Blog 2.0

mikrotik (3)

Montar load balance PCC no MikroTik

Postado por Pedro Filho em 23 de Maio de 2011 às 10:38am
ESTRUTURA:

LAN: 10.0.0.0/27
ISP1: 192.168.0.0/27
ISP2: 192.168.3.0/24

ENDERECOS:

/ip address
add address=10.0.0.1/27 broadcast=10.0.0.31 comment="" disabled=no interface=LAN network=10.0.0.0

add address=192.168.0.10/27 broadcast=192.168.0.31 comment="" disabled=no interface=ISP1 network=192.168.0.0

add address=192.168.3.1/24 broadcast=192.168.3.255 comment="" disabled=no interface=ISP2 network=192.168.3.0

ROTAS:

/ip route
add check-gateway=ping comment="Rota Saida GVT para Load Balance" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.3.20 routing-mark=ISP2_traffic scope=30 target-scope=10

add check-gateway=ping comment="Rota saida Velox para Load Balance" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=ISP1_traffic scope=30 target-scope=10

add check-gateway=ping comment="Rota saida Velox/GVT sem Load Balance" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=192.168.0.1,192.168.3.20 scope=30 target-scope=10

NAT:

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=ISP1

add action=masquerade chain=srcnat comment="" disabled=no out-interface=ISP2

MANGLE:

/ip firewall mangle
add action=mark-connection chain=input comment="Marca Conexoes de entrada para que voltem pelo mesmo lugar" disabled=no in-interface=ISP1 new-connection-mark=ISP1_conn passthrough=yes

add action=mark-connection chain=input comment="" disabled=no in-interface=ISP2 new-connection-mark=ISP2_conn passthrough=yes

add action=mark-connection chain=output comment="Inicia o balance PCC" connection-state=new disabled=no dst-address=!10.0.0.0/27 new-connection-mark=ISP1_conn passthrough=yes per-connection-classifier=both-addresses:2/0

add action=mark-connection chain=output comment="" connection-state=new disabled=no dst-address=!10.0.0.0/27 new-connection-mark=ISP2_conn passthrough=yes per-connection-classifier=both-addresses:2/1

add action=mark-routing chain=output comment="Retorna as conexoes marcadas no inicio, pelo mesmo lugar que entraram" connection-mark=ISP1_conn disabled=no new-routing-mark=ISP1_traffic passthrough=yes

add action=mark-routing chain=output comment="" connection-mark=ISP2_conn disabled=no new-routing-mark=ISP2_traffic passthrough=yes

add action=mark-connection chain=prerouting comment="Load Balance (PCC)" disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=ISP1_conn passthrough=yes per-connection-classifier=both-addresses:2/0

add action=mark-connection chain=prerouting comment="" disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=ISP2_conn passthrough=yes per-connection-classifier=both-addresses:2/1

add action=mark-routing chain=prerouting comment="Conexoes do load balance para as novas tabelas do PCC" connection-mark=ISP1_conn disabled=no in-interface=LAN new-routing-mark=ISP1_traffic passthrough=yes

add action=mark-routing chain=prerouting comment="" connection-mark=ISP2_conn disabled=no in-interface=LAN new-routing-mark=ISP2_traffic passthrough=yes
Saiba mais…

O que é MikroTik

Postado por Pedro Filho em 21 de Dezembro de 2009 às 1:49pm
Mikrotik (ou Mikrotikls) é uma empresa da Latvia, fundada em 1995. Eles produzem um software chamado RouterOS, um software licenciado (pago), que transforma a plataforma x86 em um poderoso roteador. Fabricam também um equipamento para redes wireless chamado RouterBoard. É muito utlizado por provedores de banda larga via rádio, que tem nele uma plataforma estável, leve e robusta. Ele é baseado no Linux, mas utiliza um console que impede qualquer acesso direto ao disco. Suas funções variam em dependendo da licença escolhida. Com o RouterOS, podemos fazer roteadores, hotspots, controle de banda, firewall, proxy… uma das funções que mais me chama a atenção é realizar o hotspot independente da configuração de IP da máquina cliente. Uma excelente opção para um lugar com alta rotatividade de pessoas como um hotel. Com o RouterOS podemor criar uma rede muito segura, com um firewall eficiente e concatenação de links. Como protocolos de roteamento, ele suporte BGP, RIP, etc… Para a administração deste ambiente, temos disponíveis os seguintes métodos: console (local e remoto) — todas as funções podem ser configuradas, mas peca na parte de monitoramento winbox (remoto) — programa da plataforma windows, que permite a administração de forma remota. Muito eficiente e prático. Ambiente ideal para monitoramento e configuração. web (remoto) — configuração prática e funções limitadas The Dude — outro programa da plataforma Windows, que permite a criação e manutenção de mapas de rede. Mostra em tempo real a banda dos links e funciona como ferramenta de monitoramento, indicando quando hosts estão ativos ou caídos. Já as routerboard são equipamentos de rádio, que tem a capacidade de montar links wireless com alta capacidade de tráfego, inclusive utilizando duas antenas e uma configuração especial chamada N-streme.
Saiba mais…

VPN com Mikrotik

Postado por Pedro Filho em 9 de Julho de 2009 às 8:30pm

VPN com Mikrotik

Uma Rede Particular Virtual (Virtual Private Network - VPN)é uma rede de comunicações privada normalmente utilizada por umaempresa ou um conjunto de empresas e/ou instituições, construída emcima de uma rede de comunicações pública (como por exemplo, a Internet). O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros.

Criação de VPN entre matriz e filial de uma empresa usando servidores Mikrotik nas duas pontas.

Levando em consideração a seguinte estrutura:

Matriz:

  • Rede Local: 192.168.0.X/24
  • Ip local do Servidor: 192.168.0.1
  • Ip Internet do Servidor: 201.200.200.200


Filial:

  • Rede Local: 192.168.10.X/24
  • Ip local do Servidor: 192.168.10.1
  • Ip Internet do Servidor: 189.50.1.200


VPN:

  • Faixa IPs: 10.0.0.X/24

Configurações

Partindo do ponto de que os dois servidores já estão devidamente configurados e navegando na Internet repassando a navegação para redeInterna e seus clientes via NAT, iremos configurar o Server VPN namatriz.

Antes de mais nada, devemos habilitar duas opções no menu Ip> firewall > Service Ports, clique com o botão direito eselecione enable em "GRE" e "PPTP".

Abra o servidor Mikrotik pelo winbox, acesse o menu ppp. Naprimeira guia Interfaces clique na opção PPTP Server marque a opção enable.

Na segunda guia, "secrets", crie um usuário para conectar ao Server pela VPN:

Usuário: teste
Senha: teste
Local address: 10.0.0.1
Remote address: 10.0.0.2

Dessa forma seu servidor estará preparado para ouvir e autenticar requisições PPTP. Ainda falta configurar as rotas nesse servidor para que as máquinas internas possam ver a outra rede e vice-versa. Vá em Ip > routes e crie as duas rotas abaixo:

Primeira Rota: 10.0.0.0/24 > gateway 192.168.0.1
Segunda Rota: 192.168.10.0/24> Gateway 10.0.0.2

A rota 10.0.0.0/24 apontando para o gateway 192.168.0.1 indicaque a rede usada pela vpn será roteada pelo ip 192.168.0.1 que é da placa interna do servidor e a rota 192.168.10.0/24 indica que a rede interna do servidor da filial será roteada pelo ip remoto que o servidor da filial receberá quando conectar.

Configuramos o servidor da matriz, agora vamos para o servidor da Filial:

Vá em PPP, na aba Interfaces crie o usuário para se conectar conforme abaixo:

Server: 201.200.200.200
user: teste
password: teste

Clique em ok e logo o usuário já se conectará ao outro servidor, dessa forma você já poderá testar do próprio servidor Mikrotik se está pingando para o IP de alguma maquina na rede internada matriz.

Para que suas máquinas na Filial com a faixa 192.168.10.X possam acessar as máquinas da matriz você terá que criar a mesma estrutura de rotas que foi criada para na matriz só que direcionando para sua rede interna, abaixo:

Primeira Rota: 10.0.0.0/24 > gateway 192.168.10.1
Segunda Rota: 192.168.0.0/24> Gateway 10.0.0.1

Bom pessoal, com isso estaremos com a VPN funcionando nos dois pontos caso queiram adicionar mais pontos é só seguir o mesmo raciocínio. Outra coisa, você pode também criar um usuário para acessarde qualquer máquina Windows diretamente em rede assistente para novas conexões e marcar a opção conectar-me a uma VPN.

Saiba mais…