Routrovanie verejnej IP cez privátne IP

[eKrajnak]

Ahojte,

chcem sa poradiť, či praktika ktorú využívam (a funguje) je správna a mala by sa používať. Upravil som si adresy zariadení podľa schémy:

Avšak ak teraz dám traceroute na koncové RB2011, tak je tam jeden "hluchý" bod (HOP 12) a to je SXT, ktoré teraz nemá verejnú IP adresu v ceste. Je to v poriadku?

EDIT: dokonca niektoré looking glasses to ukazujú takto:

Kód: Vybrat vše

traceroute to 109.236.117.106 (109.236.117.106), 30 hops max, 60 byte packets
 1  gi0-0-1-19.3.nr11.b019111-1.zrh01.atlas.cogentco.com (130.117.254.113)  1.213 ms  1.224 ms
 2  te0-0-0-3.agr11.zrh01.atlas.cogentco.com (154.25.2.221)  0.880 ms te0-0-0-3.agr12.zrh01.atlas.cogentco.com (154.25.2.229)  0.884 ms
 3  te0-0-0-35.ccr21.zrh01.atlas.cogentco.com (154.54.57.165)  0.695 ms te0-7-0-35.ccr21.zrh01.atlas.cogentco.com (154.54.57.173)  0.799 ms
 4  be2025.ccr22.muc03.atlas.cogentco.com (130.117.3.113)  6.214 ms  6.227 ms
 5  be2229.ccr42.fra03.atlas.cogentco.com (154.54.38.57)  11.746 ms  11.788 ms
 6  be2304.rcr21.fra06.atlas.cogentco.com (154.54.74.74)  12.738 ms be2305.rcr21.fra06.atlas.cogentco.com (154.54.74.78)  12.507 ms
 7  level3.fra06.atlas.cogentco.com (130.117.15.194)  11.989 ms  12.002 ms
 8  ae-3-80.edge7.Frankfurt1.Level3.net (4.69.154.139)  11.907 ms ae-4-90.edge7.Frankfurt1.Level3.net (4.69.154.203)  11.938 ms
 9  GTS-ENERGIS.edge7.Frankfurt1.Level3.net (195.16.162.194)  11.858 ms  11.712 ms
10  ph482-rr1-ge0-1.cz.net (213.29.170.182)  20.233 ms  20.202 ms
11  213.210.172.138 (213.210.172.138)  24.459 ms  24.459 ms
12  te-2-4.gw1.sit.ba.gts.sk (62.168.98.33)  19.086 ms  19.087 ms
13  te-2-4.gw1.sit.ba.gts.sk (62.168.98.33)  19.248 ms  19.218 ms
14  mail.hobbycar.sk (195.168.63.114)  30.643 ms  30.651 ms
15  109.236.124.11 (109.236.124.11)  33.477 ms  33.443 ms
16  * *
17  * *
18  * *
19  * *
20  * *
21  * *
22  * *
23  * *
24  * *
25  * *
26  * *
27  * *
28  * *
29  * *
30  * *

Vďaka za rady!
Blažej

[eKrajnak]

Prosím, to tu nikto neroutroval verejné IP?

[mirek.k]

Asi většina používá NAT, což je jednodužší.

Jsou to na hlavním routeru dvě pravidla v IP - Firewall - NAT.
1. dstnat pro src veřejnou adresu je dst změněna na příslušnou vnitřní adresu.
2. srcnat pro src vnitřní adresu je src změněna na příslušnou veřejnou adresu.

Kód: Vybrat vše

add action=dst-nat chain=dstnat dst-address=verejnaIP to-addresses=vnitrniIP
add action=src-nat chain=srcnat src-address=vnitrniIP to-addresses=verejnaIP


Mirek

[eKrajnak]

Asi většina používá NAT, což je jednodužší.

Jsou to na hlavním routeru dvě pravidla v IP - Firewall - NAT.
1. dstnat pro src veřejnou adresu je dst změněna na příslušnou vnitřní adresu.
2. srcnat pro src vnitřní adresu je src změněna na příslušnou veřejnou adresu.

Kód: Vybrat vše

add action=dst-nat chain=dstnat dst-address=verejnaIP to-addresses=vnitrniIP
add action=src-nat chain=srcnat src-address=vnitrniIP to-addresses=verejnaIP


Mirek

Myslím, že odpoveď mimo témy ...

[mirek.k]

Ono totiž není ani příliš zřejmé, čeho chcete dosáhnout.
Mirek

[eKrajnak]

Chcem naroutrovať verejné IP adresy zariadeniu. Ale moja otázka znie, či v ceste musia byť iba zariadenia s verejnými IP alebo môžem routrovať aj cez zariadenia iba so súkromnými adresami.
Prakticky to funguje, ale traceroute je potom rozbitý a neviem, či to je v súlade s nejakými RFC pravidlami.

[mirek.k]

Chcem naroutrovať verejné IP adresy zariadeniu. Ale moja otázka znie, či v ceste musia byť iba zariadenia s verejnými IP alebo môžem routrovať aj cez zariadenia iba so súkromnými adresami.
Prakticky to funguje, ale traceroute je potom rozbitý a neviem, či to je v súlade s nejakými RFC pravidlami.

Řekl bych, že to nevadí. A traceroute asi není směrodatný.
(Má to SXT nastavenou gateway?)
Mirek

[ludvik]

IP adresa je pořád IP adresa ...

[CrazyApe]

Ano, routovat verejny rozsah po vnitrnich ip jde. Pokud mas nekde router s vnitrni adresou 10.80.0.1 napriklad tak na tuto adresu si normalne muzes poslat verejny rozsah z predchoziho routeru pomoci ip->route. Akorat na posledni router kde chces ten verejny pouzivat si musis nastavit GW z toho bloku adres co si tam naroutujes.

[eKrajnak]

Ano, routovat verejny rozsah po vnitrnich ip jde. Pokud mas nekde router s vnitrni adresou 10.80.0.1 napriklad tak na tuto adresu si normalne muzes poslat verejny rozsah z predchoziho routeru pomoci ip->route. Akorat na posledni router kde chces ten verejny pouzivat si musis nastavit GW z toho bloku adres co si tam naroutujes.

A ak verejnú IP na poslednom routry hodím do bridgu (bez portov, len loopback) je to zlé?