Forum

ACESSO EXTERNO AO MIKROTIK QUANDO TEM 2 LINKS

Postado por Midller Rios em 3 de Novembro de 2015 às 2:50pm

Boa tarde pessoal,
Estou com um probleminha aqui.

Tenho 2 Link sendo 1- Dedicado (IP FIXO) onde funciona uma VPN e outro ADSL (IP Dinâmico).

Configurei o MK para puxar a conexão do LInk ADSL pois tem mais banda de conexão porém preciso ter acesso a ele remotamente e quero usar o IP Estático do link dedicado, quando eu chego em Router e coloco pra o ADSL para ser nivel 1 eu não consigo pingar o ip externo do (dedicado), quando eu coloco pro Dedicado ser nivel "1" consigo pingar e ter acesso ao MK, porem toda conexão de internet na rede passa a trafegar pelo dedicado e é o que eu não quero.

Alguém poderia me ajudar na regra onde o MK permita ter acesso ao mikrotik externamente pelo link Dedicado sendo que internamente todos tem que trafegar pelo ADSL?

Fiz algumas regras no mangle mais não obtive exito. Minha RB é uma 433 V4.2

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: 2, LINK, MIKROTIK
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Midller Rios 10 de Novembro de 2015 as 5:50pm

    Alguém tem alguma regra que eu possa ta utilizando nesse cenário ?

  • Pedro Filho 12 de Novembro de 2015 as 8:21pm

    estranho, se é dedicado com ip fixo era para ser bem simples, ver se não tem alguma regra no firewall dropando seu acesso externo nesse ip...

  • Midller Rios 13 de Novembro de 2015 as 9:22am

    Bom dia Pedro,

    Também achei isso estranho, eu tenho um drop em cima das portas do proxy, mesmo eu desligando a regra permanece sem dar acesso, quando eu coloco em Rota o ADSL - Distancia 1 e o Dedicado - Distancia 2 <- Esse aqui não pinga e nem da acesso externamente.

    Quando inverto colocando o Dedicado - Distancia 1 e o ADSL - Distancia 2, automaticamente ele pinga externamente no ip fixo me dando acesso a ele e consequentemente conecta a VPN.

    Eu creio que é alguma regra que eu esteja me perdendo no mangle vou postar como fiz as regras lá, nesse caso ai o Dedicado coloquei a distancia 1 pra poder ter acesso a ele pois é em outra cidade, más preciso que seja inverso a Rede toda navegando pelo ADSL e apenas a VPN trafegando no IP FIXO dedicado e me dando acesso a ele mesmo a linha principal sendo a ADSL e o dedicado como Backup.

    segue a regra do mangle

    add action=mark-connection chain=prerouting comment="" connection-state=new \
    disabled=no dst-address-type="" in-interface=ether2-DEDICADO \
    new-connection-mark=con_IN passthrough=yes
    add action=mark-connection chain=prerouting comment="" connection-state=new \
    disabled=no in-interface=ether3-ADSL new-connection-mark=con_IN2 \
    passthrough=yes
    add action=mark-routing chain=output comment="" connection-mark=con_IN \
    disabled=no new-routing-mark=rota passthrough=yes
    add action=mark-routing chain=output comment="" connection-mark=con_IN2 \
    disabled=no new-routing-mark=rota2 passthrough=yes

    Em routes
     /ip route
    add check-gateway=ping comment="" disabled=no distance=2 dst-address=\
    0.0.0.0/0 gateway=177.135.xxx.xx routing-mark=rota scope=30 target-scope=\
    10


    add check-gateway=ping comment="" disabled=no distance=1 dst-address=\
    0.0.0.0/0 gateway=192.168.25.1 routing-mark=rota2 scope=30 target-scope=\
    10


    add check-gateway=ping comment="" disabled=no distance=1 dst-address=\
    0.0.0.0/0 gateway=177.135.xxx.xx scope=30 target-scope=10


    add check-gateway=ping comment="" disabled=no distance=2 dst-address=\
    0.0.0.0/0 gateway=192.168.25.1 scope=30 target-scope=10


    add comment="" disabled=yes distance=2 dst-address=10.0.0.0/24 gateway=\
    192.168.0.254 scope=30 target-scope=10



    Pedro Filho disse:

    estranho, se é dedicado com ip fixo era para ser bem simples, ver se não tem alguma regra no firewall dropando seu acesso externo nesse ip...

  • Anderson Alves 13 de Novembro de 2015 as 1:06pm

    Firewall

    /ip firewall address-list
    add address=200.155.80.0-200.155.255.255 comment=BRADESCO list=LINK0
    add address=200.220.186.0/24 list=LINK0
    add address=200.220.178.0/24 list=LINK0
    add address=64.38.29.0/24 comment=RapidShare list=LINK1
    add address=208.69.32.0/24 list=LINK1
    add address=208.67.217.0/24 list=LINK1
    add address=201.7.178.0/24 list=LINK1
    add address=201.7.176.0/24 list=LINK1
    /ip firewall filter
    add action=drop chain=forward comment="BLOQUEIO DE DNS REVERSO" content=\
    velox.user.com.br
    add action=drop chain=forward comment="BLOQUEIO DE DNS REVERSO" content=\
    speed.user.com.br
    add chain=input in-interface=!ether2 src-address=192.168.200.0/24
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-state=new \
    dst-address-list=LINK0 in-interface=ether5 new-connection-mark=Sites0
    add action=mark-routing chain=prerouting connection-mark=Sites0 in-interface=\
    ether5 new-routing-mark=Rota0 passthrough=no
    add action=mark-connection chain=prerouting connection-state=new \
    dst-address-list=LINK1 in-interface=ether5 new-connection-mark=Sites1
    add action=mark-routing chain=prerouting connection-mark=Sites1 in-interface=\
    ether5 new-routing-mark=Rota1 passthrough=no
    add chain=prerouting comment="HTTPS FORA DO LOADBALACED" dst-port=443 \
    in-interface=ether5 protocol=tcp
    add action=change-ttl chain=forward comment="Filtro Tracert / Traceroute" \
    new-ttl=set:30 protocol=icmp
    add action=mark-connection chain=prerouting connection-state=new \
    in-interface=ether2 new-connection-mark=ether2_conn
    add action=mark-connection chain=prerouting connection-state=new \
    in-interface=adsl_ether3 new-connection-mark=adsl_ether3_conn
    add action=mark-routing chain=output connection-mark=ether2_conn \
    new-routing-mark=to_ether2
    add action=mark-routing chain=output connection-mark=adsl_ether3_conn \
    new-routing-mark=to_adsl_ether3
    add chain=prerouting dst-address=192.168.1.0/24 in-interface=ether5
    add action=mark-connection chain=prerouting connection-state=new \
    dst-address-type=!local in-interface=ether5 new-connection-mark=\
    ether2_conn per-connection-classifier=both-addresses:2/0
    add action=mark-connection chain=prerouting connection-state=new \
    dst-address-type=!local in-interface=ether5 new-connection-mark=\
    adsl_ether3_conn per-connection-classifier=both-addresses:2/1
    add action=mark-routing chain=prerouting connection-mark=ether2_conn \
    in-interface=ether5 new-routing-mark=to_ether2
    add action=mark-routing chain=prerouting connection-mark=adsl_ether3_conn \
    in-interface=ether5 new-routing-mark=to_adsl_ether3
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=ether2
    add action=masquerade chain=srcnat out-interface=adsl_ether3

    Routes

    /ip route
    add distance=1 gateway=255.255.255.0 routing-mark=Rota0
    add distance=1 gateway=adsl_ether3 routing-mark=Rota1
    add check-gateway=ping comment=Link0 distance=1 gateway=255.255.255.0 \
    routing-mark=to_ether2
    add comment=Link1 distance=1 gateway=adsl_ether3 routing-mark=to_adsl_ether3
    add check-gateway=ping comment=Link0 distance=1 gateway=255.255.255.0
    add comment=Link1 distance=1 gateway=adsl_ether3
    add distance=2 gateway=192.168.1.1

    Só isso!

  • Midller Rios 13 de Novembro de 2015 as 2:13pm

    Ai você mandou as regras já com balanceamento junto etc. Eu vou tentar aplicar apenas as suas utilizadas no mangle mudando apenas as portas e as rotas para puxar as marcações do mangle, pra ver se passa apenas o que necessito muito obrigado também pelo apoio e envio destas regras Anderson Alves. :D

    Anderson Alves disse:

    Firewall

    /ip firewall address-list
    add address=200.155.80.0-200.155.255.255 comment=BRADESCO list=LINK0
    add address=200.220.186.0/24 list=LINK0
    add address=200.220.178.0/24 list=LINK0
    add address=64.38.29.0/24 comment=RapidShare list=LINK1
    add address=208.69.32.0/24 list=LINK1
    add address=208.67.217.0/24 list=LINK1
    add address=201.7.178.0/24 list=LINK1
    add address=201.7.176.0/24 list=LINK1
    /ip firewall filter
    add action=drop chain=forward comment="BLOQUEIO DE DNS REVERSO" content=\
    velox.user.com.br
    add action=drop chain=forward comment="BLOQUEIO DE DNS REVERSO" content=\
    speed.user.com.br
    add chain=input in-interface=!ether2 src-address=192.168.200.0/24
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-state=new \
    dst-address-list=LINK0 in-interface=ether5 new-connection-mark=Sites0
    add action=mark-routing chain=prerouting connection-mark=Sites0 in-interface=\
    ether5 new-routing-mark=Rota0 passthrough=no
    add action=mark-connection chain=prerouting connection-state=new \
    dst-address-list=LINK1 in-interface=ether5 new-connection-mark=Sites1
    add action=mark-routing chain=prerouting connection-mark=Sites1 in-interface=\
    ether5 new-routing-mark=Rota1 passthrough=no
    add chain=prerouting comment="HTTPS FORA DO LOADBALACED" dst-port=443 \
    in-interface=ether5 protocol=tcp
    add action=change-ttl chain=forward comment="Filtro Tracert / Traceroute" \
    new-ttl=set:30 protocol=icmp
    add action=mark-connection chain=prerouting connection-state=new \
    in-interface=ether2 new-connection-mark=ether2_conn
    add action=mark-connection chain=prerouting connection-state=new \
    in-interface=adsl_ether3 new-connection-mark=adsl_ether3_conn
    add action=mark-routing chain=output connection-mark=ether2_conn \
    new-routing-mark=to_ether2
    add action=mark-routing chain=output connection-mark=adsl_ether3_conn \
    new-routing-mark=to_adsl_ether3
    add chain=prerouting dst-address=192.168.1.0/24 in-interface=ether5
    add action=mark-connection chain=prerouting connection-state=new \
    dst-address-type=!local in-interface=ether5 new-connection-mark=\
    ether2_conn per-connection-classifier=both-addresses:2/0
    add action=mark-connection chain=prerouting connection-state=new \
    dst-address-type=!local in-interface=ether5 new-connection-mark=\
    adsl_ether3_conn per-connection-classifier=both-addresses:2/1
    add action=mark-routing chain=prerouting connection-mark=ether2_conn \
    in-interface=ether5 new-routing-mark=to_ether2
    add action=mark-routing chain=prerouting connection-mark=adsl_ether3_conn \
    in-interface=ether5 new-routing-mark=to_adsl_ether3
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=ether2
    add action=masquerade chain=srcnat out-interface=adsl_ether3

    Routes

    /ip route
    add distance=1 gateway=255.255.255.0 routing-mark=Rota0
    add distance=1 gateway=adsl_ether3 routing-mark=Rota1
    add check-gateway=ping comment=Link0 distance=1 gateway=255.255.255.0 \
    routing-mark=to_ether2
    add comment=Link1 distance=1 gateway=adsl_ether3 routing-mark=to_adsl_ether3
    add check-gateway=ping comment=Link0 distance=1 gateway=255.255.255.0
    add comment=Link1 distance=1 gateway=adsl_ether3
    add distance=2 gateway=192.168.1.1

    Só isso!

  • Midller Rios 16 de Novembro de 2015 as 2:18pm

    Só deu um probleminha amigo, consegui fazer o que queria porem a VPN não consegue se conectar fica dando Erro de autenticação. rs

    Quando eu subo pra nível 1 o link dedicado a VPN conecta tranquilamente.

  • Midller Rios 16 de Novembro de 2015 as 2:24pm

    Descobri o problema da VPN era só mudar o protocolo que antes eu usava L2TP mudei para PPTP e funcionou obrigado pela ajuda galera :D

  • Anderson Alves 16 de Novembro de 2015 as 3:10pm

    Então problema solucionado?



    midller stheylon ribeiro rios disse:

    Descobri o problema da VPN era só mudar o protocolo que antes eu usava L2TP mudei para PPTP e funcionou obrigado pela ajuda galera :D

  • Midller Rios 16 de Novembro de 2015 as 3:13pm

    Solucionado meu nobre  muito obrigado mais uma vez :)

This reply was deleted.