4. Problemas fazendo port forwarding para NetMeeting
    Por Ganymede no fórum Servidores de Rede
    Respostas: 2
    Último Post: 22-01-2003, 12:07
  5. Respostas: 3
    Último Post: 07-01-2003, 22:09

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L