PDA

Ver Versão Completa : Repasse dos ips dos clientes pro thunder



jeffparre2011
09-10-2011, 11:01 AM
Bom dia pessoal,

To com serio problema pra repassar os ips dos meus clientes pro thunder, uso ip invalido pra todos. Caso alguem possa me ajudar eu passo todo o esquema da minha rede aqui. vlw pessoal

Abracos a todos

mjr88
09-11-2011, 12:33 PM
Já temos várias discussões sobre isso amigo:

TÓPICO 1 (http://www.overnix.com/showthread.php?1325-Ips-dos-clientes-nos-relatorios-do-Thunder).

TÓPICO 2 (http://www.overnix.com/showthread.php?466-Estat%EDsticas-por-IPs-no-thunderview2).

Deve ter mais, eu que não procurei a fundo, rsrs.

Abraço.

jeffparre2011
09-12-2011, 09:22 AM
vlw Mario

jeffparre2011
09-12-2011, 09:44 AM
Mario, é o seguinte, aqui nao tenho como negar a interface do thunder pq é a mesma que vai pro balanceamento. vou explicar melhor...

Servidor de Balanceamento, esta com 9 interfaces, 7 delas estao ligados os links, 1 ligada a uma switch gerenciacel (RB250) e uma sobrando.

nessa switch esta ligado o balanceamento, como dito acima, depois tenho ligada 2 servidores de controles e mais o servidor thundercache.

nos servidores de controle tenho apenas 2 interface de rede. uma que esta ligada a switch do balanceamento e do cache e a outra ligada a switch que sai pros clientes. o nome das interfaces estao assim: eth0=local e eth1=balance.

ou seja, a mesma interface eth1=balance é a mesma pro cache, os ips sao o seguinte: 177.1.1.1=balanceamento, 177.1.1.2=controle1, 177.1.1.3=controle2 e 177.1.1.4=thundercache.

o gateway é o 177.1.1.1 pra todos os servidores.

nao sei se deu pra entender, um pouco confuso mesmo.

mjr88
09-12-2011, 10:10 AM
Entendi sim.

E realmente, como está com NAT, não tem como fazer os ips chegarem ao Thunder. Dá pra fazer com roteamento estático, mas aí a coisa complica.

Vou explicar de maneira simples. Não faça nada sem antes entender tudo o que estou dizendo, pois corre o risco de os clientes ficarem sem acesso.

1º. Os ips dos clientes no controle1, tem que ser diferentes do controle2. Ou seja, como exemplo, clientes controle1 = 192.168.1.0/24 e clientes controle2 = 172.16.254.0/24. Até porque, se forem iguais o relatório por ip no thunder ficaria errado, rsrs.

2º. Você deve tirar o NAT nos controles. Nenhuma regra com masquerade deve existir lá. O redirecionamento deve ser por mangle. Cria se 3 rotas em cada controle: 1 rota padrão pro 177.1.1.1, 1 rota por marcação "rota_link" também pro 177.1.1.1 e 1 rota por marcação "rota_thunder" pro 177.1.1.4. O mangle deve ser feito, primeiro, só com a porta 80 tcp, marcando a rota pro thunder e sem o passthrough. Depois dessa regra, vem outra, de mangle, só que aí vc só especifica o src-address = rede dos clientes e marca a rota pra rota_link. É bom criar uma Address-list com os ips locais, e negar em dst-address-list nas regras de mangle, pra não marcar rota de ips que são acessíveis pelo mesmo mk de controle.

3º. Você deve fazer rotas de retorno tanto no Thunder quanto no Balance. Rotas do tipo: rede=192.168.1.0/24 gw=177.1.1.2, rede=172.16.254.0/24 gw=177.1.1.3.

O bruto a se fazer é isso cara. É complicado, e não tem como eu garantir que só isso já vá deixar tudo funcionando. O roteamento estático eh complicado, e pode interferir em várias coisas. Dei o exemplo no que foi passado até o momento. Não dá pra saber o resultado até fazer.

Qualquer dúvida estou a disposição.

Abraço.

jeffparre2011
09-12-2011, 05:10 PM
Entendi sim.

E realmente, como está com NAT, não tem como fazer os ips chegarem ao Thunder. Dá pra fazer com roteamento estático, mas aí a coisa complica.

Vou explicar de maneira simples. Não faça nada sem antes entender tudo o que estou dizendo, pois corre o risco de os clientes ficarem sem acesso.

1º. Os ips dos clientes no controle1, tem que ser diferentes do controle2. Ou seja, como exemplo, clientes controle1 = 192.168.1.0/24 e clientes controle2 = 172.16.254.0/24. Até porque, se forem iguais o relatório por ip no thunder ficaria errado, rsrs.

2º. Você deve tirar o NAT nos controles. Nenhuma regra com masquerade deve existir lá. O redirecionamento deve ser por mangle. Cria se 3 rotas em cada controle: 1 rota padrão pro 177.1.1.1, 1 rota por marcação "rota_link" também pro 177.1.1.1 e 1 rota por marcação "rota_thunder" pro 177.1.1.4. O mangle deve ser feito, primeiro, só com a porta 80 tcp, marcando a rota pro thunder e sem o passthrough. Depois dessa regra, vem outra, de mangle, só que aí vc só especifica o src-address = rede dos clientes e marca a rota pra rota_link. É bom criar uma Address-list com os ips locais, e negar em dst-address-list nas regras de mangle, pra não marcar rota de ips que são acessíveis pelo mesmo mk de controle.

3º. Você deve fazer rotas de retorno tanto no Thunder quanto no Balance. Rotas do tipo: rede=192.168.1.0/24 gw=177.1.1.2, rede=172.16.254.0/24 gw=177.1.1.3.

O bruto a se fazer é isso cara. É complicado, e não tem como eu garantir que só isso já vá deixar tudo funcionando. O roteamento estático eh complicado, e pode interferir em várias coisas. Dei o exemplo no que foi passado até o momento. Não dá pra saber o resultado até fazer.

Qualquer dúvida estou a disposição.

Abraço.

Mario, só nao entendi essa parte e coloquei em vermelho...

mjr88
09-12-2011, 05:32 PM
É tipo, acessar ips de rádios que estão na rede de clientes, mas em faixas separadas (apesar que nesse caso, você vai precisar de uma regra de Masquerade pra faixa dos radios). Então, nega a address-list IPsLocais em dst-address-list nas regras de mangle e adiciona nessa lista a faixa dos radios.

É capaz que vc nem precise disso, deixa sem por enquanto.

jeffparre2011
09-12-2011, 05:34 PM
to fazendos os testes aqui Mario e é o seguinte....tenho outras regras de mangle, sao uns controles de download, quando ativo as marcacoes pras rotas esses outras param de funcionar, tem algo que possa fazer pra que isso nao ocorra?

vlw, abracos

mjr88
09-12-2011, 05:37 PM
Pode colocar as de marcação de rotas depois dessas de controle, só lembra de deixar a do thunder antes da do link.

jeffparre2011
09-12-2011, 05:39 PM
ok, vlw

abracao

jeffparre2011
09-12-2011, 05:45 PM
eita, agora funcionou certinho, mas perco o acesso ao thundercenter....rs

mjr88
09-12-2011, 06:06 PM
É a questão dos ips locais que te falei, rsrs. Mas nesse caso, só coloca dst-address=!ip_thunder na regra de marcação de rota do link pra ver.

jeffparre2011
09-12-2011, 06:13 PM
grande Mario, era isso mesmo...agora 100%...

vlw, muito obrigado mesmo.

Abracao

mjr88
09-12-2011, 06:14 PM
Disponha, Dr. :)

jeffparre2011
09-12-2011, 07:30 PM
Mario, apareceu um probleminha aqui, to fazendo testes em um servidor de controle que tenho poucos clientes ainda e nele eu tenho 2 modos de autenticacao, IPxMAC e PPPOE, os clientes que tem IPxMAC funcionam perfeitamento, nos clientes PPPOE nesse nao funciona, nao navega. ja tentei ver aqui o que podia estar ocorrendo mas nao tive sucesso nao, tive que colocar NAT pros PPPOE. vc tem alguma ideia o q pode estar ocorrendo?

jeffparre2011
09-13-2011, 10:08 AM
até hj cedo o msn entrava normal, agora nao entra mais, só to usando sem nat a rede 172.16.0.0/16 que é autenticado por IPxMAC (DHCP). o pppoe tem site que abre e tem site que nao abre. estranho isso.

mjr88
09-13-2011, 11:39 AM
Opa,

Hum, MSN deve ser algo na marcação do link, não mudou nada?

Sobre o PPPoE, com certeza é o MTU, dá uma checada se nos profiles do PPP estão todos com a opção "Change MSS" marcados em Yes, e se o MTU e MRU tá em 1480. Se o link for PPPoE também, coloca MTU e MRU em 1480, e todas as placas de rede fisicas com MTU em 1500. Ve se resolve assim.

jeffparre2011
09-13-2011, 11:56 AM
nao mudei nada no servidor, ref ao pppoe vou fazer os testes aqui ver se da certo...

vlw Mario

jeffparre2011
09-13-2011, 12:51 PM
nada feito, msn nao abre mais, mesma coisa pro pppoe.

mjr88
09-13-2011, 12:59 PM
Como tá sua regra do mangle pro link? Entra no terminal do winbox, dá um "/ip firewall mangle export" e me manda a saída.

jeffparre2011
09-13-2011, 02:19 PM
add action=mark-routing chain=prerouting comment="MARCA ROTA PRO THUNDER" disabled=no dst-address-list=!ipforamarcacao dst-port=80 new-routing-mark=rota_thunder \
passthrough=no protocol=tcp src-address=172.16.0.0/16
add action=mark-routing chain=prerouting comment="MARCA ROTA PRO BALANCE" disabled=no dst-address-list=!ipforamarcacao new-routing-mark=rota_link passthrough=no

ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=177.1.1.1 scope=255 target-scope=10
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=177.1.1.1 routing-mark=rota_link scope=30 target-scope=10
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=177.1.1.4 routing-mark=rota_thunder scope=30 target-scope=10