Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

MK - 2 verejne ip a port fw

Návody a problémy s konfigurací.
Uživatelský avatar
lukasdj
Příspěvky: 135
Registrován: 16 years ago
antispam: Ano
Kontaktovat uživatele:

MK - 2 verejne ip a port fw

Příspěvekod lukasdj » 4 years ago

Ahoj,resim jeden problem s konfigem. Mam dve verejne IP ktere jsou pomoci dmz smerovane na MK. Za mikrotikem mam jeden stroj na ktery se potrebuju dostavat z obou ip soucasne. Nastavena je maskarada z obou ip a presne tak i dstnat.
Vzdy mi funguje pristup jenom z jedne ip adresy.
Je vubec mozne nastavit aby mi fungoval pristup na ten stroj za natem z obou ip adres soucasne?
0 x

TheITman
Příspěvky: 98
Registrován: 7 years ago

Příspěvekod TheITman » 4 years ago

Pravděpodobně buď eproblem v tom že používáš maskaradu místo source nat
0 x

Uživatelský avatar
lukasdj
Příspěvky: 135
Registrován: 16 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod lukasdj » 4 years ago

TheITman píše:Pravděpodobně buď eproblem v tom že používáš maskaradu místo source nat


Ano pouzivam maskaradu. Myslis ze kdyby jsem prenastavil na srcnat tak to bude slapat?
Popripade dokazal by si mi postnout nejaky example?

On se z venku po te druhe ipcce dotaze dovnitr ale odpoved zpet jde pres tu prvni,logicky
0 x

TheITman
Příspěvky: 98
Registrován: 7 years ago

Příspěvekod TheITman » 4 years ago

Pošli jak to máš nastavené podle mě mít dvě maskarady je nesmysl podle mě máš mít maskaradu na provoz který tě nezajímá a potom mít src nat pro každou vip
0 x

Uživatelský avatar
lukasdj
Příspěvky: 135
Registrován: 16 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod lukasdj » 4 years ago

TheITman píše:Pošli jak to máš nastavené podle mě mít dvě maskarady je nesmysl podle mě máš mít maskaradu na provoz který tě nezajímá a potom mít src nat pro každou vip

;;; NAT Telekom
chain=srcnat action=masquerade src-address=192.168.101.0/24 out-interface=ether1 - Telekom log=no log-prefix=""

;;; NAT LTE

chain=srcnat action=masquerade src-address=192.168.101.0/24 out-interface=ether2 - O2 LTE log=no log-prefix=""



chain=dstnat action=dst-nat to-addresses=192.168.101.200 to-ports=80 protocol=tcp dst-address=192.168.0.2 dst-port=80 log=no log-prefix=""

chain=dstnat action=dst-nat to-addresses=192.168.101.200 to-ports=80 protocol=tcp dst-address=192.168.105.2 dst-port=80 log=no log-prefix=""

Route Gateway Distance
0.0.0.0/0 192.168.0.1 1
0.0.0.0/0 192.168.105.1 10
0 x

TheITman
Příspěvky: 98
Registrován: 7 years ago

Příspěvekod TheITman » 4 years ago

A jak to teď funguje? Že které sítě to funguje a že které ne? Předpokládám že z toho lte to nefunguje :)
0 x

Uživatelský avatar
lukasdj
Příspěvky: 135
Registrován: 16 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod lukasdj » 4 years ago

TheITman píše:A jak to teď funguje? Že které sítě to funguje a že které ne? Předpokládám že z toho lte to nefunguje :)


Mas pravdu. Za normalnych okolnosti ne,jakmile vypnu telekom a nabehne lte tak samizrejme slape pres lte.
Pozrebuju dosahnout toho aby jsem se z venku dostal dovnitr pomoci obou ipcek
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1741
Registrován: 18 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 4 years ago

0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

PS: Ta fotka je stará, už mám +15kilo..

TheITman
Příspěvky: 98
Registrován: 7 years ago

Příspěvekod TheITman » 4 years ago

Problém je v tom, že ten trafik co ti přijde přes LTE odchází přes TELEKOM když TELEKOM funguje, takže budeš muset značkovat provoz ale tam ti moc neporadím s nastavením :)
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1741
Registrován: 18 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 4 years ago

TheITman píše:Problém je v tom, že ten trafik co ti přijde přes LTE odchází přes TELEKOM když TELEKOM funguje, takže buď použít PCC, nebo možná značkovat provoz ale tam ti moc neporadím s nastavením :)


ano, problém je ten asymetrical routing. Jak jsem psal, PCC je ideál. MK by konečně mohl začít makat na SD-WAN :D
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

PS: Ta fotka je stará, už mám +15kilo..

Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 16 years ago

Příspěvekod hapi » 4 years ago

jak vyřeší PCC to aby z venku byly dostupný obě veřejky zároveň? PCC přece řeší trafik ven, ne dovnitř. Dovnitř potřebuje connection mark + routing mark. Označkuješ si příchozí spojení a pak ho zase pošleš ven stejnym iface.
1 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

Uživatelský avatar
sub_zero
Příspěvky: 1741
Registrován: 18 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 4 years ago

hapi píše:jak vyřeší PCC to aby z venku byly dostupný obě veřejky zároveň? PCC přece řeší trafik ven, ne dovnitř. Dovnitř potřebuje connection mark + routing mark. Označkuješ si příchozí spojení a pak ho zase pošleš ven stejnym iface.


tak si to vyzkousej. Pri PPC taky znackujes conexe a mimo to si jeste muzes balancovat ten traffic smerem ven. Pouzivam to tak bezne,
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

PS: Ta fotka je stará, už mám +15kilo..

Uživatelský avatar
lukasdj
Příspěvky: 135
Registrován: 16 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod lukasdj » 4 years ago

sub_zero píše:
hapi píše:jak vyřeší PCC to aby z venku byly dostupný obě veřejky zároveň? PCC přece řeší trafik ven, ne dovnitř. Dovnitř potřebuje connection mark + routing mark. Označkuješ si příchozí spojení a pak ho zase pošleš ven stejnym iface.


tak si to vyzkousej. Pri PPC taky znackujes conexe a mimo to si jeste muzes balancovat ten traffic smerem ven. Pouzivam to tak bezne,


Takze jsem to skusil a nastavil. smerem dovnitr je to presne tak, jak jsem chtel ale problem je smerem z LAN to net. Automaticky me hodi pres tu druhou,sekundarni, ipcku ....
0 x

TheITman
Příspěvky: 98
Registrován: 7 years ago

Příspěvekod TheITman » 4 years ago

postni sem nastavení
0 x

Uživatelský avatar
lukasdj
Příspěvky: 135
Registrován: 16 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod lukasdj » 4 years ago

TheITman píše:postni sem nastavení

Je to nastavene presne podle toho navodu na mk strankach
https://wiki.mikrotik.com/wiki/Manual:PCC
0 x