Bem-vindo à Comunidade UBNT

Edge Router Pro encaminhando RFC1918 via rota default

Boa tarde à todos.
Tenho um EdgeRouter Pro 8-Port  na versão v2.0.8

A interface eth0 está configurada com um /30 entre EdgeRouter e um roteador da operadora. (saida pra internet)
A interface eth1 tem um rede 172.16.1.0/24 que utilizamos para a nossa LAN que está configurada com NAT.

Porém tenho um interface eth2 com a vlan 99 configurada com as seguintes subnets:
192.168.0.1/24 --- 192.168.1.1/24 --- 192.168.2.1/24.

Nessa interface que essas subredes estão diretamente conectadas não possuem nenhuma regra de NAT configurada.

Detalhe que de qualquer sub-rede que eu esteja conectada se eu fizer um traceroute ele bate no seu respectivo gateway e depois encaminha para a rota default.
Alguém já teve esse tipo de problema?

Obrigado desde já.

Comentários

  • UI-SamuelUI-Samuel 987 Pontos
    E por que isso é um problema? Esse comportamento é normal e esperado, mesmo sem regra de NAT, porque qualquer tráfego pode sair para seu destino na Internet pública, independente da tradução dos endereços de origem (SNAT), só que obviamente não haverá retorno desse tráfego até que sejam escritas as regras de NAT. Ou seja, o comportamento esperado é justamente que todo tráfego destinado para o IP público X passe pelo gateway da respectiva sub-rede e depois saia em direção ao gateway apontado na rota default do roteador (através da sua operadora). Se por acaso o que você quer é que esse tráfego NÃO saia da rede local em direção à WAN, então é só escrever regras de firewall no sentido entrante (in) das sub-interfaces amarradas na eth2. 
  • Boa tarde Professor Samuel,
    De fato não é um problema olhando dessa perspectiva, obrigado pela explicação ampliei meus conhecimentos.

    Eu adicionei algumas regras de firewall pois tenho uma rede 10.10.10.0/25 (Wireless Guest) onde não quero que essa rede chegue a qualquer endereço IP das minhas lan's (através da firewall in) e também das minhas lan's não quero que nenhum IP chegue até host's conectados no Wifi (através da firewall out)

    set firewall group address-group DNS_INTERNO address 172.16.5.2
    set firewall group address-group DNS_INTERNO address 172.16.5.3
    set firewall group address-group DNS_INTERNO description 'DNS private ISP'

    set firewall group network-group RFC1918 description 'RFC1918 ranges'
    set firewall group network-group RFC1918 network 192.168.0.0/16
    set firewall group network-group RFC1918 network 172.16.0.0/12
    set firewall group network-group RFC1918 network 10.0.0.0/8

    == DMZ IN ==
    set firewall name DMZ_IN default-action accept
    set firewall name DMZ_IN description 'WLL Guest to LAN/WAN'

    set firewall name DMZ_IN rule 10 action accept
    set firewall name DMZ_IN rule 10 description 'Allow established/related'
    set firewall name DMZ_IN rule 10 log disable
    set firewall name DMZ_IN rule 10 state established enable
    set firewall name DMZ_IN rule 10 state related enable

    set firewall name DMZ_IN rule 20 action drop
    set firewall name DMZ_IN rule 20 description 'Drop invalid state'
    set firewall name DMZ_IN rule 20 log disable
    set firewall name DMZ_IN rule 20 state invalid enable

    set firewall name DMZ_IN rule 30 action accept
    set firewall name DMZ_IN rule 30 description 'Resolv names Internal DNS'
    set firewall name DMZ_IN rule 30 destination group address-group DNS_INTERNO
    set firewall name DMZ_IN rule 30 log disable
    set firewall name DMZ_IN rule 30 protocol all

    set firewall name DMZ_IN rule 40 action reject
    set firewall name DMZ_IN rule 40 description 'Drop access to private ranges'
    set firewall name DMZ_IN rule 40 destination group network-group RFC1918
    set firewall name DMZ_IN rule 40 log disable
    set firewall name DMZ_IN rule 40 protocol all

    == DMZ OUT ==
    set firewall name DMZ_OUT default-action reject
    set firewall name DMZ_OUT description 'LAN/WAN to WLL Guest'

    set firewall name DMZ_OUT rule 10 action accept
    set firewall name DMZ_OUT rule 10 description 'Allow established/related'
    set firewall name DMZ_OUT rule 10 log disable
    set firewall name DMZ_OUT rule 10 protocol all
    set firewall name DMZ_OUT rule 10 state established enable
    set firewall name DMZ_OUT rule 10 state invalid disable
    set firewall name DMZ_OUT rule 10 state new disable
    set firewall name DMZ_OUT rule 10 state related enable

    set firewall name DMZ_OUT rule 20 action drop
    set firewall name DMZ_OUT rule 20 description 'Drop invalid'
    set firewall name DMZ_OUT rule 20 log disable
    set firewall name DMZ_OUT rule 20 protocol all
    set firewall name DMZ_OUT rule 20 state established disable
    set firewall name DMZ_OUT rule 20 state invalid enable
    set firewall name DMZ_OUT rule 20 state new disable
    set firewall name DMZ_OUT rule 20 state related disable

    Aplicado no sentido IN e OUT da interface/subrede que atende essa rede Wireless Guest

    set interfaces ethernet eth7 vif 9 address 10.10.10.1/25
    set interfaces ethernet eth7 vif 9 description WIFI-GUEST
    set interfaces ethernet eth7 vif 9 firewall in name DMZ_IN
    set interfaces ethernet eth7 vif 9 firewall out name DMZ_OUT

    Para ampliar um pouco mais meu conhecimento.

    Após feito isso eu tenho de resultado:

    -> De qualquer subrede que eu esteja que passam por esse EdgeRouter eu não tenho conectividade a nenhum IP da subrede 10.10.10.0/25;
    -> Uma vez conectado nessa rede Wireless Guest eu não consigo pingar nenhum IP das minhas subredes, até ai tudo bem.

    Resolvi pingar todos os gateway das subredes que estão nesse EDGE Router e eles respondem a ping (conectado na rede Wireless)  e não entendi o motivo, visto que na regra de IN constam a RFC 1918 e esses subredes encontram-se nessa faixa.

    Algo que eu deveria fazer e não fiz ? ou algum conceito de redes que eu não estou aplicando no entendimento.

    Grato mais uma vez professor Samuel.

    Att
  • R4V3RR4V3R 8484 Pontos
    O motivo pra isso é o sistema operacional utilizado no edgerouter(Linux) que por padrão, é "dono" de todas as interfaces de rede do sistema operacional e responderá localmente(usando a interface local de cada subrede, seja física, VLAN, etc) à qualquer consulta à qualquer outra interface que pertença ao próprio sistema operacional.
    Não é nada relativo ao EdgeRouter especificamente, mas ao sistema operacioanl em si. Outros sistemas operacionais, podem e irão se comportar de maneira distinta, como alguns sabores de Unix, por exemplo. ;)
  • R4V3R disse:
    O motivo pra isso é o sistema operacional utilizado no edgerouter(Linux) que por padrão, é "dono" de todas as interfaces de rede do sistema operacional e responderá localmente(usando a interface local de cada subrede, seja física, VLAN, etc) à qualquer consulta à qualquer outra interface que pertença ao próprio sistema operacional.
    Não é nada relativo ao EdgeRouter especificamente, mas ao sistema operacioanl em si. Outros sistemas operacionais, podem e irão se comportar de maneira distinta, como alguns sabores de Unix, por exemplo. ;)
    Bom dia R4V3R,
    Muito obrigado pela atenção e pela contribuição. 

Entre ou Registre-se para fazer um comentário.