Jak dostat veřej. IP na 2hy MT?

[net.work]

Zdrawim Vas,

asi po 2 hodinach hledani a zkouseni ruznych kombinaci jsem musel vytvorit tento thread, jelikoz se stale nemuzu dopracovat k nejakemu kloudnemu zaveru.

Ma situace ja asi takova::

Jako gateway je PC s 2mi ETH (na jednom z nich je verej. IP 89.XX.XX.242/28 a na druhem je adresa 192.168.250.250/30 ) z druheho ETH vede kabel do druheho routeru, ktery ma adresu na ETH 192.168.250.249/30 a WLAN s IP 192.168.1.1/24.

Verejne IP je takto na 1.routeru masqueradovano:

0 chain=srcnat out-interface=ether1 action=masquerade

a muj prob. je, jak naroutovat, ci presmerovat verejne IP (89.XX.XX.243) na ten druhy router, abych se na nej mohl v klidu dostat odkudkoliv z netu?
Nebo nejaky jiny napad jak se pohodlne dostavat na ten router odkudkoli z netu?
MocX diky za odpovedi!!

[brouk666]

Pokud mas na prvnim mikrotiku na WAN vice verejnych IP ktere chces pouzit pro maskaradu a pak dal v siti, tak ty nepreroutujes, routovat muzes jedine jinej rozsah IP nez mas na te sitovce na WAN, to Ti musi naroutovat na ten tvuj prvni mikrotik Tvuj poskytovatel. Pokud Ti jen prideli vic IP ze stejneho rozsahu na kterem je ten prvni stroj, tak musis dal ty dalsi IP jen NATovat 1:1. To uz tady bylo nekolikrat jak se to da udelat, ale pak take nemuzes delat normalni masquerade na rozhrani, ale NAT na jednu z tech IP.

[net.work]

Pokud mas na prvnim mikrotiku na WAN vice verejnych IP ktere chces pouzit pro maskaradu a pak dal v siti, tak ty nepreroutujes, routovat muzes jedine jinej rozsah IP nez mas na te sitovce na WAN, to Ti musi naroutovat na ten tvuj prvni mikrotik Tvuj poskytovatel. Pokud Ti jen prideli vic IP ze stejneho rozsahu na kterem je ten prvni stroj, tak musis dal ty dalsi IP jen NATovat 1:1. To uz tady bylo nekolikrat jak se to da udelat, ale pak take nemuzes delat normalni masquerade na rozhrani, ale NAT na jednu z tech IP.

AHA, takze dokud mi muj ISP nenaroutuje ty IP, tak jsou pro me prakticky nepouzitelne.. mno, zatim jsem jakz takz to vyresil cez VPN, takze aspon neco... JInak dik moc, ze si mi to objasnil..!!

[Steebe]

ja tohle vyřešil pouhym kouknutím do manualu : Example of Destination NAT

Na mikrotiku cislo 1 ten hlavni :

otevřít konzolku a už to tam lifruj :

Kód: Vybrat vše

/ip address add address=89.XX.XX.243/28 interface=Public 

to je přidání IP adresy paralelně k té první : 89.XX.XX.242/28 na INTERFACE "Public"

dále :

Kód: Vybrat vše

/ip firewall nat add chain=dstnat dst-address=89.XX.XX.243 action=dst-nat to-addresses=192.168.250.249

to znamená že cokoliv co příjde na IP 89.XX.XX.243 se přepošle na IP 192.168.250.249

dále ...

Kód: Vybrat vše

/ip firewall nat add chain=srcnat src-address=192.168.250.249 action=src-nat to-addresses=89.XX.XX.243

to je zas opak


Pravidlo umistit někam nahoru ve firewall v teto posloupnosti ....


další možností je VPN server ale o tomhle tu bylo dost , staci hledat ....

[brouk666]

ja tohle vyřešil pouhym kouknutím do manualu : Example of Destination NAT

Na mikrotiku cislo 1 ten hlavni :

otevřít konzolku a už to tam lifruj :

Kód: Vybrat vše

/ip address add address=89.XX.XX.243/28 interface=Public 

to je přidání IP adresy paralelně k té první : 89.XX.XX.242/28 na INTERFACE "Public"

dále :

Kód: Vybrat vše

/ip firewall nat add chain=dstnat dst-address=89.XX.XX.243 action=dst-nat to-addresses=192.168.250.249

to znamená že cokoliv co příjde na IP 89.XX.XX.243 se přepošle na IP 192.168.250.249

dále ...

Kód: Vybrat vše

/ip firewall nat add chain=srcnat src-address=192.168.250.249 action=src-nat to-addresses=89.XX.XX.243

to je zas opak


Pravidlo umistit někam nahoru ve firewall v teto posloupnosti ....


další možností je VPN server ale o tomhle tu bylo dost , staci hledat ....

Jo tak jsi mu tady popsal NAT 1:1 a usetril mu to hledani . Jenom je dobre pak i nepouzit klasickou masquerade na odchozi trafik pro NATovane klienty ale tu druhou IP kterou mas take na WAN doplnit do Source NAT a pak take dat pozor na spravne poradi pravidel .