❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Přístup na veřejnou IP z lokálního rozsahu
-
migell
- Příspěvky: 80
- Registrován: 15 years ago
- antispam: Ano
- Bydliště: Veselí nad Lužnicí
- Kontaktovat uživatele:
Přístup na veřejnou IP z lokálního rozsahu
Zdravím, můžete mi prosím napovědět jak nastavit přístup z lokálního rozhasu na vlastní veřejnou IP, kterou má MK? Vím, že se to tu už řešilo, ale nemůžu na to zde najít. Děkuji
0 x
Rád pomůžu a něco se přiučím ...
-
schrotterp
- Příspěvky: 45
- Registrován: 13 years ago
skus hledat hairpin nat
0 x
Hapi happy reader:
Všechno máš blbě, hw je blbý, nápad je ještě větší kravina, nic nikdo neumí, kupujete zbytečné blbsti.
Ale jinak nechci prudit.
Všechno máš blbě, hw je blbý, nápad je ještě větší kravina, nic nikdo neumí, kupujete zbytečné blbsti.
Ale jinak nechci prudit.
V natu musíš definovat NAT jen formou IP adres, nesmíš definovat in a out interface.
0 x
-
schrotterp
- Příspěvky: 45
- Registrován: 13 years ago
0 x
Hapi happy reader:
Všechno máš blbě, hw je blbý, nápad je ještě větší kravina, nic nikdo neumí, kupujete zbytečné blbsti.
Ale jinak nechci prudit.
Všechno máš blbě, hw je blbý, nápad je ještě větší kravina, nic nikdo neumí, kupujete zbytečné blbsti.
Ale jinak nechci prudit.
Rád bych oživil toto téma, protože nejsem schopný Hairpin NAT rozchodit. Včetně toho návodu na mikrotik stránkách jsem zkusil asi 6 dalších a vždy bez úspěchu. Pokusím se nastínit mou situaci.
U sebe doma mám web server přístupný z internetu. Mám veřejku, u správce domény vytvořený A záznam, u sebe udělaný dstnat a z venku web jede. Klasicky ale mám problém na web přistoupit zevnitř sítě, pokud používám doménové jméno. Co je u mě nestandardní, že od poskytovatele internetu mám modem a v tom nastavenou defacto DMZtku na můj mikrotik. Tedy cokoliv, co přijde z venku na moji veřejku (třeba 1.1.1.1) přeloží ten modem na 192.168.1.2, takže na mikrotiku vidím, že ta komunikace přišla na 192.168.1.2. Proto např. ten dstnat mám udělaný takto:
Pokud je tu nějaká duše, která by mi pomohla dobrat se funkčnímu výsledku, budu rád; resp. pokud bude duše pražská, nabízím pozvání na pivo. Díky.
U sebe doma mám web server přístupný z internetu. Mám veřejku, u správce domény vytvořený A záznam, u sebe udělaný dstnat a z venku web jede. Klasicky ale mám problém na web přistoupit zevnitř sítě, pokud používám doménové jméno. Co je u mě nestandardní, že od poskytovatele internetu mám modem a v tom nastavenou defacto DMZtku na můj mikrotik. Tedy cokoliv, co přijde z venku na moji veřejku (třeba 1.1.1.1) přeloží ten modem na 192.168.1.2, takže na mikrotiku vidím, že ta komunikace přišla na 192.168.1.2. Proto např. ten dstnat mám udělaný takto:
Kód: Vybrat vše
action=dst-nat chain=dstnat comment="Web server" dst-address=192.168.1.2 dst-address-type=local dst-port=80 log-prefix="" protocol=tcp to-addresses=192.168.88.10 to-ports=8080Pokud je tu nějaká duše, která by mi pomohla dobrat se funkčnímu výsledku, budu rád; resp. pokud bude duše pražská, nabízím pozvání na pivo. Díky.
0 x
Já mám radši falšování DNS ... určitě používáš DNS v tom routeru, tak si tam napiš statický záznam.
Jinak potřebuješ zopakovat ten dst-nat i pro veřejnou IP (aby to odchytilo i požadavek zevnitř na vnější), a Hairpin spočívá v tom, že potřebuješ i SRCNAT, zamaskovat vnitřní sít za vnitřní IP toho routeru. Protože když to neuděláš, tak klient se snaží komunikovat s veřejnou IP, ale odpovědi se mu vrací z interní a s tím si už neporadí.
Jinak potřebuješ zopakovat ten dst-nat i pro veřejnou IP (aby to odchytilo i požadavek zevnitř na vnější), a Hairpin spočívá v tom, že potřebuješ i SRCNAT, zamaskovat vnitřní sít za vnitřní IP toho routeru. Protože když to neuděláš, tak klient se snaží komunikovat s veřejnou IP, ale odpovědi se mu vrací z interní a s tím si už neporadí.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Mozna neco k tematu: http://www.abclinuxu.cz/poradna/linux/show/378998
0 x
ludvik píše:Já mám radši falšování DNS ...
Já falšování moc nerad, hlavně když by měla existovat čistější cesta.
Jak myslíš dstnat pro veřejku zevnitř, jakože... ale asi mi to nedává moc smysl.
Kód: Vybrat vše
action=dst-nat chain=dstnat comment="Web server zevnitr" dst-address=1.1.1.1 dst-port=80 log-prefix="" protocol=tcp to-addresses=192.168.88.10 to-ports=8080joker píše:Upřímně říkám, že tomu příliš nerozumím. Nejsem linux guru a o iptables jen vím, že existuje
0 x
Čistší cesta ... to by byla taková, že bys žádný NAT nepotřeboval. Buď falšuješ IP pakety, nebo DNS odpověď ... A to druhé má výhodu v tom, že nezatěžuješ router domácím provozem zbytečně.
Pokud ti to nedává smysl, tak se z toho nevyhrabeš. Potřebuješ paketům co zevnitř sítě směřují na tvoji veřejnou říci, že nemají odejít výchozí bránou ven, ale že se mají otočit a vrátit dovnitř.
Pokud ti to nedává smysl, tak se z toho nevyhrabeš. Potřebuješ paketům co zevnitř sítě směřují na tvoji veřejnou říci, že nemají odejít výchozí bránou ven, ale že se mají otočit a vrátit dovnitř.
1 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Hmm zkouším zprovozdnit to abych se dle obrázku
mohl dostat ze serveru 1 na server dva ale tak že jdu na veřejnou adresu serveru dva nikoli privátní, ale bohužel se nedaří, na GW kde je NAT 1:1 jsem hodil harpin pravidla:
hmm kde je ale chyba?
- fff.jpg (39.65 KiB) Zobrazeno 5464 x
mohl dostat ze serveru 1 na server dva ale tak že jdu na veřejnou adresu serveru dva nikoli privátní, ale bohužel se nedaří, na GW kde je NAT 1:1 jsem hodil harpin pravidla:
Kód: Vybrat vše
add action=src-nat chain=srcnat disabled=yes dst-address=192.168.0.1 src-address=192.168.0.0/30 to-addresses=192.168.0.2
add action=src-nat chain=srcnat disabled=yes dst-address=192.168.1.1 src-address=192.168.1.0/30 to-addresses=192.168.1.2hmm kde je ale chyba?
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
Okoun: Aniž bych řešil konkrétní podobu NATu, jak jsi na tom s ICMP redirects na RB? Tím, že máš oba servery na jednom iface, posílá RB v defaultním stavu ICMP redirect, aby se stroje nebavily přes něj ale po L2, přestože jsou v jiných subnetech.
0 x
no ICMP redirects komunikace po privátkách funguje i ICMP. Jediné co nefunguje je to z venku...
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
A co zkusit:
buď 1) zakázat redirecty na RB
nebo 2)
Řekl bych, že při komunikaci na serverovou veřejku je nutné NATovat i zdroj za jeho veřejku, protože jinak komunikace půjde asymetricky - tam přes router + stavový FW, ale zpátky jen po L2 - a to conntrack serveru nepobere jako jedno spojení.
Nejsem si teď jistý přesným packet flow přes kernel a kdy se posílá ICMP redirect, tak se omlouvám za případnou mystifikaci : -)
buď 1) zakázat redirecty na RB
nebo 2)
Kód: Vybrat vše
add action=src-nat chain=srcnat disabled=no dst-address=192.168.0.1 src-address=192.168.1.0/30 to-addresses=1.1.1.2
add action=src-nat chain=srcnat disabled=no dst-address=192.168.1.1 src-address=192.168.0.0/30 to-addresses=1.1.1.1
Řekl bych, že při komunikaci na serverovou veřejku je nutné NATovat i zdroj za jeho veřejku, protože jinak komunikace půjde asymetricky - tam přes router + stavový FW, ale zpátky jen po L2 - a to conntrack serveru nepobere jako jedno spojení.
Nejsem si teď jistý přesným packet flow přes kernel a kdy se posílá ICMP redirect, tak se omlouvám za případnou mystifikaci : -)
0 x