Dva RB433 v bridgi kombinované s NATem

[travel21]

Mám takovou malou sít v městečku. Jedna RB433 NATuje subnety ether2 a ether3 ven přes ether1. Na tom samém routeru je miniPCi CM9 která mi tvoří bridge na 5450MHz s jiným RB433 asi 500m od sebe. Jedná se o jednoho klienta, který ma notebooka a zaroven chce využívat i metalické rozvody. Tudíž jsem mu do MK vložil druhou kartu CM9 na 802.11g jako privátní rozsah dany do bridge s ether3 a zprovoznil NAT přes wlan5G dle obrázku na hlavní router č.1. Vše funguje dobře, pingy do 3ms, ale problem nastal s IP telefonem. Klienti za NATem hlavního routeru využívající IP telefony přes poskytovatele 802.cz nemají problém, vše funguje bez problémů. Ovšem klient za druhým NATem v mé síti si už nezavolá. Zajimávé je že pakety na registraci SIP serveru UDP 5060 ty dvě NAT protlačí a telefon vyzvání ovšem neprotlačí RTP na UDP 16000 a více. nevím proč. Nevím jak nastavit ten druhý mikrotik tak aby např. ether3 byl v bridgi s wlan5G a telefon tak nebyl za NATem. Zkoušel jsem to, ale bez uspěchu. Druhá věc je že si nedovedu představit vytvářet pořád další a další subnety s NAT. Jsou s tím jen problémy. Rad bych využil routovaní mezi těmi dvěmi MK ale nevím jak na to ?? Uvádím zde zjednodušené schéma te sítě a budu doufat že mi nekdo poradí.
Předem díky ...

Schéma sítě pro lepší pochopení:

http://travel21.czweb.org

[hermanek.t]

videl bych to v nasteveni toho natu, nebo te bridge, muzes sem poslat nastaveni?

[travel21]

----

[travel21]

Nastiním zde situaci, o které jsem si myslel, že bude fungovat a nedaří se mi to zprovoznit:

RB 433 - ROUTER č.1

interface
ether1 - internet
bridge1 (ether3,wlan5G) - rozsah 10.0.0.16/28

nastavené routy:
-----Destination-----------Gateway------------Interface----------pref.source
S----0.0.0.0/0------------10.4.191.1-----------ether1------------------------
D--10.0.0.16/28---------------------------------bridge1-----------10.0.0.17
D---10.4.192.0-----------------------------------ether1-----------10.4.192.61

NAT
srcnat:10.0.0.16/28------out interface: ether1-------Action:masquerade

pozn. wlan5G nastaveno jako AP Bridge na 5450MHz směrový spoj
----------------------------------------------------------------------------------




RB 433 - ROUTER č.2

interface
bridge1 (ether1,wlan5G) - rozsah 10.0.0.16/28

nastavené routy:
-----Destination-----------Gateway------------Interface---------pref.source
S----0.0.0.0/0------------10.0.0.17----------- bridge1------------------------
D--10.0.0.16/28-------------------------------- bridge1-----------10.0.0.26


pozn. wlan5G nastaveno jako Station pro ROUTER č.1, IP:10.0.0.26
----------------------------------------------------------------------------------

Měl jsem za to, že klient na ether1(tedy lokálním bridgi s wlan5G) Routeru č.2, nastaví na svém PC toto:

IP: 10.0.0.27/28 (např.)
GW: 10.0.0.17

a měl by se dostat ven na internet přes Router č.1 bez použití NAT

Můžete mi někdo tuto teorii potvrdit nebo naopak doplnit a správné řešení !!!
Děkuji předem ....

[hapi]

řekl bych že ti tam chybý routa v router1 na router2. No vlastně proč tam vůbec máš bridge mezi ethernetem na wifinou na routeru2? Navíc tam máš jenom jeden subnet na routeru2 což neni router protože ten musí mít minimálně dva subnety aby mezi nimi mohl routovat.

[hermanek.t]

řekl bych že ti tam chybý routa v router1 na router2. No vlastně proč tam vůbec máš bridge mezi ethernetem na wifinou na routeru2? Navíc tam máš jenom jeden subnet na routeru2 což neni router protože ten musí mít minimálně dva subnety aby mezi nimi mohl routovat.

JA bych videl presne v tom samem nemam voip pres dva naty ale vetsinou je ten voip jeste jako krabka jeste router tak proc by to nedavalo i tohle ?

[travel21]

Jak mám ale nastavit ROUTER č.2 tak aby to fungovalo ?? Když jsem vlastně subnet nevytvářel. Původně jsem chtěl aby klient ROUTERU č.2 byl ve stejném rozsahu jako je bridge na ROUTERU č.1 tedy 10.0.0.16/28 - proto jsem dal do bridge ether1 s wlan5G. wlan5G mělo IP 10.0.0.26 a bylo jako WAN pro router č.2 tak jsem měl za to, že když ho dam do bridge s ether1 tak vlastně i klienti na ether1 budou mít IP v tomto rozsahu.
Těd ale sleduji podle Vašich odpovědí, že se to řeší převážně několika subnety a vzájemným routováním, což tedy dělá celou síť zrovna tak transparentní jako bridgovaná. Prosím tedy o kontrolu nastavení, které zde ted uvedu.

Příklad:

RB 433 - ROUTER č.1

interface:
ether1-internet
bridge1-(ether3,wlan5G) - rozsah 10.0.0.16/28

nastavené routy:
-----Destination-----------Gateway------------Interface----------pref.source
S----0.0.0.0/0------------10.4.191.1-----------ether1------------------------
D--10.0.0.16/28---------------------------------bridge1-----------10.0.0.17
D---10.4.192.0-----------------------------------ether1-----------10.4.192.61
S---10.7.0.16/28-------10.0.0.26-----------bridge1-----------------------
S---10.8.0.16/28-------10.0.0.26-----------bridge1-----------------------

NAT
srcnat:10.0.0.16/28------out interface: ether1-------Action:masquerade

pozn. wlan5G nastaveno jako AP Bridge na 5450MHz směrový spoj
----------------------------------------------------------------------------------



RB 433 - ROUTER č.2

interface:
ether1-10.7.0.16/28
ether2-10.8.0.16/28

nastavené routy:
-----Destination-----------Gateway------------Interface---------pref.source
S----0.0.0.0/0------------10.0.0.17----------- wlan5G------------------------
D--10.0.0.16/28---------------------------------wlan5G-----------10.0.0.26
D--10.7.0.16/28---------------------------------ether1------------10.7.0.17
D--10.8.0.16/28---------------------------------ether2------------10.8.0.17


Bude to takto stačit a nebo je třeba tam jeste neco přidat ?? Předem díky ...

[Desirex]

Resil jsem podobny problem, jako zelizko v ohni se ukazaly chyby pri prechodu MAC protokolu na linkove vrstve, kterou bridge na wifi simuluje i pres ruzne NIC, a to zarizlo komunikaci. Udelej to k problemovym zarizenim jako nekompromisne routovanou sit, tedy co zarizeni, to 2 ruzne subnety a uvidis, ze to pojede, jak ma. Pokud nechces nastavovat OSPF, pak od brany niz na kazdej router doklepni korektni statiky na subnety hloubeji ve tve siti a pojede to, ver mi.

[hapi]

ještě je nutný říct, že mac adresy se ničeji při průchodu wifi klientem. Bridge na ethernetech nic neničeji stejně tak ethernet + wifi AP taktéž nic neničí. Je třeba si uvědomit že za klientem wifi nikdy nepočítalo, že tam bude víc mac adres. V případě routeru je to v pohodě jelikož tam je jenom jedna.

[Maxik]

ja myslim ze by bylo prinosnejsi aby tu nekdo vysvetlil jak ze ten SIP komunikuje, jake porty proste jak to spojeni probiha a pak se da nad necim spekulovat.

[hapi]

jak funguje sip? defakto stejně jako ftp. Tohle je problém všude. Dělá to nat. Respektive jeho ukončování spojení po určitý době. Co na to říct, je to debilní protokol. Například sip co používá jeden náš zákazník vyzvání ale hlas se nepřenese a voipex jede v pohodě. Záleží hodně na nastavení sipu. Jo a taky s tim má co dočinění přenastavování natovacích pravidel.

Řídící komunikace probíhá na tý 5060 ale hlas jde jinudy. Někde jsem dokonce četl, že sip ústředny si pamatujou odkud se sip připojoval a na jakých portech a když se například restartne natovací mašina, tak se vytvoří nový spojení ale ústředna si pamatuje furt to starý takže hlas opět nejde.

[travel21]

ja myslim ze by bylo prinosnejsi aby tu nekdo vysvetlil jak ze ten SIP komunikuje, jake porty proste jak to spojeni probiha a pak se da nad necim spekulovat.

SIP telefon otevírá port UDP zpravidla 5060 pro registraci telefonu a dále dle nastavení telefonu a možností poskytovatele služby, porty pro synchronizaci RTP zpravidla UDP 16000-17000 (ale není limitováno-toto nastavení používám pro službu SIP 802.cz). Registarce přes obě NAT v původním nastavení proběhla OK, ovšem RTP je dle poskytovatele služby v mém případě neprůchozí. Toď vše. Proč mi proleze UDP 5060 a ne porty pro RTP opravdu netuším. Logické by bylo kdyby neprolezlo nic.

Ale dvě NAT už ani řešit nechci, po této diskusi vidím, že je opravdu jednoduší a asi i logické na hlavním routeru NATovat a ostatní RB ve vlastní sítí protáhnout routama. Jen nevím, jestli mi to výše vypsané řešení routování bez nastavení OSFP bude fungovat.

Další poznatek je ten, že jsem si omangloval odchozí pakety UDP 16000-17000 pro RTP a zaroven pakety UDP 5060 na registraci. V conection ve firewallu jsem pak behem vytáčení koukal kde se pakety objeví na hlavní routeru smerem ven a hle ... objevily se jako unreplied (což chápu jako bez odpovědi nebo tak něco) a to na vnitřním rozsahu. Zkrátka problem je někde v těch dvou NATech za sebou a zřejmě na to ma vliv asi i ten WiFi klient.

[travel21]

Tak jsem ted zkusil tuto variantu s velkým očekáváním funkce a bohužel je tam někde chyba. Jde to vubec nastavit bez toho OSFP ?? Fungují mi pouze pingy a provoz z routeru č.1 na 10.7.0.16/28 a 10.8.0.16/28 routeru č.2. Tento směr je nastaven asi dobře ale nevím jak nastavit routy na routeru č.2 tak aby šel klientum internet z ether1 a ether2. Ty dynamicke routy se nedaji vymazat a pri pokusu o statickou zmodrala jako neaktivní. Ta jedna staticka routa na wlan5G asi stačit nebude jestli to chápu správně.
Někde je určitě chyba na strane toho druheho routeru protože zněho mi na router č.1 neleze nic.

Prosím o radu ....

RB 433 - ROUTER č.1

interface:
ether1-internet
bridge1-(ether3,wlan5G) - rozsah 10.0.0.16/28

nastavené routy:
-----Destination-----------Gateway------------Interface----------pref.source
S----0.0.0.0/0------------10.4.191.1-----------ether1------------------------
D--10.0.0.16/28---------------------------------bridge1-----------10.0.0.17
D---10.4.192.0-----------------------------------ether1-----------10.4.192.61
S---10.7.0.16/28-------10.0.0.26-------------bridge1-----------------------
S---10.8.0.16/28-------10.0.0.26-------------bridge1-----------------------

NAT
srcnat:10.0.0.16/28------out interface: ether1-------Action:masquerade

pozn. wlan5G nastaveno jako AP Bridge na 5450MHz směrový spoj
----------------------------------------------------------------------------------

RB 433 - ROUTER č.2

interface:
ether1-10.7.0.16/28
ether2-10.8.0.16/28

nastavené routy:
-----Destination-----------Gateway------------Interface---------pref.source
S----0.0.0.0/0------------10.0.0.17----------- wlan5G------------------------
D--10.0.0.16/28---------------------------------wlan5G-----------10.0.0.26
D--10.7.0.16/28---------------------------------ether1------------10.7.0.17
D--10.8.0.16/28---------------------------------ether2------------10.8.0.17

[hapi]

dal jsi klientům správnou bránu? OSPF nepotřebuješ.

Sip si mangluj podle connection type. Uvidíš pak pouze sip pakety a ne všechno co leze přez UDP.

[travel21]

dal jsi klientům správnou bránu? OSPF nepotřebuješ.

Sip si mangluj podle connection type. Uvidíš pak pouze sip pakety a ne všechno co leze přez UDP.

Klienti ether1 maji IP v rozsahu 10.7.0.16/28 a GW-10.7.0.17
Klienti ether2 maji IP v rozsahu 10.8.0.16/28 a GW-10.8.0.17

Z venčí se na tyto GW dostanu takže routy do vnitřní sítě fungují ale ven už ne. Nema tam být ještě nějak routa mezi temi ethernety a wlan5G ??????