Roteamento de redes (nat não permite ficar ok)

[nataniel]

Pessoal,

Eu tenho uma rede onde meu link de dados (PPP) chega a um roteador. Tenho vários blocos de IPs que utilizo em meus serviços e dois deles são usados para os clientes em si. O problema é que meus clientes não estão ligados diretamente ao roteador, minha topologia é assim:

[roteador] <-> [servidor gw interno] <-> [servidor gw clientes] <-> [clientes]

No roteador existe uma regra de roteamento que diz a ele que a rede 200.200.200.0/24 (dos meus clientes) é administrada pelo IP do servidor gw interno. Este por sua vez direciona o tráfego para o servidor gw dos clientes e este faz a conexão dos clientes (PPPoE) e atribui IP aos clientes.

Vejamos o fluxo desde a saída do roteador até o cliente:

Código :

roteador > 200.163.208.1/26
 
servidor 1.eth0 > 200.163.208.2/26
servidor 1.eth1 > 172.20.0.161/30
 
servidor 2.eth0 > 172.20.0.164/30
servidor 2.eth1.pppoe > 200.140.222.129/25

Agora vejam o ping feito pelo site DNSStuff.com:

http://www.dnsstuff.com/tools/ping.c...00.140.222.129

Maravilha, minha tabela de roteamento está ok e direcionando o tráfego para o lugar certo. O problema começa aqui. Um cliente qualquer recebeu um IP qualquer tipo 200.140.222.182 (está logado no momento) e eu testo do DNSStuff novamente e tenho o retorno:

Código :

Pinging 200.140.222.182 [200.140.222.182]:
 
Ping #1: Got reply from 200.140.222.182 in 219ms [TTL=112]
Ping #2: Got reply from 200.140.222.182 in 183ms [TTL=112]
Ping #3: Got reply from 200.140.222.182 in 185ms [TTL=112]
Ping #4: Got reply from 200.140.222.182 in 213ms [TTL=112]
 
Done pinging 200.140.222.182!

Aparentemente está tudo funcionando. O que acontece é que o cliente, quando se conecta em qualquer lugar, seja o tipo de conexão que for (as HTTP obviamente fica o IP do meu servidor cache, mas como falei não é o caso já que em conexões POP, SMTP, FTP e outras), fica registrado o IP 200.163.208.2 que é do meu servidor 1.

No servidor 1 eu tenho uma regra que mascara o tráfego que vem da rede 172.20.0.160/30 pois sem essa regra outros clientes de redes não roteáveis (192.168.x.x) que estão conectado ao servidor 2, e mesmo os com rede roteável, não conseguem acesso.

Acho que o problema está no NAT mas não sei como solucioná-lo.

Se alguém puder me ajudar eu fico grato.

[nataniel]

Ninguém me ajuda com isso?!

Por favor... eu imploro...

[mistymst]

nao faça nat para os seus usuarios que tem ip valido na internet, saca? como estao suas regras da nat?

[nataniel]

mistymst,

A situação é a seguinte:

Código :

roteador - IP: 200.163.208.1/26
 
servidor01.eth0: 200.163.208.2/26
servidor01.eth1: 172.20.0.161/29
 
servidor02.eth0: 172.20.0.164/29
servidor02.eth1:0: 200.163.208.65/26
servidor02.eth1:1: 192.168.167.1/24
 
cliente01: 200.163.208.66/26 (gw 200.163.208.65)
cliente02: 200.163.208.67/26
cliente03: 192.168.167.35/24

Meu problema é que existem clientes com NAT no servidor 02, e eu faço a regra deles assim:

Código :

$IPT -t nat -A POSTROUTING -s 192.168.167.0/24 -j MASQUERADE

No servidor 1 eu tenho várias redes ligadas a mesma eth1 que leva ao servidor 02 e, se eu não mascarar o tráfego que vem pela rede 172.20.0.160/29 os clientes que estão conectados ao servidor 02 deixam de navegar.

[mistymst]

ta tenta refinar o teu mascaramento, do tipo no server 1 tu mascara tdo que vier da rede 172.20.0.161/29 para as redes que precisa ser mascaradas mesma coisa no servidor 2.

por ex: tu tem q mascarar o ip do 192.168.167.35 para ir para a internet e para os clientes com ip validos, mas por exemplo para a 172.20 nao precisa mascarar... so vai precisar mascarar se ele sair pelo servidor 1...

como estao todas as regras de NAT?

[nataniel]

mist,

O cliente 167.35 chega pela eth1 do servidor 2 e é mascarado pela eth0 do servidor 2 usando a rede 172.20.0.160/29. Quando chega no servidor 1 pela eth1 eu mascaro novamente a rede 172.20.0.160 que ira sair pela eth0 do servidor 1.

Não sei se to conseguindo te explicar isso direito. Mas imagina que o servidor 1 e 2 estão interligados por um cabo de rede. E todos os clientes passam pelos dois servidores (ja que a unica saida e passar pelo UTP que liga os dois servidores).

[mistymst]

servidor02.eth1:1: 192.168.167.1/24

cliente01: 200.163.208.66/26 (gw 200.163.208.65)
cliente02: 200.163.208.67/26
cliente03: 192.168.167.35/24


seguinte, tenta por um nat no server 2 (somente este):

$IPT -t nat -A POSTROUTING -s 192.168.167.0/24 -d 200.163.208.64/26 -j MASQUERADE

e somente esta no server02

ja no server01 tu faz o nat para qdo elas sairem para a internet. algo como:


$IPT -t nat -A POSTROUTING -s 192.168.167.0/24 -o eth0 -j MASQUERADE


ai so vai rolar o NAT do server1 nos clientes que precisam de NAT, e obviamente um NAT para os clientes de redes com ip invalidos para os clientes que possuem ip valido dentro da sua rede.

voce deve ter um link embratel e eles te deram o q? 2 blocos de 64? (olhando pelos ips dos teus servidores)

acho que fazendo assim nesse estilo, talvez ajude resolva as coisas... ja me perdi tanto que jah ate nao to sabendo qual é o problema em si, seu roteamento parece ok pelo q vc falou no post 1, jah o cache sai ok e o nat ele mascara o ip certo mas nao conecta direito nos servicos? isso q eu fiquei meio perdido jah hehe..

&#91;]s

[nataniel]

mist,

Vou fazer essa tentativa que tu me passou. Esse SNAT pra rede interna acho que não será necessário pois os clientes enxergam as rotas existentes no servidor e conseguem encontrar os IPs roteáveis da minha rede.

Eu tenho um link Brasil Telecom e dois 3 redes diferentes, sendo elas:

200.163.208.0/25
200.140.222.128/25
201.35.16.0/24

Como eu tenho vários pontos de distribuição de internet então eu dividi minhas redes para melhor distribuir os clientes. Sendo que elas ficaram assim:

200.163.208.0/26 > meus servidores e saída para a internet
200.163.208.64/26 > clientes com ip fixo ligados a repetidora LJS-ELJ (sem pppoe)
200.140.222.128/25 > clientes com ip dinamico ligados a repetidora LJS-ELJ (com pppoe)
201.35.16.0/24 > vou dividir essa rede e rotear ela para 4 repetidoras de menor porte para clientes pppoe

[alexandrecorrea]

Falae Nataniel !!

Cara tem um POST que eu fiz aqui no forum explicando como colocar um ip valido em um cliente que esta atras de um gateway fazendo NAT.



procura por Alexandre Correa ou Alexandre J. Correa que voce deve achar o topico !!


Sds.

Alexandre J. Correa
Onda Internet
www.ondainternet.com.br

[nataniel]

Alexandre,

Obrigado pela resposta. Meu caso não é sobre a colocação de um IP roteável a um único cliente e sim fazer o roteamento de toda uma rede para vários clientes.