Configuração Mikrotik

hugueta1
(usa Ubuntu)

Enviado em 06/04/2017 - 14:06h

Boa tarde!

Estou com um projeto na empresa que trabalho, de instalar mikrotik (750gr3) como roteadores de borda em 2 empresas (1 filial e 1 sede). Nunca tinha trabalhado com esse roteador e não tinha nenhuma experiência com seu tipo de configuração. Outros roteadores "normais" eu sempre consegui instalar tranquilamente e conseguia configurar as personalizações necessárias para cada empresa.

Meu problema está especificamente em 2 coisas, primeira: A sede possui 2 máquinas de replicação que ficam sincronizando os dados do BD das filiais para sede e da sede pras as filiais. Em outros roteadores para fazer essas replicações funcionar eu só liberava a porta tcp (porta exemplo) 4580 em ambos os roteadores e já funcionava. No mikrotik faço a liberação dessa porta mas não consigo fazer funcionar. Se eu faço a liberação de portas normal, como no exemplo abaixo ele aponta para o replicador puxar a inserir os dados do mesmo servidor local.

Usei a seguinte regra:

#/ip firewall nat add chain=dstnat protocol=tcp dst-port=4580 action=dst-nat to-addresses=192.168.10.200 to-ports=4580 packet-mark=!packet_out comment="replic1" 

A estrutura que tenho hoje aqui é a seguinte:

https://drive.google.com/file/d/0ByRuJ0d14JdISk1ja2RnS2NrSWM/view?usp=sharing 

O outro problema é que fica hospedado na sede, um servidor web, tentei fazer a liberação da porta 80 desse modo:

#/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.10.150 to-ports=80 packet-mark=!packet_out comment="web" 

O acesso externo ao servidor web funciona legal, mas toda vez que vou abrir o meu email (do google, mas com meu domínio) mail.exemplo1.com.br ele puxa a página do meu servidor web. Acho que ele está indicando para as requisições wan e lan da porta 80 para ir para o ip 192.168.10.150, ao invez de só para as requisições wan como deveria ser.

vortico
(usa Fedora)

Enviado em 06/04/2017 - 15:23h

Boas amigo. Não sou especialista mas me viro um pouco no MK.

Me diz uma coisa. Como esta a configuração das interfaces, qual porta do seu MK é oq?
Pq nos scripts que enviou, não vi o script de Mascaramento da NAT:
https://www.todoespacoonline.com/w/2015/07/nat-e-redirecionamento-de-portas-no-mikrotik/

e tb não tem a discriminação da porta WAN no seu script, seria algo como o script abaixo onde falta o in-interface:
/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.10.150 to-ports=80
Assim creio que todo o tráfego da porta 80, inclusive o local, será redirecionado para o seu server mesmo.

hugueta1
(usa Ubuntu)

Enviado em 07/04/2017 - 09:27h

[/quote]
Boas amigo. Não sou especialista mas me viro um pouco no MK.

Me diz uma coisa. Como esta a configuração das interfaces, qual porta do seu MK é oq?
Pq nos scripts que enviou, não vi o script de Mascaramento da NAT:
https://www.todoespacoonline.com/w/2015/07/nat-e-redirecionamento-de-portas-no-mikrotik/

e tb não tem a discriminação da porta WAN no seu script, seria algo como o script abaixo onde falta o in-interface:
/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.10.150 to-ports=80
Assim creio que todo o tráfego da porta 80, inclusive o local, será redirecionado para o seu server mesmo.
[/quote]





No mascaramento só coloquei isso:

/ip firewall nat add chain=srcnat src-address=192.168.10.0/24 action=masquerade comment="nat" 

Na verdade eu utilizo 2 wans, vivo fibra ip fixo na ether1 e net ip dinamico na ether2, o restante é lan. Pelo que eu entendi então eu faço duas regras idênticas mas uma para ether1 e outra para ether2?

/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.10.150 to-ports=80 

/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=80 in-interface=ether2-gateway protocol=tcp to-addresses=192.168.10.150 to-ports=80 

Desde já muito obrigado pela ajuda!

souzacarlos
(usa Outra)

Enviado em 07/04/2017 - 11:45h

Bom dia senhores
Primeiro sobre o que o colega acima questionou sobre interfaces.
Faz todo sentido que vc defina por qual interface vc espera receber requisições na aporta 80(http) caso vc não defina, ele vai entender que qualquer requisição inclusive de outras interfaces da sua RB sejam redirecionadas para este IP que vc definiu, então, defina a interface que vc espera receber requisições.

Sobre mascaramento: Não é o caso, o MASQUERADE só vai se aplicar quando eu quiser falar o overload (fazer várias requisições sobre apenas 01 IP) tipo quando quero compartilhar acesso a Internet para um rede local onde somente tenho 01 IP público.

Sobre a replicação, primeiro precisamos entender outros aspectos, (olhando de fora pra dentro: Existem outros equipamentos antes das RBs Mikrotik?) Se sim, vc tem que verificar como está as configs desses equipamentos. Caso não tenha, sugiro verificar como andam tuas regras de firewall, já tive problemas com clientes utilizando Mikrotik onde as regras de firewall estavam bem emboladas interferindo em tudo nas configurações.

Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)