A melhor forma de fazer é usando autenticação radius com pppoe, nosso sistema tem essa funcionalidade.
A lógica é bem simples cadastra o IP no sistema e no mikrotik tirar o mascaramento.
Versão Imprimível
A melhor forma de fazer é usando autenticação radius com pppoe, nosso sistema tem essa funcionalidade.
A lógica é bem simples cadastra o IP no sistema e no mikrotik tirar o mascaramento.
Então, estou utilizando essa regra, só que invés do endereço do cliente estou colocando faixa dos clientes.
Talvez esteja faltando algo nas minhas regras, só sei que está muito estranho. Duas coisas que notei:
O Acesso as minhas ao ips por meio da VPN fica muito lento já que o trafego acaba sedo obrigado a sair pelo ip publico.
Essa regra em especifico, que deveria sempre estar acima do mascaramento, AUTOMATICAMENTE apos uns 10 segundos acaba descendo pra baixo e o redirecionamento parando de funcionar.
Segue as regras que tenho no meu firewall
No caso a regra que apresenta problemas é justamente a FAIXA 24 > IP PUBLICO PATROCINIO.Citação:
/ip firewall natadd action=src-nat chain=srcnat comment="FAIXA 20 > IP PUBLICO COROMANDEL" disabled=no src-address=10.0.20.0/24 to-addresses=\
200.XXX.XXX.208
add action=src-nat chain=srcnat comment="FAIXA 21 > IP PUBLICO COROMANDEL" disabled=no src-address=10.0.21.0/24 to-addresses=\
200.XXX.XXX.208
add action=src-nat chain=srcnat comment="FAIXA 22 > IP PUBLICO PATROCINIO" disabled=no src-address=10.0.22.0/24 to-addresses=\
200.XXX.XXX.210
add action=masquerade chain=srcnat comment="=========================== MASCARAMENTO COROMANDEL" disabled=no src-address=\
10.0.20.0/22
add action=masquerade chain=srcnat comment="=========================== MASCARAMENTO PATROCINIO" disabled=no src-address=\
10.0.24.0/28
add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO DNS CTBC > OI" disabled=no dst-address=200.225.197.34 to-addresses=\
200.222.0.34
add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO DNS CTBC > OI" disabled=no dst-address=200.225.197.37 to-addresses=\
200.222.0.35
add action=src-nat chain=srcnat comment="FAIXA 24 > IP PUBLICO PATROCINIO" disabled=no src-address=10.0.24.0/28 to-addresses=\
200.XXX.XXX.210
add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO PORTA 2010TCP" disabled=no dst-port=2010 protocol=tcp to-addresses=\
10.0.21.38 to-ports=2010
add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO PORTA 2012TCP" disabled=no dst-port=2012 protocol=tcp to-addresses=\
10.0.21.38 to-ports=2012
add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO PORTA 2012UDP" disabled=no dst-port=2012 protocol=udp to-addresses=\
10.0.21.38 to-ports=2012
add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO PORTA 2010UDP" disabled=no dst-port=2010 protocol=udp to-addresses=\
10.0.21.38 to-ports=2010
add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO PORTA 2011TCP" disabled=no dst-port=2011 protocol=tcp to-addresses=\
10.0.21.38 to-ports=2011
add action=dst-nat chain=dstnat comment="REDIRECIONAMENTO PORTA 2011UDP" disabled=no dst-port=2011 protocol=udp to-addresses=\
10.0.21.38 to-ports=2011
Note que ela esta abaixo do mascaramento, apesar de eu ter colocado ela acima ela desceu pra baixo.
Bom dia,
Você esqueceu de mencionar a interface de saída na regra de src-nat. Observe o código que mandei.
Abraço
Passou despercebido aqui! hehe, muito obrigado! Ajudou bastante. Está funcionando, só uma pequena dúvida...
No meu caso eu recebo o link direto em uma ether, essa ether ta dentro de uma bridge,
meus ips publicos estão setados na ether invés da bridge.
Coloquei a regra src-nat com out na ether do link, não funcinou, na BRIDGE sim.
Ai te pergunto, o correto é eu colocar os IPS públicos na bridge ou manter do jeito que ta(setados na interface 'ether-link')?
Sempre tive essa duvida, só que achei besta de mais pra criar tópicos!
Obrigado pela ajuda! =)
Se você tem apenas uma interface na Bridge, acredito que não faça diferença.
Sobre a regra de firewall, teria que ter funcionado sim, alguma coisa deve ter ficado para trás.
Abraço