+ Responder ao Tópico



  1. #1

    Padrão Mais uma dúvida sobre o HotSpot

    Prezados,

    Tenho várias licenças da versão 2.9.44 Level 4 e estou usando hotspot. A primeira regra dinâmica de NAT que o hotspot cria é a seguinte:

    /ip firewall nat print dynamic
    D chain=dstnat hotspot=from-client action=jump jump-target=hotspot

    Com essa regra eu tenho um problema e não estou conseguindo enxergar a solução, por isso estou aqui. É o seguinte, por exemplo, tenho 2 interfaces:

    ether1: 200.200.200.2/30
    wlan1: 172.16.0.1/24

    Com o hotspot desativado, os clientes que estão conectados na wlan1 por exemplo sempre chegam no meu gateway principal (200.200.200.1/30) com o IP que é designado ao mesmo, ou seja, se o cliente tem o IP 172.16.0.2/24, ele chega no meu gateway principal exatamente com esse IP. Ao visitar o site Meu ip - Qual é o Meu IP? 75.126.22.154 o cliente vai ver exatamente o IP que está configurado na máquina (172.16.0.2)

    O mesmo não acontece com o hotspot ativado, o cliente sempre vai sair com o IP 200.200.200.2, que é da interface externa. No meu gateway principal o cliente sempre chega com o IP 200.200.200.2. Portanto os IPs da rede privada 172.16.0.0/24 sãs mascarados justamente por causa da regra de "dstnat" que coloquei acima.

    Na documentação na seção "Firewall Section" fala sobre as regras que são criadas dinamicamente com a ativação do hotspot: http://www.mikrotik.com/testdocs/ros...nt.php#7.41.14

    De fato essa regra de "dnsnat" é normal que ela seja criada, mas será que tem alguma forma de contornar o problema que descrevi? Penso que essa regra de dstnat criada pelo hotspot faz o mesmo que a seguinte regra:

    /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade disabled=no

    E NAT é coisa que eu não quero.

    Qualquer sugestão é bem vinda,

    Obrigado!

  2. #2

    Smile HotSpot

    Provavelmente o recurso One-to-one NAT esta habilitado no seu Hotspot.. para desabilita-lo use os comandos:

    /ip hotspot set nome-server-hotspot address-pool=none
    /ip hotspot user profile set clientes-250k address-pool=none


    nome-server-hotspot é o nome do servidor hotspot, ex: hs-wlan1, faça a modificação em todos os servers-hotspot do seu servidor
    clientes-250k é um profile de usuarios... faça a modificação em todos os profiles de usuarios ai no seu servidor

    Poste os resultados pra gente saber se deu certo

  3. #3

    Padrão

    Citação Postado originalmente por maleficavatar Ver Post
    Prezados,

    Tenho várias licenças da versão 2.9.44 Level 4 e estou usando hotspot. A primeira regra dinâmica de NAT que o hotspot cria é a seguinte:

    /ip firewall nat print dynamic
    D chain=dstnat hotspot=from-client action=jump jump-target=hotspot

    Com essa regra eu tenho um problema e não estou conseguindo enxergar a solução, por isso estou aqui. É o seguinte, por exemplo, tenho 2 interfaces:

    ether1: 200.200.200.2/30
    wlan1: 172.16.0.1/24

    Com o hotspot desativado, os clientes que estão conectados na wlan1 por exemplo sempre chegam no meu gateway principal (200.200.200.1/30) com o IP que é designado ao mesmo, ou seja, se o cliente tem o IP 172.16.0.2/24, ele chega no meu gateway principal exatamente com esse IP. Ao visitar o site Meu ip - Qual é o Meu IP? 75.126.22.154 o cliente vai ver exatamente o IP que está configurado na máquina (172.16.0.2)

    O mesmo não acontece com o hotspot ativado, o cliente sempre vai sair com o IP 200.200.200.2, que é da interface externa. No meu gateway principal o cliente sempre chega com o IP 200.200.200.2. Portanto os IPs da rede privada 172.16.0.0/24 sãs mascarados justamente por causa da regra de "dstnat" que coloquei acima.

    Na documentação na seção "Firewall Section" fala sobre as regras que são criadas dinamicamente com a ativação do hotspot: http://www.mikrotik.com/testdocs/ros...nt.php#7.41.14

    De fato essa regra de "dnsnat" é normal que ela seja criada, mas será que tem alguma forma de contornar o problema que descrevi? Penso que essa regra de dstnat criada pelo hotspot faz o mesmo que a seguinte regra:

    /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade disabled=no

    E NAT é coisa que eu não quero.

    Qualquer sugestão é bem vinda,

    Obrigado!
    Acredito que se vc desmarcar a opção transparent proxy em nos "user profile" e tirar qualquer regra de nat tudo vai funcionar


    Outra coisa: Essa faixa de ips é de rede privada, como eh isso? funcionar sem nat?
    Última edição por JHONNE; 24-10-2007 às 17:26.

  4. #4

    Padrão

    Olá amigo, obrigado pela resposta. Aqui já ta desabilitado o recurso de pool de endereços, porém mesmo assim digitei os comandos que você me passou e ainda continua com o mesmo problema, mas essa primeira regra dinâmica eu acredito que o hotspot sempre vai criar ela, inclusive na documentação oficial fala dela. E esse One-to-one Nat que você citou não seria só para os Ips que estã dentro de IP Bindings?

    Eu acho que a charada está em uma chain chamada "pre-hotspot", só que ainda não obtive sucesso com ela.

    Valeu ai.

    Qualquer dica é bem vinda

  5. #5

    Padrão

    respondendo para JHONNE, aqui já está desabilitado o proxy transparente também. Como eu já disse, essa regra de "dsnat" é criada de qualquer maneira, independentemente de está com proxy, dhcp-server com pool de endereço configurarado, etc ... sempre ao ativar o hotspot é criada essa regra de "dsnat", pelo menos aqui nas versões do mikrotik que uso.

    Sim, é uma rede privada. O NAT na verdade é feito em um OpenBSD com o Packet Filter (PF: Tradução do Endereço de Rede (NAT)). Com ele eu consigo fazer um NAT mais avançado.

    Valeu pela dica

  6. #6

    Padrão

    Citação Postado originalmente por maleficavatar Ver Post
    respondendo para JHONNE, aqui já está desabilitado o proxy transparente também. Como eu já disse, essa regra de "dsnat" é criada de qualquer maneira, independentemente de está com proxy, dhcp-server com pool de endereço configurarado, etc ... sempre ao ativar o hotspot é criada essa regra de "dsnat", pelo menos aqui nas versões do mikrotik que uso.

    Sim, é uma rede privada. O NAT na verdade é feito em um OpenBSD com o Packet Filter (PF: Tradução do Endereço de Rede (NAT)). Com ele eu consigo fazer um NAT mais avançado.

    Valeu pela dica
    seguinte: o transparent proxy a ser desmarca é em "user pofile"! só pra confirmar porque me parece que esta opção aparece outro lugar!

    exemplo

    0 * name="64k" idle-timeout=20m keepalive-timeout=20m status-autorefresh=1m shared-users=1 rate-limit="64k"
    transparent-proxy=no

    1 name="128K" idle-timeout=30m keepalive-timeout=2m status-autorefresh=1m shared-users=1 rate-limit="128k"
    transparent-proxy=no

    2 name="256K" idle-timeout=30m keepalive-timeout=2m status-autorefresh=1m shared-users=1 rate-limit="1024k/256k"
    transparent-proxy=no

  7. #7

    Padrão

    Tava lendo o art. do FreeBSD não consegui entender como site do tipo meuip.com.br consegue identificar o ip da rede privada, do tal nat mais avançado que vc falou. Sabe se tem como fazer isso no mikrotik? que parte especificamente do artifigo fala desta opção?

  8. #8

    Padrão

    Olá JHONNE, verifiquei aqui dentro de "user profile" e realmente já tava desmarcado a opção de proxy transparente. Você usa hotspot? Essa regra dinâmica de "dstnat" não é criada? Porque até a documentação oficial cita essa regra e também semana passada eu entrei em um mikrotik 3.0-RC que fica em Latvia (usuário e senha foi fornecido por um membro do fórum oficial) que por sua vez usava hotspot e vasculhei tudo antes de ver as regras de nat, e não tinha nada habilitado, proxy transparente, pools de Ips, dhcp-server, etc ... nadinha mesmo, apenas um profile hotspot usando o método de autenticação CHAP com um servidor RADIUS. Quando fui ver as regras de nat, lá estava a regra que tanto me preocupa, "dstnat" é a primeirona de todas.

    Mas agora sobre o NAT avançado que falei, esse link que passei é a FAQ oficial e não tem muita coisa, as páginas de manual que são fartas na documentação. Se tiver interesse posso te passar no seu e-mail detalhes mais apurados. No mikrotik eu não sei se tem como fazer, acho que não. Sendo o firewall do mikrotik o Netfilter/IPTABLES, acredito que não.

    Se tiver mais dicas, pode mandar,

    Estou aqui na luta, se eu conseguir a solução, posto o procedimento de resolução - estou encucado com a chain "pre-hotspot", vamos ver ...

    Obrigado!

  9. #9

    Padrão

    >>"ou seja, se o cliente tem o IP 172.16.0.2/24, ele chega no meu gateway principal exatamente com esse IP"

    Cara é o seguinte: uso sete torres que conectam a um servidor principal por link ponto a ponto, em cada uma dessas torres possuo hotspot e os clientes chegam no gateway principal exatamento com o ip que designei pra eles, me add ai no msn pra gente trocar uma ideia a noite. meu msn é jhonnejossy... , blz


    Detalhe quando se desmarca transpare proxy em user profile, para que o cliente fique com essa config é preciso derruba-lo e logar dnovo
    Última edição por JHONNE; 25-10-2007 às 07:29.