[GTER] RES: BGP Full e comunicação externa.

Rinaldo Vaz rinaldo at anid.com.br
Fri Jan 18 17:22:34 -02 2013


Gilberto,

O mais provável não é um bloqueio por parte da operadora, mas o fato desses
IPs de WAN não serem anunciados para nenhum trânsito deles, o que na
prática faz esses IPs se comportarem como IPs privados. Isso não deve ser
considerado um problema a não ser que algum serviço precise funcionar
"partindo" do seu router de borda por exemplo, resolver nomes (DNS) ou no
seu caso fazer NAT.

Imagino pelo comportamento descrito por vocẽ que que a sua regra de NAT
está configurada parecida com isso:

 /ip firewall nat add chain=srcnat out-interface=*LINK* action=masquerade

Mude essa regra para:

/ip firewall nat add chain=srcnat out-interface=*LINK* action=src-nat
to-addresses=*IP-PUBLICO-DA-SUA-LAN*


Há outra maneira de resolver isso caso haja alguma necessidade de mexer no
NAT e manter o "masquerade" adicionando mais um filtro de entrada no seu
BGP-FULLROUTE:

/routing filter add chain=*OPERADORA-IN* action=passthrough set-pref-src=*
IP-PUBLICO-DA-SUA-LAN *place-before=0

Com essa regra, sempre que os pacotes forem originados pelo seu router de
borda o IP de Origem será o IP público da sua LAN.



Abs





Em 17 de janeiro de 2013 17:00, Gilberto GMAIL
<gilbertoandrade at gmail.com>escreveu:

> Boa Tarde Pessoal!
>
> Obrigado pelas respostas!
>
> Quando coloco src-adrress um ip de meu bloco funciona perfeitamente o ping,
> quando coloco o ip wan fornecido pela operadora realmente não sai, conforme
> os amigos falaram pode ser algum filtro por parte da operadora.
> Devido toda conexão originada pelo router tentar sair pelo ip de wan da
> operadora o Nat parou de funcionar, notei este problema pois temos o
> MaraCache ligado em uma porta direta no router e existia uma regra de Nat
> para o servidor.
>
> Abraços
>
> Gilberto Andrade
>
>
>
>
> -----Mensagem original-----
> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Rôney Eduardo
> Enviada em: quarta-feira, 16 de janeiro de 2013 13:14
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] BGP Full e comunicação externa.
>
> Em 16 de janeiro de 2013 09:46, Gilberto GMAIL
> <gilbertoandrade at gmail.com>escreveu:
>
> >
> > Gostaria de tirar uma dúvida com vocês. É normal após a ativação do BGP
> > Full
> > e a remoção da rota default o roteador não conseguir pingar externamente?
> > Por exemplo: de dentro do router não consigo pingar em 8.8.8.8 e também
> se
> > alguma maquina que use o Nat do roteador também não consegue navegar. O
> > mais
> > interessante que maquinas e computadores com ips validos que estão atrás
> do
> > router pingam e navegam normalmente.
> >
>
>
> Gilberto,
>
> Algumas operadoras, por padrão, oferecem um /30 para o enlace (e que você
> utiliza para fechar a sessão BGP) e essa faixa reservada para o enlace não
> é anunciada via BGP para o mundo, portanto, não tendo conectividade. Quando
> você faz ping do roteador, tende a sair com o IP do /30.
>
> Experimente fazer o ping de dentro do seu roteador definindo como
> src-address um IP de seu bloco (que esteja configurado no roteador).
>
>     - Em cisco:
>
> ping 8.8.8.8 source x.x.x.x
>
>      - Em mikrotik:
>
> ping 8.8.8.8 src-address=x.x.x.x
>
>      - Onde: x.x.x.x = IP do seu bloco
>
> --
> Rôney Eduardo
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Rinaldo Vaz
Chefe de operações do NOC
Associação Nacional para Inclusão Digital
Tim - 083 99975736
INOC - 28135*100

*********************************************************
Dias 4,5,6,7 e 8 de março de 2013
Curso Avançado em Florianópolis-SC
anid.com.br/cursobgp
*********************************************************



More information about the gter mailing list