Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Problema com acesso externo após OSPF

    Bom dia a todos da comunidade. Não sei se estou postando no fórum correto, caso esteja errado o tópico pode ser movido p/ o fórum correto.

    Bom, vamos lá. Cenário comum:
    Balance PCC Mikrotik-->Concentrador Mikrotik (Tudo RB Serie 1000).

    Após subir um OSPF entre o balance e o concentrador, o acesso externo (cameras, TS, DVR...) parou. Sempre fiz o direcionamento apontando p/ o ip do Concentrador, e a partir do Concentrador tem outro direcionamento que aponta p/ o ip do cliente (pppoe).

    Isso funcionava normalmente. Após o OSPF sei que o direcionamento deve ser apontado direto do balance p/ o ip do pppoe-cliente, fiz as alterações nas regras porem não funcionou.

    Segue abaixo um exemplo da regra antiga:
    add action=dst-nat chain=dstnat comment=\
    "direcionamento camera fulano" disabled=no dst-address=\ip publico dst-port=9012
    protocol=tcp to-addresses=ip concentrador \ to-ports=9012

    OSPF Balance:
    /routing ospf instance
    set [ find default=yes ] distribute-default=always-as-type-1 name=R1 router-id=\10.255.255.1
    /routing ospf network
    add area=backbone network=192.168.0.0/30
    add area=backbone network=10.255.255.1/32

    OSPF Concentrador:
    /routing ospf instance
    set [ find default=yes ] name=R2 router-id=10.255.255.2
    /routing ospf network
    add area=backbone network=192.168.0.0/30
    add area=backbone network=10.255.255.2/32
    add area=backbone network=172.16.0.0/21 = faixa dos clientes

    Quando tento o acesso externo, até chega pacotes na regra no balance mas não passa pra frente.

    Bom, se faltou alguma informação é só falarem que passo.
    Detalhe, a rede está funcionando normal, o problema é somente o acesso externo.

    Desde já agradeço a todos.

  2. #2

    Padrão Re: Problema com acesso externo após OSPF

    Se o ip do Cliente esta chegando direto no load balance pelo OSPF,agora vc redireciona direto para o ip do cliente nao mais para o concentrador.



  3. #3

    Padrão Re: Problema com acesso externo após OSPF

    Citação Postado originalmente por sostenes Ver Post
    Se o ip do Cliente esta chegando direto no load balance pelo OSPF,agora vc redireciona direto para o ip do cliente nao mais para o concentrador.
    @sostenes Sim, exatamente isso, veja o trecho que eu descrevi ao abrir o tópico:
    Após o OSPF sei que o direcionamento deve ser apontado direto do balance p/ o ip do pppoe-cliente, fiz as alterações nas regras porem não funcionou.

    então, a regra ficou assim:
    add action=dst-nat chain=dstnat comment=\
    "direcionamento camera fulano" disabled=no dst-address=\ip publico
    dst-port=9012 protocol=tcp to-addresses=172.16.x.x \
    to-ports=9012

    Detalhe: o ip 172.16.x.x é o ip do pppoe-cliente. Esse ip tá fixo no cadastro dele, sempre que autenticar pega o mesmo ip. E também está fora do Pool de endereço, então não corre o risco de outro cliente estar pegando o mesmo ip.

    Outra coisa, do balance consigo pingar normalmente no ip do pppoe-cliente.

  4. #4

    Padrão Re: Problema com acesso externo após OSPF

    Citação Postado originalmente por benerofonte Ver Post
    Voce está fazendo outro nat no concentrador?

    Porque no caso o nat deveria ser feito ou apenas no pcc ou apenas no concentrador. O OSPF vai mudar as rotas, mas na o gateway principal da rede.


    O ideal realmente seria fazer os redirecionamentos apenas no PCC, porque é ele que vai tratar a saida da sua rede. E no mikrotik nao fazer o NAT, fazer apenas o OSPF entre ele e o PCC.
    @benerofonte Sim, também isso mesmo, eu não mencionei mas não tem NAT no Concentrador. Existe apenas NAT especifico, como o NAT da pgcorte do sistema MK-Auth.



  5. #5

    Padrão Re: Problema com acesso externo após OSPF

    Citação Postado originalmente por benerofonte Ver Post
    Dá uma verificada no NAT do MK Auth, ele pode esta fazendo um NAT em cima de outro NAT. Ai o sistema de rotas fica doido e nao sabe quem tem o poder de fazer a traduçao do endereço.
    hummm entendi, pode ser mesmo, vou verificar agora.

    Desativei todos os NAT no Concentrador e não foi. Nem mesmo um simples direcionamento p/ acesso externo ao Concentrador não funciona, veja abaixo a regra que fiz, pode ser que tenha alguma coisa errada:

    add action=dst-nat chain=dstnat comment=\
    "DIRECIONA CONEXAO EXTERNA P/ O SERVER MK" dst-address=ip publico \
    dst-port=8292 protocol=tcp to-addresses=192.168.x.x to-ports=8291

    Abraço e obrigado pela força até agora.

  6. #6

    Padrão Re: Problema com acesso externo após OSPF

    @benerofonte Não é DMZ, é direcionamento mesmo. Assim, antes de subir o OSPF, eu tinha que direcionar do balance p/ o concentrador, e do concentrador p/ o ip do pppoe do cliente, correto ? Isso funcionava perfeitamente.

    Agora c/ o OSPF o certo é direcionar do balance direto p/ o ip do pppoe do cliente, por isso postei as duas regras p/ o pessoal entender certinho.

    Veja:
    Regra antes do OSPF (FUNCIONAVA NORMAL)
    add action=dst-nat chain=dstnat comment=\
    "direcionamento camera fulano" disabled=no dst-address=\ip publico dst-port=9012
    protocol=tcp to-addresses=ip concentrador \ to-ports=9012

    Agora a regra depois do OSPF (NÃO TÁ FUNCIONANDO).
    add action=dst-nat chain=dstnat comment=\
    "direcionamento camera fulano" disabled=no dst-address=\ip publico
    dst-port=9012 protocol=tcp to-addresses=172.16.x.x \
    to-ports=9012

    Detalhe: o ip 172.16.x.x é o ip do pppoe-cliente. Esse ip tá fixo no cadastro dele, sempre que autenticar pega o mesmo ip. E também está fora do Pool de endereço, então não corre o risco de outro cliente estar pegando o mesmo ip.

    Outra coisa, do balance consigo pingar normalmente no ip do pppoe-cliente.



  7. #7

    Padrão Re: Problema com acesso externo após OSPF

    Citação Postado originalmente por benerofonte Ver Post
    No caso o bom seria:


    No PCC fazer a regra direcionando a porta do cliente para o ip dele no pool do concentrador. E no cliente concentrador desativar qualquer regra de NAT ou Mascaramento.


    Ou seja, que nem eu faço aqui com os edge router. Na central tem o que faz o nat, e nas outras torres tenho o que faço o OSPF entre eles. Nao é preciso fazer um segundo NAT. Assim lá na central eu pego o ip publico, falo a porta e o ip de destino, depois ele se vira no OSPF para encontrar o cliente no outro roteador e fazer e repassar a porta.


    Nat no principal, qualquer outro que conecte via OSPF, sem NAT ou Mascaramento.


    Agora se o NAT no PCC que voce estiver fazendo está englobando todo o range ao inves de excluir em um nat separado o do cliente que voce quer acessar a camera nao vai adiantar.

    Um nat para o cliente da camera, e outro nat para o restante do pool que nao precisa de redirecionamento.
    Então benerofonte é assim mesmo que tá configurado aqui. Não tem NAT no concentrador, e a regra no balance aponta exatamente p/ o ip do cliente, digo ip do cliente poisé o ip da autenticação dele, ip do pppoe. Então não tem erro nessa parte.

    Na minha outra resposta, onde eu disse: detalhe o ip 172.16.x.x é exatamente o ip do pppoe do cliente (a autenticação que falo).
    Já a regra no balance, também é conforme você disse, veja bem minha ultima resposta.

    Abraço amigo, vou continuar tentando aqui.

  8. #8

    Padrão Re: Problema com acesso externo após OSPF

    Citação Postado originalmente por benerofonte Ver Post
    Dá ultima vez que tive um problema assim, foi uma regra sobrepondo outra nat. E outra, voce reiniciou as duas rbs, primeiro a do pcc e depois a do concentrador depois de ativar o ospf? Porque pode ter alguma regra presa por causa disso.


    Testa com um usuario conectado ao concentrador e faz um redicionamento para ele, só para ter certeza mesmo.... qualquer coisa estamos ai :-)
    Sim, já reiniciei conforme você falou. Outra coisa, o teste que fiz é exatamente o que você sugeriu, ou melhor, é isso mesmo que precisa funcionar, então: Testa com um usuario conectado ao concentrador e faz um redicionamento para ele, só para ter certeza mesmo.... qualquer coisa estamos ai :-)

    Isso já foi testado varias vezes.

    Abraço amigo, obrigado pela força.



  9. #9

    Padrão Re: Problema com acesso externo após OSPF

    Citação Postado originalmente por benerofonte Ver Post
    Pois é amigo, se fosse edge router ou freebsd eu te daria uma força maior. Mas, Mikrotik tenho pouca experiencia nele, mas com certeza é alguma regra de NAT que está sobrepondo alguma outra ou se perdendo no meio do caminho. Talvez analisando os pacotes com o wireshack voce tenha alguma noçao do que possa tá acontecendo.
    Poisé, NAT no concentrador não tem. Desativei tudo pra testar. Unico NAT agora é no balance p/ os links.

    Abraço.

  10. #10

    Padrão Re: Problema com acesso externo após OSPF

    Adicione a interface de saida na regra.



  11. #11

    Padrão Re: Problema com acesso externo após OSPF

    Citação Postado originalmente por sostenes Ver Post
    Adicione a interface de saida na regra.
    @sostenes você se refere a regra de NAT p/ os links ?
    Veja abaixo um exemplo da minha regra de nat no balance:
    add action=masquerade chain=srcnat out-interface=adsl-07
    add action=masquerade chain=srcnat out-interface="ether2 fibra

    Abraço.

  12. #12

    Padrão Re: Problema com acesso externo após OSPF

    remova a regra antiga do concentrador,verifique se com i ip do do cliente o dvr abre em intranet, esse ip publico que vc quer fazer dst-nat e o mesmo ip da interface da entrada o e outro?



  13. #13

    Padrão Re: Problema com acesso externo após OSPF

    Citação Postado originalmente por sostenes Ver Post
    remova a regra antiga do concentrador,verifique se com i ip do do cliente o dvr abre em intranet, esse ip publico que vc quer fazer dst-nat e o mesmo ip da interface da entrada o e outro?
    Desculpe @sostenes, mas qual regra antiga do concentrador você se refere ? O ip publico é do link dedicado, é o ip setado em ip>address, veja:
    add address=200.2xx.xxx.xxx/29 comment="LINK FIBRA" interface="ether2 fibra
    network=200.2xx.xxx.xxx

    Por esse ip tenho acesso externo só até o balance, e antes do OSPF, era o mesmo ip que usamos p/ acesso externo ao concentrador e câmeras, dvr e tals.

  14. #14

    Padrão Re: Problema com acesso externo após OSPF

    Galera, consegui resolver graças a força do nosso amigo @Arthur Bernardes
    O problema não era exatamente no OSPF, mas sim no meu balance. trocando ideias c/ o Arthur e após vários e vários testes conseguimos resolver c/ as regras abaixo:

    /ip firewall address-list
    add address=10.0.0.0/8 list=out-load
    add address=172.16.0.0/16 list=out-load
    add address=192.168.0.0/16 list=out-load

    add action=jump chain=prerouting comment="MARCAS PCC" dst-address-list=!out-load \
    dst-address-type=!local in-interface=ether4 jump-target=BALANCE \
    src-address-list=rede-local

    Só lembrando que meu balance é PCC.

    Abraço meu amigo Arthur e a todos que responderam.



  15. #15

    Padrão Re: Problema com acesso externo após OSPF

    Boa noite @FabianoMartins2

    O assunto aqui tratado nesse neste tópico e a situação relatada por você é exatamente minha situação. então ja que vc conseguiu resolver me da uma luz apenas nas informações postadas acima.

    quando vc resolveu, onde ficou ativado o nat, no balance, no concentrador ou nas duas RBs?

    você continuou com o ospf ativado?

    esses ranges 10.0.0.0/8 , 172.16.0.0/16 e 192.168.0.0/16 são dos seus clientes?

    a ether4 é a saída para a RB concetradora?

    essa regra de jump fica acima de todas as regras do mangle?

    conto com sua ajuda... penando com isso aqui cara! =(

    att

  16. #16

    Padrão Re: Problema com acesso externo após OSPF

    Citação Postado originalmente por arthursena_ Ver Post
    Boa noite @FabianoMartins2

    O assunto aqui tratado nesse neste tópico e a situação relatada por você é exatamente minha situação. então ja que vc conseguiu resolver me da uma luz apenas nas informações postadas acima.

    quando vc resolveu, onde ficou ativado o nat, no balance, no concentrador ou nas duas RBs?
    NAT só no balance

    você continuou com o ospf ativado?
    Sim

    esses ranges 10.0.0.0/8 , 172.16.0.0/16 e 192.168.0.0/16 são dos seus clientes?
    Não. Na verdade essas ranges são as faixas internas (privadas), e usando a exceção ! digo ao balance p/ balancear tudo exceto a address-list que contém as faixas privadas.

    a ether4 é a saída para a RB concetradora?
    Sim, mas na regra de JUMP, nem precisa apontar.

    essa regra de jump fica acima de todas as regras do mangle?
    Fica acima das regras da divisão dos links.

    conto com sua ajuda... penando com isso aqui cara! =(

    att
    Vê aí se ajudou, abraço.



  17. #17

    Padrão Re: Problema com acesso externo após OSPF

    @FabianoMartins2 muito bom suas dicas.

    so mais duas duvidas...

    1º) Na sua regra de JUMP em JUMP TARGET vc ta usando o nome BALANCE. no meu caso aqui teria que ser o nome que esta no meu BALANCE PCC. correto?

    2º) as regras de redirecionamento de portas do seus clientes que usam DVR. são acrescentadas somente na RB BALANCE ou na CONCENTRADORA? poderia postar um exemplo da regra aqui pra mim.

    agradeço

  18. #18

    Padrão Re: Problema com acesso externo após OSPF

    Citação Postado originalmente por arthursena_ Ver Post
    @FabianoMartins2 muito bom suas dicas.

    so mais duas duvidas...

    1º) Na sua regra de JUMP em JUMP TARGET vc ta usando o nome BALANCE. no meu caso aqui teria que ser o nome que esta no meu BALANCE PCC. correto?
    Nesse caso, nas regras da divisão, em Chain onde normalmente se usa: prerouting, input, forward... você seleciona o JUMP, que no meu caso quando criei o JUMP usei o nome BALANCE em JUMP TARGET.

    2º) as regras de redirecionamento de portas do seus clientes que usam DVR. são acrescentadas somente na RB BALANCE ou na CONCENTRADORA? poderia postar um exemplo da regra aqui pra mim.
    Aqui depende, se usar OSPF pode apontar do balance direto p/ o ip do cliente, mas pra isso funcionar o cliente precisa ser mantido sempre no mesmo link.
    Agora se não tiver OSPF e usar NAT no concentrador, vai precisar apontar do balance p/ o concentrador, e do concentrador p/ o ip do cliente.

    agradeço
    Abraço.



  19. #19

    Padrão Re: Problema com acesso externo após OSPF

    Meu caro FabianoMartins2, estou com esse mesmo problema aqui, gostaria de pedir sua ajuda para achar uma solução, 1 duvidas seria o que colocar em JUMP em JUMP TARGET no seu caso você colocou BALANCE, 2 os ip's abordados no Address Lists e o mesmo do Networks no OSPF? Dentro do possivel, colocar um passo a passo, aguardo resposta, grato...

  20. #20

    Padrão Re: Problema com acesso externo após OSPF

    Citação Postado originalmente por fabiofd Ver Post
    Meu caro FabianoMartins2, estou com esse mesmo problema aqui, gostaria de pedir sua ajuda para achar uma solução, 1 duvidas seria o que colocar em JUMP em JUMP TARGET no seu caso você colocou BALANCE, 2 os ip's abordados no Address Lists e o mesmo do Networks no OSPF? Dentro do possivel, colocar um passo a passo, aguardo resposta, grato...
    Blz, vamos ver. O que eu puder ajudar to por aqui. A noite te respondo c/ mais calma, agora to na correria saindo p/ atender clientes.

    Abraço.