Regras estáticas e dinâmicas (NAT)

[maleficavatar]

Olá a todos,

Tenho um mikrotik 2.9.26 configurado como hotspot + radius. Tal cenário está funcionando perfeito, porém, o hotspot sempre ativa várias regras dinâmicas de firewall (tanto para "nat" quanto para "filter"), e NAT é uma coisa que não quero. Pesquisei muito e achei poucos com o mesmo problema, e sem solução. Lendo a documentação do hotspot me parece que a criação dessas regras é um comportamento normal, e que a desativação das mesmas faz com o que o hotspot pare de funcionar - e isso eu pude comprovar, de fato ao remover tais regras o hotspot para de funcionar. Basta reniciar o mikrotik e as regras dinâmicas são carregadas novamente e o hotspot volta a funcionar. Ok, então comecei a buscar outra solução, e fiz o seguinte:

/ip firewall nat add chain=hs-auth action=accept comment="ANTI-NAT HOTSPOT" disable=no

e em seguida usando o winbox eu coloco essa regra no topo de todas as regras (arrastando com o mouse) e o meu problema é resolvido momentaneamte, o hotspot passa a funcionar sem NAT. Mas a questão é que ao reniciar o mikrotik essa regras volta para o final (falo final no sentido visual mesmo, no winbox essa regra vai parar no final) o que ativa novamente o maldito NAT. Então a minha pergunta é a seguinte: Tem como eu forçar a regra que eu crei ser adicionada primeiro, antes das regras dinâmicas?

Agradeço a atenção de todos

[raa_]

coloca um ! na caixa da regra

[cleciorodrigo]

Amigo uso o hotspot aqui em 3 servidores 2 deles com NAT, e 1 sem Nat pois nesse todos os clientes tem IP Público. No caso se vc estiver usando o assitente do mk pra criar as configurações de seu hotspot, para resolver basta ir em IP -> Firewall, na aba Filter e remover a regra de NAT, as regras dinamicas do mk realmente nao podem ser removidas .

Olá a todos,

Tenho um mikrotik 2.9.26 configurado como hotspot + radius. Tal cenário está funcionando perfeito, porém, o hotspot sempre ativa várias regras dinâmicas de firewall (tanto para "nat" quanto para "filter"), e NAT é uma coisa que não quero. Pesquisei muito e achei poucos com o mesmo problema, e sem solução. Lendo a documentação do hotspot me parece que a criação dessas regras é um comportamento normal, e que a desativação das mesmas faz com o que o hotspot pare de funcionar - e isso eu pude comprovar, de fato ao remover tais regras o hotspot para de funcionar. Basta reniciar o mikrotik e as regras dinâmicas são carregadas novamente e o hotspot volta a funcionar. Ok, então comecei a buscar outra solução, e fiz o seguinte:

/ip firewall nat add chain=hs-auth action=accept comment="ANTI-NAT HOTSPOT" disable=no

e em seguida usando o winbox eu coloco essa regra no topo de todas as regras (arrastando com o mouse) e o meu problema é resolvido momentaneamte, o hotspot passa a funcionar sem NAT. Mas a questão é que ao reniciar o mikrotik essa regras volta para o final (falo final no sentido visual mesmo, no winbox essa regra vai parar no final) o que ativa novamente o maldito NAT. Então a minha pergunta é a seguinte: Tem como eu forçar a regra que eu crei ser adicionada primeiro, antes das regras dinâmicas?

Agradeço a atenção de todos

[Carcara]

Bom não sei se entendi direito, porem se pode fazer o seguinte, la no ip-binding e usar o by-pass, acho que isso resolve.

[maleficavatar]

Opa, desculpe-me a ignorancia, mas onde fica esse ip-binding? E como eu coloca um "!" na caixa da regra?

Obrigado!

[Carcara]

ip > hotspot > ip-binding. ali adiciona o ip e em type: coloque bypassed.

o ! serve para negar algo na regra.

[maleficavatar]

Obrigado Carcara,

Apesar de interessante a opção de ip-binding ainda não atendeu a necessidade, o tipo "bypassed" elimina também a necessidade do cliente fazer autenticação.

Vou continuar na luta aqui, obrigado a todos

[sergio]

Obrigado Carcara,

Apesar de interessante a opção de ip-binding ainda não atendeu a necessidade, o tipo "bypassed" elimina também a necessidade do cliente fazer autenticação.

Vou continuar na luta aqui, obrigado a todos

Leu o que o Clecio Rodrigo postou?

[maleficavatar]

Olá Sérgio, li sim, foi mal, esqueci de comentar,

Não usei o assistente do hotspot, criei um novo profile e depois um server usando o profile recém-criado. Realmente usando aquele assistente não tem problema com NAT, será que tem algo haver com o fato de ativar o dhcp server? Vou fazer os testes aqui e reporto os resultados.

Obrigado!

[cleciorodrigo]

Se vc nao pretende usar NAT neste caso seus clientes estao com IP Público sendo assim basta apenas não ter a regra de nat criado no firewall, na tabela nat, agora seguinte é este o seu caso???

Olá Sérgio, li sim, foi mal, esqueci de comentar,

Não usei o assistente do hotspot, criei um novo profile e depois um server usando o profile recém-criado. Realmente usando aquele assistente não tem problema com NAT, será que tem algo haver com o fato de ativar o dhcp server? Vou fazer os testes aqui e reporto os resultados.

Obrigado!

[maleficavatar]

Pois é Clécio, o problema é que ao ativar o hotspot, o mesmo cria várias regras dinâmicas de filtragem e nat. Se eu removo tais regras (com as chain "dstnat", "hotspot", "hs-unauth" e "hs-auth" - se eu removo apenas uma, tem o mesmo efeito) o hotspot para de funcionar, é o mesmo que desabilitar ou remover o servidor de hotspot que eu crio. Ao reniciar o sistema, como o serviço hotspot é carregado novamente, as regras dinâmicas voltam a ser inseridas . Lendo a documentação oficial, esse é um comportamento normal do sistema. E os ips dos clientes não sao publicos, privados mesmo. Tenho um servidor FreeBSD que sera responsavel pelo NAT. No primeiro post eu coloquei a regra (estática) que fiz para inibir a ação de mascaramento. Veja:

/ip firewall nat add chain=hs-auth action=accept comment="ANTI-NAT HOTSPOT" disable=no

Essa regra colocada no topo, acima das regras dinâmicas resolve meu problema, mas como disse, momentaneamente. Ao reniciar o sistema as regras dinâmincas são carregadas primeiro com prioridade sobre as estáticas, ou seja, as regras dinâmicas são processdas primeiro, e o NAT volta a atuar.
Então estou com várias idéias aqui para resolver esse problema, mas inda não testei, mas uma hora a solução aparece eu acredito.

Obrigado Clécio, se tiver mais dicas, todas são bem vindas

[JHONNE]

Pois é Clécio, o problema é que ao ativar o hotspot, o mesmo cria várias regras dinâmicas de filtragem e nat. Se eu removo tais regras (com as chain "dstnat", "hotspot", "hs-unauth" e "hs-auth" - se eu removo apenas uma, tem o mesmo efeito) o hotspot para de funcionar, é o mesmo que desabilitar ou remover o servidor de hotspot que eu crio. Ao reniciar o sistema, como o serviço hotspot é carregado novamente, as regras dinâmicas voltam a ser inseridas . Lendo a documentação oficial, esse é um comportamento normal do sistema. E os ips dos clientes não sao publicos, privados mesmo. Tenho um servidor FreeBSD que sera responsavel pelo NAT. No primeiro post eu coloquei a regra (estática) que fiz para inibir a ação de mascaramento. Veja:

/ip firewall nat add chain=hs-auth action=accept comment="ANTI-NAT HOTSPOT" disable=no

Essa regra colocada no topo, acima das regras dinâmicas resolve meu problema, mas como disse, momentaneamente. Ao reniciar o sistema as regras dinâmincas são carregadas primeiro com prioridade sobre as estáticas, ou seja, as regras dinâmicas são processdas primeiro, e o NAT volta a atuar.
Então estou com várias idéias aqui para resolver esse problema, mas inda não testei, mas uma hora a solução aparece eu acredito.

Obrigado Clécio, se tiver mais dicas, todas são bem vindas

Basicamente o que vc quer fazer? as regras do hotspot controlam a autenticação do mesmo sem ela não tem como o hotspot funcionar. agora seguinte se vc quer que o ip que o cliente está usando passe pelo hotspot sem sofrer nenhuma interferencia "depois de autenticado" entaum faça o seguinte:

Não coloque nem um pool de endereços para o hotspot
Desmarque a opção transparent proxy no profile
e se os ips vão ser direcionados para uma rota X exclua a regra de masquerade na ip>firewall>nat

Espero ter ajudado