classic.ISPforum.cz

Zdravim vespolek,

tohle tema zakladam jen proto, abych se ujistil, ze nedelam lamerskou chybu v nastaveni. Mam od sveho dodavatele naroutovany balik verejnych IP adres na mou verejnou. Uvazuji jakym zpusobem naroutovat verejne IP pro klienty. Narazil jsem na dva zpusoby. NAT 1:1 (src-nat a dst-nat) a druhy nastavit na poslednim routeru u klienta /30 rozsah verejne IP adresy a tu celou proroutovat na hlavni router.

Pro lepsi predstavu router1[verejnaIP_ISP/192.168.1.1] - router2[192.168.1.10/192.168.2.1] - router3[192.168.2.10/192.168.3.1] - 192.168.3.5(IP klienta, kterou chci udelat verejnou, VEREJNA_IP_KL).

Dle druheho postupu to mam udelane tak, ze:

na 1.1 je route VEREJNA_IP_KL gw 192.168.1.10
na 2.1 je route VEREJNA_IP_KL gw 192.168.2.10
na 3.1 ja adresa VEREJNA_IP_KL/30 a na pocitaci u klienta je VEREJNA_IP_KL

Vsechny rotury maji NAT, takze dam do vyjimek tu VEREJNA_IP_KL, tak ze je to pruchazi az ven. Takhle mi to funguje, ale zda se mi to moc jednoduche a nevim jestli tam neni nejake bezpecnostni riziko pro klienty kteri nemaji verejnou IP. Dik za jakykoliv ohlas

DRAKK píše:Zdravim vespolek,

tohle tema zakladam jen proto, abych se ujistil, ze nedelam lamerskou chybu v nastaveni. Mam od sveho dodavatele naroutovany balik verejnych IP adres na mou verejnou. Uvazuji jakym zpusobem naroutovat verejne IP pro klienty. Narazil jsem na dva zpusoby. NAT 1:1 (src-nat a dst-nat) a druhy nastavit na poslednim routeru u klienta /30 rozsah verejne IP adresy a tu celou proroutovat na hlavni router.

Pro lepsi predstavu router1[verejnaIP_ISP/192.168.1.1] - router2[192.168.1.10/192.168.2.1] - router3[192.168.2.10/192.168.3.1] - 192.168.3.5(IP klienta, kterou chci udelat verejnou, VEREJNA_IP_KL).

Dle druheho postupu to mam udelane tak, ze:

na 1.1 je route VEREJNA_IP_KL gw 192.168.1.10
na 2.1 je route VEREJNA_IP_KL gw 192.168.2.10
na 3.1 ja adresa VEREJNA_IP_KL/30 a na pocitaci u klienta je VEREJNA_IP_KL

Vsechny rotury maji NAT, takze dam do vyjimek tu VEREJNA_IP_KL, tak ze je to pruchazi az ven. Takhle mi to funguje, ale zda se mi to moc jednoduche a nevim jestli tam neni nejake bezpecnostni riziko pro klienty kteri nemaji verejnou IP. Dik za jakykoliv ohlas

Jedna dobra rada - strasne plytvas verejnyma icpkama (ktere nam za 4 roky dojdou) - na kazdem klientovi se ti 2 ztraci. NAT je v tomhle ohledu mnohem lepsi

Nemate nekdo DEMO s tim natovanim...nejak v tom plavu. Nevim jak to dostat za ten dalsi router....Dik

DRAKK píše:Nemate nekdo DEMO s tim natovanim...nejak v tom plavu. Nevim jak to dostat za ten dalsi router....Dik

az na to ze se zde mluvi o verejnych adresah ale on dostal vsechny z privatniho rozsahu

Dostal jsem verejne IP a ty potrebuju naroubovat na vnitrni adresy. S tim NATem jsem to uz poresil. Jen jeste premyslim, jak usetrit ty dve IP adresy. Vzdycky pouziju 4.... subne, gw, klient, broadcast...takze jak to udelat abych nemusel...

Jde to udelat tak ze mas na AP rozsah verejnych IP treba /28 a na rozhranni s timto rozsahem pak u klientu delas EoIP tunely u klientu, tak usetris na IP adresach. Dalsi moznost je davat klientum rozsahy /30 a ty nepouzitelne Ip adresy (adresa site, broadcast) pak muzes na hlavni brane do netu pouzit jeste jednou pro NAT 1:1, jen to musi byt na ruznych strojich, NAT delat na brane a ty subnety routovat az na dalsim stroji uvnitr site.

Mas asi dve (rozumne) moznosti, v zasade jsi je popsal uz sam:
1. klientovu verejnou IP das na prvni router a udelas dstnat vseho na jeho neverejnou ip (predpoklad je, ze mas v lokalu routovanou sit, jinak musis dal prekonavat ty dalsi lokalni naty)
2. proroutujes jeho verejny rozsah (minimalne /30) az na jeho pocitac. Ovsem verejne ip by nemely byt routovany pres neverejne (i kdyz to bude fungovat). Spotrebujes tedy dalsi /30 rozsahy z verejnych IP na propojeni tecg routeru.
3. nejaka kombinace 1 a 2
4. proxyarp

ad 1) usporne na verejne ip adresy ale nektere programy nemusi spravne fungovat
ad 2) spotrebujes mnoho verejnych ip

ikvac píše:klientovu verejnou IP das na prvni router a udelas dstnat vseho na jeho neverejnou ip

src a dst nat ano ale prosímtě vysvětli mě proč dávat tu veřejnou ip fyzicky na router, to by mě opravdu zajímalo

Leeonek píše:

ikvac píše:klientovu verejnou IP das na prvni router a udelas dstnat vseho na jeho neverejnou ip

src a dst nat ano ale prosímtě vysvětli mě proč dávat tu veřejnou ip fyzicky na router, to by mě opravdu zajímalo

No nekde ta verejna ip adresa musi byt, takze na prvni router (dle jeho oznaceni [verejnaIP_ISP/192.168.1.1]) da tu verejnou, udela dstnat vsecho co na ni prijde na jeho neverejnou a naopak (to jsem puvodne zapomel napsat) srcnat vseho co jde z klientovi neverejne na tu verejnou... kruci, vzdyt je to jasne, nebo nekdo z nas neco nepochopil

Hezky vanoce

verejna ip adresa na zadnem routeru prave ze byt vubec nemusi - proc tez? rozsah verejnych ip adres bude naroutovany na router, ktery bude vedet, ze pokud ma neco poslat na tu a tu verejnou ip adresu, tak ve skutecnosti to bude natovat a posilat na vnitrni - ale tu verejnou ip adresu sam na sobe mit nemusi, spise je to naopak komplikace, ne?

fra.iesus píše:verejna ip adresa na zadnem routeru prave ze byt vubec nemusi - proc tez? rozsah verejnych ip adres bude naroutovany na router, ktery bude vedet, ze pokud ma neco poslat na tu a tu verejnou ip adresu, tak ve skutecnosti to bude natovat a posilat na vnitrni - ale tu verejnou ip adresu sam na sobe mit nemusi, spise je to naopak komplikace, ne?

hm, kdyz se nad tim zamyslim, tak mate pravdu, ze to musi fungovat, i kdyz tam ta verejna IP dana nebude...

ikvac píše:

fra.iesus píše:verejna ip adresa na zadnem routeru prave ze byt vubec nemusi - proc tez? rozsah verejnych ip adres bude naroutovany na router, ktery bude vedet, ze pokud ma neco poslat na tu a tu verejnou ip adresu, tak ve skutecnosti to bude natovat a posilat na vnitrni - ale tu verejnou ip adresu sam na sobe mit nemusi, spise je to naopak komplikace, ne?

hm, kdyz se nad tim zamyslim, tak mate pravdu, ze to musi fungovat, i kdyz tam ta verejna IP dana nebude...

Ale nechal si sa domotat. Hore "fra.iesus" hovori o preroutovani na koncovy PC kedy tam verejna IP naozaj na edge routri byt nemusi, no a ty vravis o DST(src)-NAT /ale na toto je priparne urceny v MK prave NETMAP/ kedy ta IP na edge routeri byt musi. imho.