classic.ISPforum.cz

Mám dotaz který jsem zde nenašel, mám naroutovaný blok veřejných adres /25, je možné část z toho přidělovat jako NAT 1:1 a část veřejky přimo u zakoša.
Děkuji

Ano, je. V závislosti na topologii sítě ale může být celkem pakárna v některých případech zajistit funkčnost komunikace mezi zákazníkem s 1:1 SNAT/DNAT a zákazníkem s přímo přidělenou veřejkou.

Na to jsem nedavno zrovna narazil, zakos s verejkou na routeru potrebuje komunikovat se zarizenim co ma nat 1:1, jak to elegantne vyresit ? Nemel jsem cas se na to kouknout tak zatim pristupuje na vnitrni neverejnou...

Pintero píše:Na to jsem nedavno zrovna narazil, zakos s verejkou na routeru potrebuje komunikovat se zarizenim co ma nat 1:1, jak to elegantne vyresit ? Nemel jsem cas se na to kouknout tak zatim pristupuje na vnitrni neverejnou...

Důležíté je zajistit, aby komunikace šla vždy (tam i zpět) přes router, na kterém se provádí 1:1 NAT. Často problém na routované síti, kdy je levnější trasa mezi zákazníky než mezi zákazníkem a hraničním routerem s NATem. A pak taky správně 1:1 NATovat na hraničním routeru i směrem do vnitřní sítě (říkají tomu Hairpin NAT).

cerva píše:Ano, je. V závislosti na topologii sítě ale může být celkem pakárna v některých případech zajistit funkčnost komunikace mezi zákazníkem s 1:1 SNAT/DNAT a zákazníkem s přímo přidělenou veřejkou.

Díky za informaci. Jinak komunukace mezi kliošama není potřeba. Stačí aby komunikovli do internetu.

Nebo tu jednu verejku routovat az k zakaznikovi a tam udelat NAT

Jo tohle mam davno poreseny, zakaznici co maji nat 1:1 mezi sebou pres verejky bezne komunikuji. (pripojovani na ruzne servery, dalkove odecty kotelen.. a.j.) Ale minuly tyden se ozval jeden zakaznik, kteremu se prehodila verejka prave z natu 1:1 primo na jeho koncovy router, ze mu nejde komunikace na jinou natovanou verejku....

Pintero píše:Jo tohle mam davno poreseny, zakaznici co maji nat 1:1 mezi sebou pres verejky bezne komunikuji. (pripojovani na ruzne servery, dalkove odecty kotelen.. a.j.) Ale minuly tyden se ozval jeden zakaznik, kteremu se prehodila verejka prave z natu 1:1 primo na jeho koncovy router, ze mu nejde komunikace na jinou natovanou verejku....

Hledal bych problem v te asymetrii spojeni. Da se to resit treba tim, ze provoz z nativni verejky na 1:1 zanatujes na hranicnim routeru za nejaky interni rozsah toho routeru.

aký ma zmysel NAT 1:1 ? Ked mozete priamo routovat verejnu az na WAN rozhranie klientskeho routeru ?

miso7711 píše:aký ma zmysel NAT 1:1 ? Ked mozete priamo routovat verejnu az na WAN rozhranie klientskeho routeru ?

Ne kazdej router s tim umi pracovat.

kazdy router podporuje PPPoe, a cez neho sa da smerovat aj rozsah ip adries, IPv6 atd...

PPPoE tyhle věci sice do velké míry elegantně řeší, ale už nevyřeší domácí router, jehož hacknutí po vystavení na veřejku je bez ohledu na nastavení zabezpečení otázkou spíše minut. Tím nemám na mysli ty slušnější, kromě MikroTiku / UBNT i TP-Linky, Asusy, Tendy a podobné když se nastaví firewall odolají čemukoliv známému. Třeba jeden nejmenovaný router, který měl nastavený firewall, nedefaultní login a heslo a stejně byl hacknutý do pěti minut.

miso7711 píše:aký ma zmysel NAT 1:1 ? Ked mozete priamo routovat verejnu az na WAN rozhranie klientskeho routeru ?

Dneska bych tak novou síť nestavěl, ale když to zdědíš, je jednodušší to udržet v chodu než všechny zákazníky migrovat.

Ještě dotaz jak nastavit tu veřejnou k zákazníkovi. Na wan port mu dám veřejnou IP a jeho brána bude veřejná ip z toho rozsahu /25 kterou dám na LAN interface brány do internetu kde je připojený zákazník, to je jasné.Ale když mám zákazníky na různých interface? To tu ip adresu nastavím na všechny interface na té bráně do internetu?

Díky

Mario píše:Ještě dotaz jak nastavit tu veřejnou k zákazníkovi. Na wan port mu dám veřejnou IP a jeho brána bude veřejná ip z toho rozsahu /25 kterou dám na LAN interface brány do internetu kde je připojený zákazník, to je jasné.Ale když mám zákazníky na různých interface? To tu ip adresu nastavím na všechny interface na té bráně do internetu?

Díky

Pokud si ten rozsah přidělil danému iface tak to takto nefunguje.
Musíš ji odejmout z iface. Potom jako gw můžeš použít jakéhokoliv op přiřazené gw. Jako např vIP na wanu.
Přece nemůžeš někomu dat jo z rozsahu na jiným iface pokud to není v bridgi nebo sw.
Pokud se pletu opravte mne.

Jinak k tématu je ze všem dělám na hlavní gw nat 1:1 na odroutovanou interku. Ti co to chtějí přímo na iface tak l2tp na gw kde ji jim priradim. Klient co navazuje l2tp vždy pouze MK a no problemo.