classic.ISPforum.cz

Sice tuna viewtopic.php?t=582&highlight=ve%F8ejn%E1 sa to dost rozoberalo, ale ani z jedneho prispevku nie je uplne jasne ako na to.
Popisem modelovu situaciu, kde to funguje ale s malym zadrhelom, ktory potrebujem vyriesit.


GW ISP - verejnaIP.1/28
|
|
WAN mojho edge routra - verejnaIP.2/28
LAN mojho edge routra - verejnaIP.4/30
rout. tabulka okrem ineho obsahuje verejnaIP.4/30 GW IPwlan1 MK1
|
|
MK1
Wlan1
Wlan2 rout. tabulka okrem ineho obsahuje verejnaIP.4/30 GW IPwlan1 MK2
|
|
MK2
Wlan1
Wlan2 - AP verejnaIP.5/30 - - - - klient Ether verejnaIP.6/30 GW je verejnaIP.5/30

Takto to funguje odkialkolvek v sieti nech je to akokolvek hlboko v nej. Dokonca sa da zvonka na verejnaIP.6/30 dopingat, lenze ked si pozriem WhatIsMyIP tak tam svieti verejnaIP.2/28 ktora je nastavena pre NAT (src-nat)
Ako teda dosiahnut aby verejnaIP.6 bola prezentovana von do internetu?
Dakujem za podnetny.

keksik píše:Ako teda dosiahnut aby verejnaIP.6 bola prezentovana von do internetu?
Dakujem za podnetny.

Zeby pravidlo, ktore vynecha verejne IP z NAT ?
chain=srcnat out-interface=internet src-address=!zoznamverejnychip
action=masquerade

keksik píše:Sice tuna viewtopic.php?t=582&highlight=ve%F8ejn%E1 sa to dost rozoberalo, ale ani z jedneho prispevku nie je uplne jasne ako na to.
Popisem modelovu situaciu, kde to funguje ale s malym zadrhelom, ktory potrebujem vyriesit.


GW ISP - verejnaIP.1/28
|
|
WAN mojho edge routra - verejnaIP.2/28
LAN mojho edge routra - verejnaIP.4/30
rout. tabulka okrem ineho obsahuje verejnaIP.4/30 GW IPwlan1 MK1
|
|
MK1
Wlan1
Wlan2 rout. tabulka okrem ineho obsahuje verejnaIP.4/30 GW IPwlan1 MK2
|
|
MK2
Wlan1
Wlan2 - AP verejnaIP.5/30 - - - - klient Ether verejnaIP.6/30 GW je verejnaIP.5/30

Takto to funguje odkialkolvek v sieti nech je to akokolvek hlboko v nej. Dokonca sa da zvonka na verejnaIP.6/30 dopingat, lenze ked si pozriem WhatIsMyIP tak tam svieti verejnaIP.2/28 ktora je nastavena pre NAT (src-nat)
Ako teda dosiahnut aby verejnaIP.6 bola prezentovana von do internetu?
Dakujem za podnetny.

Maškarádu posuň ve firewallu až za mapování veřejných IP do vnitřních IP.

JAsne ze NAT (maskaradu) mam az na konci a tie pravidla kde verejne mapujem na vnutorne ip su nad tym.Ale toto neriesim teraz. Riesim priamy routing verejnych do PC vnutri siete.
Hmm, co pise "airbilly" neviem ci pomoze pretoze nemam tam msakaradu ale:
chain=srcnat out-interface=RozhranieDoInternetu action=src-nat
to-addresses=DruhaVerejnaIp s PridelenehoROzsahu to-ports=0-65535

keksik píše:JAsne ze NAT (maskaradu) mam az na konci a tie pravidla kde verejne mapujem na vnutorne ip su nad tym.Ale toto neriesim teraz. Riesim priamy routing verejnych do PC vnutri siete.
Hmm, co pise "airbilly" neviem ci pomoze pretoze nemam tam msakaradu ale:
chain=srcnat out-interface=RozhranieDoInternetu action=src-nat
to-addresses=DruhaVerejnaIp s PridelenehoROzsahu to-ports=0-65535

jakej "přímej routing" ? Prostě to pomocí netmapu namapuješ na vnitřní IP a hotovo. A je ta IP kdekoliv uvnitř sítě. Pokud Ti funguje routování na jeho vnitřní IP a to Ti asi fuguje, tak akorát tu veřejnou IP co máš posazenou na WAN portu namapuj na tu vnitřní a basta. Klient pak vystupuje na netu jako by ji měl nastavenou přímo na sívce. Mě to teda tak funguje...

soucez píše:

keksik píše:JAsne ze NAT (maskaradu) mam az na konci a tie pravidla kde verejne mapujem na vnutorne ip su nad tym.Ale toto neriesim teraz. Riesim priamy routing verejnych do PC vnutri siete.
Hmm, co pise "airbilly" neviem ci pomoze pretoze nemam tam msakaradu ale:
chain=srcnat out-interface=RozhranieDoInternetu action=src-nat
to-addresses=DruhaVerejnaIp s PridelenehoROzsahu to-ports=0-65535

jakej "přímej routing" ? Prostě to pomocí netmapu namapuješ na vnitřní IP a hotovo. A je ta IP kdekoliv uvnitř sítě. Pokud Ti funguje routování na jeho vnitřní IP a to Ti asi fuguje, tak akorát tu veřejnou IP co máš posazenou na WAN portu namapuj na tu vnitřní a basta. Klient pak vystupuje na netu jako by ji měl nastavenou přímo na sívce. Mě to teda tak funguje...

Pod pojmom "priame naroutovanie verejnen IP na rozhranie vo vnutri siete" si predstavujem ze ziaden NET MAP nepouzijem. Len rozdelenie prideleneho rozsahu verejnych IP od mojho poskytovatela konektivity na mensie podsiete a preroutovanie toho dalej po mojej sieti. Na tom, odkaze hore to je takto riesene, len potrebujem nakopnut co mam zle, ked uz to je nastavene, koncovy PC ma nastavenu verejnu IP napriklad verejnaIP.10 a internet mu ide v pohode, ale ked z jeho PC pozriem pod akou verejnou IP vystupuje na Internete stale to dava verejnu IP ktoru pouzivam pre dst-nat.

soucez píše:

keksik píše:JAsne ze NAT (maskaradu) mam az na konci a tie pravidla kde verejne mapujem na vnutorne ip su nad tym.Ale toto neriesim teraz. Riesim priamy routing verejnych do PC vnutri siete.
Hmm, co pise "airbilly" neviem ci pomoze pretoze nemam tam msakaradu ale:
chain=srcnat out-interface=RozhranieDoInternetu action=src-nat
to-addresses=DruhaVerejnaIp s PridelenehoROzsahu to-ports=0-65535

jakej "přímej routing" ? Prostě to pomocí netmapu namapuješ na vnitřní IP a hotovo. A je ta IP kdekoliv uvnitř sítě. Pokud Ti funguje routování na jeho vnitřní IP a to Ti asi fuguje, tak akorát tu veřejnou IP co máš posazenou na WAN portu namapuj na tu vnitřní a basta. Klient pak vystupuje na netu jako by ji měl nastavenou přímo na sívce. Mě to teda tak funguje...

..precti si poradne zadani topicu.... on chce tu verejnou PRIMO na sitovce toho stroje!!--ne pres NAT na jeho vnitrni IP! tzn, verejne IP naroutovat na WAN rozhrani routeru a jen udelat zaznam do tabulky a musi to jet..

jj .. ale ten záznam musí udělat už jeho ISP .. s bránou jeho routeru!

StoupaLutin píše:jj .. ale ten záznam musí udělat už jeho ISP .. s bránou jeho routeru!

..no jiste s tim se snad pocita, kdyz dostanes od ISP verejny IP, ze je bude mit zadany ve svych tabulkach, ne?

..doufejme ..otázka jak to má naroutované jeho ISP (známe z praxe - ne?)

No pocujte borci, ked uz sa bavime o tom ako to ma naroutovane moj ISP na moje WAN - na tom odkaze hore sa tiez spominalo, ale nejak nepotvrdilo, ze jedna z podmienok uspesneho zakoncenia takejto akcie o ktorej tu tocim je to, ze musim mat od mojho ISP naroutovany dalsi rozsah na wan, okrem toho "spojovacieho" dajme tomu, a az ten dasi mozem rozroutovat do mojej siete? Nie som tak tech. zdatny v tomto aby som si vedel vyvodit preco by to tak malo byt alebo naopak nie. Vie to niekto potvrdit/vyvratit?
Moze mi dat niekto demo kto ma toto riesenie funkcne, cize bez NETMAP a bez dst-nat? Popr. textovy vypis z konfigu MK z IP-Firewall-NAT a z IP-Route ?
Srdecny dik.