Roteamento de Internet com iptables sem NAT [RESOLVIDO]

K3L3VR4
(usa BackTrack)

Enviado em 05/11/2013 - 16:55h

Olá, meu nome é Celso e tenho um problema ainda não localizado em minha infra, onde o engenheiro de rede de uma empresa terceirizada informou que o meu problema é o Firewall que esta roteando com NAT.
Pois bem, vou explicar minha infra.

Possuo em um ponto de minha cidade 2 links de internet de operadoras diferentes, um link ligado a um aparelho LoadBalance Cisco RV042 e outro ligado em um Switch intelbras layer3 com VLANs e depois indo para o loadbalance.
Este é enviado para a empresa por um enlace via radio RADWIN chegando em outro switch com VLANs.
Chegando ao servidor Debian Wheezy, apenas com IPTables.

Bem toda a saída de internet por este Gateway passa pelo lodbalance, e alguns sites e serviços após esta infra começaram a dar problemas com autenticação, até o cpanel do site da empresa, já não consigo autenticar, pois em alguns casos bloqueado devido a troca de operadoras (operadoras com internet dedicada), no loadbalance. Sites de banco entre outros, as vezes recebo mensagens de timeout as vezes erro nenhum apenas não entram.

Em teste realizado pela equipe que vendeu as soluções, eles informaram que o problema esta no roteamento dos Pacotes, que necessitam apenas encaminhar sem realizar o NAT.

------------------------------------------------------------------------------------------------------------------------
"TRECHO DE E-MAIL RECEBIDO"
Como havia comentado, o problema é que o firewall não está fazendo encaminhamento de pacote
(forma correta do firewall trabalhar) e sim NAT. O Load enxerga um único endereço não
conseguindo saber o que cada máquina ta acessando.
------------------------------------------------------------------------------------------------------------------------

Foi então que resolvi a recorrer a pessoas mais experientes, para me ajudar neste problema!

renato_pacheco
(usa Debian)

Enviado em 05/11/2013 - 17:03h

O primeiro teste q vc deve realizar é com o traceroute, tentando analisar em vários casos se os pacotes enviados ao destino estão chegando d fato e, caso contrário, será mostrado em qual ponto há o problema d rota.

K3L3VR4
(usa BackTrack)

Enviado em 06/11/2013 - 07:17h

traceroute to www.itau.com.br (184.31.255.170), 30 hops max, 60 byte packets
1 192.168.0.1 (192.168.0.1) 11.135 ms 11.121 ms 11.112 ms
2 10.0.1.1 (10.0.1.1) 11.145 ms * *
3 192.168.189.1 (192.168.189.1) 11.068 ms 11.034 ms 11.044 ms
4 192.168.2.1 (192.168.2.1) 11.052 ms XXX.X.XXX.XXX (XXX.X.XXX.XXX) 13.462 ms 13.409 ms
5 10.1.1.1 (10.1.1.1) 16.641 ms embratel-f3-1-0-1012-gacc11.spo.embratel.net.br (XXX.XX.XX.XXX) 21.622 ms 21.623 ms
6 ebt-b2-21-tcore01.spo.embratel.net.br (200.230.243.46) 21.618 ms 25.477 ms 186-201-216-17.customer.tdatabrasil.net.br (186.201.216.17) 15.229 ms
7 ebt-bp1113-intl03.mianap.embratel.net.br (200.230.220.62) 135.483 ms 187-92-144-21.customer.tdatabrasil.net.br (187.92.144.21) 17.486 ms ebt-bp1113-intl03.mianap.embratel.net.br (200.230.220.62) 135.463 ms
8 ae54.edge4.miami1.level3.net (4.59.90.9) 135.398 ms 187-100-53-1.dsl.telesp.net.br (187.100.53.1) 90.198 ms ae54.edge4.miami1.level3.net (4.59.90.9) 135.384 ms
9 ae-2-52.edge2.miami2.level3.net (4.69.138.109) 134.128 ms 213.140.51.113 (213.140.51.113) 33.395 ms ae-1-51.edge2.miami2.level3.net (4.69.138.77) 134.001 ms
10 nap-brdr-01.inet.qwest.net (63.146.26.137) 136.374 ms xe4-0-2-0-grtmiabr4.red.telefonica-wholesale.net (84.16.15.34) 128.033 ms nap-brdr-01.inet.qwest.net (63.146.26.137) 140.253 ms
11 * * *
12 213.140.55.18 (213.140.55.18) 155.615 ms * 155.544 ms
13 * * atx-edge-03.inet.qwest.net (67.14.14.142) 179.732 ms
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *

renato_pacheco
(usa Debian)

Enviado em 06/11/2013 - 09:17h

Repita o teste usando o seguinte comando:

traceroute -I www.itau.com.br

 

Assim será usado o ICMP em vez do UDP para descobrir as rotas.

K3L3VR4
(usa BackTrack)

Enviado em 06/11/2013 - 09:21h

traceroute to www.itau.com.br (184.51.239.170), 30 hops max, 60 byte packets
1 192.168.0.1 (192.168.0.1) 4.044 ms 8.695 ms *
2 * * *
3 * * *
4 * * *
5 * * *
6 * ebt-b2-21-tcore01.spo.embratel.net.br (200.230.243.46) 129.567 ms 129.482 ms
7 ebt-bp1113-intl03.mianap.embratel.net.br (200.230.220.62) 247.414 ms 247.432 ms 247.435 ms
8 ae7.mia10.ip4.tinet.net (199.168.63.185) 242.409 ms 242.452 ms 242.455 ms
9 xe-0-3-0.atl11.ip4.tinet.net (89.149.182.66) 284.978 ms 284.992 ms 284.996 ms
10 highwinds-gw.ip4.tinet.net (199.229.230.166) 287.852 ms 287.872 ms 287.880 ms
11 a184-51-239-170.deploy.static.akamaitechnologies.com (184.51.239.170) 284.874 ms 284.914 ms 273.104 ms

renato_pacheco
(usa Debian)

Enviado em 06/11/2013 - 09:29h

Cara, sua rota tá normal. Vamos fazer mais um teste: instale o tcptraceroute e execute o seguinte comando:

tcptraceroute www.itau.com.br 443

 

K3L3VR4
(usa BackTrack)

Enviado em 06/11/2013 - 09:33h

tcptraceroute www.itau.com.br 443
Selected device wlan0, address 192.168.0.106, port 37906 for outgoing packets
Tracing the path to www.itau.com.br (184.31.175.170) on TCP port 443 (https), 30 hops max
1 192.168.0.1 2.482 ms 3.158 ms 3.166 ms
2 10.0.1.1 4.067 ms * 3.206 ms
3 192.168.189.1 10.365 ms 13.401 ms 10.847 ms
4 XXX.X.XXX.XXX 12.855 ms 11.958 ms 9.981 ms
5 embratel-f3-1-0-1012-gacc11.spo.embratel.net.br (189.86.38.249) 134.996 ms 128.864 ms 108.753 ms
6 ebt-c2-core03.spo.embratel.net.br (200.230.243.18) 119.851 ms 83.499 ms 71.378 ms
7 ebt-g0-3-3-2-tcore01.spo.embratel.net.br (200.230.251.193) 171.270 ms 222.429 ms 231.119 ms
8 ebt-p0-6-2-0-intl02.nyk.embratel.net.br (200.230.251.254) 257.670 ms 258.352 ms 256.934 ms
9 ae-23.r06.nycmny01.us.bb.gin.ntt.net (129.250.195.45) 261.579 ms 278.528 ms 286.830 ms
10 ae-2.r23.nycmny01.us.bb.gin.ntt.net (129.250.4.148) 297.068 ms 268.761 ms 274.105 ms
11 ae-5.r20.asbnva02.us.bb.gin.ntt.net (129.250.2.183) 193.476 ms 173.725 ms 194.139 ms
12 ae-1.r04.asbnva02.us.bb.gin.ntt.net (129.250.3.17) 154.371 ms 205.231 ms 231.624 ms
13 a184-31-175-170.deploy.static.akamaitechnologies.com (184.31.175.170) [open] 244.718 ms 13.562 ms 255.980 ms

renato_pacheco
(usa Debian)

Enviado em 06/11/2013 - 09:37h

Esse site do itau dá problemas em acessar via browser? Em q máquina vc tá testando isso? Teste na máquina do cliente e não no servidor... Se for Windows, use o tracert.

K3L3VR4
(usa BackTrack)

Enviado em 06/11/2013 - 10:24h

Estou na maquina cliente..

K3L3VR4
(usa BackTrack)

Enviado em 06/11/2013 - 10:33h

Com outra internet

traceroute www.itau.com.br
traceroute to www.itau.com.br (23.199.63.170), 30 hops max, 60 byte packets
1 192.168.0.1 (192.168.0.1) 4.302 ms 4.318 ms 4.310 ms
2 10.0.1.1 (10.0.1.1) 4.241 ms * *
3 XXX.XXX.XX.XX (XXX.XXX.XX.XX) 4.241 ms 4.236 ms 4.228 ms
4 177.107.64.21 (177.107.64.21) 35.410 ms 35.421 ms 35.413 ms
5 177.107.64.17 (177.107.64.17) 35.405 ms 35.399 ms 35.391 ms
6 177.107.64.82 (177.107.64.82) 35.382 ms 30.950 ms 34.337 ms
7 tengige0-0-1-0.2935.edge-a-asr.cas512.ctbc.com.br (201.16.210.222) 34.333 ms 34.336 ms 34.327 ms
8 xe-0-3-0-0.core-b.spo511.ctbc.com.br (201.48.46.166) 34.319 ms 34.313 ms *
9 xe-5-3-0-0.border-b.spo511.ctbc.com.br (201.48.46.33) 13.954 ms 13.959 ms 20.981 ms
10 ge-1-3-2.ar4.gru1.gblx.net (207.138.112.241) 20.929 ms 20.936 ms 20.927 ms
11 ae0.ar5.jfk1.gblx.net (67.16.147.30) 130.897 ms 130.849 ms 125.402 ms
12 jfk-brdr-04.inet.qwest.net (63.235.40.57) 123.230 ms 125.375 ms 125.370 ms
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *

traceroute -I www.itau.com.br
traceroute to www.itau.com.br (184.51.239.170), 30 hops max, 60 byte packets
1 192.168.0.1 (192.168.0.1) 3.174 ms 3.408 ms *
2 * * *
3 * * *
4 * * *
5 * * *
6 * 177.107.64.82 (177.107.64.82) 8.884 ms 14.936 ms
7 * * *
8 * * *
9 * * *
10 * * *
11 * * 5-2.r1.mi.hwng.net (205.185.198.5) 150.019 ms
12 1-2.r1.at.hwng.net (209.197.0.209) 183.621 ms 186.845 ms 186.851 ms
13 a184-51-239-170.deploy.static.akamaitechnologies.com (184.51.239.170) 139.232 ms 139.271 ms 139.274 ms

tcptraceroute www.itau.com.br 443
Selected device wlan0, address 192.168.0.106, port 49528 for outgoing packets
Tracing the path to www.itau.com.br (184.51.239.170) on TCP port 443 (https), 30 hops max
1 192.168.0.1 4.638 ms 3.399 ms 3.098 ms
2 10.0.1.1 4.018 ms * 3.212 ms
3 XXX.XXX.XX.XX 5.764 ms 6.721 ms 4.317 ms
4 177.107.64.21 9.816 ms 8.474 ms 6.192 ms
5 177.107.64.17 6.901 ms 37.586 ms 58.307 ms
6 177.107.64.82 25.925 ms 131.588 ms 126.579 ms
7 tengige0-0-1-0.2935.edge-a-asr.cas512.ctbc.com.br (201.16.210.222) 87.925 ms 13.138 ms 15.855 ms
8 xe-0-3-0-0.core-b.spo511.ctbc.com.br (201.48.46.166) 64.304 ms 26.817 ms 11.576 ms
9 xe-5-3-0-0.border-b.spo511.ctbc.com.br (201.48.46.33) 10.968 ms 13.069 ms 17.725 ms
10 as12989.sp.ptt.br (187.16.216.177) 17.938 ms 20.164 ms 27.880 ms
11 5-2.r1.mi.hwng.net (205.185.198.5) 180.959 ms 150.111 ms 277.619 ms
12 1-2.r1.at.hwng.net (209.197.0.209) 189.180 ms 142.291 ms 141.285 ms
13 a184-51-239-170.deploy.static.akamaitechnologies.com (184.51.239.170) [open] 239.554 ms -172.602 ms 163.571 ms

renato_pacheco
(usa Debian)

Enviado em 06/11/2013 - 10:36h

É, eu não vejo q o problema seja com rotas. Se o pacote tá chegando, o problema é outro.

K3L3VR4
(usa BackTrack)

Enviado em 06/11/2013 - 11:10h

MINHA REDE:

PONTO A

Link 1: Internet via Radio
Link 2: Internet via Fibra

Link 1: Entra no LoadBalance
Link 2: Entra em um switch com VLAN e do switch vai para um LoadBalance Cisco RV040

LoadBalance esta fazendo balanceamento entre o link 1 e link 2 com IPs Públicos e o loadbalance esta sobre o IP 192.168.50.1/30

Depois é enviado este sinal via radio até uma repetidora ate chegar no PONTO B

PONTO B

Radio vindo do PONTO A
Entrando em um switch com VLAN e vai até um servidor.

SERVIDOR:

Este esta roteando a internet com IPTables, e estava dando erro nas saídas com autenticação.

1 Teste que eu fiz, desliguei o servidor coloquei o cabo em uma maquina windows e compartilhei a internet, também não funcionou.

2 Teste coloquei outra internet que não passa por esta infra no windows e passou a funcionar todos os sites que estavam sendo bloqueados!