Nasazení veřejné IP ve vnitřní síti

[Aleš Tesáček]

Veřejných adres mám 5 tudíš celý blok s toho jednu použitou wan mikrotiku. Zbůsob který zmiňujete tak stejně nefunguje. Mořil jsem se s tím včera až do půl noci a nic. Byl by někdo ochoten se mi na to mrknout a trošku mi s tím pomoct?

[DRAKK]

jenom 5 IP adres? nebo 5 subnetu /30

[euro]

Bolo by mozne urobit nieco take ze na router nastavim na LAN port nat pre privatne IP a zaroven na LAN nasmerunem skupinu verejnych IP z WAN?
Predstavujem si to tak ze tento router by som pouzival ako GW pre verejne a privatne IP, teda by som vytvoril akoby dalsiu siet na ktorej by boli verejne IP. Teda klient by mohol dostat verejnu IP do svojho PC, jeho AP by bolo umiestnene na privatnej IP a ako GW u klienta by bol moj router.

[soucez]

Do teď jsem přidělovat veřejné adresy pomocí NETMAPu ve verzi 2.9.51 a vše funguje bez problému. Teď ale chci nasadit RB1000 pouze na Natování adres a jelikož je tam 3.17 verze, tak mi to při použití NETMAPU hlásí, že musím definovat porty. Já měl vždycky v portech uvedeno 0-65535 a hotovo. Jenže teď to hlásí v té verzi 3.17 že pokud chci definovat porty, musím zvolit buď TCP nebo UDP..
Tak nevím jestli to nasadit jen se zašedlíma políčkama. jde mi o to aby to překládalo 1:1 a moc se mi to takhle nepozdává,,,

poradí někdo jak na to aby to fungovalo pro celý rozsah portů?

[Olda123]

k tomu TCP , UDP . když nějaká aplikace potřebuje na stejném portu jak TCP tak UDP komunikaci tak to řeším tak že pro danou ip a port udělám dvě pravidla (tcp+udp),ale nevím jestli je to tak dobře . každopádně to funguje

[LadaP]

u nas v siti verejky take NATuji 1:1, pouzivame v3.13 a funguje to jak ma

staci jednoduche pravidlo

Kód: Vybrat vše

/ip firewall nat
add action=netmap chain=dstnat comment="NAT 1:1 - Klient xy" disabled=no dst-address=verejnaIP to-addresses=IPklienta
add action=netmap chain=srcnat comment="" disabled=no src-address=IPklienta to-addresses=verejnaIP

ted uz jen musis presvedcit zakaznika aby si nepral IP "primo" ve svem PC

[Mafia]

Já myslím, že nejschůdnější řešení je bez NATu. Od poskytovatele mám přidělený rozsah veřejných dejme tomu 85.193.57.0/24 a zároveň má klientská IP adresa, přidělená poskytovatelem je 85.193.24.242. Takže poskytovatel naroutuje ten rozsah 85.193.57.0/24 na tu klientskou "spojovačku" (85.193.24.242). Pak do mikrotiku nastavím jednu adresu z toho veřejného rozsahu, kterou chci mít jako bránu, třeba 85.193.57.1 a dám ji jako IP adresu na vnitřní eth rozhraní na svojí IGW (na vnější eth pak bude ta spojovačka od poskytovatele). Klienti pak mohou používat kteroukoli další z veřejného rozsahu a z venku už to zařídí ta spojovačka. Klient má v PC třeba 85.193.57.100 a už na serveru poskytovatele je daný, že pro tuhle adresu musí na tu spojovačku 85.193.24.242. Mikrotik přijme požadavek a už ví, kam do směrovat dál. A výsledek je ten, že můj zákazník má veřejnou nastavenou až ve svém koncovém zařízení. Ten NAT 1:1 mi připadá dost těžkopádný.

[reset]

Já myslím, že nejschůdnější řešení je bez NATu. Od poskytovatele mám přidělený rozsah veřejných dejme tomu 85.193.57.0/24 a zároveň má klientská IP adresa, přidělená poskytovatelem je 85.193.24.242. Takže poskytovatel naroutuje ten rozsah 85.193.57.0/24 na tu klientskou "spojovačku" (85.193.24.242). Pak do mikrotiku nastavím jednu adresu z toho veřejného rozsahu, kterou chci mít jako bránu, třeba 85.193.57.1 a dám ji jako IP adresu na vnitřní eth rozhraní na svojí IGW (na vnější eth pak bude ta spojovačka od poskytovatele). Klienti pak mohou používat kteroukoli další z veřejného rozsahu a z venku už to zařídí ta spojovačka. Klient má v PC třeba 85.193.57.100 a už na serveru poskytovatele je daný, že pro tuhle adresu musí na tu spojovačku 85.193.24.242. Mikrotik přijme požadavek a už ví, kam do směrovat dál. A výsledek je ten, že můj zákazník má veřejnou nastavenou až ve svém koncovém zařízení. Ten NAT 1:1 mi připadá dost těžkopádný.

ja tomuhle zase rikam plytvani verejnymi ip adresami

[soooc]

Já myslím, že nejschůdnější řešení je bez NATu. Od poskytovatele mám přidělený rozsah veřejných dejme tomu 85.193.57.0/24 a zároveň má klientská IP adresa, přidělená poskytovatelem je 85.193.24.242. Takže poskytovatel naroutuje ten rozsah 85.193.57.0/24 na tu klientskou "spojovačku" (85.193.24.242). Pak do mikrotiku nastavím jednu adresu z toho veřejného rozsahu, kterou chci mít jako bránu, třeba 85.193.57.1 a dám ji jako IP adresu na vnitřní eth rozhraní na svojí IGW (na vnější eth pak bude ta spojovačka od poskytovatele). Klienti pak mohou používat kteroukoli další z veřejného rozsahu a z venku už to zařídí ta spojovačka. Klient má v PC třeba 85.193.57.100 a už na serveru poskytovatele je daný, že pro tuhle adresu musí na tu spojovačku 85.193.24.242. Mikrotik přijme požadavek a už ví, kam do směrovat dál. A výsledek je ten, že můj zákazník má veřejnou nastavenou až ve svém koncovém zařízení. Ten NAT 1:1 mi připadá dost těžkopádný.

A presne kvuli tomuhle nam dochazi IP adresy

[Mafia]

Plýtvání?? V čem vidíte to plýtvání? Mám rozsah 254 IP adres, z nichz jednu pouziju pro branu a zbytek mezi zákazníky, kteří si o to reknou, pripadne na mista, kde to je z nejakeho duvodu potreba. Plytvani je dle meho nazoru rozsekani toho /24 rozsahu na x mensich, treba /29. To pak spousta adres padne na network, broadcast a gw...

[DRAKK]

To by me zajimalo jestli ve sve siti routujes nebo mas vse v bridgi...

[Mafia]

Jak kdy, pokud je sit routovana, tak se samozrejme nevyhnu mensim subnetum (/28, /29). Me by zajimalo, v cem kolegove vidi to plytvani?

[soooc]

Jak kdy, pokud je sit routovana, tak se samozrejme nevyhnu mensim subnetum (/28, /29). Me by zajimalo, v cem kolegove vidi to plytvani?

V tech mensich subnetech Setrim to, co ty vyhazes na /28 /29

[Mafia]

Ale vzdyt to jsem presne psal, ze na tech mensich subnetech se plytva adresama . Ale kdyz si chytre rozhodis routery, tak to nemusis tolik sekat a pak je to jakz takz ok. Kazdopadne do toho prikladu na zacatku jsem psal, ze treba /24 rozsah se naroutuje na jednu spojovacku

[soooc]

Ale vzdyt to jsem presne psal, ze na tech mensich subnetech se plytva adresama . Ale kdyz si chytre rozhodis routery, tak to nemusis tolik sekat a pak je to jakz takz ok. Kazdopadne do toho prikladu na zacatku jsem psal, ze treba /24 rozsah se naroutuje na jednu spojovacku

S natem 1:1 zase nemusim vubec nic resit, mam proste balik adres a ty muzu vsechny kdekoli pouzit, nikde mi zadne nemusi lezet ladem, nemusim pouzivat souvisly blok atd.