Aplikovatelné rozdíly masquerade vs NAT

[ludvik]

Logicky to něco stát bude. Ale kolik, to je sporné. Conntrack tabulka je dost optimalizovaná věc.
Otázkou je, jaký to má smysl, používat to. Nějaké praktické využití mě momentálně nenapadá.

[travel21]

Ahoj, je to takhle.

Kód: Vybrat vše

chain=srcnat action=src-nat to-addresses=a.b.c.d/30 src-address=10.3.0.0/24 out-interface=wan
chain=srcnat action=src-nat to-addresses=a.b.c.d/30 src-address=10.98.0.128/27 out-interface=wan
chain=srcnat action=src-nat to-addresses=e.f.g.h/29 src-address=10.33.0.0/28 out-interface=wan


Předem děkuji za osvětu...

odkdy se do to-address píše něco/netmask? resp. jak se ti povedlo to tam vůbec napsat?

Omlouvám se to je chyba, já tam nemám tu masku. Nějak jsem ji tam omylem napsal. Je tam pouze ta IP toho mého WAN rozhraní.

[travel21]

Sice si nejsem úplně jistý, zda ti rozumím ... ale na pojem výchozí brána koukáš moc "domácky". Na velkých routerech nic takového ani nebývá. A když už ji mají, tak to znamená doslova to, jak se to jmenuje. Nemá-li router v routovací tabulce záznam pro síť kam směřuje ten paket (tedy dst-address), pošle to na adresu výchozí brány.

Čili ty, pokud tam máš src-nat, tak si to vůbec v hlavě nekomplikuj, ten se toho nezúčastní (v "normálních" konfiguracích). Přijde paket z vnitřku sítě. Koukne do routovací tabulky a pošle dál ... Je mu naprosto jedno, co je ta adresa následujícího hopu zač - snad jen to, že ji musí znát, že musí být pro něj přímo dostupná. Ten následující hop udělá naprosto to samé.
Zpětný provoz je to samé. Poslední router providera ví, že cílová síť /29 je tvoje a pošle paket na tvoji "spojovačku" v síti /30. Co s takovým paketem uděláš ty je mu už jedno.

No a jak funguje traceroute? Pošle se paket na adresu co si tam zadáš jako parametr. Ale s nastaveným TTL 1. Čili hned první router ho vrátí jako nedoručitelný s informací, že vypršelo TTL. Traceroute ti tu adresu zobrazí. Následně udělá opět to samé, ale s TTL 2. A tak dál a tak dál, dokud nedostane informaci z adresy, kterou jsi mu zadal.
Žádnou výchozí bránu tam nevidíš. Odpovědi chodí z těch routerů po cestě podle jejich rozhraní.

Dobře uvedu přesněji čemu nerozumím. Mikrotik ISP má na jednom rozhraní "příkladem" 128.10.10.105/29 a ještě 128.10.10.25/30. Na mém MK mám adresy na WAN rozhraní 128.10.10.106/29, 128.10.10.107/29, 128.10.10.26/30. dafaultní GW je nastavena na spojovačku 128.10.10.25. A já pouze nerozumím tomu, když definuji pravidla viz

Kód: Vybrat vše

chain=srcnat action=src-nat to-addresses=128.10.10.106 src-address=10.33.0.0/28 out-interface=wan

tak proč mi traceroute z lokálního stroje 10.33.0.2/28 ukazuje že paket jde ven přes adresu 128.10.10.105, "(což je správně ale já to nikde nenastavil)", když o této adrese neví. Muj MK zná přeci pouze tu spojovačku 128.10.10.25 a pak to, že adresa 128.10.10.106 je v síti /29, tak jak ví že zrovna ta 105 je ta správna spojovací adresa ven? Proč to nežene ven přes tu 25? a nebo např. přes 128.10.10.108?

Díky za trpělivost. Možná pro Vás pro všechny hloupý dotaz ale nedržím ten mikrotik v ruce poprvé a nejsem studovaný síťař. Nic méně snažím se věcem přijít na kloub a když nevím, tak se zeptám. Dle mého názoru je to lepší varianta než tupě opsat konfiguraci, která třeba i funguje a nezajímat se o to proč.

[travel21]

Rozdíly src nat vs masquerade = jeden z prezentujících na MUMu to vysvětlil vcelku jasně. Don't use masquerade everywhere. Pokud máte na WAN portu jednu ip a není dynamická, použijte src nat.

Masquerade totiž pokaždé když se sestavuje nové natovací spojení šahá do routovacích tabulek a zjišťuje, za jakou ip má vlastně překlad provést. Tahle operace je to, co zdržuje zbytečně. Pokud to máte pro domácí router je to jedno, pokud na GW pro tisíce spojení - použij src-nat.

Ano mám to jako domácí router a i přesto nemohu použít Masquerade. Na lokální sítí mám xenserver s 5 virtuály, pak nějaké maliny a arduina co mi sbírají data z baraku a přes proxy to zapisují na zabbix server dále email server, openVPN AS atp. A na to mi nestačí jedna veřejná adresa a dokonce ani dvě . Proto nemohu souhlasit že src-nat pouze pro GW s tísice spojením a jinak Masquerade. Je to pro mě řešení jak určité služby, které chci mít dostupné z venku rozházet na více public IP.

[ludvik]

Jsem ti už odpověděl. Díky tomu, že tam tu síť máš nastavenou, tak ti router ISP odpovídá z nejbližšího rozhraní.
Router isp obdrží paket od traceroute z tvojí IP, sníží mu TTL na nulu. Tedy ho zahodí a vytvoří nový paket (tentokrát ICMP), který vrátí odesílací IP adrese. No a při tom odesílání konzultuje (tak jako vždy) routovací tabulku - a při tvém nastavení zjistí, že je to přímo připojená síť a pošle ji ze své IP na tom samém segmentu.

Ale stále nechápu, proč tam na WAN mít ty sítě přímo nastavené. Tak se to prostě nedělá.
Si představ, že já mám na routeru /20 a /22 sítě. A routuji do třech cizích sítí přes pět VLAN. Dle tvého způsobu bych to měl SHODNĚ nastavené na pěti rozhraních! By z toho byl internet docela zmatený.

Kdysi, když jsem se do toho snažil proniknout, tak jediné co mi pomohlo to opravdu pochopit byla kniha Linux dokumentační projekt. Teprve tam jsem doslova viděl ten paket, jak běhá po jádru operačního systému mezí síťovkami. Všechny ostatní popisy byly pro mě strašně abstraktní (a to jsem se za programátora považoval ...). Ale to byly doby ještě jádra 2.2 možná dokonce 2.0.

[ludvik]

Podle mě jsi to nepochopil. Důležité bylo sdělení, že maškarádu pouze tam, kde je na WAN dynamická IP.
To, že je to doma pro pár počítačů vcelku fuk je už informace podružná ...

Proto nemohu souhlasit že src-nat pouze pro GW s tísice spojením a jinak Masquerade.

[travel21]

... že je to přímo připojená síť a pošle ji ze své IP na tom samém segmentu.

To jsem potřeboval slyšet, .... na tom samém segmentu. On ji vidí i v ARP tabulce tu sousední. Takže jsem netvrdil pravdu, když jsem říkal že ji nezná tu adresu 105 jako sousední.
Děkuji za vysvětlení. Toto nastavení byla dočasná modelová situace. Nakonec mi ISP naroutoval ty adresy 105 a 106 přes tu /30 spojovačku tak jak se to dělá standardně.

Linux dokumentační projekt jsem si také koupil už před léty když jsem s Linuxem začínal ale toto mě nenapadlo tam hledat

Hezký večer

[pgb]

Ano mám to jako domácí router a i přesto nemohu použít Masquerade. Na lokální sítí mám xenserver s 5 virtuály, pak nějaké maliny a arduina co mi sbírají data z baraku a přes proxy to zapisují na zabbix server dále email server, openVPN AS atp. A na to mi nestačí jedna veřejná adresa a dokonce ani dvě . Proto nemohu souhlasit že src-nat pouze pro GW s tísice spojením a jinak Masquerade. Je to pro mě řešení jak určité služby, které chci mít dostupné z venku rozházet na více public IP.

Promiň, ale běžná domácnost tedy nejsi -> máš 5 virtuálů, email server, více ip adres atd...... Jak ti napsal i ludvik, znovu si můj příspěvek přečti, nepochopil jsi to správně. Pro travel21 doslovně

- Použijte src nat všude kde nepotřebujete masquerade (tj. dynamickou ip na wanu)
- Definujte v rámci src-natu co nejpřesněji pravidla src ip a dst ip
- Masquerade šahá při vytváření každého nového spojení do routovacích tabulek a zjišťuje WAN IP => výpočetně náročné
------ Tato situace se ještě zhorší, pokud není definováno odchozí rozhraní=> výpočetně náročné
- Pro běžnou domácnost je výkonu dost a lze si zjednodušit život použitím pravidla masquerade

PS: samozřejmě se to týká celkého natu komplet, studujte

[travel21]

Ano mám to jako domácí router a i přesto nemohu použít Masquerade. Na lokální sítí mám xenserver s 5 virtuály, pak nějaké maliny a arduina co mi sbírají data z baraku a přes proxy to zapisují na zabbix server dále email server, openVPN AS atp. A na to mi nestačí jedna veřejná adresa a dokonce ani dvě . Proto nemohu souhlasit že src-nat pouze pro GW s tísice spojením a jinak Masquerade. Je to pro mě řešení jak určité služby, které chci mít dostupné z venku rozházet na více public IP.

Promiň, ale běžná domácnost tedy nejsi -> máš 5 virtuálů, email server, více ip adres atd...... Jak ti napsal i ludvik, znovu si můj příspěvek přečti, nepochopil jsi to správně. Pro travel21 doslovně

- Použijte src nat všude kde nepotřebujete masquerade (tj. dynamickou ip na wanu)
- Definujte v rámci src-natu co nejpřesněji pravidla src ip a dst ip
- Masquerade šahá při vytváření každého nového spojení do routovacích tabulek a zjišťuje WAN IP => výpočetně náročné
------ Tato situace se ještě zhorší, pokud není definováno odchozí rozhraní=> výpočetně náročné
- Pro běžnou domácnost je výkonu dost a lze si zjednodušit život použitím pravidla masquerade

PS: samozřejmě se to týká celkého natu komplet, studujte

Ano pravda, napsal jsi to správně, já to pouze rychle přečetl a vynechal jsem podstatná slova, které změnila význam. Bylo už přeci jen trochu později večer, tak to myšlení se na tom lehce promítlo

Díky všem

[jirk]

Zdravím
Už se to tu určitě asi řešilo, ale mohl by mi někdo osvětlit proč pronikají vnitřní IP adresy za natované (masq) rozhraní? Není to časté, ale skoro všechny klientské mikrotiky co mam s natem to dělají. Verze 6.40.4 Popřípadě, jestli by mi napsal někdo pravidlo jak toto pronikání fw dropnout. Díky

[disk]

chain=forward action=drop connection-state=invalid
chain=output action=drop connection-state=invalid

[pepulis]

chain=forward action=drop connection-state=invalid
chain=output action=drop connection-state=invalid

A vadi to necemu, kdyz to tam nebude nastavene a nebo to mate nastavene jen pro ten pocit, aby se Vam nekde nezobrazovala v siti ip klienta, ktery je schovany za NATem?

[jirk]

Jenže ty "nevis" který klient to propousti, protože všichni klienti maji na ethernetu nastaveny stejný rozsah. A pokud mas špatně nastaveny NAT na hlavním routeru, tak se možná adresa překládá do internetu. Myslím si, ze je to špatně mít na sítí IP co tam nemají co dělat.

[pepulis]

Jenže ty "nevis" který klient to propousti, protože všichni klienti maji na ethernetu nastaveny stejný rozsah. A pokud mas špatně nastaveny NAT na hlavním routeru, tak se možná adresa překládá do internetu. Myslím si, ze je to špatně mít na sítí IP co tam nemají co dělat.

V natu mam pouze ip adresy WANek klientských jednotek a zbytek se dropuje, takze i když se ip adrese vnitrni site zákazníka dostane az na hlavni GW, tam se dropne jednak ve fw a jednak NATem nemůže dal projit, protože ten rozsah nenatuju (u všech klientu mam 192.168.1.0/24).