NAT com Servidor MikroTik

Prezados,

Utilizo um Roteador Cisco 1700 + Servidor Mikrotik.

Para obter acesso remoto ao Servidor Mikrotik, é necessário redirecionar a porta 8291 do Roteador para o meu Servidor e também a porta 80 para acessá-lo via browser.

No momento as configurações atuais do roteador que está funcionando mas sem o NAT para acesso remoto ao servidor é:


Building configuration...

Current configuration : 929 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname "nome do host"
!
boot-start-marker
boot system flash c805-oy6-mw.123-15a.bin
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
!
interface Ethernet0
ip address "ip malha interna" "máscara de sub-rede malha interna"
ip nat inside
load-interval 30
!
interface Serial0
ip address "ip roteador cliente" "máscara de sub-rede"
ip nat outside
encapsulation ppp
!
ip nat pool "nome do host" "bloco inicial de ip válido" "bloco final de ip válido" prefix-length 26
ip nat inside source list 100 pool "nome do host" overload
ip classless
ip route 0.0.0.0 0.0.0.0 "ip roteador da operadora"
ip http server
!
access-list 100 permit ip "bloco inicial de ip interno" "bloco final de ip interno" any
!
line con 0
login
stopbits 1
line vty 0 4
login
!
end


Como faço o NAT?


Obrigado.

Pro caso de usares PAT (nat por interface) =

ip nat inside source static tcp x.x.x.x (ip host interno) 8291 interface serial 0/0 8291
(supondo que a interface a ser usada pra saida pra internet seja a 0/0)
Caso seja um frame-relay, use a interface pvc (0/0.100 por exemplo) , onde esta chamado o ip nat outside.

Pro caso de usares NAT (nat por pool de ips) =

ip nat inside source static tcp x.x.x.x (ip host interno) 8291 x.x.x.x (ip valido a ser traduzido) extendable

Entao ficaria assim:

Exemplo 1) - (pat)
ip nat inside source static tcp x.x.x.x 8291 interface serial 0/0 8291
ip nat inside source static tcp x.x.x.x 80 interface serial 0/0 8291


Exemplo 2) - (nat)
ip nat inside source static tcp x.x.x.x 8291 x.x.x.x 8291 extendable
ip nat inside source static tcp x.x.x.x 80 x.x.x.x 80 extendable


abraçao!

Olá amigo,

Obrigado pela explicação.

No meu cenário possuo 1 servidor mikrotik e diversas routerboards, ambas necessito obter acesso remoto externo.

Então no meu caso tenho que aplicar NAT (Nat por pool de ips válidos).

Por exemplo:
Vamos supor que o IP do Servidor na comunicação Roteador x Servidor é o 192.168.0.2
E possuo 3 routerboards com os seguintes IPs: 192.168.1.10 / 1.11 e 1.12.
O meu pool de endereços válidos é: 200.220.10.90 – 200.200.10.100

Então as regras serão:

* Para acessar ao servidor *
ip nat inside source static tcp 192.168.0.2 8291 200.220.10.90 8291 extendable
ip nat inside source static tcp 192.168.0.2 80 200.220.10.90 80 extendable

* Para acessar as routerboards *
ip nat inside source static tcp 192.168.1.10 8291 200.220.10.91 8291 extendable
ip nat inside source static tcp 192.168.1.11 8291 200.220.10.92 8291 extendable
ip nat inside source static tcp 192.168.1.12 8291 200.220.10.93 8291 extendable


>> Dúvidas:

A linha de comando abaixo no running-config
“ip nat pool "nome do host" "bloco inicial de ip válido" "bloco final de ip válido" prefix-length 26”
Está indicando o bloco inicial e final de ips válidos que possuo?

E qual o comando no cisco para aplicar as regras do NAT?


Mais uma vez, muito obrigado pela ajuda.

"E qual o comando no cisco para aplicar as regras do NAT?"
Quando você configura os NATs no modo global e aplica o inside e outside nas interfaces ele já entra em operação.

eu andei lendo o que eu escrevi acima e axo que tava bebado quando escrevi

enfim

o ip nat pool x.x.x.x x.x.x.x é o range

exemplo

ip nat pool joester 1.1.1.1 1.1.1.3 netmask 255.255.255.252

pra chamar :

ip nat inside source list xxx pool joester overload

onde o xxx é a access q permite tua saida.


entao faz uma access pra cada rede ou range , e chama varios nat inside's, cada um com um pool pra sair e uma rede determinada pra navegar...

abraço

a proposito

minhas definicoes de pat e nat estavn erradas.

nat é quando tu usa o pool pra sair (overload)

pat é quando tu usa a porta pra sair (overload)

abraço

Agora confundiu bastante.

Neste exato momento eu possuo o seguinte roteador CISCO 805 com a seguinte configuração:


Building configuration...

Current configuration : 929 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname PROVEDOR
!
boot-start-marker
boot system flash c805-oy6-mw.123-15a.bin
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.0.0
ip nat inside
load-interval 30
!
interface Serial0
ip address 200.250.130.60 255.255.255.252
ip nat outside
encapsulation ppp
!
ip nat pool PROVEDOR 200.320.10.90 200.320.10.99 prefix-length 26
ip nat inside source list 100 pool PROVEDOR overload
ip classless
ip route 0.0.0.0 0.0.0.0 200.250.130.60
ip http server
!
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
!
line con 0
login
stopbits 1
line vty 0 4
login
!
end


Preciso alterar para o roteador Cisco 1700 (configurando-o conforme o Cisco 805 mas com algumas alterações). Obs.: No momento o roteador da Cisco 1700 está com a seguinte configuração:


Building configuration...

Current configuration : 1218 bytes
!
! No configuration change since last restart
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname PROVEDOR
!
boot system flash c805-oy6-mw.123-15a.bin
boot system flash c805-oy6-mw.123-15
logging queue-limit 100
enable password PROVEDOR
!
username admin password 0 PROVEDOR
ip subnet-zero
no ip routing
!
!
!
!
!
!
!
interface FastEthernet0
ip address 192.168.0.1 255.255.0.0
ip nat inside
no ip route-cache
no ip mroute-cache
load-interval 30
speed auto
!
interface Serial0
ip address 200.250.130.60 255.255.255.252
ip accounting output-packets
ip nat outside
encapsulation ppp
no ip route-cache
no ip mroute-cache
!
ip nat pool PROVEDOR 200.320.10.90 200.320.10.99 prefix-length 26
ip nat inside source list 100 pool WEBTOTAL overload
ip classless
ip route 0.0.0.0 0.0.0.0 200.250.130.60
ip route 0.0.0.0 0.0.0.0 200.320.10.90
ip http server
!
!
!
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
!
line con 0
login
stopbits 1
line aux 0
line vty 0 4
password PROVEDOR
login
!
no scheduler allocate
end



O Roteador Cisco 805 está ativo e funcionando, mas eu não consigo acessar remotamente ao servidor mikrotik e as routerboards.

O Roteador Cisco 1700 aparentemente está configurado conforme o 805, mas ele não consegue nem trafegar pacotes com a operadora.


Primeiramente preciso então configurar o 1700 para substituí-lo pelo 805, e em seguida aplicar configurações do Nat (para acessar remotamente ao servidor e routerboards).

Se possível, quais os comandos para que eu possa efetuar tais configurações?

ta tudo certo e tu tah usando nat normal (por pool de ips). só tá te faltando o redirecionamento de portas, que expliquei algumas respostas acima.

Quanto a trocar do 805 pro 17xx, basta alterar o nome das interfaces, no 805 é serial0 por exemplo , no 17 é serial 0/0... enfim.

Exemplo de redirecionamento de porta 80 externa pra 80 de um ip interno (invalido)

ip nat inside source static tcp 192.168.1.1 80 200.200.200.200 80 extendable (sendo o 200.x.x.x) o ip valido externo (sugstao = um dos ips que tu utilizas no POOL provedor pra sair pra internet)

segundo exemplo

ip nat inside source static tcp 192.168.1.1 80 interface serial 0/0 80

assim usará o ip wan da interface e nao um ip valido pré-estabelecido. (pool)

Obrigado mais uma vez.

Só não sei o por quê que a porta serial0 está down.
Eu fiz o seguinte procedimento para levantar a porta:
confi t >> int serial0 >> no shut
mas continua down.

Só

nterface IP-Address OK? Method Status Prot
ocol
FastEthernet0 192.168.0.1 YES NVRAM up down

Serial0 300.150.130.60 YES NVRAM down down

Virtual-Access1 unassigned YES unset up up

Na verdade eu conseguir levantar a interface.

Quando conecto o roteador 1700 com o modem levanta a rede:

Jul 29 13:35:11.587: %LINK-3-UPDOWN: Interface Serial0, changed state to up
Jul 29 13:35:12.675: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, ch
anged state to up


mas ao tentar pingar dentro do roteador para um host, não responde:

ping www.cade.com.br
Translating "www.cade.com.br"...domain server (255.255.255.255)
% Unrecognized host or address, or protocol not running.



Estou no exato momento com 512kbps de Link rodando em um roteador Cisco 805.

Solicitei ampliação do link para 2MB e estou tentando trocar de roteador pelo 1700 sem sucesso.

pra pingar tem que ser por ip. se quiser pingar por hostname, tens que setar o ip name-server primeiro


router#
conft
ip name-server 201.10.1.2



ping x.x.x

!!!!

abraço

Exato a não ser que seu roteador conheça um servidor dns ou possua configurado local (ip host), o unico jeito de fazer este teste é pelo IP, caso não saiba o IP e esteja utilizando um windows pode ir no executar/run e digitar nslookup.
Dentro desta tela batsa digitar a URL que seu DNS irá resolver:

Default Server: resolver1.telesp.net.br
Address: 200.204.0.10

> www.cade.com.br
Server: resolver1.telesp.net.br
Address: 200.204.0.10

Non-authoritative answer:
Name: cade.latam.a00.yahoodns.net
Address: 200.152.161.133
Aliases: www.cade.com.br

Ai a partir do router vc pinga este ip, no caso 200.152.161.133

abs

Olá Parceiros,

Novamente gostaria de agradecê-los pela ajuda. Conseguir aplicar o Nat perfeitamente no roteador.
O único problema que continua é ao trocar o Roteador CISCO 805 pelo CISCO 1700.
Configurei o 1700 da forma que está o 805 (algumas linhas a mais, mas que não interferem). Acima, em outra postagem, possui a configuração de ambos.
Quando conecto o 1700 ao Servidor, pingo normalmente para ele (Com certeza nessa comunicação funciona).
Já quando conecto o 1700 ao modem da “New Bridge”, chega a acender todos leds da wiki, mas simplesmente não trafega nenhum pacote na Internet. (Tento pingar dentro do roteador conforme acima, e tento pingar também no servidor, mas ambos sem sucesso).

Estranho, pelo que me parece a interface ficou UP mas não pinga... bom na log acima vi que tem uma rota default desnecessária, retira ela:
no ip route 0.0.0.0 0.0.0.0 200.320.10.90

Se mesmo tirando ela nao adiantar, Ve se teu modem tem alguma tecla tipo LDL, se tiver pressiona e tenta pingar seu próprio IP (teste de loop).

abs

Olá Parceiro,

Mesmo tirando a rota desnecessária, não modficou o cenário.

Amanha meu link será ampliado e terei que trocar de qualquer forma esse roteador.
Existe algum comando para resetá-lo completamente?
Pretendo começar do 0 todas as configurações.

Conseguir resolver o último problema.

Quando conectava o roteador 1700 entrava em loop a rede devido as seguintes configurações da serial0:

no ip route-cache
no ip mroute-cache
ip accounting output-packets


Obrigado pela ajuda.

Quanto ao NAT, está funcionando perfeitamente.

Para fazer um redirecionamento de várias portas seguidas, é possível?

Por exemplo: Necessito redirecionar as portas: [ de 16384 à 16485 ]

Tentei aplicar o seguinte comando em configure terminal:

ip nat inside source static udp I.P..d.o..S.e.r.v.i.d.o.r 16385-16485 I.P..R.e.a.l. 16385-16485 extendable

mas acusou um erro

vc quer colocar um pool de portas?

O erro deve estar na parte do comando 16385-16485 se vc faz um nat estatico, é de apenas uma porta.

Tenta usar uma lista:

"ip nat inside source list XXX pool YYY"

ou faz 100 nats estaticos rsss

abs