Veřejná IP od ISP, ale za NATem

[mig01]

Zdravím, nechal jsem si zřídit veřejnou IP adresu od mého ISP. Ten mi ji přidělil, ale je za NATem. Tedy na mém Mikrotiku na WAN portu je neverejna IP a u ISP se verejna NATuje na tuto neverejnou. Jak mám správně nastavit NAT v Mikrotiku? A muzete uvest i priklad na povoleni pingu na WAN?

Dekuji

[mirek.k]

Trochu by to chtělo rozvést.
ISP ti udělal NAT 1:1 na tvoji WAN. Ty můžeš udělat to samé na zařízení uvnitř svojí sítě.
Ale možností je samozřejmě více. Záleží na účelu.
Mirek

[rsaf]

Na mikrotiku udělat port forward z té neveřejné adresy přidělené ISP tak, jak to popisuje manuál (tak jako by to byla veřejná). Žádná zásadní záludnost v tom není.

[mirek.k]

Na mikrotiku udělat port forward z té neveřejné adresy přidělené ISP tak, jak to popisuje manuál (tak jako by to byla veřejná). Žádná zásadní záludnost v tom není.

To by pak ale nepotřeboval veřejku. Nevíme, co řeší.

[TTcko]

Na mikrotiku udělat port forward z té neveřejné adresy přidělené ISP tak, jak to popisuje manuál (tak jako by to byla veřejná). Žádná zásadní záludnost v tom není.

To by pak ale nepotřeboval veřejku. Nevíme, co řeší.

řeší, že si není jistý tím, zda takovýhle způsob přidělení veřejné IP, je stejný jako kdyby tu veřejnou IP měl přímo na routeru. A odpověď je, že je to funkčně zcela stejné.

klasický ipv4 haldy

dejte jim IPv6

[mig01]

Přístup na Internet z vnitřní site běží, myip.com hlásí správně veřejnou IP, kterou mi ISP přidělil, ale za Boha se mi nedaří na tu verejnou dostat nějakou službu (port) z PC v LAN. Ba co víc nedaří se mi ani povolit ping na WAN (z internetu na tu verejnou resp. na WAN routeru). Myslím si, že mám spatne nastavený NAT, který jsem nastavoval jeste když jsem tu verejnou nemel. Bohužel u Mikrotiku budu až večer. Kdybyste mi mohli poslat (s ohledem na tu konfiguraci ISP) jednoduchý konfig NAT včetně filter rules (ping na WAN případně povoleni jednoho portu na IP z LAN) tak to večer vyzkouším. Mikrotik má dva LAN porty (jeden WAN, druhý LAN) a je prakticky v základním nastavení (zadne speciality). Dekuji.

[TTcko]

Přístup na Internet z vnitřní site běží, myip.com hlásí správně veřejnou IP, kterou mi ISP přidělil, ale za Boha se mi nedaří na tu verejnou dostat nějakou službu (port) z PC v LAN. Ba co víc nedaří se mi ani povolit ping na WAN (z internetu na tu verejnou resp. na WAN routeru). Myslím si, že mám spatne nastavený NAT, který jsem nastavoval jeste když jsem tu verejnou nemel. Bohužel u Mikrotiku budu až večer. Kdybyste mi mohli poslat (s ohledem na tu konfiguraci ISP) jednoduchý konfig NAT včetně filter rules (ping na WAN případně povoleni jednoho portu na IP z LAN) tak to večer vyzkouším. Mikrotik má dva LAN porty (jeden WAN, druhý LAN) a je prakticky v základním nastavení (zadne speciality). Dekuji.

udělej v mikrotiku /ip firewall export compact

[mig01]

Přístup na Internet z vnitřní site běží, myip.com hlásí správně veřejnou IP, kterou mi ISP přidělil, ale za Boha se mi nedaří na tu verejnou dostat nějakou službu (port) z PC v LAN. Ba co víc nedaří se mi ani povolit ping na WAN (z internetu na tu verejnou resp. na WAN routeru). Myslím si, že mám spatne nastavený NAT, který jsem nastavoval jeste když jsem tu verejnou nemel. Bohužel u Mikrotiku budu až večer. Kdybyste mi mohli poslat (s ohledem na tu konfiguraci ISP) jednoduchý konfig NAT včetně filter rules (ping na WAN případně povoleni jednoho portu na IP z LAN) tak to večer vyzkouším. Mikrotik má dva LAN porty (jeden WAN, druhý LAN) a je prakticky v základním nastavení (zadne speciality). Dekuji.

udělej v mikrotiku /ip firewall export compact

K večeru to pošlu.

[JCltm]

Mohu se zeptat, jaké má veřejka za 1:1 NATem výhody oproti nativní?

[TTcko]

Mohu se zeptat, jaké má veřejka za 1:1 NATem výhody oproti nativní?

šetří počet použitých adres, vzhledem k tomu, že IPv4 nejsou a nebudou (nahrabáno má pár velkých korporací a bude to víc a víc důvod jak přes IPv4 ovlivnit trh) a každý z malých dostal už jen /22 = 1024 veřejných IP, je to jak s nimi nakládáte extra důležité. Pro nativní dávám nějaký CIDR segment, pro NAT 1:1 dávám jen jednu IP .......a to je hodně veliký rozdíl

P.S. průser je, že i když dneska IPv6 umíme dát každému, tak administrátoři a IT guys ve firmách tomu pořád nerozumí. Takže namísto nativní IPv6 se pořád tlačí nesmysly typu VPN a jiný kraviny. Je to škoda, zbytečně to povede k monopolizaci a vyhrávat budou zas korporace. Ten kdo podporuje IPv4 podporuje monopolizaci internetu... je to smutné a já osobně doufám, že to komunita pochopí..

edit: hezký článek třeba zde: https://www.root.cz/clanky/jak-se-milio ... ny-dolaru/
"V tomto ohledu si nezbývá než povzdechnout, že se vláda nad dříve decentralizovaným internetem dále koncentruje do rukou největších hráčů. Je to ale logické: právě oni mají dost peněz, aby nakupovali velké bloky IP adres. Absurdní kupčení se zadarmo rozdávanými identifikačními čísly to jen zhoršuje."

[mig01]

udělej v mikrotiku /ip firewall export compact

Kód: Vybrat vše

# aug/02/2019 20:17:09 by RouterOS 6.43.16
# software id = xxxxxxx
#
# model = RBcAPGi-5acD2nD
# serial number = xxxxxxxxxxxx

/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface-list=!LAN

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN


Všechny pokusy jsem odstranil a nyní je to ve stavu jako jsem to měl, když jsem ještě neměl veřejnou IP. Takže bych potřeboval poradit jak to poupravit, aby mi šel ping z internetu na veřejnou IP, případně na ukázku ještě povolit na veřejnou IP SSH co běží routeru a pak jedno pravidlo na NAT na jeden port na PC, který je na LAN. Děkuji.

[ludvik]

Ping ti fungovat musí.
Ostatní povolení dáváš před ten poslední drop v inputu.

Forward neovlivňuješ, čili ti stačí pravidlo v nat tabulce, chainu dstnat. Veřejná IP tě v podstatě zajímat nemusí, na routeru ji nemáš.

[JCltm]

šetří počet použitých adres, vzhledem k tomu, že IPv4 nejsou a nebudou (nahrabáno má pár velkých korporací a bude to víc a víc důvod jak přes IPv4 ovlivnit trh) a každý z malých dostal už jen /22 = 1024 veřejných IP, je to jak s nimi nakládáte extra důležité. Pro nativní dávám nějaký CIDR segment, pro NAT 1:1 dávám jen jednu IP .......a to je hodně veliký rozdíl

Tohle naprosto chápu. Dotaz jsem ale myslel spíš tak, jakou má výhodu nabízet jednu veřejku za 1:1 NATem oproti jedné nativní na bráně klienta.
Jinak IPv6 mi u vás běží perfektně a mám ho nasazené, i když to byl na EdgeRouteru trochu oříšek
Jenom je mi pro vzdálený přístup trochu k ničemu, když na domácí přípojce IPv6 stále nemám a u mobilkářů taky ne...

[mig01]

Ping ti fungovat musí.
Ostatní povolení dáváš před ten poslední drop v inputu

Právě, že ping na verejnou nejde. To pravidlo na icmp jsem tam dal před půl rokem, aby mi šel ping na router z LAN.

[sub_zero]

P.S. průser je, že i když dneska IPv6 umíme dát každému, tak administrátoři a IT guys ve firmách tomu pořád nerozumí. Takže namísto nativní IPv6 se pořád tlačí nesmysly typu VPN a jiný kraviny. Je to škoda, zbytečně to povede k monopolizaci a vyhrávat budou zas korporace. Ten kdo podporuje IPv4 podporuje monopolizaci internetu... je to smutné a já osobně doufám, že to komunita pochopí..

Díky za názor.. patřím mezi ně. S většinou bych souhlasil, vyjma věcí jako je VPN. Neumím si dost dobře představit jednotky situací, který se bez VPN neobejdou a to nemluvím např.o centrálním přístupu z domu do netu skrz HQ.. primární cílem není ulehčení práce admina se složitým nastavováním firewallů pro přístup jen na nějaké IP adresy, porty, služby, ale možnost to zašifrovat. Mám kolem sebe desítky lidí, co si tlačí data mezi firmama napříč internetem blbým GRE tunel. Já bych prostě nemoh spát.Byl jsem takovej vždy (bezpečnost)a s příchodem GDPR ještě větší (říkejte tomu třeba paranoik, jak chcete). Zažil jsem už dvě kontroly z ÚOHS a opravdu to nejsou "JEN" úředníci a opravdu nejdou "JEN" po papírech. Každýho čtvrt roku procházíme bezpečnostním auditem kde nám testujou jak vulnerability na perimetru, penetrační testy, CVE apod. A jen proto, abychom mohli spolupracovat s konkrétníma firmama a fakt si při tomhle scénáři nedokážu představit provozovat některý služby nativně na IPv6.
Samozřejmě, webový ksichty public serverů a extranetů, pár intranet služeb bych na IPv6 mohl vyhodit, ale zase řešit složitě FW na tom serveru, aplikační firewall, waf apod. Děkuji, nechci. Pro mě je priorita securita na perimetru, ne na end-pointu (samozřejmě co se networkingu týče, je jasný, že na end-pointech je AV apod.)
Pakliže se bavíme o ISP a carrier trhu, souhlasím s Tebou.. ale firemní prostředí je dle mýho názoru úplně jinej rybník.


J.

edit: opraveny hrubky