classic.ISPforum.cz

Dobrý den.
Je možné udělat dva nezávislé naty? Wanovému rozhraní přiřadím 2 ip adresy. Ether1 bude mít třeba 192.168.0.0/24 a Ether2 192.168.1.0/24.
A teď bych chtěl docílit, aby adresy z Ether1 šly přes jednu ip a adresy z Ether2 šly přes druhou ip. Pokud přidám pravidlo, tak si můžu vybrat pro jaký rozsah schci maškarádu použít, ale nemám možnost vybrat kterou adresou chci vystupovat ven.

Je tedy možné toto realizovat?

osobne by som na toto nepouzival masqarade ale src-nat.. tam si priamo navolis ip na aku chces prekladat, na rozhrani mas len jednu ip a na src nat pouzi nejaky subnet ktory si na tu ip naroutujes...

Tedy lidsky řečeno:
Pokud půjde do internetu požadavek z rozsahu 192.168.0.0/24, tak proveď src-nat na adresu wan_ip1.
Pokud půjde do internetu požadavek z rozsahu 192.168.1.0/24, tak proveď src-nat na adresu wan_ip2.

Nemám to teď možnost ověřit. Je to tak?

Abych uvedl příklad v reálu, tak mám RB133. Tedy 3x eth port a wlan jako wan. Co port, to zákazník. A aby si zákazník nemusel kupovat router a stačil by mu switch, ale byl za natem a zároveň vystupoval do sítě s jedinečnou ip adresou, tak mě napadlo toto řešení. Na každém portu by běžel dhcp server. Víc zákazník nepotřebuje, já mám přehled, nepere se se sousedem o linku.

Takže teoretick funkční konfigurace by měla vypadat asi takto:
add chain=srcnat action=src-nat to-addresses=172.24.1.6 to-ports=0-65535 src-address=192.168.101.0/24 comment="" disabled=no
add chain=srcnat action=src-nat to-addresses=172.24.1.7 to-ports=0-65535 src-address=192.168.102.0/24 comment="" disabled=no

Zatím mě na tom zaráží, že když dám traceroute, tak to dopadne takto:
[root@localhost ~]# traceroute 10.0.0.1 -I
traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 38 byte packets
1 192.168.101.1 (192.168.101.1) 2.901 ms 0.747 ms 0.690 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 10.0.0.1 (10.0.0.1) 3.535 ms 3.716 ms 2.752 ms

správně by měl být zhruba takto:
kepl2:/tmp# traceroute 10.0.0.1 -I
traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 38 byte packets
1 ws001.ltsp (192.168.100.1) 1.207 ms 0.900 ms 0.882 ms
2 172.24.1.1 (172.24.1.1) 1.982 ms 1.383 ms 1.346 ms
3 172.16.15.1 (172.16.15.1) 2.905 ms 2.812 ms 2.444 ms
4 172.31.255.25 (172.31.255.25) 5.715 ms 3.074 ms 4.302 ms
5 172.31.255.21 (172.31.255.21) 4.487 ms * *
6 10.0.0.1 (10.0.0.1) 5.730 ms 10.959 ms 5.475 ms

hafieror píše:Tedy lidsky řečeno:
Pokud půjde do internetu požadavek z rozsahu 192.168.0.0/24, tak proveď src-nat na adresu wan_ip1.
Pokud půjde do internetu požadavek z rozsahu 192.168.1.0/24, tak proveď src-nat na adresu wan_ip2.

Nemám to teď možnost ověřit. Je to tak?

Abych uvedl příklad v reálu, tak mám RB133. Tedy 3x eth port a wlan jako wan. Co port, to zákazník. A aby si zákazník nemusel kupovat router a stačil by mu switch, ale byl za natem a zároveň vystupoval do sítě s jedinečnou ip adresou, tak mě napadlo toto řešení. Na každém portu by běžel dhcp server. Víc zákazník nepotřebuje, já mám přehled, nepere se se sousedem o linku.

Tak nejak, ja to tak mam na hlavnim natu a funguje to akorat tam nemusis mit tu wan_IP na rozhrani, proste jedine misto kde bude je src-nat,

Vyzkouším, díky. A ten traceroute se ti chová taky takhle divně?

hafieror píše:Vyzkouším, díky. A ten traceroute se ti chová taky takhle divně?

No to ja nevim, ja to mam na hranicnim routeru, ktery mi natuje a jak jsem psal, ty IP nemam nikde na rozhrani, tak na ne nemuzu dat traceroute

IP musis mat na rozhranie.. nemusis mat v tom pripade, ze tvoj nadradeny ich pridelil na WAN port tvojej brany (neviem ci je to NAT, alebo presmerovanie). Takze na WAN porte mas iba jednu IP, na ktoru mas namapovane dalsie IP, tym padom v NAT to mas ako pises.

traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 38 byte packets
1 192.168.101.1 (192.168.101.1) 2.901 ms 0.747 ms 0.690 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 10.0.0.1 (10.0.0.1) 3.535 ms 3.716 ms 2.752 ms

Máš tam na ty 172.x nastavené routy? Pokud ne tak to bude tím. Tj. třeba tam máš routu dst 10.0.0.1 via 192.168.100.1 takže to jede, ale ping na 172.24.1.1 už jede default routou a ne na 192.168.1.1
Chtělo by to víc info.