Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Mais uma dúvida sobre o HotSpot

    Prezados,

    Tenho várias licenças da versão 2.9.44 Level 4 e estou usando hotspot. A primeira regra dinâmica de NAT que o hotspot cria é a seguinte:

    /ip firewall nat print dynamic
    D chain=dstnat hotspot=from-client action=jump jump-target=hotspot

    Com essa regra eu tenho um problema e não estou conseguindo enxergar a solução, por isso estou aqui. É o seguinte, por exemplo, tenho 2 interfaces:

    ether1: 200.200.200.2/30
    wlan1: 172.16.0.1/24

    Com o hotspot desativado, os clientes que estão conectados na wlan1 por exemplo sempre chegam no meu gateway principal (200.200.200.1/30) com o IP que é designado ao mesmo, ou seja, se o cliente tem o IP 172.16.0.2/24, ele chega no meu gateway principal exatamente com esse IP. Ao visitar o site Meu ip - Qual é o Meu IP? 75.126.22.154 o cliente vai ver exatamente o IP que está configurado na máquina (172.16.0.2)

    O mesmo não acontece com o hotspot ativado, o cliente sempre vai sair com o IP 200.200.200.2, que é da interface externa. No meu gateway principal o cliente sempre chega com o IP 200.200.200.2. Portanto os IPs da rede privada 172.16.0.0/24 sãs mascarados justamente por causa da regra de "dstnat" que coloquei acima.

    Na documentação na seção "Firewall Section" fala sobre as regras que são criadas dinamicamente com a ativação do hotspot: http://www.mikrotik.com/testdocs/ros...nt.php#7.41.14

    De fato essa regra de "dnsnat" é normal que ela seja criada, mas será que tem alguma forma de contornar o problema que descrevi? Penso que essa regra de dstnat criada pelo hotspot faz o mesmo que a seguinte regra:

    /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade disabled=no

    E NAT é coisa que eu não quero.

    Qualquer sugestão é bem vinda,

    Obrigado!

  2. #2

    Smile HotSpot

    Provavelmente o recurso One-to-one NAT esta habilitado no seu Hotspot.. para desabilita-lo use os comandos:

    /ip hotspot set nome-server-hotspot address-pool=none
    /ip hotspot user profile set clientes-250k address-pool=none


    nome-server-hotspot é o nome do servidor hotspot, ex: hs-wlan1, faça a modificação em todos os servers-hotspot do seu servidor
    clientes-250k é um profile de usuarios... faça a modificação em todos os profiles de usuarios ai no seu servidor

    Poste os resultados pra gente saber se deu certo



  3. #3

    Padrão

    Citação Postado originalmente por maleficavatar Ver Post
    Prezados,

    Tenho várias licenças da versão 2.9.44 Level 4 e estou usando hotspot. A primeira regra dinâmica de NAT que o hotspot cria é a seguinte:

    /ip firewall nat print dynamic
    D chain=dstnat hotspot=from-client action=jump jump-target=hotspot

    Com essa regra eu tenho um problema e não estou conseguindo enxergar a solução, por isso estou aqui. É o seguinte, por exemplo, tenho 2 interfaces:

    ether1: 200.200.200.2/30
    wlan1: 172.16.0.1/24

    Com o hotspot desativado, os clientes que estão conectados na wlan1 por exemplo sempre chegam no meu gateway principal (200.200.200.1/30) com o IP que é designado ao mesmo, ou seja, se o cliente tem o IP 172.16.0.2/24, ele chega no meu gateway principal exatamente com esse IP. Ao visitar o site Meu ip - Qual é o Meu IP? 75.126.22.154 o cliente vai ver exatamente o IP que está configurado na máquina (172.16.0.2)

    O mesmo não acontece com o hotspot ativado, o cliente sempre vai sair com o IP 200.200.200.2, que é da interface externa. No meu gateway principal o cliente sempre chega com o IP 200.200.200.2. Portanto os IPs da rede privada 172.16.0.0/24 sãs mascarados justamente por causa da regra de "dstnat" que coloquei acima.

    Na documentação na seção "Firewall Section" fala sobre as regras que são criadas dinamicamente com a ativação do hotspot: http://www.mikrotik.com/testdocs/ros...nt.php#7.41.14

    De fato essa regra de "dnsnat" é normal que ela seja criada, mas será que tem alguma forma de contornar o problema que descrevi? Penso que essa regra de dstnat criada pelo hotspot faz o mesmo que a seguinte regra:

    /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade disabled=no

    E NAT é coisa que eu não quero.

    Qualquer sugestão é bem vinda,

    Obrigado!
    Acredito que se vc desmarcar a opção transparent proxy em nos "user profile" e tirar qualquer regra de nat tudo vai funcionar


    Outra coisa: Essa faixa de ips é de rede privada, como eh isso? funcionar sem nat?
    Última edição por JHONNE; 24-10-2007 às 16:26.

  4. #4

    Padrão

    Olá amigo, obrigado pela resposta. Aqui já ta desabilitado o recurso de pool de endereços, porém mesmo assim digitei os comandos que você me passou e ainda continua com o mesmo problema, mas essa primeira regra dinâmica eu acredito que o hotspot sempre vai criar ela, inclusive na documentação oficial fala dela. E esse One-to-one Nat que você citou não seria só para os Ips que estã dentro de IP Bindings?

    Eu acho que a charada está em uma chain chamada "pre-hotspot", só que ainda não obtive sucesso com ela.

    Valeu ai.

    Qualquer dica é bem vinda



  5. #5

    Padrão

    respondendo para JHONNE, aqui já está desabilitado o proxy transparente também. Como eu já disse, essa regra de "dsnat" é criada de qualquer maneira, independentemente de está com proxy, dhcp-server com pool de endereço configurarado, etc ... sempre ao ativar o hotspot é criada essa regra de "dsnat", pelo menos aqui nas versões do mikrotik que uso.

    Sim, é uma rede privada. O NAT na verdade é feito em um OpenBSD com o Packet Filter (PF: Tradução do Endereço de Rede (NAT)). Com ele eu consigo fazer um NAT mais avançado.

    Valeu pela dica

  6. #6

    Padrão

    Citação Postado originalmente por maleficavatar Ver Post
    respondendo para JHONNE, aqui já está desabilitado o proxy transparente também. Como eu já disse, essa regra de "dsnat" é criada de qualquer maneira, independentemente de está com proxy, dhcp-server com pool de endereço configurarado, etc ... sempre ao ativar o hotspot é criada essa regra de "dsnat", pelo menos aqui nas versões do mikrotik que uso.

    Sim, é uma rede privada. O NAT na verdade é feito em um OpenBSD com o Packet Filter (PF: Tradução do Endereço de Rede (NAT)). Com ele eu consigo fazer um NAT mais avançado.

    Valeu pela dica
    seguinte: o transparent proxy a ser desmarca é em "user pofile"! só pra confirmar porque me parece que esta opção aparece outro lugar!

    exemplo

    0 * name="64k" idle-timeout=20m keepalive-timeout=20m status-autorefresh=1m shared-users=1 rate-limit="64k"
    transparent-proxy=no

    1 name="128K" idle-timeout=30m keepalive-timeout=2m status-autorefresh=1m shared-users=1 rate-limit="128k"
    transparent-proxy=no

    2 name="256K" idle-timeout=30m keepalive-timeout=2m status-autorefresh=1m shared-users=1 rate-limit="1024k/256k"
    transparent-proxy=no