Problém s komunikací veřejných IP v jedné síti

[bayern]

Dobrý den,

řeším se zákazníkem takový problém. Má dvě pobočky v jednom městě a na každé pobočce má svůj vlastní server + každá pobočka má veřejnou IP.

Pobočka 1:
Hlavní router -> rozbočovač -> optika až ke klientovi -> router klienta -> server
Pobočka 2:
Hlavní router -> rozbočovač -> AP vysílač -> Klient anténa -> router klienta -> server

Obě dvě pobočky na internetu fungují bez problémů, mají přidělenou správnou veřejnou adresu a vše je OK. Když jsem připojený přes O2 LTE na telefonu (nebo z jakékoliv jiné sítě než té mé), tak přes veřejnou IP adresu komunikuji bez problémů na jakoukoliv pobočku.

Problém:
Pokud Pobočka č.1 chce přistupovat k Pobočce č.2 přes tu veřejnou IP adresu, která normálně jinde v jiné síti funguje -> NELZE SE SPOJIT
Pokud Pobočka č.2 chce přistupovat k Pobočce č.1 přes tu veřejnou IP adresu, která normálně jinde v jiné síti funguje -> NELZE SE SPOJIT

Proč nemůžou komunikovat pobočky mezi sebou, když nastavení jsou správná a veřejná IP adresa všude jinde funguje?

Díky za případnou pomoc.

[Petr Bačina]

veřejnou IP mají kde? Přímo na routeru u nich? Nebo NAT 1:1 někde na hlavní GW?

[bayern]

Veřejná IP je na Hlavním routeru vždycky přeložena na vnitřní statickou IP.

[Petr Bačina]

A to je právě ten problém... Předpokládám, že komunikace mezi pobočkami nejde přes hlavní GW, ale po vnitřní síti, tedy po neveřejných IP?

[bayern]

Celá moje vnitřní síť funguje na neveřejných statických IP adresách a pokud někdo potřebuje veřejnou IP, tak na hlavním routeru, kde je přívodní linka 1Gbit z data centra nastavím, že Veřejná IP -> překlad na vnitřní IP. Takže obě dvě pobočky mají ve vnitřní síti neveřejné IP (jediný router z venku ví na co to přeložit). A já jsem předpokládal, že když ten hlavní router ví, kam tu IP překládat, tak že to přeloží.

Řešení?
Mám tedy posunout veřejné IP adresy poboček z hlavního routera až přímo do poboček na klientův router (port WAN)?

[ludvik]

Leze to z tebe jak z chlupaté deky ... Mě přišlo, že ten router je toho klienta. Pokud je to tvůj "ISP" router, tak hledej problém Hairpin NAT. A nebo routuj přímo veřejné IP, aby byla opravdu až u nich. A nebo je pomocí DNS (nebo manuálu) donuť komunikovat po vnitřních IP.

[ludvik]

A já jsem předpokládal, že když ten hlavní router ví, kam tu IP překládat, tak že to přeloží.

Přeloží ... dělá přesně to, co mu říkáš.


Paket od klienta, nejspíš někde u něj se přeloží pomocí SRCNAT na tvoje vnitřní IP a podle routovacích tabulek jde tam kam chce - na tu druhou veřejnou. Veřejné neroutuješ, takže to jde výchozí bránou až na hlavní router. Provede se DSTNAT na tu druhou firmu, jelikož prerouting je první na řadě ... a paket jde zpět ke druhé firmě. A ta vidí co? DST-IP je správně, ale SRC-IP je vnitřní IP první firmy ... no a tam se snaží odpovídat. Jenže to už NATem nejde, čili o tom ta první firma neví.


Hairpin NAT je řešení tohoto problému - i v této trase paketů musí být SRCNAT. Standardní návrh NAT to nedělá, protože má pravidlo omezené na out-interface=WAN ...

[Gus]

JJ Hairpin NAT nebo taky NAT loopbak na hraničním routeru to řeší. V pricipu asi nějak takto:
add action=masquerade chain=srcnat comment=NAT.loopback dst-address=xxx.xxx.xxx.xxx/xx out-interface-list=lan src-address=xxx.xxx.xxx.xxx/xx
xxx.xxx.xxx.xxx/xx adresní rozsah transportní sítě.