NAT 1:1 , routovaná síť
Napsal: 28 Jun 2010 22:45
Ahoj, mám routovanou síť. Všechny lokální rozsahy v síti se mezi sebou vidí i napříč sítí, Internet jede. Mám také naroutované 2 půlky C rozsahů veřejek. (/25)
Když někdo chce veřejnou adresu, překlopím jí pomocí dst-nat a src-nat na lokální IP, abych ušetřil IP adresy. To také funguje.
Ten kdo chce více IP, odroutuju napříč sítí menší rozsah IP a má veřejné přímo na svých strojích.
Problém nastal, když měl někdo nastavenou veřejnou IP v kompu a chtěl komunikovat s IP která byla překlopená (NAT 1:1). To jsem vyřešil tak, že jsem na hraničním routeru nastavil tu překlopenou IP na vnitřní interface xx.xx.xx.xx/32 tím se směrování rozchodilo. Sice to není zrovna nejlepší řešení, ale smířil bych se s ním.
Ale momentálně jsem zjistil, že když chce někdo komunikovat s veřejnou IP (přímo ve stroji) a sám má také veřejnou přímo ve stroji. Prostě neprojde ani ping.
Samozřejmě vyřešit to stejně jako u překlápění veřejné IP to nelze.
Zase například ten co má NAT 1:1 adresu, tak se dostane na všechny klasicky routovaný veřejný adresy., protože to vlastně jede přes ty lokální IP adresy, které na hraničním serveru jsou maškarádované.
Dokážete mi prosím poradit, kde může být zakopaný pes? Napadlo mě, že je problém v tom, že všechny veřejné jsou z jedné půlky Cčka (xx.xx.xx.128/25). Odroutování lokálních IP funguje bez problémů, ale na veřejné IP přece nemůžu udělat maškarady..
Už jsem bezradný, díky za nějaké nakopnutí.
P.S. na mikrotik foru, jsem nalezl něco o hairpin NAT, ale nic nepomohlo.
Když někdo chce veřejnou adresu, překlopím jí pomocí dst-nat a src-nat na lokální IP, abych ušetřil IP adresy. To také funguje.
Ten kdo chce více IP, odroutuju napříč sítí menší rozsah IP a má veřejné přímo na svých strojích.
Problém nastal, když měl někdo nastavenou veřejnou IP v kompu a chtěl komunikovat s IP která byla překlopená (NAT 1:1). To jsem vyřešil tak, že jsem na hraničním routeru nastavil tu překlopenou IP na vnitřní interface xx.xx.xx.xx/32 tím se směrování rozchodilo. Sice to není zrovna nejlepší řešení, ale smířil bych se s ním.
Ale momentálně jsem zjistil, že když chce někdo komunikovat s veřejnou IP (přímo ve stroji) a sám má také veřejnou přímo ve stroji. Prostě neprojde ani ping.
Samozřejmě vyřešit to stejně jako u překlápění veřejné IP to nelze.
Zase například ten co má NAT 1:1 adresu, tak se dostane na všechny klasicky routovaný veřejný adresy., protože to vlastně jede přes ty lokální IP adresy, které na hraničním serveru jsou maškarádované.
Dokážete mi prosím poradit, kde může být zakopaný pes? Napadlo mě, že je problém v tom, že všechny veřejné jsou z jedné půlky Cčka (xx.xx.xx.128/25). Odroutování lokálních IP funguje bez problémů, ale na veřejné IP přece nemůžu udělat maškarady..
Už jsem bezradný, díky za nějaké nakopnutí.
P.S. na mikrotik foru, jsem nalezl něco o hairpin NAT, ale nic nepomohlo.
