Não acessa remotamente RB's depois do Load Balance

[andrefernando25]

Boa noite pessoal!


Tenho um probleminha aqui que me incomoda há um tempo. Tenho um DDNS que funciona muito bem, mas com ele, só consigo acessar externamente a RB do Load balance.


Esquematizando, minha rede é assim:
Link em bridge 1 \
Link em bridge 2 - >> Load Balance (RB 750 192.168.88.1/30) >> Central (RB 450 g 192.168.88.2) >> Omntik e outras transmissoras.
Link em bridge 3 /


Acessando de fora, por outra internet eu consigo acessar somente ao load balance, seja pelo Mikro Winbox pro (celular), WINBOX ou pelo navegador www.. Não sei o porque, já tentei de tudo, as regras lá estão como encontrei na net... Mas não funciona.


Detalhe, se eu tiver conectado a minha rede e usar um ddns com as determinadas portas para acessar, eu consigo entrar em qualquer RB dentro da minha rede (usando o ddns mesmo ou ip). Porque será?




Segue as regras que coloquei aqui


No Load Balance tem:

Código :

/ip firewal add action=dst-nat chain=dstnat comment=\
    "////////// Acesso RB Central - WINBOX" dst-port=1001 protocol=tcp \
    to-addresses=192.168.88.2 to-ports=1001

Na "Central" tem:

Código :

/ip firewal add action=dst-nat chain=dstnat comment=\
    "////////// Acesso RB Central - WINBOX" dst-port=1001 protocol=tcp \
    to-addresses=192.168.88.2 to-ports=8291

Detalhe, utilizo bem mais a porta do API para acessar pelo celular (Tenho outra regra similar a de cima para a porta do API), mas só consigo entrar no LOAD BALANCE, quer seja em qualquer lugar, principalmente na faculdade.


Habilitei os Logs da regra nat e fica aparecendo essa mensagem aqui nos logs toda vez que tento entrar, nas duas RB's, vejam nas imagens anexadas, uma é o que aparece no balance e a outra na central. (lembrando que nesse exemplo das imagens, tentava acessar pelo API do celular.

Utilizo o webmikrotik, quando preciso que eles acessem minha rb Central (servidor), não conseguem também, só por telmac.

Excluir várias regras que tinha, mesmo assim não funciona...

O que é esse Len 60 que aparece no log? e pq depois de pppoe out 1 aparece isso: (none)?? será que falta algo nas regras?

Aguardo e prontamente já agradeço o espaço.

[andrefernando25]

Tentei aqui Arthur, mas não dá certo mesmo.
Estranho é que aparece nos logs tanto do Load quanto o da Central uma tentativa de acesso, mas não loga. É como se houvesse alguma espécie de bloqueio por conexões externas, mas não acho nada aqui.

Será que tenho que marcar alguma conexão de saída ou sei lá?

Há alguma oção no mikrotik que faz bloqueio de acessos externos?

O que será que estou fazendo de errado, hein? Lembrando que se eu tiver conectado pelo wifi na rede e usar o DDNS eu consigo acesso. É como se o acesso fosse permitido somente por dentro da RB central.... (já que meu roteador wifi está conectado lá por PPOE e também usando wifi de algum cliente eu consigo acesso pelo link do DDNS também). Ou seja, só de dentro da rede.

[inquiery]

A primeira regra que você postou você redireciona a porta 1001 para o IP da "RB Central", porém para a mesma porta 1001. Depois você tem outra regra na "RB Central" com dstnat da porta 1001 para 8291. Porque você não deleta essa regra da RB Central e redireciona a porta 1001 na entrada do Load Balance para a porta 8291 da RB Central diretamente?

Posta o resultado do comando:

Código :

/ip firewall mangle print

Da RB do Load Balance.

[andrefernando25]

Bom dia!

Obrigado pela resposta! Fiz o que você falou, mudei a porta do dst-nat e apaguei a regra na rb "central", mas mesmo assim não obtive êxito.

Tô fazendo os testes pela porta API (acesso pelo celular), pois assim ponho no 3g e testo o acesso (Fiz as mesmas regras do winbox para a porta API também). Não funcionou ainda. Detalhe, como eu disse, se eu ligar o wifi do celular e acessar peo DDNS funciona direitinho, mas quando desligo o wifi e tento acessar pelo 3g, não dá. Já o load balance não estou tendo problema algum.

Seguem as regras que estão no Mangle do balance:

Código :

 /ip firewall mangle printFlags: X - disabled, I - invalid, D - dynamic 
 0    chain=prerouting action=accept protocol=tcp dst-port=8291 log=no 
      log-prefix="" 
 
 
 1    ;;; 1 - Primeira fase
      chain=prerouting action=accept src-address=192.168.88.0/30 
      dst-address=192.168.88.0/30 log=no log-prefix="" 
 
 
 2    ;;; 2 Marcar conex es - Link 15 MB
      chain=prerouting action=mark-connection new-connection-mark=conn1 
      passthrough=yes in-interface=pppoe-out1 connection-mark=no-mark log=no 
      log-prefix="" 
 
 
 3    ;;; *********Link 5 MB
      chain=prerouting action=accept src-address=192.168.88.0/30 
      dst-address=10.0.20.0/24 log=no log-prefix="" 
 
 
 4    ;;; 2 Marcar conex es - Link 5 MB
      chain=prerouting action=mark-connection new-connection-mark=conn3 
      passthrough=yes in-interface=Link do Preto  connection-mark=no-mark 
      log=no log-prefix="" 
 
 
 5    ;;; 2 Marcar conex es - Link 10 MB
      chain=prerouting action=mark-connection new-connection-mark=conn2 
      passthrough=yes in-interface=pppoe-out2 connection-mark=no-mark log=no 
      log-prefix="" 
 
 
 6    ;;; 3 - Policy_Router
      chain=prerouting action=jump jump-target=policy_router 
      in-interface=Balance Out connection-mark=no-mark log=no log-prefix="" 
 
 
 7    ;;; 4 - Trafic 15 MB
      chain=prerouting action=mark-routing new-routing-mark=link1_trafic 
      passthrough=yes src-address=192.168.88.0/30 connection-mark=conn1 
      log=no log-prefix="" 
 
 
 8    ;;; 4 - Trafic Link do link 5 MB
      chain=prerouting action=mark-routing new-routing-mark=link3_trafic 
      passthrough=yes src-address=192.168.88.0/30 connection-mark=conn3 
      log=no log-prefix="" 
 
 
 9    ;;; 4 - Trafic 10 MB
      chain=prerouting action=mark-routing new-routing-mark=link2_trafic 
      passthrough=yes src-address=192.168.88.0/30 connection-mark=conn2 
      log=no log-prefix="" 
 
 
10    ;;; 5 - Marcar Rotas 15 MB
      chain=output action=mark-routing new-routing-mark=link1_trafic 
      passthrough=yes connection-mark=conn1 log=no log-prefix="" 
 
 
11    ;;; Marcar Rotas Link  5 MB
      chain=output action=mark-routing new-routing-mark=link3_trafic 
      passthrough=yes connection-mark=conn3 log=no log-prefix="" 
 
 
12    ;;; Marcar Rotas 10 MB
      chain=output action=mark-routing new-routing-mark=link2_trafic 
      passthrough=yes connection-mark=conn2 log=no log-prefix="" 
 
 
13    ;;; Link 15 MB
      chain=policy_router action=mark-connection new-connection-mark=conn1 
      passthrough=yes dst-address-type=!local 
      per-connection-classifier=both-addresses:6/0 log=no log-prefix="" 
 
 
14    chain=policy_router action=mark-connection new-connection-mark=conn1 
      passthrough=yes dst-address-type=!local 
      per-connection-classifier=both-addresses:6/1 log=no log-prefix="" 
 
 
15    chain=policy_router action=mark-connection new-connection-mark=conn1 
      passthrough=yes dst-address-type=!local 
      per-connection-classifier=both-addresses:6/2 log=no log-prefix="" 
 
 
16    ;;; Link 5 MB 
      chain=policy_router action=mark-connection new-connection-mark=conn3 
      passthrough=yes dst-address-type=!local 
      per-connection-classifier=both-addresses:6/5 log=no log-prefix="" 
 
 
17    ;;; Link 10 MB
      chain=policy_router action=mark-connection new-connection-mark=conn2 
      passthrough=yes dst-address-type=!local 
      per-connection-classifier=both-addresses:6/3 log=no log-prefix="" 
 
 
18    chain=policy_router action=mark-connection new-connection-mark=conn2 
      passthrough=yes dst-address-type=!local 
      per-connection-classifier=both-addresses:6/4 log=no log-prefix=""

Quer que eu envie as que estão no mangle da "rb central" também?

[inquiery]

Você faz o mascaramento na RB Balance ou na RB Central?

[andrefernando25]

Nos dois tem mascaramento das interfaces, tanto no Balance quanto na central.

[andrefernando25]

É complicado, pois parece haver alguma coisa na RB que bloqueia, deve ser algo bem simples, simplesmente não conecta. Estive pensando em ligar um link direto na "Central" para poder controlar, mas teria problemas com o balance e seriam mais recursos RB a serem usados.
Quando o webmiktok meu oferecia algum suporte, só era possível acessar por Telmac ou via Team Viwer.

Se alguém tiver alguma idéia de onde posso estar errando, poste aí, vou agradecer muito.

[inquiery]

Buenas @andrefernando25

Rapaz, não sei se é a minha mente que não ta entrando em acordo com as tuas regras, ou se é porque não tem problema nenhum mesmo. A única coisa que me chamou a atenção até o fim mesmo foi a tua regra numero 1:

Código :

;;; 1 - Primeira fase
      chain=prerouting action=accept src-address=192.168.88.0/30 
      dst-address=192.168.88.0/30 log=no log-prefix=""

O chain prerouting acontece antes do nat, e como o balance faz masquerade antes de enviar o pacote para a RB Central, na resposta da RB Central o pacote vai cair nessa regra, e não vai ser marcado para a tabela de roteamento baseado na connection-mark que a conexão ja tem, fazendo ele ficar na tabela main (tabela sem nome), a qual pode não ser o mesmo gateway da tabela com a interface de entrada do pacote.

Por exemplo, se ele entra pela pppoe-out1, é marcado com "conn1", vai para a RB Central, a resposta vem e cai naquela regra ali, e fica sem routing-mark. O RouterOS vai então rotear o pacote para fora depois do nat. Se você não tem um gateway padrão na tabela main, o pacote vai ser simplesmente descartado, ou se você tem gateway padrão na tabela main ativo mas ele não é o da interface pppoe-out1, ele vai ser enviado para o gateway errado e la vai ser descartado por não conhecer aquela conexão.

Será que não pode ser isso?

[andrefernando25]

Humm?? kk

Não entendi bulufas, mas pode ser sim, e o que eu posso fazer? devo excluir essa regra? Ela não é necessária para o balance funcionar? Segui uns tuto na net há mais de 10 meses e o fiz. Posso desativá-la então?


Aqui no balance tá mostrando que ela tem 19,1 MiB e 163 645 packets, ou seja, alguma coisa está passando por ela.

[inquiery]

kkkk

Quer que eu tente explicar melhor? É complicadinho de entender mesmo de entender o flow, eu sou bem perdido tb.


Mas tipo, não precisa excluir a regra e nem desabilitar ela, o que você pode é só adicionar nela "connection-mark=no-mark". Se você fizer isso, quando o pacote que voltar da RB Central para a RB Balance, ele não vai cair nessa regra, porque ele ja vai estar com uma connection-mark ("conn1", "conn2" ou "conn3").

Mas só testa, não tenho certeza se é isso. Pode ser regras no seu filter bloqueando, ou no mangle/filter da RB Central.

[andrefernando25]

Cara, é o seguinte:



Vc é demais!!!!!!!!!!!!!!!

Acredita que agora está tudo funcionando perfeitamente???
Não sei nem como agradecer, eu estava tentando de tudo e de tudo...

Muito obrigado Sir. @inquiery, vc é o cara!!!!!