Bem-vindo à Comunidade UBNT

Redirecionamento de Portas usando Load Balance

alanpppalanppp 1 Point
Caros, poderiam me indicar algo tutorial, post ou vídeo, mostrando passo a passo como redirecionar portas no caso de usar o Load Balance padrão?

Nosso setup é assim:
Router POE 5
- eth0 - WAN01
- eth1 - WAN02 - ambos em Load Balance 50/50.
- eth2 a 5 - Bridge - configuração padrão do Wizard.

Temos um webserver na eth03 em 192.168.1.130. E precisamos agora enviar o tráfego da 80 e 443.

Já conseguimos mudar a GUI padrão,  através das configurações na árvore.

MUITO OBRIGADO!

Comentários

  • UI-SamuelUI-Samuel 810 Pontos
    No caso de ter múltiplas interfaces WAN você deve escrever as regras de port-forwarding através da opção NAT. Nessa tela é possível criar "Destination NAT Rules" com mais opções de configuração do que na tela "Port Forwarding" que apresenta uma interface simplificada que aceita apenas uma única interface WAN. Você precisa criar uma regra de DNAT para cada uma das conexões entrantes nas interfaces WAN (eth0 e eth1) se quiser que a tradução ocorra em caso de acesso externo através de qualquer um dos dois endereços públicos. No entanto, tenha em mente que as regras de firewall não serão criadas automaticamente na opção DNAT, diferente da opção simplificada (Port-Forwarding) que automaticamente cria as regras de firewall.

    https://help.ubnt.com/hc/en-us/articles/205231700-EdgeRouter-Destination-NAT
  • alanpppalanppp 1 Point
    Samuel Rosa, muito obrigado!

    Como não sou profissional da área, apenas entusiasta, devo dizer o seguinte:
    1. NOTA 10 para o forum em PT... pois apesar de entender inglês, qdo não se tem experiência, fica complicado de atingir nos objetivos.
    2. Temos sistema Ubquit em mais 4 localizações nossas. Todas funcionando 100%.

    Em relação a questão do DNAT temos pelos links:

    -----------------

    3. Add the first Hairpin NAT rule using Destination NAT with eth1 (LAN) set as the Inbound Interface.

    Firewall / NAT > NAT > +Add Destination NAT Rule

    Description: hairpin443
    Inbound Interface: eth1
    Translation Address: 192.168.1.10
    Translation Port: 443
    Protocol: TCP
    Destination Address: 203.0.113.1
    Destination Port: 443
    NOTE: This rule is nearly a duplicate of the one above, with the exception of the Inbound Interface.

    4. Add the second Hairpin NAT rule using Source NAT with eth1 (LAN) set as the Outbound Interface.

    Firewall / NAT > NAT > +Add Source NAT Rule

    Description: hairpin
    Outbound Interface: eth1
    Translation: Use Masquerade
    Protocol: TCP
    Source Address: 192.168.1.0/24
    Destination Address: 192.168.1.10
    Destination Port: 443
    -------------------------

    - No meu caso, como esta em bridge, deve usar "SWITH" ao invés de eth1 (LAN)?

    - Também, como estamos em Load balance, devo fazer o mesmo procedimento todo para ETH0 e ETH1. Correto?
  • alanpppalanppp 1 Point
    editado julho 4
    Samuel,

    Próxima questão: 

    - Na mesma configuração de Load Balance acima.
    - Já com portas 80 e 443 direcionados a um IP interno.

    Gostaríamos de deixar uma garantia (não reserva) de banda para um servidor.

    - Supondo que no "switch" temos 1 servidor em 192.168.1.130

    Qual o melhor caminho para atingir este objetivo?

  • UI-SamuelUI-Samuel 810 Pontos
    editado julho 4
    Se sua LAN é uma bridge (interface br) ou switch (interface switch), então você deve referenciar essas interfaces lógicas como LAN, não as interfaces físicas individualmente. Em relação à configuração de QoS no ER, recomendo a leitura abaixo:

    https://help.ubnt.com/hc/en-us/articles/216787288-EdgeRouter-Quality-of-Service-QoS-

    Se você diz que é um entusiasta e não um profissional da área, então penso que o USG seja o roteador mais adequado para você, apesar de não ter todos os recursos do ER. O ER é um roteador muito flexível e suas configurações avançadas podem ser complexas, por isso requer um especialista. 

    http://bit.ly/USGxER
  • alanpppalanppp 1 Point
    editado julho 4
    Ou seja, ao invés de eth1 (como no exemplo) eu colocaria "switch" ou "br1".

    ----

    Sobre o USG.  Sim! Na época que montamos algumas redes em locais diferente,o USG ainda não exista.

    Vamos montar um nova, com 40 AP's, nesta planejamos usar o USG. No caso deste, para ter acesso remoto, é preciso comprar a cloud key tmb?
  • UI-SamuelUI-Samuel 810 Pontos
    1) Usando bridge ou switch no ER, sua LAN passa a ser referenciada apenas pela interface lógica que representa o coletivo das interfaces físicas;

    2) Não existe nenhum custo de software ou licença associado com o UniFi, qualquer que seja o produto. Para ter acesso remoto ao UniFi existem várias opções, desde (i) instalar o software localmente e criar regras de DNAT para acessá-lo de fora, (ii) vincular a controladora com o serviço gratuito de nuvem híbrida da Ubiquiti via WebRTC que é transparente e dispensa DNAT ou (iii) instalar o software em algum serviço de nuvem de terceiros (pago).
  • alanpppalanppp 1 Point
    Perfeito! Obrigado pelas respostas.

    Me perdoe perder trazer perguntas tão primárias.... Responda quando tiver tempo ok?

    No caso do qos. 
    Gostaríamos de deixar no mesmo setup das msms acima, toda a banda liberar geral, mas ter garantia de uma faixa para o servidor. É possível trabalhar assim? Tudo liberado, e QUANDO um IP precisa, ele tem prioridade?

    NO caso, vou explicar. temos em verdade 2 servidores. 1 para arquivos (podcasts) que pode ter a velocidade de upload reduzida qdo necessário... E 2o servidor para streaming, que 1x ao dia por 1h, usa 1/4 da banda de upload, durante todo o resto do dia, o servidore de streaming não funciona.

    Portanto o setup ideal de Qos para nós, seria, garantir de certa forma, banda para 1 IP, qdo ele precisar.

    É possível trabalhar desta forma? Ou pensando errado em como configurar?

  • UI-SamuelUI-Samuel 810 Pontos
    Sim, é possível e na verdade esse tipo de classificação de tráfego é um princípio básico em QoS. Por exemplo, um determinado perfil de tráfego pode ser priorizado através de uma marcação de acordo com diferentes códigos DSCP. No entanto, trata-se de um assunto complexo que requer especialidade. De qualquer forma, para começar a entender esse assunto recomendo as leituras abaixo:

    https://help.ubnt.com/hc/en-us/articles/204911404

    https://help.ubnt.com/hc/en-us/articles/220716608
  • alanpppalanppp 1 Point
    Samuel,

    Usando este caso como exmplo:
    https://help.ubnt.com/hc/en-us/articles/204911404

    Aqui ele explica o setup:
    NOTE: This example policy will guarantee 75% of the available download bandwidth (set to 100Mbit/s in this example) to default traffic. Traffic marked with IP DSCP value 46 and 24 will be guaranteed 25% and 5% of the bandwidth. 

    Fico na dúvida se:
    - Enquanto não houver tráfego de pacotes marcados como DSCP 46 e 24. O restante dos pacotes terão acesso a 100% da banda?
  • UI-SamuelUI-Samuel 810 Pontos
    O parâmetro ceiling define o teto máximo que pode ser usado em caso de disponibilidade de banda, independente da garantia estabelecida antes. Então se não houver presença de outro tráfego concorrente e/ou com diferentes prioridades, todo o teto estabelecido (100% no exemplo) poderá ser utilizado naquele momento se estiver disponível.
  • alanpppalanppp 1 Point
    Boa Tarde Samuel,

    Configuração de redirecionamento de portas bem sucedida! :-D

    Porém!! Apesar de ligado, aparentemente a configuração padrão de loadbalance esta fazendo todo os uploads (ou 99%) da porta WAN01. ao invés de dividir pelas WAN01 e WAN02.

    Poderia me ajudar a conferir se meu setup esta ok?

    firewall {
        all-ping enable
        broadcast-ping disable
        group {
            network-group PRIVATE_NETS {
                network 192.168.0.0/16
                network 172.16.0.0/12
                network 10.0.0.0/8
            }
        }
        ipv6-receive-redirects disable
        ipv6-src-route disable
        ip-src-route disable
        log-martians disable
        modify balance {
            rule 10 {
                action modify
                description "do NOT load balance lan to lan"
                destination {
                    group {
                        network-group PRIVATE_NETS
                    }
                }
                modify {
                    table main
                }
            }
            rule 20 {
                action modify
                description "do NOT load balance destination public address"
                destination {
                    group {
                        address-group ADDRv4_pppoe0
                    }
                }
                modify {
                    table main
                }
            }
            rule 30 {
                action modify
                description "do NOT load balance destination public address"
                destination {
                    group {
                        address-group ADDRv4_eth1
                    }
                }
                modify {
                    table main
                }
            }
            rule 70 {
                action modify
                modify {
                    lb-group G
                }
            }
        }
        name WAN_IN {
            default-action drop
            description "WAN to internal"
            rule 10 {
                action accept
                description "Allow established/related"
                state {
                    established enable
                    related enable
                }
            }
            rule 20 {
                action accept
                description 80
                destination {
                    group {
                    }
                    port 80
                }
                log disable
                protocol tcp_udp
            }
            rule 30 {
                action accept
                description 443
                destination {
                    group {
                    }
                    port 443
                }
                log disable
                protocol tcp_udp
            }
            rule 40 {
                action drop
                description "Drop invalid state"
                state {
                    invalid enable
                }
            }
        }
        name WAN_LOCAL {
            default-action drop
            description "WAN to router"
            rule 10 {
                action accept
                description "Allow established/related"
                state {
                    established enable
                    related enable
                }
            }
            rule 20 {
                action drop
                description "Drop invalid state"
                state {
                    invalid enable
                }
            }
        }
        options {
            mss-clamp {
                mss 1412
            }
        }
        receive-redirects disable
        send-redirects enable
        source-validation disable
        syn-cookies enable
    }
    interfaces {
        ethernet eth0 {
            description WAN
            duplex auto
            poe {
                output off
            }
            pppoe 0 {
                default-route auto
                firewall {
                    in {
                        name WAN_IN
                    }
                    local {
                        name WAN_LOCAL
                    }
                }
                mtu 1492
                name-server auto
                password cliente
                user-id cliente@cliente
            }
            speed auto
        }
        ethernet eth1 {
            address dhcp
            description "WAN 2"
            duplex auto
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
            poe {
                output off
            }
            speed auto
        }
        ethernet eth2 {
            duplex auto
            poe {
                output off
            }
            speed auto
        }
        ethernet eth3 {
            duplex auto
            poe {
                output off
            }
            speed auto
        }
        ethernet eth4 {
            duplex auto
            poe {
                output 24v
            }
            speed auto
        }
        loopback lo {
        }
        switch switch0 {
            address 192.168.1.1/24
            description Local
            firewall {
                in {
                    modify balance
                }
            }
            mtu 1500
            switch-port {
                interface eth2 {
                }
                interface eth3 {
                }
                interface eth4 {
                }
                vlan-aware disable
            }
        }
    }
    load-balance {
        group G {
            interface eth1 {
            }
            interface pppoe0 {
            }
            lb-local enable
            lb-local-metric-change disable
        }
    }
    port-forward {
        auto-firewall enable
        hairpin-nat disable
        wan-interface pppoe0
    }
    service {
        dhcp-server {
            disabled false
            hostfile-update disable
            shared-network-name LAN {
                authoritative enable
                subnet 192.168.1.0/24 {
                    default-router 192.168.1.1
                    dns-server 192.168.1.1
                    lease 86400
                    start 192.168.1.38 {
                        stop 192.168.1.243
                    }
                }
            }
            static-arp disable
            use-dnsmasq disable
        }
        dns {
            forwarding {
                cache-size 150
                listen-on switch0
            }
        }
        gui {
            http-port 8080
            https-port 8081
            older-ciphers enable
        }
        nat {
            rule 1 {
                description "80 - WAN01"
                destination {
                    group {
                        address-group ADDRv4_pppoe0
                    }
                    port 80
                }
                inbound-interface pppoe0
                inside-address {
                    address 192.168.1.131
                    port 80
                }
                log disable
                protocol tcp_udp
                type destination
            }
            rule 5 {
                description "80 - SWITCH"
                destination {
                    group {
                        address-group ADDRv4_pppoe0
                    }
                    port 80
                }
                inbound-interface switch0
                inside-address {
                    address 192.168.1.131
                    port 80
                }
                log disable
                protocol tcp_udp
                type destination
            }
            rule 6 {
                description "443 - WAN01"
                destination {
                    group {
                        address-group ADDRv4_pppoe0
                    }
                    port 443
                }
                inbound-interface pppoe0
                inside-address {
                    address 192.168.1.131
                    port 443
                }
                log disable
                protocol tcp_udp
                type destination
            }
            rule 7 {
                description "443 - SWITCH"
                destination {
                    group {
                        address-group ADDRv4_pppoe0
                    }
                    port 443
                }
                inbound-interface switch0
                inside-address {
                    address 192.168.1.131
                    port 443
                }
                log disable
                protocol tcp_udp
                type destination
            }
            rule 8 {
                description "80 - WAN01"
                destination {
                    group {
                        address-group ADDRv4_eth1
                    }
                    port 80
                }
                inbound-interface eth1
                inside-address {
                    address 192.168.1.131
                    port 80
                }
                log disable
                protocol tcp_udp
                type destination
            }
            rule 9 {
                description "80 - SWITCH"
                destination {
                    group {
                        address-group ADDRv4_eth1
                    }
                    port 80
                }
                inbound-interface switch0
                inside-address {
                    address 192.168.1.131
                    port 80
                }
                log disable
                protocol tcp_udp
                type destination
            }
            rule 10 {
                description "443 - WAN01"
                destination {
                    group {
                        address-group ADDRv4_eth1
                    }
                    port 443
                }
                inbound-interface eth1
                inside-address {
                    address 192.168.1.131
                    port 443
                }
                log disable
                protocol tcp_udp
                type destination
            }
            rule 11 {
                description "443 - SWITCH"
                destination {
                    group {
                        address-group ADDRv4_eth1
                    }
                    port 443
                }
                inbound-interface switch0
                inside-address {
                    address 192.168.1.131
                    port 443
                }
                log disable
                protocol tcp_udp
                type destination
            }
            rule 5000 {
                description "masquerade for WAN"
                outbound-interface pppoe0
                type masquerade
            }
            rule 5001 {
                description "masquerade for WAN 2"
                outbound-interface eth1
                type masquerade
            }
            rule 5002 {
                description "hairpin 80"
                destination {
                    address 192.168.1.131
                    port 80
                }
                log disable
                outbound-interface switch0
                protocol tcp_udp
                source {
                    address 192.168.1.1/24
                    group {
                    }
                }
                type masquerade
            }
            rule 5003 {
                description "hairpin 443"
                destination {
                    address 192.168.1.131
                    port 443
                }
                log disable
                outbound-interface switch0
                protocol tcp_udp
                source {
                    address 192.168.1.1/24
                    group {
                    }
                }
                type masquerade
            }
            rule 5004 {
                description "source nat for 192.168.1.131 - pppoe"
                log disable
                outbound-interface pppoe0
                protocol all
                source {
                    address 192.168.1.131
                }
                type masquerade
            }
            rule 5005 {
                description "source nat for 192.168.1.131 - eth0"
                log disable
                outbound-interface eth0
                protocol all
                source {
                    address 192.168.1.131
                }
                type masquerade
            }
        }
  • alanpppalanppp 1 Point
    Outro caminho, se vc souber, seria indicar alguém que sabe fazer esta configuração e + a de prioridade de pacotes, e eu poderia combinar uma consultoria.

Entre ou Registre-se para fazer um comentário.