+ Responder ao Tópico



  1. #1

    Padrão Acessar antenas clientes PPPoE via Fallback IP ou RemoteAdress

    Vou descrever o cenário:

    Tenho 1 RB Mikrotik (IP:192.168.1.1) com balanceamento de 5 links, na interface local de saída tenho 1 RocketM5 em bridge (IP: 192.168.1.3), e meus clientes usam AirGridsM5 autenticando via PPPoE (remote adress:10.0.0.0/24) que é gerenciado pela RB.

    Eu coloquei em Fallback IP de cada AirGrid cliente, IP's de 192.168.2.101 em diante, e oque eu pretendo é ter acesso a todas as antenas clientes, por exemplo, eu sou um cliente comum também conectado via pppoe igual os outros com o FallbackIP 192.168.2.110, e pretendo acessar a AirGrid de outro cliente cujo FallbackIP é 192.168.2.120. Mas dá errado, e aparece a famosa página
    ERROR: Gateway Timeout do mikrotik.

    Também há a range de IP's, na qual eu determino cada IP para cada usuário pppoe na aba Secrets em PPP. Que é o remote adress, e vai de 10.0.0.1 até 10.0.0.254.
    E esse usuário de FallbackIP 192.168.2.120 que desejo acessar possui o remote adress 10.0.0.120 (ou qualquer outro ip nessa mesma faixa), e quando tento acessar pelo remote adress aparece a mesma página 'ERROR: Gateway Timeout', e não conseguindo acesso à Airgrid desse cliente.

    E por último, eu, como um cliente PPPoE, mesmo não conseguindo acessar as antenas dos outros clientes que estão na mesma RocketM5, mesma RB e mesmo servidor PPPoE, consigo acesso à RB a partir de qualquer cliente pelo IP:192.168.1.1, porém não acesso a Rocket que está em bridge como 192.168.1.3 assim como não acesso as antenas de outros clientes.


    Se puderem me explicar de forma detalhada caso tenha que criar alguma regra em firewall, eu agradeço.
    Eu gostaria muito de saber como resolver esse pepino.

    Obrigado!
    Clique na imagem para uma versão maior

Nome:	         errorgatewaytimeout.JPG
Visualizações:	279
Tamanho: 	27,2 KB
ID:      	64075Clique na imagem para uma versão maior

Nome:	         errorgatewaytimeout3.jpg
Visualizações:	462
Tamanho: 	464,9 KB
ID:      	64077Clique na imagem para uma versão maior

Nome:	         errorgatewaytimeout2.JPG
Visualizações:	320
Tamanho: 	176,9 KB
ID:      	64078
    Última edição por stylebreak; 30-05-2016 às 18:08. Razão: Adição de prints

  2. #2

    Ingresso
    Oct 2014
    Localização
    MS
    Posts
    697
    Posts de Blog
    1

    Padrão

    deve ser por causa das marcações do balance, coloca essas regras em new terminal, e a regra que gerar em mangle deixa acima das outras e testa.

    Código :
    /ip firewall address-list 
    add address=10.0.0.0/24 list=clientes
    add address=192.168.1.0/24 list=clientes
    /ip firewall mangle
    add chain=prerouting dst-address-list=clientes src-address-list=clientes

  3. #3

    Padrão Re: Acessar antenas clientes PPPoE via Fallback IP ou RemoteAdress

    Continua aparecendo o 'ERROR: Gateway timeout' da RB.
    Mesmo colocando a regra do mangle em primeiro lugar.
    Clique na imagem para uma versão maior

Nome:	         Capturar.JPG
Visualizações:	281
Tamanho: 	29,3 KB
ID:      	64080Clique na imagem para uma versão maior

Nome:	         Capturar2.JPG
Visualizações:	265
Tamanho: 	170,3 KB
ID:      	64081

  4. #4

    Padrão Re: Acessar antenas clientes PPPoE via Fallback IP ou RemoteAdress

    Alguém pode me dizer se oque eu quero é impossível?

  5. #5

    Ingresso
    Oct 2014
    Localização
    MS
    Posts
    697
    Posts de Blog
    1

    Padrão Re: Acessar antenas clientes PPPoE via Fallback IP ou RemoteAdress

    Você não ativou o cliente isolation no rocket?

  6. #6

    Padrão Re: Acessar antenas clientes PPPoE via Fallback IP ou RemoteAdress

    Sempre que você tentar alcançar uma rede da qual você não faz parte, o roteador entra em ação para "rotear" a comunicação entre as duas redes. Dispositivos conectados a rede só alcançam redes que fazem parte da rede deles ou as quais tenham rota para alcançar, ou seja, se você de um dispositivo com IP 10.0.0.10 conectado por PPPoE (rede /32 para todos os efeitos) tentar acessar o endereço 192.168.1.3, o seu gateway vai rotear esse pacote para o rocket, porém, o rocket vai receber um pacote com endereço de origem de 10.0.0.10, o qual não esta na rede dele, e dai ele pensa "e agora? aonde ta essa bagaça pra mm responder?" e então ele descarta.

    Você tem 2 saídas: criar uma rota nos dispositivos definindo o gateway para alcançar aquelas redes, ou seja, no rocket por exemplo adicionaria uma rota para a rede 10.0.0.0/24 utilizar o gateway 192.168.1.1; assim, quando o rocket receber pacote da origem 10.0.0.0/24 e não faz parte da rede dele, ele manda pro 192.168.1.1 que é seu gateway, que por sua vez conhece o 10.0.0.10 e então roteia o pacote pra la. A segunda saida, e a meu ver a mais facil, é mascarar o trafego entre as redes, para isso, no mikrotik você simplesmente coloca uma regra la no NAT dizendo que todo trafego saindo pela porta onde os clientes estão ligados devem ser mascarado, e pronto, toda a rede se enxerga e se acessa como bons amigos que são (porém adeus segurança da rede). Além disso, você precisa mascarar o trafego das interfaces pppoe dos clientes, e neste caso é mais facil você adicionar uma regra no NAT com o Src-Address igual ao pool, ou ao range completo que você usa nos secrets, e mascará-los.