Zdravim vespolek,
tohle tema zakladam jen proto, abych se ujistil, ze nedelam lamerskou chybu v nastaveni. Mam od sveho dodavatele naroutovany balik verejnych IP adres na mou verejnou. Uvazuji jakym zpusobem naroutovat verejne IP pro klienty. Narazil jsem na dva zpusoby. NAT 1:1 (src-nat a dst-nat) a druhy nastavit na poslednim routeru u klienta /30 rozsah verejne IP adresy a tu celou proroutovat na hlavni router.
Pro lepsi predstavu router1[verejnaIP_ISP/192.168.1.1] - router2[192.168.1.10/192.168.2.1] - router3[192.168.2.10/192.168.3.1] - 192.168.3.5(IP klienta, kterou chci udelat verejnou, VEREJNA_IP_KL).
Dle druheho postupu to mam udelane tak, ze:
na 1.1 je route VEREJNA_IP_KL gw 192.168.1.10
na 2.1 je route VEREJNA_IP_KL gw 192.168.2.10
na 3.1 ja adresa VEREJNA_IP_KL/30 a na pocitaci u klienta je VEREJNA_IP_KL
Vsechny rotury maji NAT, takze dam do vyjimek tu VEREJNA_IP_KL, tak ze je to pruchazi az ven. Takhle mi to funguje, ale zda se mi to moc jednoduche a nevim jestli tam neni nejake bezpecnostni riziko pro klienty kteri nemaji verejnou IP. Dik za jakykoliv ohlas
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Verejna IP a jeji nasazeni uvnitr site
DRAKK píše:Zdravim vespolek,
tohle tema zakladam jen proto, abych se ujistil, ze nedelam lamerskou chybu v nastaveni. Mam od sveho dodavatele naroutovany balik verejnych IP adres na mou verejnou. Uvazuji jakym zpusobem naroutovat verejne IP pro klienty. Narazil jsem na dva zpusoby. NAT 1:1 (src-nat a dst-nat) a druhy nastavit na poslednim routeru u klienta /30 rozsah verejne IP adresy a tu celou proroutovat na hlavni router.
Pro lepsi predstavu router1[verejnaIP_ISP/192.168.1.1] - router2[192.168.1.10/192.168.2.1] - router3[192.168.2.10/192.168.3.1] - 192.168.3.5(IP klienta, kterou chci udelat verejnou, VEREJNA_IP_KL).
Dle druheho postupu to mam udelane tak, ze:
na 1.1 je route VEREJNA_IP_KL gw 192.168.1.10
na 2.1 je route VEREJNA_IP_KL gw 192.168.2.10
na 3.1 ja adresa VEREJNA_IP_KL/30 a na pocitaci u klienta je VEREJNA_IP_KL
Vsechny rotury maji NAT, takze dam do vyjimek tu VEREJNA_IP_KL, tak ze je to pruchazi az ven. Takhle mi to funguje, ale zda se mi to moc jednoduche a nevim jestli tam neni nejake bezpecnostni riziko pro klienty kteri nemaji verejnou IP. Dik za jakykoliv ohlas
Jedna dobra rada - strasne plytvas verejnyma icpkama (ktere nam za 4 roky dojdou) - na kazdem klientovi se ti 2 ztraci. NAT je v tomhle ohledu mnohem lepsi
0 x
Jde to udelat tak ze mas na AP rozsah verejnych IP treba /28 a na rozhranni s timto rozsahem pak u klientu delas EoIP tunely u klientu, tak usetris na IP adresach. Dalsi moznost je davat klientum rozsahy /30 a ty nepouzitelne Ip adresy (adresa site, broadcast) pak muzes na hlavni brane do netu pouzit jeste jednou pro NAT 1:1, jen to musi byt na ruznych strojich, NAT delat na brane a ty subnety routovat az na dalsim stroji uvnitr site.
0 x
Mas asi dve (rozumne) moznosti, v zasade jsi je popsal uz sam:
1. klientovu verejnou IP das na prvni router a udelas dstnat vseho na jeho neverejnou ip (predpoklad je, ze mas v lokalu routovanou sit, jinak musis dal prekonavat ty dalsi lokalni naty)
2. proroutujes jeho verejny rozsah (minimalne /30) az na jeho pocitac. Ovsem verejne ip by nemely byt routovany pres neverejne (i kdyz to bude fungovat). Spotrebujes tedy dalsi /30 rozsahy z verejnych IP na propojeni tecg routeru.
3. nejaka kombinace 1 a 2
4. proxyarp
ad 1) usporne na verejne ip adresy ale nektere programy nemusi spravne fungovat
ad 2) spotrebujes mnoho verejnych ip
1. klientovu verejnou IP das na prvni router a udelas dstnat vseho na jeho neverejnou ip (predpoklad je, ze mas v lokalu routovanou sit, jinak musis dal prekonavat ty dalsi lokalni naty)
2. proroutujes jeho verejny rozsah (minimalne /30) az na jeho pocitac. Ovsem verejne ip by nemely byt routovany pres neverejne (i kdyz to bude fungovat). Spotrebujes tedy dalsi /30 rozsahy z verejnych IP na propojeni tecg routeru.
3. nejaka kombinace 1 a 2
4. proxyarp
ad 1) usporne na verejne ip adresy ale nektere programy nemusi spravne fungovat
ad 2) spotrebujes mnoho verejnych ip
0 x
Leeonek píše:ikvac píše:klientovu verejnou IP das na prvni router a udelas dstnat vseho na jeho neverejnou ip
src a dst nat ano ale prosímtě vysvětli mě proč dávat tu veřejnou ip fyzicky na router, to by mě opravdu zajímalo
No nekde ta verejna ip adresa musi byt, takze na prvni router (dle jeho oznaceni [verejnaIP_ISP/192.168.1.1]) da tu verejnou, udela dstnat vsecho co na ni prijde na jeho neverejnou a naopak (to jsem puvodne zapomel napsat) srcnat vseho co jde z klientovi neverejne na tu verejnou... kruci, vzdyt je to jasne, nebo nekdo z nas neco nepochopil
Hezky vanoce
0 x
verejna ip adresa na zadnem routeru prave ze byt vubec nemusi - proc tez? rozsah verejnych ip adres bude naroutovany na router, ktery bude vedet, ze pokud ma neco poslat na tu a tu verejnou ip adresu, tak ve skutecnosti to bude natovat a posilat na vnitrni - ale tu verejnou ip adresu sam na sobe mit nemusi, spise je to naopak komplikace, ne?
0 x
fra.iesus píše:verejna ip adresa na zadnem routeru prave ze byt vubec nemusi - proc tez? rozsah verejnych ip adres bude naroutovany na router, ktery bude vedet, ze pokud ma neco poslat na tu a tu verejnou ip adresu, tak ve skutecnosti to bude natovat a posilat na vnitrni - ale tu verejnou ip adresu sam na sobe mit nemusi, spise je to naopak komplikace, ne?
hm, kdyz se nad tim zamyslim, tak mate pravdu, ze to musi fungovat, i kdyz tam ta verejna IP dana nebude...
0 x
ikvac píše:fra.iesus píše:verejna ip adresa na zadnem routeru prave ze byt vubec nemusi - proc tez? rozsah verejnych ip adres bude naroutovany na router, ktery bude vedet, ze pokud ma neco poslat na tu a tu verejnou ip adresu, tak ve skutecnosti to bude natovat a posilat na vnitrni - ale tu verejnou ip adresu sam na sobe mit nemusi, spise je to naopak komplikace, ne?
hm, kdyz se nad tim zamyslim, tak mate pravdu, ze to musi fungovat, i kdyz tam ta verejna IP dana nebude...
Ale nechal si sa domotat. Hore "fra.iesus" hovori o preroutovani na koncovy PC kedy tam verejna IP naozaj na edge routri byt nemusi, no a ty vravis o DST(src)-NAT /ale na toto je priparne urceny v MK prave NETMAP/ kedy ta IP na edge routeri byt musi. imho.
0 x