Mám od lokalneho ISP pridelenu verejnu IP adresu, ale zrejme cez NAT,
pretože mám hlavnu wifi anténu z ktorej ide kábel do Zcomax routra(192.168.1.254).
Do administrácie tohto routra nemám pristup, tak som si zaň zapojil MK rb-750(192.168.111.1).
Keď chcem na svojom hlavnom MK nastaviť dst-nat, tak do dst.address nepíšem verejnu ip adresu, ale ip adresu, ktoru pridelil Mikrotiku Zcomax router(t.j.:192.168.1.1).
Ďalej mám za MK 750 vedľa seba zapojene dva MK rb-951, ktore su v bridge mode a služia ako AP.
Tieto MK 951 dostali zase lokálnu ip adresu od MK750 a to 192.168.111.2 a 192.168.111.3.
K tymto dvom MK 951 som si na hlavnom MK 750 spravil dst-nat:
action=dst-nat chain=dstnat comment="Poschodie: Mikrotik RB-951" dst-address=192.168.1.1 dst-port=8082 log=yes protocol=tcp to-addresses=192.168.111.2 to-ports=8291
action=dst-nat chain=dstnat comment="Izba: Mikrotik RB-951" dst-address=192.168.1.1 dst-port=8083 protocol=tcp to-addresses=192.168.111.3 to-ports=8291
Takto isto som si spravil dst-nat v hlavnom mk 750, aby som sa aj k nemu mohol dostať cez verejnu ip adresu:
action=dst-nat chain=dstnat comment="Poval: Mikrotik RB-750" dst-address=192.168.1.1 dst-port=8081 protocol=tcp to-addresses=192.168.111.1 to-ports=8291
Kedže pravidla su zhodne, nerozumiem tomu, prečo sa do dvoch mikrotik routrob rb951 dostanem cez verejnu ip adresu, ale do hlavneho mk 750 nie.
Ako by ste vy problém vyriešili? Čo by ste skusili spraviť?
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Natovana verejna IP adresa
Takže jsi udělal pravidlo: pokud mi přijde paket a má jako cíl moji IP adresu z jednoho ethernetu, přepiš ten cíl na jinou IP adresu toho samého routeru. V podstatě naprosto zbytečné pravidlo, neboť byses tam měl dostat normálně jako VEŘEJNÁ:8291
Je ale zajímavé, že už ten Zcomax dělá DST-NAT na ten tvůj mikrotik. Ti tam nastavili DMZ na 192.168.1.1? Jestli ano, tak je poměrně pravděpodobné, že na tom portu 8081 sedí management právě toho zcomaxe a takový paket ani dovnitř sítě neprojde. Není nic jednoduššího, než si to logovat ... a vidět, zda chodí nebo ne.
Proč ho tam vůbec máš? Zbytečné NATy, to je cesta do pekel ... stačí, že tam vedou i ty potřebné.
A pro jistotu upozorňuji, že pokud používáš DHCP bez statických záznamů, tak si nikdy nemůžeš být jistý IP adresou. To, že v naprosté většině těchto případů ano na tom nic nemění.
Ale jinak bych to zkusil řešit s tím ISP
On ví, jak je to nastavené ... tedy, měl by.
Je ale zajímavé, že už ten Zcomax dělá DST-NAT na ten tvůj mikrotik. Ti tam nastavili DMZ na 192.168.1.1? Jestli ano, tak je poměrně pravděpodobné, že na tom portu 8081 sedí management právě toho zcomaxe a takový paket ani dovnitř sítě neprojde. Není nic jednoduššího, než si to logovat ... a vidět, zda chodí nebo ne.
Proč ho tam vůbec máš? Zbytečné NATy, to je cesta do pekel ... stačí, že tam vedou i ty potřebné.
A pro jistotu upozorňuji, že pokud používáš DHCP bez statických záznamů, tak si nikdy nemůžeš být jistý IP adresou. To, že v naprosté většině těchto případů ano na tom nic nemění.
Ale jinak bych to zkusil řešit s tím ISP
On ví, jak je to nastavené ... tedy, měl by.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Pri MK 951 sa mi tie pravidla osvedčili a nemam problém sa do nich dostať cez verejnu ip adresu. S MK 750 to je už zložitejšie. Skušal som aj to ako si ty napísal verejna:8291, ale bez výsledku. Napadlo mi, že by som mohol pri MK750 použiť pravidlo, ktore som použil pri 2xMK951, ale samozrejme som zadal lokálnu ip adresu MK750.
No stále bez výsledku.
Neviem presne, čo a ako robí Zcomax. Keď som ISP požiadal o verejnu adresu, nasmeroval ju do ZComax routra, takže ja keď som ju zadal do prehliadavača,
automaticky to odomna pýtalo meno a heslo do administrácie Zcomax routra. Napísal som ISP email, že mám za jeho routrom mikrotik cez ktorý si riadim sieť,
tak aby mi verejnu ip adresu presmeroval na MK. Na to mi odpísal, že mi všetky porty okrem 80 presmeroval na môj mikrotik.
Takže stále keď zadam do prehliadavača verejnu ip adresu, bez zadania portu, vyhodi mi prihlasovacie okno Zcomaxu.
Keď to dam logovať, tak tam napiše: verejna ip adresa-192.168.1.1.
ISP mi nastavil v jeho routry staticku lan ip adresu pre mikrotik, tak toho sa ani nebojim, ale vďaka za upozornenie.
Rad by som to riešil s mojim providerom, ale to by musel on byť viac ochotnejší.
No stále bez výsledku.
Neviem presne, čo a ako robí Zcomax. Keď som ISP požiadal o verejnu adresu, nasmeroval ju do ZComax routra, takže ja keď som ju zadal do prehliadavača,
automaticky to odomna pýtalo meno a heslo do administrácie Zcomax routra. Napísal som ISP email, že mám za jeho routrom mikrotik cez ktorý si riadim sieť,
tak aby mi verejnu ip adresu presmeroval na MK. Na to mi odpísal, že mi všetky porty okrem 80 presmeroval na môj mikrotik.
Takže stále keď zadam do prehliadavača verejnu ip adresu, bez zadania portu, vyhodi mi prihlasovacie okno Zcomaxu.
Keď to dam logovať, tak tam napiše: verejna ip adresa-192.168.1.1.
ISP mi nastavil v jeho routry staticku lan ip adresu pre mikrotik, tak toho sa ani nebojim, ale vďaka za upozornenie.
Rad by som to riešil s mojim providerom, ale to by musel on byť viac ochotnejší.
0 x
Pokud ti tam končí vše krom portu 80, tak žádný NAT rozhodně nepotřebuješ. Proč bys měnil něco, co už na ten router přijde? Z jakého důvodu? A pokud to tedy nefunguje, bude problém jinde, než v NAT ...
Potřebuješ "měnit" cílovou IP jen pro věci, které sedí mimo RB750, jinak by to na ně nemělo jak přijít. Ale v tu chvilku už to je na RB750, takže pokud to tam má i skončit, tak není potřeba nic měnit (až na nějaké šílené konfigurace, které podle mě nepotřebuješ).
Kromě toho mám takový podivný neodbytný pocit, že pro "DNAT" v rámci routeru je nutné používat REDIRECT, nikoliv DNAT.
Logováním jsem myslel pakety přicházející na ten RB750, tcp dst-port 8081 (nebo 8291). Aby jsi zjistil, jestli tam ten paket prostě přijde. Z toho, co jsi napsal asi nebude moudrej nikdo. Pěkně na input (případně prerouting v mangle), na začátek a s pro jistotou vypnutým veškerým DNATem.
Potřebuješ "měnit" cílovou IP jen pro věci, které sedí mimo RB750, jinak by to na ně nemělo jak přijít. Ale v tu chvilku už to je na RB750, takže pokud to tam má i skončit, tak není potřeba nic měnit (až na nějaké šílené konfigurace, které podle mě nepotřebuješ).
Kromě toho mám takový podivný neodbytný pocit, že pro "DNAT" v rámci routeru je nutné používat REDIRECT, nikoliv DNAT.
Logováním jsem myslel pakety přicházející na ten RB750, tcp dst-port 8081 (nebo 8291). Aby jsi zjistil, jestli tam ten paket prostě přijde. Z toho, co jsi napsal asi nebude moudrej nikdo. Pěkně na input (případně prerouting v mangle), na začátek a s pro jistotou vypnutým veškerým DNATem.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Fajn, ale ako má teda vyzerať pravidlo v Nate s redirect?
Chain=dstnat protocol=tcp dst.address=192.168.1.1 action=redirect port-to=8291?
Čo sa tyka packetov, sa mi zda, že keď som si otvoril NAT vo Firewalli, packety nabiehali.
Ale radšej ešte to preverim cez logovanie keď budem pri Mikrotiku.
Chain=dstnat protocol=tcp dst.address=192.168.1.1 action=redirect port-to=8291?
Čo sa tyka packetov, sa mi zda, že keď som si otvoril NAT vo Firewalli, packety nabiehali.
Ale radšej ešte to preverim cez logovanie keď budem pri Mikrotiku.
0 x