Nastavení na dva ETH dvě IP ze stejného subnetu

[redmax]

Ahoj,

zakoupil jsem si svůj první mikrotik router do racku. Mám jeden problém, řeším to tady už hodiny, hledám všude po netu a už jsem na to krátký.

Na mk nemám nastavený žádný bridge mezi eth. Od ISP mám dvě veřejné IP adresy, jedna slouží čistě pro server1 a druhá IP je pro vnitřní klienty a server2.

Nastavení mk od ISP na střeše: IP: 176.12.120.217/29 - slouží jako výchozí brána
Moje dvě IP od ISP je 176.12.120.218/29 a 176.12.120.219/29

Na mém mk jsem si nastavil na eth7 IP 176.12.120.218/29 a na eth6 176.12.120.219/29

Na eth7 mám nastavený NAT do vnitřní sítě na eth3. Jakmile já povolím obě ip na eth6 a eth7, tak celá síť spadne a nekomunikuju se světem. Jakmile eth7 vypnu, tak vše běží jak má. Jak je to možné? Co mám a nemám špatně?



Díky

[Leeonek]

Jak můžeš mít prosímtě 2 ip adresy ze stejného rozsahu na rozdílných portech routeru? Když zapneš tu druhou venkovní ip, tak to logicky spadne, takhle jak to máš, to nikdy nemůže fungovat.
Tu druhou venkovní ip musíš hodit taky na wan (eth6), na ten servřík si dej vnitřní ip a tu venkovní přesměřuj src a dstnatem. Pro zbytek sítě který používá tu momentálně aktivní ip musíš nastavit srcnat. Pokud nastavíš jen maškarádu na eth6, nevím za kterou ip bude maskovat ostatní zbytek sítě.

[redmax]

Však jsou ty ethernet porty na sobě nezávislé, tak proč to takhle nemůže fungovat? Chci totiž nastavovat pro každou z těch dvou veřejných IP různě porty, jeden tam, druhý sem. Proto jsem to měl takhle rozdělené.

Ok, dobře. Nešlo by to vysvětlit trochu jako pro lajka?

P.S.: Neví někdo o nějaké knížce o mikrotiku? Nikde jsem nic nenašel a rád bych si četl. Školení jsou pro mě drahá.

[Leeonek]

Však jsou ty ethernet porty na sobě nezávislé, tak proč to takhle nemůže fungovat? Chci totiž nastavovat pro každou z těch dvou veřejných IP různě porty, jeden tam, druhý sem. Proto jsem to měl takhle rozdělené.

V závislosti na ip adrese si router nastavuje routy kterým rozhraním má ta a ta ip adresa chodit. Pokud mu nastavíš stejný rozsah na 2 rozhraní, zkrátka a dobře neví co s tím. Tak jak jsem Ti ti v předešlém příspěvku popsal Ti to bude fungovat přesně jak si představuješ.

Ok, dobře. Nešlo by to vysvětlit trochu jako pro lajka? :)

P.S.: Neví někdo o nějaké knížce o mikrotiku? Nikde jsem nic nenašel a rád bych si četl. Školení jsou pro mě drahá.

Ono nejde ani tak o mikrotik ale o jakýkoli router. Zkus si najít nějaké základy routování, není to pak tak těžké pochopit.

[redmax]

Ok, dobře. Zkusím něco sehnat a číst si.

Ale přesto se ještě zeptám.

Na eth6 nechám nastavenou IP 176.12.120.219/29. Potom NATem přesměruji druhou IP následovně:

Chain: dstnat
Src.Address: 176.12.120.218
Action: dst-nat
ToAddresses: 172.16.2.50

Je to tak správně? Jak potom budu přesměrovávat jen některé porty? Např. budu chtít přesměrovat jen port 80, 21, 20, 443, atp.?

[Shakal]

jednoducho, staci sa pozerat, ked uz niekde klikas

Ale teraz Vazne: na tvojom firewale musis dat:
pre smer dnu:
dst-nat dest.address= tvoja verejna pre server
dst-port (ked chces iba niektore porty, tak ich sem napis, najlepsie je pre kazdy port jedno pravidlo)
to-address= tvoja vnutorna ip servera
to-port= port ktory presmerujes

pre smer von potrebujes tiez pravidlo:
src-nat src-address= tvoja vnutorna ip servera
to-address= tvoja verejna servera

ked chces presmerovat iba porty potom este k tomu pravidla pre accept a drop

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

[redmax]

Já nevím, ale nastavím to jak píšeš, i podle toho manuálu od mikrotik, ale já ten server potom ani nepingnu, prostě to neproteče.

ked chces presmerovat iba porty potom este k tomu pravidla pre accept a drop

A tuhle větu jsem nějak nepochopil.

[redmax]

No, tak už se mi to podařilo rozfungovat. Manuál taky trochu pomohl. Ale teď mu máme problém dvě.

Z lokální sítě, tedy vše co je za mk, nemohu přistupovat na vlastní domény, které jsou směrovány na pevné ip, které mám na mk. Skočí mi to na přihlašovací obrazovku na mk. Pokud na stránky přistupuju zvenku, tak vše funguje korektně. Jak tohle pořešit?

[Shakal]

/ip firewall nat
add action=dst-nat chain=dstnat dst-address="verejna ip pre server" dst-port="port ktory chces presmerovat" in-interface="interface na ktorom ocakavas z netu dotazy" protocol="ktory protokol" to-addresses="vnutorna ip adresa servera" to-ports="cielovy port"
add action=src-nat chain=srcnat out-interface="interface kadiat to pojde von" src-address="vnutorna ip adresa servera" to-addresses="verejna ip pre server

nezabudni pre normalne fungovanie nastavit v adresach verejnu ip na ktorej komunikuje tvoja GW s inetom (aj s rozsahom, do ktoreho patri) a zaroven si nastav na tom istom iface aj verejnu ip pre ten server, mozes nechat aj prefix /32 a v /ip routes nastavenie default gw

v tomto pripade na tu poslednu vetu zabudni

[Shakal]

pretoze nemas od tvojho isp reverzne zaznamy pre domeny
jedine riesenie je na svojom dns servery si vytvorit staticke zaznamy pre tvoje domeny aby bolo vnutorna ip adresa servera
tunel tiez musis nejako ukoncit

[redmax]

A mikrotik umí reverzní DNS záznamy?

Edit: Odpovím si sám, nejde.

[redmax]

Takže pokud dobře chápu, tak reverzní DNS záznam by měl provést ten, kdo má přidělen blok IP adres, tedy můj ISP, že?

Ale já pořád nechápu, jak teda ty pakety tečou?

Zadám do prohlížeče neco.cz a správně by se měl provést překlad adres na nejbližším DNS serveru, tedy nastavený mám DNS od ISP. Ten vrátí na můj počítač přeloženou adresu na pevnou IP, ale počítač už s IP neví co s ní, protože.... dobrý, nebudu to už psát, už chápu jak to teče.

Takže vlastně ISP provede reverzní záznam pro moje domény, je to tak?

Edit.: Je nutno nastavit reverzní záznam i pro CNAME?

Mám například:
www.riwas.cz -> IP 176.12.120.218
src.riwas.cz -> IP 176.12.120.219

Chápu dobře?

[Shakal]

pochybujem ze ti tvoj operator spravi pre /29 reverzne zaznamy
najjednoduchsie pre teba ako isp je mat vlastny dns server, na ktory sa dotazuju tvoji klienti a tam si vytvorit vlastne interne dns zaznamy (tam si das napr.: www.nieco.cz je vnutorna ip servera )

[redmax]

Tak jsem si udělal pomocí BINDu záznamy. Když se podívám na mikrotiku do DNS cache, tak u té mé domény je 20.2.16.172.in-addr.arpa, což 172.16.2.20 je IP lokálního serveru, na který ta doména směruje. Ale přesto končím pořád na přihlašovací obrazovce mikrotiku. Jak je to možné?