Směrování veřejné IP do vnitřní (privátní) sítě

[oggo]

Pomožte prosím nováčkovi v konfiguraci s RB. Mám jeden port jako WAN a na něm nabindované 2 veřejné IP. Jednu z nich potřebuji transparentně nasměrovat na 1 konkrétní port na RB. Umíte mi poradit jak na to, třeba přes Winbox?

Díky za postrčení....

[LaSolitaire]

Pomožte prosím nováčkovi v konfiguraci s RB. Mám jeden port jako WAN a na něm nabindované 2 veřejné IP. Jednu z nich potřebuji transparentně nasměrovat na 1 konkrétní port na RB. Umíte mi poradit jak na to, třeba přes Winbox?

Díky za postrčení....

v menu
Ip / firewall / nat
vytvor pravidlo, kde nastavis nasledujici veci:

chain=dstnat in-interface=WAN-port01 dst-address=TVA_VEREJNA_IP
protocol=tcp dst-port=PRICHOZI_PORT action=dst-nat to-addresses=VNITRNI_IP to-ports=VNITRNI_PORT

Vypln jen veci, ktere potrebujes. Tzn porty bud vsechny nebo urcite apod.



Dal muze celou verejnou IP preroutovat na vnitrni IP a to takto:

v menu
Ip / firewall / nat
;;; Public IP zakaznik
chain=srcnat src-address=VNITRNI_IP action=netmap
to-addresses=VEREJNA_IP to-ports=0-65535

;;; Public IP zakaznik
chain=dstnat dst-address=VEREJNA_IP action=netmap
to-addresses=VNITRNI_IP to-ports=0-65535


Doufam, ze ti to pomuze.

[oggo]

Pomožte prosím nováčkovi v konfiguraci s RB. Mám jeden port jako WAN a na něm nabindované 2 veřejné IP. Jednu z nich potřebuji transparentně nasměrovat na 1 konkrétní port na RB. Umíte mi poradit jak na to, třeba přes Winbox?

Díky za postrčení....

v menu
Ip / firewall / nat
vytvor pravidlo, kde nastavis nasledujici veci:

chain=dstnat in-interface=WAN-port01 dst-address=TVA_VEREJNA_IP
protocol=tcp dst-port=PRICHOZI_PORT action=dst-nat to-addresses=VNITRNI_IP to-ports=VNITRNI_PORT

Vypln jen veci, ktere potrebujes. Tzn porty bud vsechny nebo urcite apod.



Dal muze celou verejnou IP preroutovat na vnitrni IP a to takto:

v menu
Ip / firewall / nat
;;; Public IP zakaznik
chain=srcnat src-address=VNITRNI_IP action=netmap
to-addresses=VEREJNA_IP to-ports=0-65535

;;; Public IP zakaznik
chain=dstnat dst-address=VEREJNA_IP action=netmap
to-addresses=VNITRNI_IP to-ports=0-65535


Doufam, ze ti to pomuze.

Ještě bych se doptal, co to vlastně dělá? Oboje je NATko, to je mi jasné. Ale není to 2x to samé jiným způsobem? Dál bych ještě nadhodil, že celé tohle řeším, protože v té síti bude jeden zákazník, který chce být v DMZ, takže NATko na to vlastně nepotřebuji - má vlastní router a firewall a chce být plně dostupný zvenčí. Ve FAQ jsem se dočetl, že to lze zařídit "zbridgováním", ale jsem nějak nepřišel na to jak.

[LaSolitaire]

Vypada to stejne, ale neni to stejne.

Prvni zpusob je vyslovene na preroutovani portu a druhy preroutovani IPadres.

Kdyz jsem pouzil na preroutovani adresy venkovni an vnitrni prvni zpusob, tak nektere veci blbly a nechodily tak jak meli.
Pokud bys chtel zakaznikovi pridelit primo tu verejnou IP, ta by se to muselo udelat jeste jinak, ale to uz bych musel vedet neco o topologii te site a jak to tam mas udelany. Proste ten zakaznik by musel byt na tom LANU. Nesmel by byt za dalsim routerem.

[oggo]

Vypada to stejne, ale neni to stejne.

Prvni zpusob je vyslovene na preroutovani portu a druhy preroutovani IPadres.

Kdyz jsem pouzil na preroutovani adresy venkovni an vnitrni prvni zpusob, tak nektere veci blbly a nechodily tak jak meli.
Pokud bys chtel zakaznikovi pridelit primo tu verejnou IP, ta by se to muselo udelat jeste jinak, ale to uz bych musel vedet neco o topologii te site a jak to tam mas udelany. Proste ten zakaznik by musel byt na tom LANU. Nesmel by byt za dalsim routerem.

Klidně se rozepíšu lehce o topologii, páč si myslím že si ne úplně dobře rozumíme. Do baráku je přivedena pevná linka s několika přidělenými veřejnými IP. Uvnitř je asi 9 firem do kterých vede pokaždé 1 drát. S dřívějším poskytovatelem byl dostatek veřejných IP, takže tam byl prostě švihnutej switch a tím to haslo. Některé firmy si koupily malej hw router, některé si pořídili jako router nějakej linux. Některé firmy chtějí jen konektivitu do internetu, ale některé potřebují tunely zvenčí. Navíc firmy s linuxovými routery chtějí být administrovatelné zvenčí. Navíc jsem potřeboval nějak vyřešit shaping, i když nijak dokonalý, stačí na to BC - Simple Queues. Byl mi doporučen RB s Mikrotikem a popravdě se mi velmi zalíbil, ale nemám s ním vůbec žádnou zkušenost, navíc mi dokumentce nepřipadne úplně přehledá, takže bloudím. Pominu tunely, ty budou na řadě až později.
RB jsem pořídil s 9 porty, ale "potřebuji" jich asi 11 (1 WAN + 10 LAN). První port jsem připojil jako WAN, zbylé jsou vnitřní, jeden má rozjeté ARP a je za ním switch (abych měl těch 10 lanů). Hardwarovému portu přestanu říkat port, ale použiji asi správnější interface. Aby byly firmy co si to přejí plně (transparentně) dostupné z internetu, tak jsem si řekl, že na interface WAN nabinduju více veřejných IP, které pak "promapuji" na konkrétní interface (nebo LAN). Sice bych rád, aby RB běžel jako firewall, protože pár firem je připojeno napřímo, bez jakékoliv ochrany, ale zrovna "promapované" firmy mohou být klidně v DMZ. Něco jsem našel na Mikrotiku (http://www.mikrotik.com/docs/ros/2.8/appex/dmz), ale pořád mi visí v hlavě to vytvoření bridge z FAQ.

Snad jsem napsal vše potřebné a děkuji za respond...

[LaSolitaire]

Pokud nedostanes prideleny blok IP adres (14), tak asi to, co chces udelat, neudelas.
U mikrotiku ti staci jeden jedinej port a na nem muzes nastavit vsechny IP. Taky to mam na jednom miste takhle udelany.

Jestli jsem to pochopil spravne, tak jim chces priradit verejnou ip, aby si s ni delali, co uznaj za vhodne.
Ale to je trosku odlisnej pozadavek od toho, co jsi chtel v prvnim prispevku.

Posli mi na maila pristup na ten tvuj MT (staci demo) a ja se juknu.

[oggo]

Pokud nedostanes prideleny blok IP adres (14), tak asi to, co chces udelat, neudelas.
U mikrotiku ti staci jeden jedinej port a na nem muzes nastavit vsechny IP. Taky to mam na jednom miste takhle udelany

Ale udělám, mám dostatečný rozsah (zatím). Jen se trápím s nastavením RB. Mám k dispozici 8 veřejných IP a potřebuji v podstatě 3. Dvě pro sitě "viditelné" zvenčí a jedna stačí pro mě na administraci RB.
Jo, ten jeden port by mi s rozjetým ARP stačil, jenže to jeden trouba nepochopil a zbytečně se sejpnul do daughterboardu.

[LaSolitaire]

Tak nevim, co porad resis.

Nastav na MT jednu verejnou IP z toho rozsahu a je to.
Mas to pak hotovy a nemusis nic natovat.


Veskere routy se ti udelaji samy.

[oggo]

Tak nevim, co porad resis.

Nastav na MT jednu verejnou IP z toho rozsahu a je to.
Mas to pak hotovy a nemusis nic natovat.


Veskere routy se ti udelaji samy.

Hele, asi jsem natvrdlej a děkuji ti že si se mnou povídáš, ale já prostě nevím co je "nastav na MT veřejnou IP...". To jako že mám na tom interface do té firmy nastavit tu veřejnou IP? To přece nemůže fungovat....

[UW.Phoenix]

Tak nevim, co porad resis.

Nastav na MT jednu verejnou IP z toho rozsahu a je to.
Mas to pak hotovy a nemusis nic natovat.


Veskere routy se ti udelaji samy.

Hele, asi jsem natvrdlej a děkuji ti že si se mnou povídáš, ale já prostě nevím co je "nastav na MT veřejnou IP...". To jako že mám na tom interface do té firmy nastavit tu veřejnou IP? To přece nemůže fungovat....

Ahoj, taky bych se chtěl zapojit do této debaty a svou otázkou trochu přispět k objasnění problému.
Také mám od svého ISP přiděleno několik veřejných adres a chtěl bych na Mikrotiku dosáhnout stejného efektu jakým přiděluje veřejné adresy můj ISP - to znamená, že můj ethernetový wan port, který je spojený se zařízením poskytovatele má přímo natvrdo nastavenou veřejnou adresu a port na straně poskytovale (jeho brána ke mě) má také veřejnou IP v rozsahu té mojí. Já potřebuju dosáhnout toho, aby počítač někde hodně "hluboko" zaroutovaný v mé (topologicky velmi členité) síti si na své rozhraní nastavil přímo veřejnou adresu, ne adresu z vnitřního rozsaku, které se jen jako veřejná NATuje. Co je k tomu potřeba?
Osobně si myslím že by to mělo být takhe, pokud se pletu, tak mě, prosím, někdo opravte:
Cílovému počítači, který má mít ve výsledku veřejnou adresu, přidělím jednu veřejnou adresu z adres, které jsem dostal. Na ethernetovém rozhraní v Mikrotiku, které je s tímto PC spojeno je nastavena další z veřejných adres (aby vůbec tyto dvě rozhraní mohla navázat komunikaci) a ta je už klasickým způsobem routována skrz sí. Takhle provedené routování aktivní veřejné IP by podle mě mělo fungovat, pokud se pletu tak křičte...
PS: pokud by rozhraní na Mikrotiku bylo WiFi AP s nastavenou veřejnou IP, tak je potřeba aby všichni klienti tohoto AP měli každý svou veřejnou IP, jinak se nepřipojí, mám pravdu? Nebo to přece jen nějak jde?

Ocením vaše připomínky a opravy ;o)

[LaSolitaire]

Tak nevim, co porad resis.

Nastav na MT jednu verejnou IP z toho rozsahu a je to.
Mas to pak hotovy a nemusis nic natovat.


Veskere routy se ti udelaji samy.

Hele, asi jsem natvrdlej a děkuji ti že si se mnou povídáš, ale já prostě nevím co je "nastav na MT veřejnou IP...". To jako že mám na tom interface do té firmy nastavit tu veřejnou IP? To přece nemůže fungovat....

Ale muze.....
Jako GW bude pak ta verejna IP MT.

[oggo]

Tak nevim, co porad resis.

Nastav na MT jednu verejnou IP z toho rozsahu a je to.
Mas to pak hotovy a nemusis nic natovat.


Veskere routy se ti udelaji samy.

Hele, asi jsem natvrdlej a děkuji ti že si se mnou povídáš, ale já prostě nevím co je "nastav na MT veřejnou IP...". To jako že mám na tom interface do té firmy nastavit tu veřejnou IP? To přece nemůže fungovat....

Ale muze.....
Jako GW bude pak ta verejna IP MT.

Aha, ale to mi pak sežere ještě jednu IP z přiděleného veřejného rozsahu na straně klienta, asi? Protože interface do LANu klienta bude mít tu veřejnou IP a aby se na druhé straně "drátu" ten klient připojil, tak musí mít další IP ze stejného LANu.

[LaSolitaire]

Tak nevim, co porad resis.

Nastav na MT jednu verejnou IP z toho rozsahu a je to.
Mas to pak hotovy a nemusis nic natovat.


Veskere routy se ti udelaji samy.

Hele, asi jsem natvrdlej a děkuji ti že si se mnou povídáš, ale já prostě nevím co je "nastav na MT veřejnou IP...". To jako že mám na tom interface do té firmy nastavit tu veřejnou IP? To přece nemůže fungovat....

Ahoj, taky bych se chtěl zapojit do této debaty a svou otázkou trochu přispět k objasnění problému.
Také mám od svého ISP přiděleno několik veřejných adres a chtěl bych na Mikrotiku dosáhnout stejného efektu jakým přiděluje veřejné adresy můj ISP - to znamená, že můj ethernetový wan port, který je spojený se zařízením poskytovatele má přímo natvrdo nastavenou veřejnou adresu a port na straně poskytovale (jeho brána ke mě) má také veřejnou IP v rozsahu té mojí. Já potřebuju dosáhnout toho, aby počítač někde hodně "hluboko" zaroutovaný v mé (topologicky velmi členité) síti si na své rozhraní nastavil přímo veřejnou adresu, ne adresu z vnitřního rozsaku, které se jen jako veřejná NATuje. Co je k tomu potřeba?
Osobně si myslím že by to mělo být takhe, pokud se pletu, tak mě, prosím, někdo opravte:
Cílovému počítači, který má mít ve výsledku veřejnou adresu, přidělím jednu veřejnou adresu z adres, které jsem dostal. Na ethernetovém rozhraní v Mikrotiku, které je s tímto PC spojeno je nastavena další z veřejných adres (aby vůbec tyto dvě rozhraní mohla navázat komunikaci) a ta je už klasickým způsobem routována skrz sí. Takhle provedené routování aktivní veřejné IP by podle mě mělo fungovat, pokud se pletu tak křičte...
PS: pokud by rozhraní na Mikrotiku bylo WiFi AP s nastavenou veřejnou IP, tak je potřeba aby všichni klienti tohoto AP měli každý svou veřejnou IP, jinak se nepřipojí, mám pravdu? Nebo to přece jen nějak jde?

Ocením vaše připomínky a opravy ;o)

Popsal jsi to dobre.
Jen s tim rozdilem, ze kdyz to Cilove PC neni na stejen LA a je az za dalsim routerem, tak to nemuzes udelat timto zpusobem.

Proste na MT nastavis jednu IP z toho rozsahu a to bude GW pro ostatni verejne IP v podsiti.
A pak muzes pridelovat verejne IP ostatnim zarizenim (AP, PC, Router apod).

Pokud cilove PC bude za dalsim routerem, musel bys vytvorit VPN tunel na hlavni MT a pak teprv bys mohl tomu PC prirazovat verejnou IP.
Ale tohle jsem v zivote nedelal, tak neporadim.

Ja jsem si verejnou IP preroutoval na vnitrni IP a jsem spokojenej. (jsem za dvema routery.

[Steebe]

Teda nekamenujte mne ale myslim ze by to TEORETICKY slo udelat i takto :
kdyztak mne nekdo poopravte :


verejne IP sem si vymyslel !
IPS - poskytovatel
MT - Mikrotik

192.168.1.0/29 sit s 8 IP (6 pouzitelnych)
192.168.1.1 ISP
192.168.1.2 MT
192.168.1.3-6 volne IP

ISP < --------- -----------> ethernet MT ethernet nebo wireless < ----- > Klient

pokud se to ciste teoreticky (nemam to vozkouseny)
kdyz se udela bridge na MT mezi ethernetem od ISP a ethernetem nebo wireless kartou smerem ke klientu potom by si klient mohl nastavit IP 192.168.1.3 az 6 s vychozi branou 192.168.1.1 (maska 255.255.255.248)

ostatni neverejny by mohli byt za maskaradou na jinem NEVEREJNEM rozsahu , par pravidel do FW aby ten bridge nepustil i vnitrni sajrajt ven atd a melo by to fachat bo se mejlim ? Kdyby to bylo jeste dal az za dalsim MT routerem skusit je dat taky do bridge a nebo EoIP ... coz sem nikdy nedelal ..
Ale to je podle mne pripad jen z nutnosti mit TU verejnou IP nastavenou rovnou na klientu ...

Ideal a je v tom mensi bordel si myslim ze staci poslat verejnou IP na nejakou vnitrni ikdyz klient bude mit nastaven neverejny rozsah na hlavnim MT se verejna IP bude posilat na neverejne IP klienta


PS na ASCI maluvky sem nikdy nebyl dobrej ...

[oggo]

Tak nevim, co porad resis.

Nastav na MT jednu verejnou IP z toho rozsahu a je to.
Mas to pak hotovy a nemusis nic natovat.


Veskere routy se ti udelaji samy.

Hele, asi jsem natvrdlej a děkuji ti že si se mnou povídáš, ale já prostě nevím co je "nastav na MT veřejnou IP...". To jako že mám na tom interface do té firmy nastavit tu veřejnou IP? To přece nemůže fungovat....

Ahoj, taky bych se chtěl zapojit do této debaty a svou otázkou trochu přispět k objasnění problému.
Také mám od svého ISP přiděleno několik veřejných adres a chtěl bych na Mikrotiku dosáhnout stejného efektu jakým přiděluje veřejné adresy můj ISP - to znamená, že můj ethernetový wan port, který je spojený se zařízením poskytovatele má přímo natvrdo nastavenou veřejnou adresu a port na straně poskytovale (jeho brána ke mě) má také veřejnou IP v rozsahu té mojí. Já potřebuju dosáhnout toho, aby počítač někde hodně "hluboko" zaroutovaný v mé (topologicky velmi členité) síti si na své rozhraní nastavil přímo veřejnou adresu, ne adresu z vnitřního rozsaku, které se jen jako veřejná NATuje. Co je k tomu potřeba?
Osobně si myslím že by to mělo být takhe, pokud se pletu, tak mě, prosím, někdo opravte:
Cílovému počítači, který má mít ve výsledku veřejnou adresu, přidělím jednu veřejnou adresu z adres, které jsem dostal. Na ethernetovém rozhraní v Mikrotiku, které je s tímto PC spojeno je nastavena další z veřejných adres (aby vůbec tyto dvě rozhraní mohla navázat komunikaci) a ta je už klasickým způsobem routována skrz sí. Takhle provedené routování aktivní veřejné IP by podle mě mělo fungovat, pokud se pletu tak křičte...
PS: pokud by rozhraní na Mikrotiku bylo WiFi AP s nastavenou veřejnou IP, tak je potřeba aby všichni klienti tohoto AP měli každý svou veřejnou IP, jinak se nepřipojí, mám pravdu? Nebo to přece jen nějak jde?

Ocením vaše připomínky a opravy ;o)

Popsal jsi to dobre.
Jen s tim rozdilem, ze kdyz to Cilove PC neni na stejen LA a je az za dalsim routerem, tak to nemuzes udelat timto zpusobem.

Proste na MT nastavis jednu IP z toho rozsahu a to bude GW pro ostatni verejne IP v podsiti.
A pak muzes pridelovat verejne IP ostatnim zarizenim (AP, PC, Router apod).

Pokud cilove PC bude za dalsim routerem, musel bys vytvorit VPN tunel na hlavni MT a pak teprv bys mohl tomu PC prirazovat verejnou IP.
Ale tohle jsem v zivote nedelal, tak neporadim.

Ja jsem si verejnou IP preroutoval na vnitrni IP a jsem spokojenej. (jsem za dvema routery.

Tak já už mám poměrně jasno - díky za podněty. Nevím, proč mi nesecvaklo, že samozřejmě mohu na vnitřní interface nabindovat veřejnou IP a jako bránu nastavit IP na WAN interface. Fakt se stydím. Pravdou je, že takhle mi to sežere 2 veřejné IP - 1 pro RB a 1 pro router klienta. Na celé tohle bych se býval mohl vykašlat, kdybych nepotřeboval řešit shaping a mohl jsem za router švihnout switch. Takže pokud chci ušetřit 1 veřejnou IP, tak mi nezbývá nic jiného než src a dst NAT. Jen bych měl ještě jeden dotaz - sešli se mi 2 způsoby konfigurace překladů:

1)
;;; Public IP zakaznik
chain=srcnat src-address=VNITRNI_IP action=netmap
to-addresses=VEREJNA_IP to-ports=0-65535

;;; Public IP zakaznik
chain=dstnat dst-address=VEREJNA_IP action=netmap
to-addresses=VNITRNI_IP to-ports=0-65535

2)
chain=dstnat dst-address=VEREJNA_IP action=dst-nat
to-addresses=VNITRNI_IP to-ports=0-65535

chain=srcnat src-address=VNITRNI_IP action=src-nat
to-addresses=VENKOVNI_IP to-ports=0-65535

Zajímalo by mne, co je správnější - netmap nebo nat?