+ Responder ao Tópico



  1. #1
    Avatar de diegochd
    Ingresso
    Jan 2009
    Localização
    Conselheiro Lafaiete, Brazil
    Posts
    12

    Wink NAT Saindo por varios IP's

    Pessoal bom dia! Estou precisando fazer um NAT de modo que cada classe de IPs inválidos saia para Internet com um IP válido diferente. Por Ex.
    172.0.0.0/24 saindo por 200.X.X.10
    192.0.0.0/24 saindo por 200.X.X.11

    Não é saída por mais de um link, e sim no mesmo link por vários ip's.

    Grato!!

  2. #2

    Padrão

    .
    Última edição por j34nsch; 28-01-2009 às 09:21.

  3. #3

    Padrão

    Citação Postado originalmente por diegochd Ver Post
    Pessoal bom dia! Estou precisando fazer um NAT de modo que cada classe de IPs inválidos saia para Internet com um IP válido diferente. Por Ex.
    172.0.0.0/24 saindo por 200.X.X.10
    192.0.0.0/24 saindo por 200.X.X.11

    Não é saída por mais de um link, e sim no mesmo link por vários ip's.

    Grato!!
    migo dá uma olhada nesse tópico
    cliente hotspot com ip fixo (valido) - Under-Linux.org


    agora vamos lá na regras que eu postei no tópico acima tinha a seguinte regra

    / ip firewall nat
    add chain=dstnat dst-address=210.276.103.10 protocol=tcp dst-port=0-65535 \
    action=dst-nat to-addresses=192.168.0.100 to-ports=0-65535 \
    comment="Direcionando IP" disabled=no

    add chain=srcnat src-address=192.168.0.100 protocol=tcp src-port=0-65535 \
    action=src-nat to-addresses=210.276.103.10 to-ports=0-65535 comment="" \
    disabled=no

    é só vc substituir o ip 210.276.103.10 pelo seu ip valido exemplo 200.x.x.10 e o ip 192.168.0.100 pelo range exemplo 172.0.0.0/24


    espero ter ajudado

  4. #4
    Avatar de diegochd
    Ingresso
    Jan 2009
    Localização
    Conselheiro Lafaiete, Brazil
    Posts
    12

    Padrão

    opa, Jean, VAleu pela ajuda mais não funcionou, acho que é porque tenho 2 ips da mesma classe na mesmo ether.

    /ip firewall nat
    add action=src-nat chain=srcnat comment="" disabled=no protocol=tcp \
    src-address=172.0.0.0/24 src-port=0-65535 to-addresses=200.xx.xx.16 \
    to-ports=0-65535
    add action=dst-nat chain=dstnat comment="" disabled=no dst-address=\
    200.xx.xx.16 dst-port=0-65535 protocol=tcp to-addresses=172.0.0.0/24 \
    to-ports=0-65535

    /ip address
    add address=200.xx.xx.54/26 broadcast=200.xx.xx.63 comment="" disabled=no \
    interface=ether3 network=200.xx.xx.0
    add address=172.0.0.1/24 broadcast=172.0.0.255 comment="" disabled=no \
    interface=wlan1 network=172.0.0.0
    add address=200.xx.xx.16/26 broadcast=200.xx.xx.63 comment="" disabled=no \
    interface=ether3 network=200.xx.xx.0

    Será isso?

    Valeu!
    Última edição por diegochd; 28-01-2009 às 10:58.

  5. #5

    Padrão

    Citação Postado originalmente por diegochd Ver Post
    opa, Jean, VAleu pela ajuda mais não funcionou, acho que é porque tenho 2 ips da mesma classe na mesmo ether.

    /ip firewall nat
    add action=src-nat chain=srcnat comment="" disabled=no protocol=tcp \
    src-address=172.0.0.0/24 src-port=0-65535 to-addresses=200.xx.xx.16 \
    to-ports=0-65535
    add action=dst-nat chain=dstnat comment="" disabled=no dst-address=\
    200.xx.xx.16 dst-port=0-65535 protocol=tcp to-addresses=172.0.0.0/24 \
    to-ports=0-65535

    /ip address
    add address=200.xx.xx.54/26 broadcast=200.xx.xx.63 comment="" disabled=no \
    interface=ether3 network=200.xx.xx.0
    add address=172.0.0.1/24 broadcast=172.0.0.255 comment="" disabled=no \
    interface=wlan1 network=172.0.0.0
    add address=200.xx.xx.16/26 broadcast=200.xx.xx.63 comment="" disabled=no \
    interface=ether3 network=200.xx.xx.0

    Será isso?

    Valeu!

    Seguinte amigo, eu uso algo semelhante aqui.
    Oque vc deve fazer é criar um unico NAT. voce controla quem sai por qual link marcando as rotas e criando rotas especificas pra cada caso.

    #criando o nat para todos
    /ip firewall nat add chain=dstnat action=masquerade

    #agora vamos marcar as rotas:
    /ip firewall mangle add chain=prerouting src-address=172.0.0.0/8 action=mark-routing
    new-routing-mark=link1 passthrough=no

    /ip firewall mangle add chain=prerouting src-address=192.0.0.0/8 action=mark-routing
    new-routing-mark=link2 passthrough=no

    Feito isso, temos todos as conexoes que chegam pela rede 192 marcados para link2 e todos as conexoes que chegam pela rede 172 para link1.

    agora oque temos que fazer é adicionar uma rota para cada um dos links

    /ip route
    add routing-mark=link1 gateway=ip do gateway do link1

    add routing-mark=link2 gateway=ip do gateway do link2

    pronto.
    agora vc separou as conexoes e cada uma esta saindo por um gateway!

    qualquer duvida liga aki q eu te ajudo !!!...
    (49) 8416 5562

  6. #6
    Avatar de diegochd
    Ingresso
    Jan 2009
    Localização
    Conselheiro Lafaiete, Brazil
    Posts
    12

    Padrão

    Valeu maiconfontana,

    Mais o gateway é o mesmo, 200.xx.xx.60, são ip da mesma classe e saindo por um mesmo Link, somente mascarando com ips válidos diferentes. A regra geral de NAT pra todas ja estava configurada.

    Valeu!

  7. #7

    Padrão

    ja tendou colocar no / ip route
    destination=172.0.0.1/24 gateway=X

    e

    destination=0.0.0.0/0 gateway=Y

    ou fazer como pessoal acima citou

  8. #8

    Padrão

    Estou a um tempão tentando fazer isso aqui!
    Por favor se alguém tiver sucesso NÃO ESQUEÇA de posta aqui!

  9. #9

    Padrão

    nao vou postar de bandeixa as coisas, é dificil, mas é bom vc aprender um pouco sozinho

    para vc fazer isso (por um ip valido na saida e na entrada de uma classe de ips)
    a solução se chama netmap

    esta em ip\firewall\nat.....

    pesquisa por netmap aqui no forum q vc encontrará

  10. #10

    Padrão

    Citação Postado originalmente por ederjohann Ver Post
    nao vou postar de bandeixa as coisas, é dificil, mas é bom vc aprender um pouco sozinho

    para vc fazer isso (por um ip valido na saida e na entrada de uma classe de ips)
    a solução se chama netmap

    esta em ip\firewall\nat.....

    pesquisa por netmap aqui no forum q vc encontrará
    Já sabia e já fiz com o netmap mas não dá certo!
    Acontece a mesma coisa quando usa-se "action:dst-nat...".

    Acho q o colega tmb não entendeu o q nos queremos...desta forma q vc citou é ter acesso tanto externo a um/varios IP's internos como o inverso mas não acontece o q queremos q é, por exemplo, quando acessar Meu ip - Qual é o Meu IP? 75.126.22.155 mostrar o ip publico diferente para deternidada classe de IP's internos.

    Algumas idéia de como fazer isso?

  11. #11

    Padrão

    Cara, voce pode trabalhar com VLANs.
    Adicione na mesma Ether a quantidade de VLANs com IDs diferentes e em cada uma adicione um IP de saída (IP público)....
    Na hora de fazer o NAT selecione a VLAN criada como Out Interface!!!

    espero que voce entenda!

    Att,
    Pedro S. Bortolossi

  12. #12
    Avatar de diegochd
    Ingresso
    Jan 2009
    Localização
    Conselheiro Lafaiete, Brazil
    Posts
    12

    Padrão

    Citação Postado originalmente por pbortolossi Ver Post
    Cara, voce pode trabalhar com VLANs.
    Adicione na mesma Ether a quantidade de VLANs com IDs diferentes e em cada uma adicione um IP de saída (IP público)....
    Na hora de fazer o NAT selecione a VLAN criada como Out Interface!!!

    espero que voce entenda!

    Olá Pedro, tentei fazer isso, exatamente do jeito que vc falou mais nada.

    Vc ja testou dessa maneira ?

    Obrigado!

  13. #13

    Padrão

    Tenho isso aqui na minha empresa rodando...
    O que voce deve fazer é...

    Criar uma VLAN com um ID especifico em uma interface qualquer e determinar um IP Privado (192.168.x.y/z) para essa VLAN.
    Em outras interfaces quaisquer determine os IPs Válidos...
    No NAT para saída selecione a interface com os IPs Válidos como Out Interface...

    Procedimento similar ao padrão, sem trabalhar com Vlan, a diferença é que voce seleciona a vLan, como por exemplo, para adicionar um DHCP Server...No Mikrotik é assim, sempre é válida a interface "virtual" que se cria..

    Vale lembrar que é necessário um switch gerenciavel para essa aplicação...pois nele voce determina a VLAN (ID da vLAN) que cada porta fará parte.. assim voce consegue determinar quem faz parte de tal VLAN...
    Você pode ter inumeras VLAN em apenas uma interface...dividindo assim sua rede em mais de uma!!!

    espero que ajude,

  14. #14

    Padrão

    Consegui aqui 50% de sucesso...digo isso pq...

    Adicionei meus IPs públicos na interface internet/public.
    Depois utilei a sequinte regra acima da regra de masquerade:

    add chain=srcnat action=src-nat to-addresses=200.xxx.xxx.xxx to-ports=0-65535 \
    out-interface=public comment="Masquerade to 200.xxx.xxx.xxx" disabled=no

    Dái consegui q a rede saia pelo IP público q eu quiser, claro dos q possuo.
    O problema é q não funciona de jeito algum se eu especificar um IP ou classe de IPs nesta regra em "Src. Address", por exemplo:

    add chain=srcnat action=src-nat to-addresses=200.xxx.xxx.xxx to-ports=0-65535 \
    out-interface=public src-address=172.29.6.29 comment="Masquerade to \
    200.xxx.xxx.xxx" disabled=yes

    Então pergunto: já consegui resolver metade do problema, alguém tem alguma solução para resolver a outra metade?
    Última edição por kryseck; 07-02-2009 às 01:28.