Nastaveni NAT 1:1

[pepulis]

Resim jak z hlavniho routru nastavit ver. ip adresu na dalsi routr, ktery je k tomu hlavnimu pripojen pres Dlink bridge. Nasel jsem si tedy informace o NAT 1:1 a vyzkousel to dle popisu na http://www.mikrotik.com/docs/ros/2.9/ip/nat , kde jsem jen misto tech rozsahu pouzil konkretni ver. (pridelenou) a vnitrni IP adresu (muj routr) a i presto mi to nefunguje. Neporadi mi nekdo s timto problmeme. MK 2.9.6. Thx

[LaSolitaire]

Pokud jsi to udelal presne podle manualu, tak ti to musi FUNGOVAT !!!
To je osobni zkusennost.

Zkontroluj si SrcNat a DstNat a pripadne pravidla Firewallu.

[Dejvas]

Tohle funguje (provozuju na MK 2.9.6) mas povolenou IP toho druhe routeru ve firewallu ??
Dejvas

[pepulis]

Tohle funguje (provozuju na MK 2.9.6) mas povolenou IP toho druhe routeru ve firewallu ??
Dejvas

No vidis tak tohle me ale vuuubec nenapadlo. Ve firewallu mam pro forward a input povolene pouze ip uzivatelu. To vyzkousim. Diky.

[pepulis]

Tohle funguje (provozuju na MK 2.9.6) mas povolenou IP toho druhe routeru ve firewallu ??
Dejvas

No vidis tak tohle me ale vuuubec nenapadlo. Ve firewallu mam pro forward a input povolene pouze ip uzivatelu. To vyzkousim. Diky.

Tak firewalem to neni. Bud jsem idiot a nebo nevim, mam to presne. Je sice zarazejici ze tam neni v tom prikladu zvolena zadna sitovka. Na hlavnim routru je jich celkem 5. Jedna privadi net a daslimi to jde k dalsim routrum.

[Zdeněk.hb]

No já nevím a klasické směrování ti nepomůže?

R1 X.Y.1.1/30 ---- ---- R2 X.Y.1.2/30 e1 + X.Y.2.1/30 e2 ---- ----- R3 X.Y.2.2/30 + ..... atd


No a pak tomu R1 řekneš že subnet X.Y.2.0/30 najde na adrese R2 X.Y.1.2/30 a tak dále ... takhle to funguje na 100%

Taky je podstatné jak velký rozsah reálných adres máš

[pepulis]

Takze reseni meho problemu je nasledujici,

chain=dstnat dst-address=ver. IP action=dst-nat to-addresses=vnitr. IP to-ports=0-65535
chain=srcnat src-address=vnitr. IP action=src-nat to-addresses=ver. IP to-ports=0-65535


tedy nikoliv pres netmap jak je uvedeno v tom prikladu. Mozna jsem to cele pochopil spatne ja.

[LaSolitaire]

Takze reseni meho problemu je nasledujici,

chain=dstnat dst-address=ver. IP action=dst-nat to-addresses=vnitr. IP to-ports=0-65535
chain=srcnat src-address=vnitr. IP action=src-nat to-addresses=ver. IP to-ports=0-65535


tedy nikoliv pres netmap jak je uvedeno v tom prikladu. Mozna jsem to cele pochopil spatne ja.

Netmapem to jde taky.
Ale rekl bych, ze net map je spise na cely Subnet.

[Bishboun]

Ahoj, potřeboval bych pomoct. Lámu si hlavu s nastavením NAT.

Mám hlavní GW s veřejnou třeba IP 108.201.70.2/30 na eth1. Muj IPS mi naroutoval na tuto veřejku další rozsah veřejných IP 108.201.69.0/28.

na eth2 (výstup z GW) je nastaven rozsah 10.0.0.1/28 kde je zapojen switch.

přičemž:
10.0.0.2 je PC
10.0.0.3 je Rasberry server SMTP, FTP atd.
10.0.0.4 - 6 jsou další RB

Poradíte mi jak nastavit na Rasberry 10.0.0.3 nějakou veřejnou adresu třeba 108.201.69.14.


Zkoušel jsem všechno možný a nic nejde.
Zkoušel jsem
na eth2 priradit jako další IP 108.201.69.1/28 a do serveru 108.201.69.14

z internetu pingnu tu 69.1 na eth2, ale už nepingnu 69.14 na serveru



Další pokus byl přes netmap.... podle všude zde i na netu dělaných návodu (příklad)
/ip firewall nat
add action=src-nat chain=srcnat src-address=10.1.86.50 to-addresses=xxx.xxx.xxx.xxx
add action=dst-nat chain=dstnat dst-address=xxx.xxx.xxx.xxx to-addresses=10.1.86.50

add action=masquerade chain=srcnat

A nejde!!!


Neměl by někdo radu jak na to. GW je klasicka RB433.

Díky za rady

[ludvik]

add action=dst-nat chain=dstnat dst-address=108.201.69.14 to-addresses=10.0.0.3
add action=src-nat chain=srcnat src-address=10.0.0.3 to-addresses=108.201.69.14
To je řešení NAT. Na rasberry neděláš nic.

Pokud chceš bez nat, tak principielně to chápeš ... ale nejspíš nemáš na rasberry správně default route. A možná ti do toho mluví i jiná pravidla nat či filter.

[Bishboun]

OK vyzkouším to znovu a pomalu. Pro jistotu vypnu všechny pravidla FW kromě maškarady. Jen taková otázečka...... záleží na pořadí pravidel v NATU??

[ludvik]

vždycky záleží na pořadí. v rámci chainu se to provádí sekvenčně. takže když ti nějaké pravidlo něco změní (třeba cílovou adresu), tak ta původní z paketu zmizí ...