2 Anexo(s)
Não acessa remotamente RB's depois do Load Balance
Boa noite pessoal!
Tenho um probleminha aqui que me incomoda há um tempo. Tenho um DDNS que funciona muito bem, mas com ele, só consigo acessar externamente a RB do Load balance.
Esquematizando, minha rede é assim:
Link em bridge 1 \
Link em bridge 2 - >> Load Balance (RB 750 192.168.88.1/30) >> Central (RB 450 g 192.168.88.2) >> Omntik e outras transmissoras.
Link em bridge 3 /
Acessando de fora, por outra internet eu consigo acessar somente ao load balance, seja pelo Mikro Winbox pro (celular), WINBOX ou pelo navegador www.. Não sei o porque, já tentei de tudo, as regras lá estão como encontrei na net... Mas não funciona.
Detalhe, se eu tiver conectado a minha rede e usar um ddns com as determinadas portas para acessar, eu consigo entrar em qualquer RB dentro da minha rede (usando o ddns mesmo ou ip). Porque será?
Segue as regras que coloquei aqui
No Load Balance tem:
Código :
/ip firewal add action=dst-nat chain=dstnat comment=\
"////////// Acesso RB Central - WINBOX" dst-port=1001 protocol=tcp \
to-addresses=192.168.88.2 to-ports=1001
Na "Central" tem:
Código :
/ip firewal add action=dst-nat chain=dstnat comment=\
"////////// Acesso RB Central - WINBOX" dst-port=1001 protocol=tcp \
to-addresses=192.168.88.2 to-ports=8291
Detalhe, utilizo bem mais a porta do API para acessar pelo celular (Tenho outra regra similar a de cima para a porta do API), mas só consigo entrar no LOAD BALANCE, quer seja em qualquer lugar, principalmente na faculdade.
Habilitei os Logs da regra nat e fica aparecendo essa mensagem aqui nos logs toda vez que tento entrar, nas duas RB's, vejam nas imagens anexadas, uma é o que aparece no balance e a outra na central. (lembrando que nesse exemplo das imagens, tentava acessar pelo API do celular.
Anexo 59919Anexo 59920
Utilizo o webmikrotik, quando preciso que eles acessem minha rb Central (servidor), não conseguem também, só por telmac.
Excluir várias regras que tinha, mesmo assim não funciona...
O que é esse Len 60 que aparece no log? e pq depois de pppoe out 1 aparece isso: (none)?? será que falta algo nas regras?
Aguardo e prontamente já agradeço o espaço.
Re: Não acessa remotamente RB's depois do Load Balance
Tentei aqui Arthur, mas não dá certo mesmo.
Estranho é que aparece nos logs tanto do Load quanto o da Central uma tentativa de acesso, mas não loga. É como se houvesse alguma espécie de bloqueio por conexões externas, mas não acho nada aqui.
Será que tenho que marcar alguma conexão de saída ou sei lá?
Há alguma oção no mikrotik que faz bloqueio de acessos externos?
O que será que estou fazendo de errado, hein? Lembrando que se eu tiver conectado pelo wifi na rede e usar o DDNS eu consigo acesso. É como se o acesso fosse permitido somente por dentro da RB central.... (já que meu roteador wifi está conectado lá por PPOE e também usando wifi de algum cliente eu consigo acesso pelo link do DDNS também). Ou seja, só de dentro da rede.
Re: Não acessa remotamente RB's depois do Load Balance
A primeira regra que você postou você redireciona a porta 1001 para o IP da "RB Central", porém para a mesma porta 1001. Depois você tem outra regra na "RB Central" com dstnat da porta 1001 para 8291. Porque você não deleta essa regra da RB Central e redireciona a porta 1001 na entrada do Load Balance para a porta 8291 da RB Central diretamente?
Posta o resultado do comando:
Código :
/ip firewall mangle print
Da RB do Load Balance.
Re: Não acessa remotamente RB's depois do Load Balance
Você faz o mascaramento na RB Balance ou na RB Central?
Re: Não acessa remotamente RB's depois do Load Balance
Nos dois tem mascaramento das interfaces, tanto no Balance quanto na central.
Re: Não acessa remotamente RB's depois do Load Balance
É complicado, pois parece haver alguma coisa na RB que bloqueia, deve ser algo bem simples, simplesmente não conecta. Estive pensando em ligar um link direto na "Central" para poder controlar, mas teria problemas com o balance e seriam mais recursos RB a serem usados.
Quando o webmiktok meu oferecia algum suporte, só era possível acessar por Telmac ou via Team Viwer.
Se alguém tiver alguma idéia de onde posso estar errando, poste aí, vou agradecer muito.
Re: Não acessa remotamente RB's depois do Load Balance
Buenas @andrefernando25
Rapaz, não sei se é a minha mente que não ta entrando em acordo com as tuas regras, ou se é porque não tem problema nenhum mesmo. A única coisa que me chamou a atenção até o fim mesmo foi a tua regra numero 1:
Código :
;;; 1 - Primeira fase
chain=prerouting action=accept src-address=192.168.88.0/30
dst-address=192.168.88.0/30 log=no log-prefix=""
O chain prerouting acontece antes do nat, e como o balance faz masquerade antes de enviar o pacote para a RB Central, na resposta da RB Central o pacote vai cair nessa regra, e não vai ser marcado para a tabela de roteamento baseado na connection-mark que a conexão ja tem, fazendo ele ficar na tabela main (tabela sem nome), a qual pode não ser o mesmo gateway da tabela com a interface de entrada do pacote.
Por exemplo, se ele entra pela pppoe-out1, é marcado com "conn1", vai para a RB Central, a resposta vem e cai naquela regra ali, e fica sem routing-mark. O RouterOS vai então rotear o pacote para fora depois do nat. Se você não tem um gateway padrão na tabela main, o pacote vai ser simplesmente descartado, ou se você tem gateway padrão na tabela main ativo mas ele não é o da interface pppoe-out1, ele vai ser enviado para o gateway errado e la vai ser descartado por não conhecer aquela conexão.
Será que não pode ser isso?
Re: Não acessa remotamente RB's depois do Load Balance
Humm?? kk
Não entendi bulufas, mas pode ser sim, e o que eu posso fazer? devo excluir essa regra? Ela não é necessária para o balance funcionar? Segui uns tuto na net há mais de 10 meses e o fiz. Posso desativá-la então?
Aqui no balance tá mostrando que ela tem 19,1 MiB e 163 645 packets, ou seja, alguma coisa está passando por ela.
Re: Não acessa remotamente RB's depois do Load Balance
kkkk
Quer que eu tente explicar melhor? É complicadinho de entender mesmo de entender o flow, eu sou bem perdido tb.
Mas tipo, não precisa excluir a regra e nem desabilitar ela, o que você pode é só adicionar nela "connection-mark=no-mark". Se você fizer isso, quando o pacote que voltar da RB Central para a RB Balance, ele não vai cair nessa regra, porque ele ja vai estar com uma connection-mark ("conn1", "conn2" ou "conn3").
Mas só testa, não tenho certeza se é isso. Pode ser regras no seu filter bloqueando, ou no mangle/filter da RB Central.
Re: Não acessa remotamente RB's depois do Load Balance
Cara, é o seguinte:
Vc é demais!!!!!!!!!!!!!!!
Acredita que agora está tudo funcionando perfeitamente???
Não sei nem como agradecer, eu estava tentando de tudo e de tudo...
Muito obrigado Sir. @inquiery, vc é o cara!!!!! :congrats: