Zdravím Vám pánové,
mám takový problém s přidělováním veřejného rozsahu pomocí NAT 1:1. Topologie sítě:
Hraniční GW má na WAN spojovačku a na LAN má privátní adresu 172.16.1.1/24, veřejnou adresu x.x.x.1/24 což je veřejka toho routeru a dále třeba další veřejnou adresu x.x.x.41/24, kterou bych rád NAToval do vnitřních subnetů. Na hlavním routeru je privátní LAN subnet 172.16.1.0/24. Za ním je další router, který ná subnety 172.16.4.0/24, 172.16.5.0/24, 172.16.6.0/24 a 172.16.21.0/24 a další.... Za těmito subnety jsou zase další subnety, kam bych to chtěl NATovat, ale to je teď jedno protože mám problém i s NATováním do těch subnetů 4.0/24, 5.0/24, 6.0/24 a 21.0/24.
Na GW mám v NAT hlavní maškarádu pro celý rozsah 172.16.0.0/16 a dále jsem přidal pravidla pro přenatování 1:1:
chain=dstnat dst-address=x.x.x.41 action=dst-nat to-addresses=172.16.4.10
chain=srcnat src-address=172.16.4.10 action=src-nat to-addresses=x.x.x.41
Adresa 172.16.4.10 je třeba adresa, na kterou bych to chtěl NATovat a jedná se třeba o další MT - Nefunguje to.... Ani PING....
Když ale do těch pravidel ve FW místo 172.16.4.10 zadám 172.16.21.5 což je adresa mého ASUS routeru v kanclu, tak mi to v browseru běhá a lze na to i PINGnout....
Nechápu to... Na GW mám samozrejmě nastaveny routy, ze rozsahy 4.0/24, 5.0/24, 6.0/24, 21.0/24 jsou směrovány na adresu 172.16.1.2, což je WAN adresa toho dalšího routeru co má ty rozsahy 4.0/24, 5.0/24, 6.0/24, 21.0/24, ....
Můžete mi prosím někdo nastínit kde co mám špatně? jak je možné, že na 172.16.4.10 to nejde a na 172.16.21.5 to jde? Může být problém v té hlavní maškarádě? (Každopádně je ta maskaráda az na posledním místě)
Přitom routy musejí být OK - GW vidí jak 172.16.4.10 tak i 172.16.21.5
Předem MOC děkuji za reakce!
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Problém s NAT 1:1
OMLOUVÁM SE!!! 
Ono to vlastně z vnitří sítě neběhá.. Každopádně proč ne, když je ta adresa nastavena i na iface GW? A proč na to z vnitřku nejde ani PINGnout?
edit: Na to proč to nemůže fungovat jsem už asi přišel..... kdyby se jednalo o nějakou domému směrující na tu veřejku tak jsem asi správně pochopil, že by to šlo obejít záznamem v DNS MT ale dá se to nějak ošetřit, aby fungovala ta adresa samotná?
Ono to vlastně z vnitří sítě neběhá.. Každopádně proč ne, když je ta adresa nastavena i na iface GW? A proč na to z vnitřku nejde ani PINGnout?edit: Na to proč to nemůže fungovat jsem už asi přišel.....
kdyby se jednalo o nějakou domému směrující na tu veřejku tak jsem asi správně pochopil, že by to šlo obejít záznamem v DNS MT ale dá se to nějak ošetřit, aby fungovala ta adresa samotná?
0 x
Přidávám se k dotazu, tohle by mi taky pomohlo. Nastavit danou vnější adresu i na vnitřní iface RBčka jsem zkoušel taky.
0 x
já to dělám trochu jinak, na WAN iGW mám adresu ze spojováku a první ip z bloku těch veřejných, pak v natu mám maškarádu, která jede ven přes tu první ip a před tou maškarádou pravidla s netmapem kterýma rozhazuju ty další veřejky na jednotlivé vnitřní ip. K tomu netmapu tam je ještě jedno pravidlo, které zpřístupňuje ty rozdané veřejky z vnitřní sítě.
0 x
Peyrak: má to nějaké výhody mít tu vnější adresu na WAN místo na LAN? Řekl bych že je to jedno... Nebo ne? Já mám na LAN nastaveny pro jistotu všechny veřejky, co NATuju dál... Každopádně mě zajímá co má za přínos použít netmap místo srcnat a dstnat? Jo a jakým pravidlem zpřístupňuješ ty veřejky zevnitř?
0 x
výhody? nevím, ale funguje to, začal jsem s tím na v2.9 před asi 8mi lety, takže i tam to funguje
Kód: Vybrat vše
add action=src-nat chain=srcnat comment="" disabled=no dst-address="natovaná vnitřní ip" src-address="všechny vnitřní ip" to-addresses="vnitřní ip brány"
0 x
Peyrak píše:výhody? nevím, ale funguje to, začal jsem s tím na v2.9 před asi 8mi lety, takže i tam to fungujeKód: Vybrat vše
add action=src-nat chain=srcnat comment="" disabled=no dst-address="natovaná vnitřní ip" src-address="všechny vnitřní ip" to-addresses="vnitřní ip brány"
Je nutné mít tu adresu z vnějšího rozsahu na WAN GW, nebo to bude fungovat i na LAN GW. Zadáváš ty NATované veřejky na nějaký iface GW nebo to jen natujes? Ono to prý funguje i když ty adresy nemáš na žádném iface a jen to NATuješ...
0 x
DRakgon píše:Peyrak píše:výhody? nevím, ale funguje to, začal jsem s tím na v2.9 před asi 8mi lety, takže i tam to fungujeKód: Vybrat vše
add action=src-nat chain=srcnat comment="" disabled=no dst-address="natovaná vnitřní ip" src-address="všechny vnitřní ip" to-addresses="vnitřní ip brány"
Je nutné mít tu adresu z vnějšího rozsahu na WAN GW, nebo to bude fungovat i na LAN GW. Zadáváš ty NATované veřejky na nějaký iface GW nebo to jen natujes? Ono to prý funguje i když ty adresy nemáš na žádném iface a jen to NATuješ...
však jo, já je nikde nemám, jen jsou zapsaný v těch NAT pravidlech
tuhle konfiguraci jsem tu kdysi vyčetl, nahodil a funguje, nikdy jsem nic jiného nezkoušel
0 x
Každopádně děkuji za tip!Adresa na kterou NATujete, tak ta nemusí být v RBčkku na žádném portu nastavnena a bude to fungovat. Jenom je třeba zařídit, aby se paket pro tuto adresu routovaly na to RBčko, které ji používá v SRC/DSTNAT.
Pokud dělám DSTNAT pro předání veřejky do vnitřní sítě, tak je ten problém, že při přístupu na tu veřejku z vnitřku sítě vám provoz zpět jde nejkratší cetou a vyhne se asi té bráně, takže se ten dstnat nemůže korektně odnatovat. Vyrobím uvnitř sítě paket mířící třeba z 192.168.100.200 pro 12.34.56.78, ten dojde na bránu, provede se DST NAT třeba na 192.168.56.78 a paket s IP čkama192.168.100.200->192.168.56.78 dorazí k tomu 192.168.56.78, ten odpoví a jde paket od 192.168.56.78->192.168.100.200 a pokud tento paket neprojde tou bránou, co udělala dstnat (a změní to tak na paket 12.34.56.78->192.168.100.200), tak se spojení konat nebude...
Pokud dělám DSTNAT pro předání veřejky do vnitřní sítě, tak je ten problém, že při přístupu na tu veřejku z vnitřku sítě vám provoz zpět jde nejkratší cetou a vyhne se asi té bráně, takže se ten dstnat nemůže korektně odnatovat. Vyrobím uvnitř sítě paket mířící třeba z 192.168.100.200 pro 12.34.56.78, ten dojde na bránu, provede se DST NAT třeba na 192.168.56.78 a paket s IP čkama192.168.100.200->192.168.56.78 dorazí k tomu 192.168.56.78, ten odpoví a jde paket od 192.168.56.78->192.168.100.200 a pokud tento paket neprojde tou bránou, co udělala dstnat (a změní to tak na paket 12.34.56.78->192.168.100.200), tak se spojení konat nebude...
0 x
Majklik píše:Adresa na kterou NATujete, tak ta nemusí být v RBčkku na žádném portu nastavnena a bude to fungovat. Jenom je třeba zařídit, aby se paket pro tuto adresu routovaly na to RBčko, které ji používá v SRC/DSTNAT.
Pokud dělám DSTNAT pro předání veřejky do vnitřní sítě, tak je ten problém, že při přístupu na tu veřejku z vnitřku sítě vám provoz zpět jde nejkratší cetou a vyhne se asi té bráně, takže se ten dstnat nemůže korektně odnatovat. Vyrobím uvnitř sítě paket mířící třeba z 192.168.100.200 pro 12.34.56.78, ten dojde na bránu, provede se DST NAT třeba na 192.168.56.78 a paket s IP čkama192.168.100.200->192.168.56.78 dorazí k tomu 192.168.56.78, ten odpoví a jde paket od 192.168.56.78->192.168.100.200 a pokud tento paket neprojde tou bránou, co udělala dstnat (a změní to tak na paket 12.34.56.78->192.168.100.200), tak se spojení konat nebude...
Včera jsem nestíhal... Teď to jdu řešit... Tak pak dám vědět... Jen jsem se chtěl zeptat ty píšeš o DSTNAT a jeký přesný rozdíl je při použití NETMAPu? Další dotaz - má nějaké "+" přiřazovat ty adresy co NATuju i na nějaký iface GW?
0 x
Zdravím, řeším něco podobného, mám 2 x veřejnou IP, za jednou je přes RouterOS maškarádou schovaná vnitřní síť s rozsahem 10.0.0.0/24. Druhá veřejná IP je NAT 1:1 směrována na server využívající interní rozsah (10.0.0.70), jenže je problém se k tomuto serveru dostat přes tu veřejnou IP, nenapadá někoho jak na to ?? Obligátní v tomto případě nezabere a myslím si, že je to z toho důvodu, že server je ve stejném segmentu jako interní LAN za maškarádou. Jinak řečeno pakety nenajdou cestu zpět ?!?
Jak z toho ven ?!? Díky za nasměrování ...
PS: Řešením jistě je přenést tu veřejnou IP až na server a neřešit to na RouterOS, ale důvodem je fakt že veřejnou IP mám přes PPPoE a to na Linuxu prostě nezvládám rozdýchat do funkční podoby.
Kód: Vybrat vše
add action=src-nat chain=srcnat comment="" disabled=no dst-address="natovaná vnitřní ip" src-address="všechny vnitřní ip" to-addresses="vnitřní ip brány"Jak z toho ven ?!? Díky za nasměrování ...
PS: Řešením jistě je přenést tu veřejnou IP až na server a neřešit to na RouterOS, ale důvodem je fakt že veřejnou IP mám přes PPPoE a to na Linuxu prostě nezvládám rozdýchat do funkční podoby.
0 x
Je to tedy již delší dobu a až teď jsem si všiml, že jsem ani neodpověděl a proto pro další uživatele, kterým by se to mohlo hodit:
Velice děkuji uživateli "Peyrak" za dobrý tip! Toto pravidlo je 100% funkční a hodně mi pomohlo.
Mohu jen doporučit.
Velice děkuji uživateli "Peyrak" za dobrý tip! Toto pravidlo je 100% funkční a hodně mi pomohlo.
Mohu jen doporučit.
Peyrak píše:výhody? nevím, ale funguje to, začal jsem s tím na v2.9 před asi 8mi lety, takže i tam to fungujeKód: Vybrat vše
add action=src-nat chain=srcnat comment="" disabled=no dst-address="natovaná vnitřní ip" src-address="všechny vnitřní ip" to-addresses="vnitřní ip brány"
0 x