Mám problém s NATem.
Mk připojeny klasika v řadě za sebou.
MK1
WAN veřejná ip 1.1.1.1
LAN ip 192.168.1.1
MK2
WAN ip 192.168.1.2
LAN ip 192.168.2.1
MK3
WAN 192.168.2.2
BRIDGE 192.168.3.1 (LAN+WLAN)
Na MK3 za LANem jsou čtyři zařízení s web servery.
WEB1 192.168.3.2
WEB2 192.168.3.3
WEB3 192.168.3.4
WEB4 192.168.3.5
Celou dobu to mám nastaveno tak že z noťasu z externí sítě se připojuji na webservery přes 1.1.1.1 a port 8001-8004 dle toho na jaké zařízení se chci přiojit.
Protože se často také připojuji přes WLAN MK3 tak mám nastaveny na MK3 NAT:
chain=dstnat comment="WEB1" disabled=no dst-address=1.1.1.1 dst-port=8001 in-interface=bridge protocol=tcp to-addresses=192.168.3.2 to-ports=80
chain=dstnat comment="WEB2" disabled=no dst-address=1.1.1.1 dst-port=8002 in-interface=bridge protocol=tcp to-addresses=192.168.3.3 to-ports=80
chain=dstnat comment="WEB3" disabled=no dst-address=1.1.1.1 dst-port=8003 in-interface=bridge protocol=tcp to-addresses=192.168.3.4 to-ports=80
chain=dstnat comment="WEB4" disabled=no dst-address=1.1.1.1 dst-port=8004 in-interface=bridge protocol=tcp to-addresses=192.168.3.5 to-ports=80
Do minulýho týdne vše fungovalo tak jak má. Připojoval jsem se na WEBy jak z externích sítí tak z lokální sítě přes jednu adresu. V Sobotu jsem prováděl na MK3 factory reset, a i přesto že jsem veškeré nastavení vrátil na původní, mohu se z lokální WLAN dostat pouze na 1 webserver. Z externí sítě fungují všechny 4.
Kde dělám chybu ?
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Neposlušný NAT
-
Surface_cz
- Příspěvky: 20
- Registrován: 14 years ago
Nevidím žádný důvod k použití dstnat na mk3 v případě, že je přístup z WLAN. Přístup z wlan na webservery by mel byt funčni bez natu (primo zadat 192.168.3.X:port)
dstnat použit pouze pri pristupu z vnejsi site (internetu)
dstnat použit pouze pri pristupu z vnejsi site (internetu)
0 x
-
carcharias
- Příspěvky: 28
- Registrován: 16 years ago
Samozřejmě že NAT je také na MK1 , díky němu funguje přístup z externí sítě.
Samozřejmostí je také že na WLAN funguje přístup na zařízeni přes třeba 192.168.3.2:80
Ale v tom případě musím mít ke každému zařízení nasaven v noťasu dva přístupy.
Jeden z externí sítě - 1.1.1.1:8001
Další když jsem na WLAN - 192.168.3.2:80
Když je těch zařízení třeba 30 je to na houby mít 60 nastavených adres-ke každému zařízení z INETU a z LAN(WLAN).
Měl jsem to právě pořešeno tak že mám ty naty na lokálním mikrotiku (v tomto případě MK3) a přistupoval jsem k zařízení lokáně přes 1.1.1.1:8001. Prostě ten MK3 tomu vždy podsunul tu lokání adresu v pravidlu.
Do nedávna vše fungovalo tak jak má. Teď funguje takto jen jedno zařízeni...
A nedaří se mi to znovu zprovoznit.
Samozřejmostí je také že na WLAN funguje přístup na zařízeni přes třeba 192.168.3.2:80
Ale v tom případě musím mít ke každému zařízení nasaven v noťasu dva přístupy.
Jeden z externí sítě - 1.1.1.1:8001
Další když jsem na WLAN - 192.168.3.2:80
Když je těch zařízení třeba 30 je to na houby mít 60 nastavených adres-ke každému zařízení z INETU a z LAN(WLAN).
Měl jsem to právě pořešeno tak že mám ty naty na lokálním mikrotiku (v tomto případě MK3) a přistupoval jsem k zařízení lokáně přes 1.1.1.1:8001. Prostě ten MK3 tomu vždy podsunul tu lokání adresu v pravidlu.
Do nedávna vše fungovalo tak jak má. Teď funguje takto jen jedno zařízeni...
A nedaří se mi to znovu zprovoznit.
0 x
Ten DNAT na MK3 fakt nemá co dělat. Na MK1 má být a tak je to správně. Pokud pozoruješ problém, že se z vnitřní sítě nedostaneš na veřejný IP a porty na těch serverech v síti 192.168.3.x, je to tím, že ty pakty jdou od serverů k tobě přímo (ne skrz MK1).
To se řeší tak, že na MK1 dáš nejprve pravidla typu: src_iface=LAN, dst_ip=1.1.1.1, dst_port=1234, action=SNAT (opravdu SNAT) a budeš _zdrojovou adresu_ takových požadavků NATovat na LAN IP MK1. Až pak jako další v pořadí nadefinuješ ty DNAT pravidla pro servery v síti 3. Síť pak udělá to, že z notebooku v LAN pošle pakety na MK1, tam se znatuje source IP na LAN IP MK1, pak se znatuje destination IP na 192.168.3.x, paket odejde k serverům, servery odpoví, paket dojde na MK1, tam se provede přeložení adres zpátky a paket odejde k tobě na notebook.
Nevýhoda je, že pakety jdou sítí k MK1 vlastně dvakrát (tam a zpátky). Jenže je to druhý nejčistší řešení.
První nejčistší řešení je, v síti až k serverům naroutovat veřejný IP adresy (nebo IPv6 adresy).
Tvoje řešení je - z pohledu síťaře - s prominutím prasárna.
To se řeší tak, že na MK1 dáš nejprve pravidla typu: src_iface=LAN, dst_ip=1.1.1.1, dst_port=1234, action=SNAT (opravdu SNAT) a budeš _zdrojovou adresu_ takových požadavků NATovat na LAN IP MK1. Až pak jako další v pořadí nadefinuješ ty DNAT pravidla pro servery v síti 3. Síť pak udělá to, že z notebooku v LAN pošle pakety na MK1, tam se znatuje source IP na LAN IP MK1, pak se znatuje destination IP na 192.168.3.x, paket odejde k serverům, servery odpoví, paket dojde na MK1, tam se provede přeložení adres zpátky a paket odejde k tobě na notebook.
Nevýhoda je, že pakety jdou sítí k MK1 vlastně dvakrát (tam a zpátky). Jenže je to druhý nejčistší řešení.
První nejčistší řešení je, v síti až k serverům naroutovat veřejný IP adresy (nebo IPv6 adresy).
Tvoje řešení je - z pohledu síťaře - s prominutím prasárna.
0 x
-
carcharias
- Příspěvky: 28
- Registrován: 16 years ago
Prasárnu myslíš ve stylu že té veřejné ip 1.1.1.1:8001 podvrhnu(DNATuji) vlastně tu lokální 192.168.3.2:80 ?
Tvé řešení je opravdu čistější, avšak jak jsi podotkl paket porchází celou sítí tam a zpět. Jako u obyč wifi-routeru webserveru se nejedná vo moc, ale když už bude jako zařízení sloužit třeba mpx kamera, tak ten provoz budu protahovat celou sítí.
Nejvíce mě s*re že to opravdu dřive šlo a teď prostě jen jedno zařízení z mnoha. Hledám už z principu tu chybu a nemohu na to přijít. Navíc v jiných sítích a jiných MK v řadě mi to funguje perfektně i s více servery.
Ukážu log z torchu u zařízení které funguje:
ip na notasu konektnutem na wlan je 192.168.3.100, ip zařízení 192.168.3.2
ip src dst
800 192.168.3.100:1366 1.1.1.1:8001
800 192.168.3.2:80 192.168.3.100:1366
800 192.168.3.100:1367 1.1.1.1:8001
800 192.168.3.2:80 192.168.3.100:1367
800 192.168.3.100:1368 1.1.1.1:8001
800 192.168.3.2:80 192.168.3.100:1368
s tím samým pravidlem, akorát natuji na ip 192.168.3.3, NEFUNGUJE
800 192.168.3.100:1400 1.1.1.1:8001
800 192.168.3.3:80 192.168.3.100:1400
a tím komunikace končí..
Tvé řešení je opravdu čistější, avšak jak jsi podotkl paket porchází celou sítí tam a zpět. Jako u obyč wifi-routeru webserveru se nejedná vo moc, ale když už bude jako zařízení sloužit třeba mpx kamera, tak ten provoz budu protahovat celou sítí.
Nejvíce mě s*re že to opravdu dřive šlo a teď prostě jen jedno zařízení z mnoha. Hledám už z principu tu chybu a nemohu na to přijít. Navíc v jiných sítích a jiných MK v řadě mi to funguje perfektně i s více servery.
Ukážu log z torchu u zařízení které funguje:
ip na notasu konektnutem na wlan je 192.168.3.100, ip zařízení 192.168.3.2
ip src dst
800 192.168.3.100:1366 1.1.1.1:8001
800 192.168.3.2:80 192.168.3.100:1366
800 192.168.3.100:1367 1.1.1.1:8001
800 192.168.3.2:80 192.168.3.100:1367
800 192.168.3.100:1368 1.1.1.1:8001
800 192.168.3.2:80 192.168.3.100:1368
s tím samým pravidlem, akorát natuji na ip 192.168.3.3, NEFUNGUJE
800 192.168.3.100:1400 1.1.1.1:8001
800 192.168.3.3:80 192.168.3.100:1400
a tím komunikace končí..
0 x
Prasárnou myslím, že aby ses vyhnul tomu provozu skrz celou síť, tak děláš NAT navíc i na lokálním routeru (síť 192.168.3.x/24).
Není u toho prvního řádku chyba? Asi by tam mělo být 1.1.1.1:8002?
Jinak teda IMHO je to ten samej problém, o kterým jsem mluvil - je to hezky vidět na tom prvním výpisu torchu. Tvůj PC se pokouší komunikovat s IP 1.1.1.1, ale odpověď od serveru jde z IP 192.168.3.x. Docela se divím, že ti funguje to první spojení
správně by to totiž mělo vypadat tak, jak vypadá ten druhej výpis - komunikace pak jde přímo mezi serverem a tím PC v síti 192.168.3.x. Tak totiž IP funguje, provoz se skrz router hnát nemá, pokud je to jedna síť.
Aby to fungovalo, musel bys i na MK3 provést ten SRCNAT, o kterým jsem psal v prvním příspěvku.
Na serverech je nastavení IP adresy, masky, brány a routovací tabulky úplně shodné?
s tím samým pravidlem, akorát natuji na ip 192.168.3.3, NEFUNGUJE
800 192.168.3.100:1400 1.1.1.1:8001
800 192.168.3.3:80 192.168.3.100:1400
a tím komunikace končí..
Není u toho prvního řádku chyba? Asi by tam mělo být 1.1.1.1:8002?
Jinak teda IMHO je to ten samej problém, o kterým jsem mluvil - je to hezky vidět na tom prvním výpisu torchu. Tvůj PC se pokouší komunikovat s IP 1.1.1.1, ale odpověď od serveru jde z IP 192.168.3.x. Docela se divím, že ti funguje to první spojení
správně by to totiž mělo vypadat tak, jak vypadá ten druhej výpis - komunikace pak jde přímo mezi serverem a tím PC v síti 192.168.3.x. Tak totiž IP funguje, provoz se skrz router hnát nemá, pokud je to jedna síť.Aby to fungovalo, musel bys i na MK3 provést ten SRCNAT, o kterým jsem psal v prvním příspěvku.
Na serverech je nastavení IP adresy, masky, brány a routovací tabulky úplně shodné?
0 x
-
carcharias
- Příspěvky: 28
- Registrován: 16 years ago
Tak dík za nakopnutí, nakonec jsem udělal opravdu na MK3 SrcNAT a už to fachá tak jak má.
0 x