Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Acesso remoto ao mikrotik - solucao

    Bem pessoal,
    Muito que estão começando agora com o mikrotik tem alguma dificuldade em acessar um mikrotik que está atrás de outro e com ips diferentes. Fiz este post para auxiliá-los, pois é ensinando o que sabe que se aprende ainda mais.

    Supomos que você tenha um ISP com alguns IPs válidos e que colocasse estes ips válidos para os mikrotiks, em caso de você estiver viajando, poder monitorar seu ap-mikrotik remotamente.

    Nosso cenário é o seguinte:

    http://images.orkut.com/orkut/albums...b714g03w8g.jpg

    Partimos do ponto que seu servidor já estaja configurado para fazer nat e esta em funcionamento. Setaremos os IPs válidos para os mikrotiks da rede.

    No Servidor primário:
    Nossa conexao com a internet:
    /ip address add address=192.168.1.2/mask_isp interface=ether1 comment="conexao isp"

    1 - Nossa conexao com o mikrotik:
    /ip address add address=192.168.1.3/mask_isp interface=ether1 comment="ip isp para radio1"

    2 - Nossa conexao com a rede dos clientes:
    /ip address add address=172.16.0.254/24 interface=ether2 comment="rede clientes"

    3 - Nossa conexao com os mikrotiks
    /ip address add address=10.10.0.1/28 interface=ether3 comment="rede radios"

    Pronto, nossa configuração de ip já está feita.

    Faremos agora o redirecionamento que permitirá o acesso direto da web para o mikrotik da rede 10.10.0.0/28:

    4 - Para protocolo tcp que chegaram ao servidor:
    /ip firewall nat add chain=dstnat dst-address=192.168.1.2 protocol=tcp dst-port=4040 action=dst-nat to-addresses=10.10.0.2 to-ports=23

    5 - Para protocolo udp que chegaram ao servidor:
    /ip firewall nat add chain=dstnat dst-address=192.168.1.2 protocol=udp dst-port=4040 action=dst-nat to-addresses=10.10.0.2 to-ports=23

    6 - Redireciona o acesso para o mikrotik:
    /ip firewall nat add chain=dstnat dst-address=192.168.1.3 protocol=tcp dst-port=8291 action=dst-nat to-addresses=10.10.0.2 to-ports=8291

    Note: Se você estiver usando um Access Point, troque as portas de 23 e 8291 pelas do AP.

    Para que a rede 172.16.0.0/24 tenha acesso ao mikrotik, temos que também setar ips desta rede para ele, como no exemplo temo apenas 13 rádios, deixe 13 ips livres para eles:

    /ip address add address=172.16.0.10/24 interface=ether2 comment="ip isp_local para mikrotik2"

    Em IP FIREWALL NAT, mude apenas:
    a) dst-address=192.168.1.2 para dst-address=172.16.0.254 b) dst-address=192.168.1.3 para dst-address=172.16.0.10

    Solução para quem usa hotspot ou pppoe:

    Cria-se uma rede independente somente para o acesso aos mikrotiks e set estas configurações.

    Bem pessoal,
    Vou parando por aqui, e pedindo desculpas se faltou algo, mas poderemos discutir isto mais à frente e se já postaram antes.

    Abaixo está as imgs do meu funcionando.

    É isto aí,

    Qualquer coisa...
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         nat.jpg
Visualizações:	3458
Tamanho: 	59,6 KB
ID:      	2287   Clique na imagem para uma versão maior

Nome:	         address.jpg
Visualizações:	3144
Tamanho: 	45,8 KB
ID:      	2288  

    Última edição por Raniel; 11-06-2008 às 23:39.

  2. #2

    Padrão Solução para rede local

    Como o meu foco não foi a rede local, vou postar um print da configuraçao que fiz envolvendo tanto acesso da internet quando da rede local:

    IP ADDRESS LIST

    # ADDRESS NETWORK BROADCAST INTERFACE
    0 ;;; FreireNET Server - Internet Service Provider
    192.168.1.2/24 192.168.1.0 192.168.1.255 provider-server
    1 ;;; FreireNET Server - NAT
    172.16.0.254/24 172.16.0.0 172.16.0.255 server-network
    2 ;;; FreireNET Server - Radios
    10.10.0.1/28 10.10.0.0 10.10.0.15 server-radios
    3 ;;; Radio - NET1
    192.168.1.10/24 192.168.1.0 192.168.1.255 provider-server
    4 ;;; Radio - NET1
    172.16.0.10/24 172.16.0.0 172.16.0.255 server-network



    IP FIREWALL NAT

    0 ;;; Redirecionamento - web -> server
    chain=dstnat dst-address=192.168.1.2 protocol=tcp dst-port=4040
    action=dst-nat to-addresses=10.10.0.2 to-ports=23

    1 chain=dstnat dst-address=192.168.1.2 protocol=udp dst-port=4040
    action=dst-nat to-addresses=10.10.0.2 to-ports=23

    2 chain=dstnat dst-address=192.168.1.10 protocol=tcp dst-port=8291
    action=dst-nat to-addresses=10.10.0.2 to-ports=8291

    3 ;;; Redirecionamento - network-> server
    chain=dstnat dst-address=172.16.0.254 protocol=tcp dst-port=4040
    action=dst-nat to-addresses=10.10.0.2 to-ports=23

    4 chain=dstnat dst-address=172.16.0.254 protocol=udp dst-port=4040
    action=dst-nat to-addresses=10.10.0.2 to-ports=23

    5 chain=dstnat dst-address=172.16.0.10 protocol=tcp dst-port=8291
    action=dst-nat to-addresses=10.10.0.2 to-ports=8291


    Qualquer coisa...
    Última edição por Raniel; 12-06-2008 às 00:02.

  3. #3
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Porque ao invés de criar zilhões de regras de firewall para esses redir, simplesmente não criam um PPtP ou L2TP no gateway (acesso público) e a partir do mesmo, como estarão em rede local não tem stress.

    Bem mais simples, prático e seguro.

  4. #4

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Porque ao invés de criar zilhões de regras de firewall para esses redir, simplesmente não criam um PPtP ou L2TP no gateway (acesso público) e a partir do mesmo, como estarão em rede local não tem stress.

    Bem mais simples, prático e seguro.
    Não sei se foi observado, mas minha proposta aqui não foi acessar da rede com mesma faixa de ip e sim da internet para rede local e de redes diferentes num mesmo servidor para uma rede, que no caso, seria uma somente para os rádios e aps-mikrotiks.
    Mas eu fiz este tópico de acordo com as necessidades que observei no forum, pois, há algumas perguntas, em tópicos diferentes, que perguntam a mesma coisa, então fiz apenas simplificar.

    Valeu pela atenção,

    Qualquer coisa...
    Última edição por Raniel; 12-06-2008 às 10:53.

  5. #5
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por Mr. RG Ver Post
    Não sei se foi observado, mas minha proposta aqui não foi acessar da rede com mesma faixa de ip e sim da internet para rede local e de redes diferentes num mesmo servidor para uma rede, que no caso, seria uma somente para os rádios e aps-mikrotiks.
    Mas eu fiz este tópico de acordo com as necessidades que observei no forum, pois, há algumas perguntas, em tópicos diferentes, que perguntam a mesma coisa, então fiz apenas simplificar.

    Valeu pela atenção,

    Qualquer coisa...
    Mas é justamente essa a questão: se precisa acessar da Internet uma rede local (intranet), nada mais simples que um túnel, pois será membro desta rede local como se estivesse conectado fisicamente no mesmo barramento.

    Ainda pode definir técnicas de bater na porta para tornar mais seguro o acesso.

  6. #6
    cleivon
    Visitante

    Padrão Acesso remoto mikrotik

    Boa noite amigo, pelo que estou vendo voce e muito bom no mk, tenho um ap com a seguinte configuração.
    Uma Rb133 ligada no link como bridge em wds, tenho uma rb 333 com dois cartoes um para ap e o outro para receber o wds configurada como station wds, a segunda rb esta ligada a um servidor mk, então eu tenho nela duas bridge uma para clientes e outra para o wds, esta tudo funcionado, mais para eu acessar a rb que esta ligada ao modem e preciso desconectar o cabo e parar a net, pois o ip valido vem direto para o servidor,
    pergunta como eu faria para criar uma regra no servidor, para que quondo eu estiver fora da minha cidade eu possa acessar as duas rbs.

    abraço


    sou iniciante no mk e no forum desculpe se perguntei no lugar errado..

  7. #7

    Padrão

    Citação Postado originalmente por cleivon Ver Post
    ...pergunta como eu faria para criar uma regra no servidor, para que quondo eu estiver fora da minha cidade eu possa acessar as duas rbs.

    abraço


    sou iniciante no mk e no forum desculpe se perguntei no lugar errado..
    Você tem que ter faixas de ips sobrando, no teu caso, teria que ter a quantidade de ips válidos para cadas rb. A faixa de ip 192.168.1.x representa ips válidos no tutorial.
    Você tem ips válidos sobrando?

    Qualquer coisa...

  8. #8
    Avatar de renatocostas
    Ingresso
    Dec 2007
    Localização
    Av. Santos Dumont 119, centro -Montes Claros MG
    Posts
    288

    Padrão

    Citação Postado originalmente por cleivon Ver Post
    Boa noite amigo, pelo que estou vendo voce e muito bom no mk, tenho um ap com a seguinte configuração.
    Uma Rb133 ligada no link como bridge em wds, tenho uma rb 333 com dois cartoes um para ap e o outro para receber o wds configurada como station wds, a segunda rb esta ligada a um servidor mk, então eu tenho nela duas bridge uma para clientes e outra para o wds, esta tudo funcionado, mais para eu acessar a rb que esta ligada ao modem e preciso desconectar o cabo e parar a net, pois o ip valido vem direto para o servidor,
    pergunta como eu faria para criar uma regra no servidor, para que quondo eu estiver fora da minha cidade eu possa acessar as duas rbs.

    abraço


    sou iniciante no mk e no forum desculpe se perguntei no lugar errado..
    Se vc tiver ip´s sobrando basta fazer um redirecionamento de ip, é a solucao mais simples.

    Renato Costa.

  9. #9
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por cleivon Ver Post

    ...
    pergunta como eu faria para criar uma regra no servidor, para que quondo eu estiver fora da minha cidade eu possa acessar as duas rbs.
    ...

    Conforme, comentei, se ativar em PPP/PPtP, criar o perfil ou apenas configurar o default-encryption, criar um usuário, definir o IP que este usuário receberá no momento do acesso, este IP fizer parte da mesma rede local que utiliza nas RB (IPs privados, tipo 192.168.x.x ou 10.0.0.x, etc) estará em rede local, mesmo se estiver acessando da China.

    Terá acesso a qualquer host da sua rede interna, como se nela estivesse conectado.

  10. #10

    Padrão

    Concordo com comentário do Sergio.




    Porém observo que está existindo a dificuldade de entender os serviços:

    • ppp server
    • pptp server


    e consequentemente... o usuário lá na China... fazer um discagem:


    • ppp client
    • pptp client

    E esse computador... lá da China... precisa ter configurado uma dessas conexoes. Exemplo:




    para ingressar na rede interna do ISP como se fosse um computador "local".





    Abraços,

  11. #11
    Avatar de renatocostas
    Ingresso
    Dec 2007
    Localização
    Av. Santos Dumont 119, centro -Montes Claros MG
    Posts
    288

    Padrão

    se eu entendi a pergunta do caro colega o que ele quer apenas é digitar o ip do mk no winbox de qualquer lugar do mundo e acessar seu servidor pelo winbox, acho que não precisa complicar tanto para ele, o mesmo disse que esta começando agora.

    ex.: eu tenho um link "embatel de 2 mb" nesse link tenho 16 ip´s eu redireciono cada ip para uma torre que eu desejo acessar, o bom que pra cada torre o acesso a internet tem um ip diferente, e eu posso acessar minhas torres de qualquer lugar do mundo.

    Renato Costa.

  12. #12

    Padrão

    Citação Postado originalmente por renatocostas Ver Post
    se eu entendi a pergunta do caro colega o que ele quer apenas é digitar o ip do mk no winbox de qualquer lugar do mundo e acessar seu servidor pelo winbox, acho que não precisa complicar tanto para ele, o mesmo disse que esta começando agora.

    ex.: eu tenho um link "embatel de 2 mb" nesse link tenho 16 ip´s eu redireciono cada ip para uma torre que eu desejo acessar, o bom que pra cada torre o acesso a internet tem um ip diferente, e eu posso acessar minhas torres de qualquer lugar do mundo.

    Renato Costa.
    Com certeza amigo,
    Entendo que o Sergio quer simplificar, mas o meu tema aqui foi mostrar que ele pode acessar os ap-torres deles de qualquer lugar, da China ou mesmo de dentro de sua rede para redes diferentes.

    O que eu quis mostrar foi que você mesmo estando na China ou na rede, pode acessar um ap-torre que que estiver em uma rede que ele criou somente para os aps, ex: internet(x.x.x.x) - servidor(192.168.1.2) - ap-torre(10.10.0.2) - rede-cliente(172.16.0.0/24).
    Quis dizer que ele pode acessar o ap-torre 10.10.0.2 de qualquer lugar, mesmo que este lugar seja a China.

    Obrigado amigo.

    Qualquer coisa...

  13. #13
    Avatar de renatocostas
    Ingresso
    Dec 2007
    Localização
    Av. Santos Dumont 119, centro -Montes Claros MG
    Posts
    288

    Padrão

    Eu entendi, eu so quis simplificar mais, porque redirecionar um ip válido é mais simples do que fazer um pptp.

    São metodos diferentes para solucionar o mesmo problema, eu so acho o meu mais fácil.

    Abraços,

    Renato Costa.

  14. #14
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por renatocostas Ver Post
    Eu entendi, eu so quis simplificar mais, porque redirecionar um ip válido é mais simples do que fazer um pptp.

    São metodos diferentes para solucionar o mesmo problema, eu so acho o meu mais fácil.

    Abraços,

    Renato Costa.

    Mas não existe redir para IP público.... configura o mesmo no host e pronto! no máximo um roteamento... agora redir para IP público nunca vi.

    A questão do PPtP ou outro método qualquer de acesso autenticado e criptografado (L2TP, OpenVPN) é questão de segurança e simplicidade... seus hosts internos (caso de MT ou outro OS qualquer, onde rodam serviços como ssh, telnet, web, entre outros) não precisam ficar expostos à Internet levando "ferro" dia e noite sem parar (ai para segurar o "ferro" mais três milhões duzentos e cinquenta e oito mil regras de firewall... totalmente desnecessário)...

  15. #15
    Avatar de renatocostas
    Ingresso
    Dec 2007
    Localização
    Av. Santos Dumont 119, centro -Montes Claros MG
    Posts
    288

    Padrão

    eu recedo da embratel 14 ip´s diferentes que entram no meu mk principal, eu redirecionei 3 para minhas torres e coloquei elas de cara para a internet, achei a maneira mais fácil de acessar minha torres.
    Eu fiz e funciona o redir...

    ps.: se quizer posto minhas configurações.

    Abraços,
    Renato Costa

  16. #16
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por renatocostas Ver Post
    eu recedo da embratel 14 ip´s diferentes que entram no meu mk principal, eu redirecionei 3 para minhas torres e coloquei elas de cara para a internet, achei a maneira mais fácil de acessar minha torres.
    Eu fiz e funciona o redir...

    ps.: se quizer posto minhas configurações.

    Abraços,
    Renato Costa
    redir é coisa de NAT... você fez roteamento... é como aquela velha pergunta: "como é que eu jogo IP público para meu cliente?"

    você não joga IP... você faz roteamento.

  17. #17

    Padrão

    pessoal..

    estão entrando em um conflito que não terá fim.

    estou vendo uma confusão, por alguns participantes do tópico, sobre o que é redirecionamento e roteamento.

    Sergio, se puder, faça uma breve explicação sobre assunto, acredito que, com isso, o tópico terá mais encaminhamento.

  18. #18
    Avatar de renatocostas
    Ingresso
    Dec 2007
    Localização
    Av. Santos Dumont 119, centro -Montes Claros MG
    Posts
    288

    Padrão

    Sim, em nenhum momento disse que nao tinha feito nat, apenas acho mais simples fazer assim, so em alguns casos que uso pptp. Acho que vc não entendeu direito, eu apenas coloquei a forma que estou usando para acessar as minhas torres, e estou compartilhando com o caro colega que pediu auxilio, agora como ele vai fazer so depende dele.

    Abraços,

    Renato Costa.

  19. #19
    Avatar de renatocostas
    Ingresso
    Dec 2007
    Localização
    Av. Santos Dumont 119, centro -Montes Claros MG
    Posts
    288

    Padrão

    Em nenhum momento quis entrar em conflito com vc Sergio, so que acho mais fácil fazer o roteamento que fazer um pptp, e funciona para acesso externo normal.

    Renato Costa.

  20. #20
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por renatocostas Ver Post
    Em nenhum momento quis entrar em conflito com vc Sergio, so que acho mais fácil fazer o roteamento que fazer um pptp, e funciona para acesso externo normal.

    Renato Costa.
    Não estou entrando em conflito Renato... na boa... qdo vc falou em redirecionamento, para mim foi o mesmo que ouvir NAT... hehehehehe

    Você fez roteamento, o que, no caso de apenas configurar o IP público no host é indicado. O que eu menciono é uma forma de fazer (pptp, l2tp ou openvpn) que acho ser a mais simples e segura.