Jak vypnout NAT??? Prosím pomoc

[sulibrk]

Ahoj,

potřebuji zoufale radu... Řeším to už od vánoc, koupil jsem kvůli tomu různé zařízení a pořád nic...

Nejdříve nastíním situaci.

Pracuji ve firmě, která se do internetu připojuje skrze nadřazenou firmu a jejich síť. Používáme jejich účetní program, který je na jejich základně - tedy ne v naší budově.

Aktuálně se všichni připojují skrze VPN, pokud chtějí používat účetní program. Toto je šílené řešení, protože zároveň je třeba používat i internet, který se ale při připojení na VPN odepne.

Řešení je vzít router, který dokáže vypnout NAT. Po absolutním neúspěchu s Ubiquiti, konkrétně USG (podpora ubiquiti stojí za zlámanou grešli... odkazují na komunitní fórum a sami poradit nechtějí, jenže psát na fórum je sázka do loterie... nikdo mi tam neporadil a nakonec jsem se po 2 měsících dozvěděl, že to na USG prostě vypnout nejde... )

Koupil jsem tedy Edgerouter lite, zde jsem NAT sice vypnul (nebo alespoň si to myslím) ale vzdálená plocha na účetní software stejně nefunguje.

Dokázal by někdo poradit?

Popíšu situaci :

vzdálený server pro RDP na účetní software -> VPN nadřazené firmy -> router nadřazené firmy v mé budově -> router mé firmy -> má síť

router nadřazené firmy je nastaven tak, aby posílal jakýkoliv dotaz na RDP skrze VPN tam, kam má a zbytek komunikace přímo ven do internetu, jenže... RDP přijme jenom IP z mé lokální sítě, tedy z Eth1. Pokud se na RDP dotáže přímo můj router, skrze jeho WAN adresu, tedy Eth0, požadavek je automaticky zamítnut...

No a i když v EdgeRouteru vidím, že je NAT off, RDP stejně nefunguje...

Je kromě vypnutí NAT třeba vypnout ještě něco? Nebo musím nastavit ještě něco jiného?

[ludvik]

Ne, že bych tomu nějak extra rozuměl ... ale asi ta firma nepočítá s tvým natem, takže je nejjednodušší říci jí, aby do té VPN routovala i tvoji WAN.

A jestli chceš mít možnost dělat si na síti (resp. na tom routeru) naprosto cokoliv, potřebuješ čistý linux. Nebo alespoň mikrotik. Na ostatních systémech budeš vždy nějak omezen.

[kadlcikales]

1. Otázka jestli potřebuješ NAT ? což bych řekl že provajder ti dá veřejnou IP tak bych řekl že asi jo
2. Kup si Mikrotik nastav si tam NAT a routu nebo DST NAT , popřípadě vpnku a routou tam posílej IP rosah toho serveru
3. Nastav si to sám pokud to neumíš kontaktům nějakého ISP provajdra nebo člověka který tomu rozumí

[sulibrk]

No, já NATko nepotřebuju... Na druhé straně je paranoiou posedlý ajťák právě z firmy té nadřazené sítě a není jiná možnost než tato...

Můj edgerouter má WAN IP 192.168.100.2
cosi, kam ústí WANka z mého routeru má IP 192.168.100.1
moje vnitřní síť má 192.168.245.0/24

a já potřebuju dostat IPny právě přímo z mé lokální sítě na jejich 192.168.100.1

NATování a všechno ostatní se děje u nich, to já nepotřebuju... Takhle už jsem koupil 3 routery, pokaždé na doporučení lidí přímo z ubiquiti a ani na jednom se mi nedaří... Jenže třeba konkrétně co se týče toho edgerouteru, tam se to jeví jako že to jít má, jen nevím, jak přesně to nakonfigurovat...

[ludvik]

Uvědom si, že bez spolupráce to nepůjde. Pokud nadřazený router chce od tebe jen IP .100.2, tak tam svoji LAN nedostaneš, ani kdybyses na hlavu stavěl. Zvlášť, pokud je paranoidní ... což je správně.

V čem je tedy problém? Všichni počítají s tím, že máš 192.168.100.2 ... takže když tvůj router dělá NAT za tuto adresu, tak přeci nebude problém. A pokud tam routuje jen RDP (tedy spíš NATkuje), tak opravdu nechápu, proč přestane fungovat internet. To se toho přeci už netýká.

A pokud do VPN routuje někdo jiný, tak ti ani změna IP nemůže pomoci. Zase jsme u toho, že od tebe požaduje tu .100.2

[sulibrk]

Asi si nerozumíme...

Oni nečekají .100.2 , oni čekají .245.x
Pokud se objeví dotaz na jejich RDP z .100.2 tak ho zahazují
Pokud se objeví jakýkoliv jiný dotaz, směrují ho rovnou ven, do internetu

do jejich VPN nevidím, jen vím, že pokud se moji lidé připojí skrze VPNku (tak, aby mohli přistupovat právě na jejich na RDP), odepne jim to internet.
No a aby mohli používat internet a RDP naráz, potřebuji dostat přímo IP mých lidí (tedy rozsah 192.168.245.0/24) přímo na jejich 192.168.100.1 (protože právě .100.1 už je jejich síť oni rozdělují provoz na RDP skrze jejich interní VPN na základnu, kde je RDP server a vše ostatní, co jde rovnou do internetu)

Bohužel spolupráce s IT oddělením druhé firmy je maximálně problematická... tohle řešení které teď mám je jediné, které jsou schopni akceptovat. Ničeho jiného se z jejich strany nedočkám...

[ludvik]

Jo, to máš pravdu, asi si nerozumíme.

V každém případě jsem na síti pár EdgeRouterů provozoval a samozřejmě bez NAT. V tom problém nebude. To je tak nějak základní konfigurace ... přehazovat pakety mezi LAN a WAN bez úprav.

[sulibrk]

Tak, a přesně tohle mě zajímá jak toho docílit.... Máš s tím zkušenosti, můžeš tedy prosím poradit jak to mám nastavit, nebo kde by mohla být chyba, když mi to nejde??

[Standa99]

..... zároveň je třeba používat i internet, který se ale při připojení na VPN odepne.

Předpokládám, že po spojení na VPN server se veškerý provoz přepne přes VPN a tím pádem nefunguje NET, který je bez VPN funkční? Pokud ano, tak to není NATem.

[TheITman]

Vlákno jsem nečetl, tak se omlouvám pokud to někdo navrhoval - předpokládám že z nějaké nadřazené firmy máš jeden přívod internetu přes který se připojují všichni tví zaměstnanci, a přesto se připojují i k VPN - co takhle zjistit si IP adresu toho serveru s účetním SW a za hlavní router u tebe ve firmě nebo místo něj dát např. mikrotika na tom rozjet interface s vpn clientem a odroutovat tam tu ip serveru nebo celou ip síť na které jsou servery. Takhle by to nefungovalo? Protože spojení k serveru by bylo trvale přes vpn a fungoval by přitom všem internet.

[sulibrk]

Vlákno jsem nečetl, tak se omlouvám pokud to někdo navrhoval - předpokládám že z nějaké nadřazené firmy máš jeden přívod internetu...

Ono už řešení je, hlavně nemůžu už kupovat žádný další HW...

Jen potřebuji přesnou radu, jak z edgerouteru dostat IP lokální sítě na stranu WAN. Tzn. 192.168.245.x rovnou na 192.168.100.1

Aktuálně to vypadá :

192.168.245.x jde přes lokální IP edgerouteru, která je 192.168.245.100, na WAN IP edgerouteru, která je 192.168.100.2 a právě jako 192.168.100.2 se tváří veškerý provoz, který z edgerouteru jde a to já nepotřebuji. Jenže nevím co mám kde špatně... Edgerouter píše že NAT i firewall je vypnuto, ale stejně celý provoz, který zpoza routeru jde, odchází ze 192.168.100.2

[ludvik]

Vlož sem textovou konfiguraci. Přihlaš se pomocí SSH a dej příkaz show configuration.

[TheITman]

Vlákno jsem nečetl, tak se omlouvám pokud to někdo navrhoval - předpokládám že z nějaké nadřazené firmy máš jeden přívod internetu...

Ono už řešení je, hlavně nemůžu už kupovat žádný další HW...

Jen potřebuji přesnou radu, jak z edgerouteru dostat IP lokální sítě na stranu WAN. Tzn. 192.168.245.x rovnou na 192.168.100.1

Aktuálně to vypadá :

192.168.245.x jde přes lokální IP edgerouteru, která je 192.168.245.100, na WAN IP edgerouteru, která je 192.168.100.2 a právě jako 192.168.100.2 se tváří veškerý provoz, který z edgerouteru jde a to já nepotřebuji. Jenže nevím co mám kde špatně... Edgerouter píše že NAT i firewall je vypnuto, ale stejně celý provoz, který zpoza routeru jde, odchází ze 192.168.100.2

Nejsem v tomhle směru profík ale za 100.2 to skrývá maškaráda ne? edge routery používám také ale toto jsem nikdy neřešil... Ale nemělo by to být spíš tak že na WAN nebude 100.2 ale bude tam rovnou 245.X? a ty budeš mít v síti 246.X ? je mi jasné že jestli je jejich správce paranoik nebo "idiot" dá ti 100.X ale v tom případě mi není jasné jak může na serveru očekávat 245.X leda, že by chtěl aby jste primárně používali to vpn..... a i na edgerouteru jde vpn klient Vím, že jsem ti moc neporadil ale chce to znát i celou konfiguraci edge.

[Standa99]

Přesně tak, je v tom zmatek, ono to "vyžadované" vypnutí NATu akorát způsobí, že se každý aktivní prvek bude chovat jako switch za 300,-.

[ludvik]

Ale notak ... pánové ... proč by vypnutí NAT z routeru udělalo switch?