Zdravím,
potřeboval bych prosím poradit, mám následující skripty pro otevření portů 11155 UDP:
add action=dst-nat chain=dstnat disabled=no dst-port=11155 in-interface=WAN protocol=udp to-addresses=192.168.1.1 to-ports=11155
add action=dst-nat chain=dstnat disabled=no dst-port=11155 in-interface=WAN protocol=udp to-addresses=192.168.1.2 to-ports=11155
Port je otevřen vždy jen buď pro 192.168.1.1 nebo 192.168.1.2, chtěl bych aby byl otevřen u obou současně a už fakt nevim. Vždy je funkční jen na jedné IP (na té první v řade), když to druhé pravidlo zakážu. Klidně by to mohlo být otevřené pro celý LAN 192.168.1.0, jsem zkoušel nastavit to-addresses=192.168.1.0 i 192.168.1.0/24, tak to nejde ani na jedne IP. Ve firewallu mam uz jen maskarady a nic vic. I když dám misto in-interface=WAN dam dst-address=x.x.x.x, tak proste porad stejny.
Už fakt nevim, ale myslim si, že je tam jenom nejaka banalita. Jestli mi můžete někdo helpnout byl bych fakt rad. Zatím moc díky.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
DST-NAT pro více IP adres
To chceš každý paket na port 11155 duplikovat na dvě různé IP adresy?
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Tak to máš dle mě smůlu. Existuje možnost TEE ... ale myslím, že ne v mikrotiku. http://www.highonphp.com/packet-cloning-with-iptables
Netfilter funguje tak, že každý paket porovná na tebou zadané podmínky - a pak v něm něco změní. Pořád je to jeden paket. Výjimka je zjevně ten TEE ... a jeho spolupráci s DSTNAT si teď po ránu nějak neumím představit.
HA clustery na to jdou (nevím jestli vždy, zase tak moc jsem je nestudoval) tak, že vlastní servery za "balancerem" mají multicast MAC adresu. A o duplikaci se stará switch.
---
Možná kdybys to napsal spíš tak, že popíšeš co to má dělat a proč (a ne jak), tak třeba někoho napadne jiné řešení.
Netfilter funguje tak, že každý paket porovná na tebou zadané podmínky - a pak v něm něco změní. Pořád je to jeden paket. Výjimka je zjevně ten TEE ... a jeho spolupráci s DSTNAT si teď po ránu nějak neumím představit.
HA clustery na to jdou (nevím jestli vždy, zase tak moc jsem je nestudoval) tak, že vlastní servery za "balancerem" mají multicast MAC adresu. A o duplikaci se stará switch.
---
Možná kdybys to napsal spíš tak, že popíšeš co to má dělat a proč (a ne jak), tak třeba někoho napadne jiné řešení.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Aha, tak to je docela komplikovanější, něž jsem čekal.
Popíšu teď teda co by to mělo dělat. Ten port používá program Tunngle, je to něco na principu Hamachi a v jeho nastavení je test otevření portu právě 11155 (UDP). Který proběhne úspěšně jenom tehdy kdy pro danou IP mám nastavený výše popsaný DST-NAT. Ale chtěl bych aby tento software mohli používat i ostatní účastníci v síti. Ještě mě teď napadlo, ale nevím jestli to bude fungovat to přesměrovávat vždy na jiný port, v tom Tunngle se dá port měnit.
Popíšu teď teda co by to mělo dělat. Ten port používá program Tunngle, je to něco na principu Hamachi a v jeho nastavení je test otevření portu právě 11155 (UDP). Který proběhne úspěšně jenom tehdy kdy pro danou IP mám nastavený výše popsaný DST-NAT. Ale chtěl bych aby tento software mohli používat i ostatní účastníci v síti. Ještě mě teď napadlo, ale nevím jestli to bude fungovat to přesměrovávat vždy na jiný port, v tom Tunngle se dá port měnit.
0 x
To není komplikovanější. To je nemožné. Musel by to ten program podporovat, což pochybuji.
Máš dvě možnosti - používat jiný port (nemusíš u klienta, stačí na bráně - ale ta strana, co vyvolává spojení to musí umět), nebo použít jinou VPN.
Máš dvě možnosti - používat jiný port (nemusíš u klienta, stačí na bráně - ale ta strana, co vyvolává spojení to musí umět), nebo použít jinou VPN.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.