Zdravím,
mám několik veřejných adres a přístupy na ně přehazuji forwardem na vnitřní servery - např. 1.2.3.4 -> 192.168.1.10, 1.2.3.5 -> 192.168.1.11, atp.
Problém nastává, pokud se ze serveru 192.168.1.11 odkáži na 1.2.3.4; končí to na MT a nepřehodí se na 192.168.1.10
Už se to tady před rokem řešilo - s doporučením, které mě napadlo ještě před prohledáváním netu, t.j. přes hosts nebo nějakou podstrčenou dns vracející lokální ip. To je pro mě nepřijatelné, domén a jejich A/CNAME je dohromady cca 40, IP adres 16, virtuálních mašin za MT je 20 a MT hodlám nahradit aktuální linuxový firewall, abych se vyhnul jakékoli síťové závislosti virtuálů na sobě, tudíž tam nebudu zavádět fixlující dns. Když odhlédnu od pracnosti, tak přínos by byl nulový = místo stávajícího lin.firewallu by tam běželo dns....
Jedna z odpovědí (od "hapi") byla, cituji:
"Jde to udělat ještě pomocí dst-natu s tim že pujdeš na ten server vždy routingem přes router i když budeš ve stejný síti jako je server."
A to je přesně to, co chci, jen za boha nemůžu přijít na to, JAK.
Díky moc,
Martin
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Veřejná IP z vnitřní LAN
-
Radek Úlehla
- Příspěvky: 1201
- Registrován: 17 years ago
- Kontaktovat uživatele:
chain=srcnat action=src-nat to-addresses=192.168.1.1 src-address=192.168.1.0/24 dst-address=192.168.1.0/24
pravidlo dej ideálně před dst-naty a pak dst-natem můžeš dělat cokoliv
pravidlo dej ideálně před dst-naty a pak dst-natem můžeš dělat cokoliv
0 x
Sestavit si příkaz přes terminál nedávám, takže přes Winbox a to takto:
[General]
chain dst-nat
protocol: tcp (většinou)
DstPort: přehazovaný port
in.interface: wan
[Advanced]
Src.Address List: buď nic, nebo addressList s povoleným přístupem
Dst.Address List: addressList obsahující jen jednu, venkovní IP
[Action]
Action: dst-nat
To Address: cílová vnitřní IP
To Ports: většinou nic, někdy cílový port na vnitřní IP
Vím, že běžnější je použít SrcAddress a DstAddress přímo na General, ale připravuji si MT i pro variantu přesunu serveru pod jiného providera (= jiné veřejné IP) a chci pak veřejné IP měnit jen na jednom místě, v addressList. Proto to mám asi trochu komplikovaněji postavené, než je obvyklé.
Díky za info p.Ulehly, hned vyzkousim.
[General]
chain dst-nat
protocol: tcp (většinou)
DstPort: přehazovaný port
in.interface: wan
[Advanced]
Src.Address List: buď nic, nebo addressList s povoleným přístupem
Dst.Address List: addressList obsahující jen jednu, venkovní IP
[Action]
Action: dst-nat
To Address: cílová vnitřní IP
To Ports: většinou nic, někdy cílový port na vnitřní IP
Vím, že běžnější je použít SrcAddress a DstAddress přímo na General, ale připravuji si MT i pro variantu přesunu serveru pod jiného providera (= jiné veřejné IP) a chci pak veřejné IP měnit jen na jednom místě, v addressList. Proto to mám asi trochu komplikovaněji postavené, než je obvyklé.
Díky za info p.Ulehly, hned vyzkousim.
0 x
Vyzkoušeno, ale přes pravidlo neprošel ani jeden packet.
Nicméně díky za směr, zadařilo se, po mírné modifikaci na
chain=srcnat action=src-nat to-addresses=1.2.3.4 src-address=192.168.1.0/24 dst-address=192.168.1.10
chain=srcnat action=dst-nat to-addresses=192.168.1.10 src-address=192.168.1.0/24 dst-address=1.2.3.4
obecně
chain=srcnat action=src-nat to-addresses=wan_ip src-address=lan_segment dst-address=lan_ip
chain=dstnat action=dst-nat to-addresses=dest_lan_ip src-address=lan_segment dst-address=wan_ip
Mám to v tomto pořadí, hned jako první pravidla NAT a komunikuje. Postavit zbytek je už na mě
Supr, DÍKY !
Nicméně díky za směr, zadařilo se, po mírné modifikaci na
chain=srcnat action=src-nat to-addresses=1.2.3.4 src-address=192.168.1.0/24 dst-address=192.168.1.10
chain=srcnat action=dst-nat to-addresses=192.168.1.10 src-address=192.168.1.0/24 dst-address=1.2.3.4
obecně
chain=srcnat action=src-nat to-addresses=wan_ip src-address=lan_segment dst-address=lan_ip
chain=dstnat action=dst-nat to-addresses=dest_lan_ip src-address=lan_segment dst-address=wan_ip
Mám to v tomto pořadí, hned jako první pravidla NAT a komunikuje. Postavit zbytek je už na mě
Supr, DÍKY !
0 x
já tohle řešení kdysi odmítnul. Vyloženě mě rozčilovalo (cca 2003, pentium 166). Takže mám prostě dvě DNS. Internet se překládá jinak, než vnitřní síť. A je klid od toho, aby šlo něco zbytečně přes hlavní router když nemusí. I když teď to jde a výkonově je to v pohodě, stejně to dodržuji.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Používání multiview v DNS (jak tomu říká bind), kdy vracím jiné IP pro LAN klienty a jiné pro WAN, má jeden nepříjemný dopad - rozbijeto to občas klienty, co se přesouvají z jedné sítě do druhé. Typicky notebooky, co zapomenou zahodit DNS cache. Jsem v párci na LAN. jsem spojen na http://www.firma.cz, noťas si pamatuje 192.168.66.66, uspím ho, přijdu domů, probudím, chci http://www.firma.cz a hňup se spojuje na již neplatnou 192.168.66.66 místo veřejnou 99.99.66.66... Ještě horší případ je v kombiunaci s VPN připojením.
Na to pozor, pokud mám takové přeskakující klienty mezi LAN-WAN.
Řeším to dneska tak (po nekonečném vysvětlování lidem, že když jim to nejde, dejte ipconfig /flushdns), že co má být vidět jen LAN, má jen vnitřní LAN IP a je jen ve vnitřním DNS, co má být vidět zvenčí je ve vnějším i vnitřním DNS na stejné veřejné IP adrese. Takové servery jsou nacpané vždy v DMZ zóně, často co server to vyhrazneá VLANa a jeden blok /30, takže spojení k nim jde vždy skrz router, který dělá automaticky i firewall (a spojení se musí routovat a nemusím šaškovat s srcnat).
Na to pozor, pokud mám takové přeskakující klienty mezi LAN-WAN.
Řeším to dneska tak (po nekonečném vysvětlování lidem, že když jim to nejde, dejte ipconfig /flushdns), že co má být vidět jen LAN, má jen vnitřní LAN IP a je jen ve vnitřním DNS, co má být vidět zvenčí je ve vnějším i vnitřním DNS na stejné veřejné IP adrese. Takové servery jsou nacpané vždy v DMZ zóně, často co server to vyhrazneá VLANa a jeden blok /30, takže spojení k nim jde vždy skrz router, který dělá automaticky i firewall (a spojení se musí routovat a nemusím šaškovat s srcnat).
0 x
máš naprostou pravdu, poslední půlrok přehazujeme servery ze stejnýho důvodu.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
Já si s tím DNS poprvé nabil držzku hodně let zpět kvůli mobilům s wifinou (tenkrát Nokie E60/61), náslendě s rozmachem notebooků. Měl jsme VoIP ústřednu zvnitřku na 10.x a zvenčí na 89.x a to byl chaos, jak chvíli registrace ne/fungovala (od té doby s emi snad někdy v SIP zdají i sny). Takže pryč od toho u firmy s pobíhaícícmi klienty tam/sem....
Jinak Win7 a IPv6 k tomu přidávají ve vztahu k DNS a poběhujícími uživateli dakší krásný rozměr.... Pokud mám ve firmě i DNS na IPv6 a Win7 klienti se korektně nakonfigurují adresy/domény DNS serverů pro IPv6 (protože ve firmě je v provozu DHCPv6) a notebook se pak odnese domů nebo jinam, kde je také IPv6 konektivita, ale bez DHCPv6 konfigurace DNS serverů (takže jen konfigurace IP adres přes RA), tak Wokna suveréně dál používají na IPv6 pro DNS servery získané v LAN firmy.
Jinak Win7 a IPv6 k tomu přidávají ve vztahu k DNS a poběhujícími uživateli dakší krásný rozměr.... Pokud mám ve firmě i DNS na IPv6 a Win7 klienti se korektně nakonfigurují adresy/domény DNS serverů pro IPv6 (protože ve firmě je v provozu DHCPv6) a notebook se pak odnese domů nebo jinam, kde je také IPv6 konektivita, ale bez DHCPv6 konfigurace DNS serverů (takže jen konfigurace IP adres přes RA), tak Wokna suveréně dál používají na IPv6 pro DNS servery získané v LAN firmy.
0 x