classic.ISPforum.cz

Zdravím,

mám následující problémek. Mám uvnitř sítě, za maškarádou, webovej, mail server apod.
Veřejnout IP dávám před maškarádu přes netmap a veřejná se proroutuje v pořádku až na webserver.
Zvenku se na něj bezproblému lze dopingnout, otevřít, vše ok.
Ale problém nastává z přístupem z lokální sítě, resp. přes lokální IP webserveru no problem, ale přes tu proroutovanou veřejnou nic. Ani si nepingnu.
Rozsahy naznačím takhle: 128.128.10.1 - moje PC a 128.128.20.1 - webserver.
Díky za rady, resp. kopance

Chich standart problem.. ty ji totiz urcite mapujes (pres dst-nat zrejme) pouze zvenku, tzn na routeru mas neco jako : jestlize je ip <verejnaip> a port 80 hod to na <interniip> port 80. ja to resim tak, ze mapuju i z vnitrni site. (je rpavda ze komunikace pak leze pres router, nicmene beha to ideal a jin reseni jsem nezkoumal. tzn do natu pridej polozku mapovani zevnitr kde bude :
jestli dst adres = <verejnaip> a in interface bude INTERNIeth
action dst-nat <interniip> porty 0-65535 - pak se ti kdokoliv zevnitr dostane na tvuj server jako by byl venku.. (samo muzes jiti pres jednotlive porty, ja to mam obecne, nebot za jednim mktikem mam pouze ten jeden server, a obcas on sam chce komunikovat sam se sebou pres verejnou ip.. (je pro to duvod...)

raulik píše:Chich standart problem.. ty ji totiz urcite mapujes (pres dst-nat zrejme) pouze zvenku, tzn na routeru mas neco jako : jestlize je ip <verejnaip> a port 80 hod to na <interniip> port 80. ja to resim tak, ze mapuju i z vnitrni site. (je rpavda ze komunikace pak leze pres router, nicmene beha to ideal a jin reseni jsem nezkoumal. tzn do natu pridej polozku mapovani zevnitr kde bude :
jestli dst adres = <verejnaip> a in interface bude INTERNIeth
action dst-nat <interniip> porty 0-65535 - pak se ti kdokoliv zevnitr dostane na tvuj server jako by byl venku.. (samo muzes jiti pres jednotlive porty, ja to mam obecne, nebot za jednim mktikem mam pouze ten jeden server, a obcas on sam chce komunikovat sam se sebou pres verejnou ip.. (je pro to duvod...)

Mam to presne takhle a nechodi to:

;;; Routing verejne IP pro mailserver
chain=dstnat dst-address=89.x.x.254 action=netmap
to-addresses=192.168.3.250 to-ports=0-65535
chain=srcnat src-address=192.168.3.250 action=netmap
to-addresses=89.x.x.254 to-ports=0-65535

Už to tu taky párkrát bylo. Pokud chceš natovat na stejný iface, kterým přijde požadavek, musíš na MT udělat ještě src-nat. Jinak ti ten server odpovídá přímo tomu klientovi ze své adresy 192.168.3.250, ale klient očekává odpověï od 89.x.x.254.

Jan Holub píše:Už to tu taky párkrát bylo. Pokud chceš natovat na stejný iface, kterým přijde požadavek, musíš na MT udělat ještě src-nat. Jinak ti ten server odpovídá přímo tomu klientovi ze své adresy 192.168.3.250, ale klient očekává odpověï od 89.x.x.254.

Muzes to prosim naznacit jak to ma byt, pomuze to i pripadne dalsim, kdyz to budou resit. Diky

Akorát tím samozřejmě přijdeš o rozlišení klientů na tom serveru, pokud ho potřebuješ, protože budou schovaní za IP MT.

Ještě doplním, že lepším řešením je aby interní klienti dostávali z DNS interní adresu, pokud tedy přistupují na ten server pomocí jména a ne rovnou IP. Tj. nastavit v MT DNS forwarder a zavést v něm statický záznam pro ten server.

Jan Holub píše:Ještě doplním, že lepším řešením je aby interní klienti dostávali z DNS interní adresu, pokud tedy přistupují na ten server pomocí jména a ne rovnou IP. Tj. nastavit v MT DNS forwarder a zavést v něm statický záznam pro ten server.

To jsem prave do ted s uspechem pouzival, ale najednou mi zacalo zlobit DNS pres lokalni IP MK a funguji nektery preklady stranek pouze se zadanim primeho DNS. Nechapu, nic sem nemenil, jen konektivitu, nastaveni je zcela totezne...
Jo a tohle mi stale nefunguje, pridal jsem tohle:
chain=srcnat src-address=192.168.0.0/16 dst-address=192.168.3.250/32 action=src-nat to-addresses=192.168.3.1 to-ports=0-65535

Aha, tak ještě zkus vyhodit to src-address a nech tam jen dst-address.

Jan Holub píše:Aha, tak ještě zkus vyhodit to src-address a nech tam jen dst-address.

stale bohuzel nic...

A lidi jsou vlastně v jaké síti? Taky v té 3.X?

Jan Holub píše:A lidi jsou vlastně v jaké síti? Taky v té 3.X?

jj, vcetne me. No cetl sem, ze tohle dela problemy... ale preci musi existovat reseni, ne ?

Tak ještě by mohl být problém v tom, že teï se tam tlučou ty src naty. takže ten


doplnit o out interface směr inet a ten

o out interface směr lan. Ale možná už jsem unavený a mám tam něco blbě.

Jan Holub píše:Tak ještě by mohl být problém v tom, že teï se tam tlučou ty src naty. takže ten

Kód: Vybrat vše

 chain=srcnat src-address=192.168.3.250 action=netmap
to-addresses=89.x.x.254 to-ports=0-65535

doplnit o out interface směr inet a ten

Kód: Vybrat vše

 chain=srcnat dst-address=192.168.3.250/32 action=src-nat to-addresses=192.168.3.1 to-ports=0-65535


o out interface směr lan. Ale možná už jsem unavený a mám tam něco blbě.

Ja uz to dnes taky nedavam, kazdopadne to ale stale nefakci Ale stejne by me zajimalo, proc neslape najednou ten DNS. Ani forwarding UDP 53 portu na jine DNS nejede a dela stejne blbost. Dokonce jsem zkusil uz i 3 jine verze MK a stale nic...

Prapodivne.. Samozrejme nejlepsi je to resit pres dns, ale pokud nejde/nechces/nemuzes je ideal tohle.. hele hodim ti sem tech par radek natu ...

add action=src-nat chain=srcnat comment="NAT" disabled=no out-interface=eth1-WAN to-addresses=<verejna> to-ports=0-65535


add action=dst-nat chain=dstnat comment="mapovani SMTP" disabled=no dst-port=25 in-interface=eth1-WAN protocol=tcp \
to-addresses=192.168.111.2 to-ports=25


a tady mas to interni

add action=dst-nat chain=dstnat comment="mapovani zevnitr" disabled=no dst-address=<verejnaip> in-interface=eth2-LAN protocol=t
to-addresses=192.168.111.2 to-ports=0-65535


takhle mi to chodi.. jiste by se naslo i dost jinych reseni (jako treba to dns, ktere ja nemuzu pouzit, nebot se server dotazuje na ruzny dns zaznamy (takze by static musel jednak plnit rucne a jednak bych mel prestatikovano