Repassar Ip Válido para clientes sem autenticação!

[Andersonlopes]

Bom Galera, estou com um cenário simples mais travado aki, comprei um link de um provedor para atender uma pequena vila em outra cidade, até tudo bem, meu cenário está assim,

Recebi um uma range válida 201.57.x.113/26 segundo o provedor posso usar até o ip 118, até ae tudo bem, coloquei ele na
ether1 da 2011 e mascarei uma rede invalida para dentro 10.30.0.0/24 até ae tudo bem mas agora surgiu a necessidade de
levar mais 02 ips válidos para dentro da rede para um cliente, ae está o problema, se estou mascarando toda a rede em cima
do 113, como levar mais ips para dentro?

se criar uma bridge adicionar os válidos e os inválidos e criar masquerade em cima da rede 10.30.0.0/24 não funciona já tentei,
alguem tem solução?
att

[netonline]

se lhe interessar: vc tem que explicar melhor essa sua rede, ether1, ether de link quem é quem ? faça um desenho aonde sai e entra quem que posso te ajudar melhor. qualquer coisa meu e-mail é o [email protected]

[Int]

IP valido não usa NAT, ele sai direto.

Você tem que criar o roteamento para esse cliente e mostrar que esses X IPs vão estar atras da rede Y.

[Conectiva]

Configurar o IP /30 na mesma Bridge e fixa no cliente. vai passar porem vai resolver com o IP do NAT. mas o acesso externo vai funcionar. Para corrigir isso tem que fazer um mangle ai ja eras. Se for Hostspot bastar fazer um baypass
Abç boa sorte!

[leosixers]

Amigo,

Primeiramente verifique se qual é máscara que está usando. Pois você diz que a rede é /26, mas não faz sentido. O range dos IPs 112 até o 119 que deve ser o seu só funcionaria com /29. Máscara de rede 255.255.255.248. Onde o 112 é o endereço da rede e o 119 o endereço de broadcast.

Pode ser que tenha sido apenas um erro de digitação. Apenas verifique para se certificar que não existe um problema na configuração do roteamento.

Abraços

[rimaraujo]

Só pode haver nat no bloco de ip inválido.
Feito isso.
O cliente conecta no servidor com algum ip inválido?
Se sim fixe o ip de forma que sempré que ele conectar ele sempre conecte com o mesmo ip inválido.
Feito isso.
Vá na 2011.
IP route add
Tudo que que vier do IP válido/32
Vai redirecionar pra o IP 10.30.0.cliente

Verifique em ip firewal nat se a regra de masquerad esta duncionando somente para ips invalidos. Se nao acrescente.
Add src-adress 10.30.0.0/24 action masquerad.
Remova o restante.
Para evitar alguma regra de firewal que possa estar bloqueando, visto que muitas pessoas pegam lista de firewal pronta na Internet copia e cola sem ao menos saber o que está fazendo.
IP firewall.
Add
Scr-adress 10.30.0.0/24
Action acept.

Basta o cliente autenticar no servidor com o ip inválido que o ip válido irá responder no ip dele agora.

Agora se você não quer que ele funcione com ip sendo roteado dessa maneira.
Você prefere por exemplo que o cliente coloque o ip válido direto na interface e dé rede.
Repita tudo anterior porém ao invés de colocar ip/32 quebre seu bloco de ip, se não sabe quebrar leia no google calculadora de ip, coloque ip /30 em ip route.
Após realizar isso vá no cliente coloque ip /30 na ether do equipamento do cliente e o outro ip na ether do computador do cliente.
Com mascara 255.255.255.252

[alefd]

Bom Galera, estou com um cenário simples mais travado aki, comprei um link de um provedor para atender uma pequena vila em outra cidade, até tudo bem, meu cenário está assim,

Recebi um uma range válida 201.57.x.113/26 segundo o provedor posso usar até o ip 118, até ae tudo bem, coloquei ele na
ether1 da 2011 e mascarei uma rede invalida para dentro 10.30.0.0/24 até ae tudo bem mas agora surgiu a necessidade de
levar mais 02 ips válidos para dentro da rede para um cliente, ae está o problema, se estou mascarando toda a rede em cima
do 113, como levar mais ips para dentro?

se criar uma bridge adicionar os válidos e os inválidos e criar masquerade em cima da rede 10.30.0.0/24 não funciona já tentei,
alguem tem solução?
att

Amigo da uma olhada em NAT Transversal acho que resolve seu problema.
Abraço.

[andrecarlim]

Cara, assim, nenhuma resposta profissional ai pra cima, pra ficar bom mesmo use proxy-arp na interface onde teu bloco de esta configurado, no caso a interface do WAN que tem o bloco, e do lado de dentro é só rotear, evite qualquer tipo de NAT, NAT é coisa de amador! NAT tem que ser sempre a ultima alternativa, seja o tipo que for, a Internet seria um lugar espaço perfeito se não existisse NAT!

[inquiery]

Se o seu prefixo de rede é /26, o endereço 201.57.x.113 esta dentro da rede 201.57.x.64/26 (onde o endereço 201.57.x.64 é o endereço de rede), e você tem 6 bits para identificar dispositivos nessa rede, ou seja 2^6 endereços (calculando, 64 endereços). Desses 64, o primeiro é o endereço da rede, e o último o endereço de broadcast desta rede (201.57.x.127). Ou seja, você tem endereços válidos do 201.57.x.65 até o 201.57.x.126.

Claro que o provedor pode simplesmente ter liberado somente alguns IPs dentro dessa rede pra você, e esta roteando esses IPs específicos para um endereço combinado (por exemplo o 201.57.x.113). Agora, se ele te liberou o bloco /26, então você tem todos aqueles IPs para utilizar, e geralmente o primeiro endereço é utilizado como gateway (que seria o 201.57.x.65).

Qualquer que seja a forma que esta te entregando esses endereços, a forma mais simples de "transportar" um IP público para dentro da sua rede, é utilizando a RB como um "proxy" de rede, utilizando uma opçãozinha simples la no ARP, chamada "published".

Entra em IP->ARP e adiciona o IP que você quer no cliente lá, na interface, escolhe a interface onde recebe o link e marca a opção "Published". Você vai ver que o MAC não poderá ser preenshido, isto está certo, pois o MAC que a RB irá responder para as requisições ARP é o da interface onde o link está conectado, porém, ao receber pacotes para aquele endereço ele vai redirecionar para o dispositivo dentro da rede que ATUALMENTE possui aquele IP. Você não pode adicionar esses IPs em IP->Address, só no IP->ARP (com opção Published).

Depois de fazer isto, basta você tomar cuidado para 2 pontos: primeiro que o gateway do roteador do seu cliente, é o endereço da RB (se a RB tem o IP 201.57.x.113 na interface do link, no cliente é esse o IP do gateway dele); segundo no NAT você não pode mascarar pacotes com endereço de origem desse cliente. Isso é simples, basta criar uma Address List (chamada "ips_wan" por exemplo) com todos os IPs que você quer "reencaminhar para dentro da sua rede", e na regra de mascaramento, coloca src-address-list=!ips_wan (o "!" significa "não é" ou "não esta em").

Feito isto, a RB vai trabalhar como proxy de rede para esses IPs, respondendo pras requisições ARP que ela TEM aqueles IPs published, e pro seu provedor, é como se você tivesse colocado varios IPs na mesma interface, e ele vai encaminhar pacotes para qualquer endereço daqueles para sua RB. Chegando na RB, ela vai ver que é um endereço Published, vai alterar o MAC de destino do pacote para o MAC do cliente e encaminhar o pacote pra la. O cliente, por sua vez, responde para a própria RB, a qual vai alterar então o MAC de origem do pacote e colocando o MAC da interface dela como de origem e por ai vai.


Por final, isso é faz exatamente o que o amigo @andrecarlim acima falou, porém sem a necessidade de habilitar o proxy-arp na interface. Habilitando o proxy-arp, QUALQUER endereço pode entrar. Eu prefiro fazer manualmente para ter o controle e a segurança dos endereços sendo usados dessa forma. Até porque tem muito roteador (inclusive equiptos de Mikrotik) que tentam trafegar com endereço de origem nos pacotes de IPs WAN. Eles se perdem no NAT e fazem essas cagadas, e isso acaba atrapalhando o "proxy-arp" quando habilitado na interface.

[andrecarlim]

Muito boa dica, eu uso pouco isso em mikrotik, na verdade usei somente uma vez por pouco tempo até sair o bgp do cliente, nem sabia que dava pra usar dessa forma o proxy-arp do MK, gostei da dica, e reconheço a capacidade do colega @inquiery! Usei bastante proxy-arp em linux, mas a anos atrás, só que lá funcionava melhor!