classic.ISPforum.cz

Ahoj,

resim otazku, jak realizovat v ROS nasledujici: routovani jedne ip primo na interface
Trochu to osvetlim - pres neverejne IP routuju jednotlive verejne IP az na posledni router ke klientum - duvod ? - spotrebuju jen jednu IP misto ctyr...
V linuxu to bezne jde, na ROSu taky, ale problem je na posledni route, ktera v linuxu vypada asi takhle: ip route add to 82.113.x.x dev ethX a bez problemu to funguje. Pokud jsem zatim vybadal, tak ROS tohle neumi ?

Diky za radu, Tom

Rád bych poradil, ale za boha si nedovedu představit co požadujete?

cz_ranger píše: routovani jedne ip primo na interface

A jak to vypadá?

cz_ranger píše:Trochu to osvetlim - pres neverejne IP routuju jednotlive verejne IP az na posledni router ke klientum - duvod ? - spotrebuju jen jednu IP misto ctyr...

A to prosím jak?To by mě docela zajímalo

cz_ranger píše:V linuxu to bezne jde, na ROSu taky, ale problem je na posledni route, ktera v linuxu vypada asi takhle: ip route add to 82.113.x.x dev ethX a bez problemu to funguje. Pokud jsem zatim vybadal, tak ROS tohle neumi ?

Pokud máte na mysli vytvoření routy bez GW (jen určení rozhraní do kterého pakety házet), tak to opravdu na MK nejde.Pro lokální sítě RoS to vytváří jako dynamické routy podle zadaných IP a pokud už je potřeba směřovat do vzdálené sítě, tak na to logicky potřebujete bránu. Šlo by to zadat jedině hacknutím RoS.
Jen si nedovedu představit jaké by bylo využití routy do vzdálené sítě bez brány.

Mám pocit, že tazatel měl na müsli něco jako DMZ - demilitarizovaná zona, přímý mapování věřejné IP na neveřejnou přes několik dalších routerů, aby nemusel mít na všech routerech veřejný IP

Repkins píše:Mám pocit, že tazatel měl na müsli něco jako DMZ - demilitarizovaná zona, přímý mapování věřejné IP na neveřejnou přes několik dalších routerů

Dodnes jsem žil v domnění že DMZ je úplně na něco jiného.

Repkins píše: přímý mapování veřejné IP na neveřejnou přes několik dalších routerů, aby nemusel mít na všech routerech veřejný IP

Vždy to stačí nastavit překlad na hraničním routeru(na routeru s maškarádou) a veřejná IP je namapována na cílový počítač i pokud bude v cestě ležet dalších 100 routerů.Nebo se mýlím?

Grunt_Mich_An píše:

Repkins píše:Mám pocit, že tazatel měl na müsli něco jako DMZ - demilitarizovaná zona, přímý mapování věřejné IP na neveřejnou přes několik dalších routerů

Dodnes jsem žil v domnění že DMZ je úplně na něco jiného.

Repkins píše: přímý mapování veřejné IP na neveřejnou přes několik dalších routerů, aby nemusel mít na všech routerech veřejný IP

Vždy to stačí nastavit překlad na hraničním routeru(na routeru s maškarádou) a veřejná IP je namapována na cílový počítač i pokud bude v cestě ležet dalších 100 routerů.Nebo se mýlím?

Nemylis, ale treba Cisco ti to hle nesezere - musi mit na sobe verejnou, zadny preklad 1:1 mu nevnutis :/

soooc píše:Nemylis, ale treba Cisco ti to hle nesezere - musi mit na sobe verejnou, zadny preklad 1:1 mu nevnutis :/

S Ciscem jsem zatím neměl tu čest, ale nevím proč by mu to mělo vadit?A pokud by i vadilo tak existuje v podstatě několik řešení:
-Nepoužívat CISCO
-Používat bridge

Důvody pro tenhle postup jsou minimálně dva:

1) chci-li routovat 1 veřejnou IP, spotřebuju opravdu 1 a ne blok 4 IP adres
2) překlad přímo na centrálním routeru je sice funkční řešení, ale při stovkách uživatelů už trochu náročné, řešení překladu na routeru u každého zákazníka lépe využívá HW zdroje a umožňuje individuální řešení - na centrálním routeru bych třeba zákazníkovi z jedné veřejné těžko rozhazovat porty na různé počítače v jeho vnitřní síti

Opravdu jde pouze o informaci, že paket pro tuhle IP ma hodit na tenhle interface, nic víc. Někde jsem zaslechl, že snad by to měla umět verze 3.

K tomu routování jen jedné IP - funguje to takhle:

- u klienta je router, ten má nastavenou neveřejnou IP z naší sítě a na témže interface i jednu veřejnou - maska/32, default GW je z neveřejného rozsahu.
- od hlavního routeru je pře jednotlivé routery routuje verejna/32 docela bezne
- na poslednim routeru pred klientovym routerem se pouzije zminovana routa bez GW primo na interface

a to je cele, zpatky pakety pohodlne trefi pres vychozi brany....

Tomas

Grunt_Mich_An píše:

soooc píše:Nemylis, ale treba Cisco ti to hle nesezere - musi mit na sobe verejnou, zadny preklad 1:1 mu nevnutis :/

S Ciscem jsem zatím neměl tu čest, ale nevím proč by mu to mělo vadit?A pokud by i vadilo tak existuje v podstatě několik řešení:
-Nepoužívat CISCO
-Používat bridge

To není pravda že to cisco nesežere. Sežere uplně bezproblémů. Překlad 1:1 cisco umí a nemusí mít veřejnou na sobě.
Na jedné firmě mám přípoj pomocí ADSL na kterém je pevná veřejná. Za ním je posazené Cisco. Mezi adsl a Cisco je neveřený rozsah, tudíž má cisco na WAN neveřejnou IP. Mapuji porty z ADSL na Cisco a z Cisco na PC uvnitř sítě ... funguje to bez problémů

cz_ranger píše:Důvody pro tenhle postup jsou minimálně dva:

1) chci-li routovat 1 veřejnou IP, spotřebuju opravdu 1 a ne blok 4 IP adres

Router = 1IP na WAN + 1 IP na LAN (což stejně musí mít aby routing fungoval)
Klient = 1IP (kterou téže musí mít)
Jen nastavíte na hraničním routeru překlad veřejné IP na klientovu IP.

Hraniční router se bude pro ostatní před interfacem WAN tvářit jako že on je ta IP, ale ihned bude předávat všechny pakety klientovi s jeho změněnou dst-address, takže si klient bude myslet, že ostatní kontaktují přímo jeho.

cz_ranger píše:2) překlad přímo na centrálním routeru je sice funkční řešení, ale při stovkách uživatelů už trochu náročné, řešení překladu na routeru u každého zákazníka lépe využívá HW zdroje a umožňuje individuální řešení

To je něco jiného, bohužel s originálním RoS nemožného.Leda, že by router před vašim hraničním routerem měl nastavenu jako bránu váš hraniční router.

cz_ranger píše:Opravdu jde pouze o informaci, že paket pro tuhle IP ma hodit na tenhle interface, nic víc. Někde jsem zaslechl, že snad by to měla umět verze 3.

Bohužel vás musím zklamat.Neumí to žádný RoS z verze 2.9 a minimálně ani žádný do verze 3.0beta6(teï jsem do něj mrkl).Routy bez GW si vytváří automaticky podle /ip address.To je holt ten rádobysoftware co se snaží myslet za uživatele. Pokud ale na tom opravdu trváte, existují dvě řešení:
1)Zbavit se na posledním routeru RouterOS
2)Hacknout RouterOS.Není to nic složitého.
Potřebujete jen nějaký busybox s moduly opentvt a route/ip/iproute nebo něco podobného(ten zkompilovaný Debianí všechny tyto potřebné moduly už má v sobě, takže jde perfektně využít).Stačí namountovat hadr s RoS, nakopírovat do /bin vás busybox(Pozor!Nepřepište ten originální, ale přejmenujte ten vás třeba na busybox.2),vytvořit /dev/tty12 v případě, že máte k PC monitor a nebo /dev/ttyS0 v případě, že se budete chtít přihlásit přez sériový port a v /etc/rc.d/run.d vytvořit spouštecí skript, který přes /bin/busybox.2 openvt otevře na 12. konzoli (nebo na sériové nebo prostě kde si určíte) /bin/bash.Pak už si na jí jen vytvořit routu přes /bin/busybox.2 route vytvořit tuto routu a v případě, že bude fungovat ji umístnit do spouštěcích skriptů.Právě jsem to testoval a funguje to na jedničku.Teda v případě, že se bavíme o architektuře x86.

Jednoduše, NAT 1:1 na hraničním routeru nebo 1 za ním a pak můžeš dávat neveřejný IP do zbláznění. A nevidím důvod, proč by to nemělo cisco sežrat, je to firewall a to k němu patří.

No a proc to tam nepustit z hanicniho routeru EOIP tunelem ?