jak do domácí sítě přes nat?

[wasill]

nepomůže potřebuji to na NAS, mikrotika, HTPC a další věci doma. Hlavně si taky ty věci jako PC potřebuji na dálku přes WOL zapínat. Ale jakoukoliv další alternativu uvítám
--
Jen se chci ještě zeptat, což by pro mne byla ideální alternativa, dá se myslíte někdo udělat, aby se mikrotici spojili tunelem a ten s veřejnou adresou by to přes svůj nat zprůchodnil do druhé sítě? jako že bych pak z venku napsal tu veřejnou adresu s třeba portem 3389 (RDP) a veřejný mikrotik by mi to poslal rovnou do tunelu na druhého mikrotika s neveřejnou a ten na určitý PC? Jako že bych se s notebookem z venku nemusel připojovat do té VPN? proste by z těch dvou sítí vznikla virtuálně jedna, viditelná z venku? Před nějakou dobou jsem toto řešil, pakety dotekly až do toho neveřejného MT, ale na PC už nevím proč neodešly. Díky za rady

Snad jsem to popsal správně

[midnight_man]

nedotiekli na PC len z 2 možných dôvodov = zlé nastavenie DST-NAT na tom mikrotiku, prípade mikrotik tie packety poslal do PC...a PC odmietol v pravidle DST-NAT na mikrotiku vidíš či tam packety pribudaju alebo nie.

[Majklik]

To s tím přesměrováním portu ti nefungovalo proto, že pokud máš konfiguraci sítě jak popisuješ výše, tak musíš dělat současně DSTNAT i SRCNAT, protože pakety musí jít zpět stejnou cestou přes ten oruter, co přepsal cílovou adresu, jinak ti to nepojede.
Jdeo to, jsi na netu, páš IP třeba 1.1.1.1, spojuješ se na MT1 s veřejnou IP 2.2.2.2 pot 3389, tam to dojde, on paket 1.1.1.1->2.2.2.2:3389 přepíše třeba na 1.1.1.1->192.6.6.6:3389 a jde to tím tunelem přes MT2 k cílovému počítači, ten odpoví paketem, který ale ten MT2 zkusí poslat přímo ven do Inetu, respektive ho zahodí. Takže buď musíš na MT1 přepsat i zdrojvou adresu na jeho neveřejku, aby to šlo zpět tunelem k němu nebo na MT2 používat markování paketů tak, aby jsi dle něho správně rozhodl, co můžeš přímo pustit do netu a co musí jít zpět tunelem k MT1 (vše, co od něj přišlo), kde proběhne opět správně opak toho DSTNAT.

Jinak obecně používat RDP bez obalení nečím bezpečným není dobrá volba (vyjma případu, že se spojuješ na W2K8 server a spojuješ se z Vist/W7 se zapnutým vynuceným vzájemným ověřováním protistran, ato předpokládá, že ta stnaice je členem stjené domény, jako ten server).

Ješt ěk té volbě PAP a radosit jak ti to nešifruje. To je drobný omyl, volnba autentizace (PAP/CHAP/MSCHAP1/2) říká jakým protokolem dojde k ověření protistran, jak se ověří jménem/heslem. PAP je vtevřený text po síti, CHAP už používá hash. Zda se má šifrovat je až volba zvlášť v PPP profilu pro dané přípojení. Nastavneí PAP nez zákazu šifrování docílíš jen toho, ře se použije slabší RC4 implementace s 40 bit klíčem. MPPE128 šifrování se použije jen v kombinaci s MSCHAP ověřováním. Zkusil byc proto použít aspoň CHAP a šifrování vypnout (obě strany nastavit stejně).

[wasill]

uff. tak toto je trochu nad můj rámec chápání
--
takže na tom MT s veřejkou tedy MT1 nastavím rovnou dst do zařízení za tunelem?
tedy takto?

Kód: Vybrat vše

chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=23 protocol=tcp dst-port=8989

v příkladu uvádím telnet na zařízení doma. Z Putty potom dám veřejnouIP:8989 a cestuje(teda pokud to má být takhle) sktz tunel do zařízení.
Pokud ano, tak nevim, kam nastavím to odpovídání? Na MT2? Nebo také na MT1??
a mám v MT1 do dstnat uvádět tu veřejku? Normálně při natování do té jeho sítě stačí toto nastavení, ale tady si jistej nejsem
--
na MT s veřejkou mám rozsah 192.168.11.x
na MT na druhé straně tunelu je 192.168.1.x
--
Díky za pomoc
jinak zabezpečování apod. nechám na to, až vyřeším nefunkčnost Až to pofrči, koupím nové výkonné zařízení a zabezpečím klidně. Ale teď je prior to vyřešit
Ale kadopádně díky moc za rady s tou konfigurací, jsou k nezaplacení!

[Majklik]

1) Ano, uváděj v tom dst-nat pravidle i dst-address=<tvoje veřejka>. Bez toho ti to funguje až moc agresivně. Až jednou někdo z vnitřní sítě 192.168.11.x bude potřebovat ven do netu na port 8989, tak bez toho dst-address ho to stáhne k tobě, což ti asi nepoděkuje (třeba FTP by mohlo si takový port vybrat).
2) Aby se ti to vracelo správně do netu přes ten MK s veřejkou, tak hned paraleleně s dstnat tam dej i srcnat pravidlo a přepiš zdrojovou veřejku spojení na interní IPčko toho MK (192.168.11.x). Tohle je jednodušší způsob řešení, akorát na tom cílovém počítači se ti všehny spojení z internetu budou jevit jako příchozí z toho 192.168.11.x, což je na tobě, zda ne/vadí.

[wasill]

ne.. nejde když udělám demo účet, kouknul bys prosím? Jsem s tím bez zálohy tak dlouho laboroval, až nevím co všechno jsem přenastavil mám v tom trochu bordel ale z venku stále neprojdu