Veřejná adresa v neveřejné síti.

[promos]

​Dobrý den,
vím že toto téma se tady mnohokrát probíralo, ale potřeboval bych nasměrovat jak dostat k zákazníkovi veřejnou adresu co nejjednodušeji a nejefektivněji, bez narušení bezpečnosti v lokální síti. Překlad 1:1 nevyhovuje, některé aplikace zlobí. V neveřejné lokální síti je rozhraňový router, který z veřejných adres překládá na lokální rozsah 10.0.x.x/24 a dělá shaping za ním jsou routery pro jednotlivé části sítě. Konkrétně router z ​10.0.1.4 na ​10.0.40.0/24 ​a pak klient 10.0.40.14, který by potřeboval veřejnou adresu. Zařízení jsou Mikrotik.
Prosím o nasměrování.

Děkuji

[soooc]

PPPoE na /32 adresu a naroutovat ji dovnitř ...

[pgb]

Nejlépe PPPoE nebo pak třeba EoIP nebo jiný vhodný tunel (vpls třeba se dá použít), záleží na tvojí síti

[radik]

Pokud da PPPoE a chapu to spravne tak uz nemusi nikam nic routovat (klient dostane primo verejnou). Pokud potrebujes dostat verejnou na nejaky stroj u neho v siti, tak PPPoE moc nepomuze (aby to nebyla prasecina) a musi naroutovat /30 na to jeho pripojeni a pak pouzit.

Takze spis dotaz, jak se to presne mysli, jestli klientovi staci na jeho zarizeni verejna a nebo potrebuje dostat na nejaky server v siti za routerem.

[cz_ranger]

Single host routing .... /32

[mpcz]

Zdravím,
pokud máš Mikrotik, pak v pohodě. Stačí zavolat pptp tunel z uvažovaného místa na hlavní router, který spravuje veřejné IP a naroutovat z něho malý rozsah veřejných IP "do tunelu". Pak můžeš mít veřejné IP prakticky kdekoliv. Nevýhodou je, že to sežere vždy více veřejných IP, než potřebuješ, citelné je to zvláště tehdy, pokud chceš využít jen jednu.
mpcz, 20.apr.2017

[radik]

Single host routing .... /32

No to neni tak docela pravda, pokud tam je nejaky pocitac kde bezi WIN... Tam je jedina moznost snad jen PPPoE aby mohlo byt /32.

[promos]

Tak jsem otestoval ​PPPoE a narazil jsem na dva problémy.
1) Jak dostanu v rámci sítě ​PPPoE za další router musí se v mikrotiku něbo UBNT něco zapnout, aby z další podsítě byl vidět ​PPPoE server na rozhraňovém routeru?
2)​když se přes PPPoE připojím na rozhraňový router vidím celé lokální okolí, jde někde vypnout, aby se po síti nedalo rozhlížet?

[cz_ranger]

Single host routing .... /32

No to neni tak docela pravda, pokud tam je nejaky pocitac kde bezi WIN... Tam je jedina moznost snad jen PPPoE aby mohlo byt /32.

Ani mně nenapadlo předpokládát, že by před takovým případným strojem nebyl router. Tj. adresa se nastaví na routeru, odroutuje přes neveřejné jako single host a na routeru se nastaví třeba DNAT třeba na ten počítač s Widlema...

[Jenya]

Jaky je duvod nepouzit NAT 1:1? Funguje to dlouhodobe bez problemu.

[radik]

Single host routing .... /32

No to neni tak docela pravda, pokud tam je nejaky pocitac kde bezi WIN... Tam je jedina moznost snad jen PPPoE aby mohlo byt /32.

Ani mně nenapadlo předpokládát, že by před takovým případným strojem nebyl router. Tj. adresa se nastaví na routeru, odroutuje přes neveřejné jako single host a na routeru se nastaví třeba DNAT třeba na ten počítač s Widlema...

Jsou veci, kdy NAT 1/1 zbytecne dela veci slozitejsi (castecne problem treba IP tunnel).

[Leeonek]

Jaky je duvod nepouzit NAT 1:1? Funguje to dlouhodobe bez problemu.

To jsem si taky myslel, dokud jsem u jedné firmy nenarazil na nějaké staré cisco, které prostě vnitřní ip adresu nechce :)

[Jenya]

Jaky je duvod nepouzit NAT 1:1? Funguje to dlouhodobe bez problemu.

To jsem si taky myslel, dokud jsem u jedné firmy nenarazil na nějaké staré cisco, které prostě vnitřní ip adresu nechce

To bych cekal spis u Tendy, ale Cisco?

[pgb]

chce nechce není podstatné, třeba má starý sw a například ipsec konkrétně při nat 1:1 na straně serveru opravdu nemá radost, u klienta to řeší nat-traversal

[promos]

Pořád mi není jasné jak zařídit, abych PPPoE server viděl i za překladem??? Co na routeru, který děla překlad se musí propíchnout?