Předání veřejné IP na pod router

[pavlos]

Zdravím,

mám dotaz. Jak se dá nastavit na MK to, aby z hlavního routru, byly nasměrovány veřejné IP na routr pod ním , který je přiřadí dalším klientům na jejich zařízení. Síť je routovaná a na hlavní routr vedou všechny IP.

Dík pavel

[Robotvor]

Když routovaná tak si je na ten patřičný router naroutuj. IP/Routes + dst. addres= blok adres které chceč poslat, gateway= adresa routeru kam je chceš poslat. Pak si je na tom routeru přidáš do IP/Address na ethernet na kterém je chceš mít.

[mirek.k]

Kolega doporučil použít routování, což je správné a čisté.
Druhá možnost je použití src a dst NAT.
Jsou to hlavním routeru dvě pravidla v IP - Firewall - NAT.
1. dstnat pro src veřejnou adresu je dst změněna na příslušnou vnitřní adresu.
2. srcnat pro src vnitřní adresu je src změněna na příslušnou veřejnou adresu.

Kód: Vybrat vše

add action=dst-nat chain=dstnat dst-address=verejnaIP to-addresses=vnitrniIP
add action=src-nat chain=srcnat src-address=vnitrniIP to-addresses=verejnaIP


Mirek

[Exter01]

Když routovaná tak si je na ten patřičný router naroutuj. IP/Routes + dst. addres= blok adres které chceč poslat, gateway= adresa routeru kam je chceš poslat. Pak si je na tom routeru přidáš do IP/Address na ethernet na kterém je chceš mít.

diky toto sa zislo aj mne, vzdy som to riesil cez NAT dst a src a nikdy ma nenapadlo to spravit tymto jednoduchym routom

[maetoo]

Obnovim tuto tému.
Momentálne verejnu IP adresu NATujem.
Od ISP na MK na wlane mám pridelenu lokálnu ip adresu: 10.55.53.116.
Na tomto istom MK mam na ether 1 IP adresu 192.168.10.1

Za MK od ISP mám svoj Mikrotik router RB-750.
Na ether 1 je pridelena ip adresa 192.168.10.2.
Na ether2-ether5 mam ip adresy 192.168.111.0/24.

Ak chcem pristupovať cez verejnu ip adresu do mojho Mikrotik routra RB-750, musim v MK routri od ISP pridať pravidlo do NATu:

Kód: Vybrat vše

action=dst-nat chain=dstnat comment="Poval: Mikrotik RB-750" dst-address=10.55.53.116 dst-port=1101 in-interface=wlan1 log=yes log-prefix="Poval MK" protocol=tcp to-addresses=192.168.111.1 to-ports=8291


Čo treba pridať do routres a do address v mikrotiku od ISP, aby som mohol až na svojom Mikrotik routri RB-750 nastavovať NAT?
Prikladam aj nakres siete.

Domáca sieť - ISP Forum.gif (6.45 KiB) Zobrazeno 3426 x

[Exter01]

Obnovim tuto tému.
Momentálne verejnu IP adresu NATujem.
Od ISP na MK na wlane mám pridelenu lokálnu ip adresu: 10.55.53.116.
Na tomto istom MK mam na ether 1 IP adresu 192.168.10.1

Za MK od ISP mám svoj Mikrotik router RB-750.
Na ether 1 je pridelena ip adresa 192.168.10.2.
Na ether2-ether5 mam ip adresy 192.168.111.0/24.

Ak chcem pristupovať cez verejnu ip adresu do mojho Mikrotik routra RB-750, musim v MK routri od ISP pridať pravidlo do NATu:

Kód: Vybrat vše

action=dst-nat chain=dstnat comment="Poval: Mikrotik RB-750" dst-address=10.55.53.116 dst-port=1101 in-interface=wlan1 log=yes log-prefix="Poval MK" protocol=tcp to-addresses=192.168.111.1 to-ports=8291


Čo treba pridať do routres a do address v mikrotiku od ISP, aby som mohol až na svojom Mikrotik routri RB-750 nastavovať NAT?
Prikladam aj nakres siete.

Domáca sieť - ISP Forum.gif

Zdravim,
jednou z moznosti by bolo preforwardovat cez NAT vsetky porty z toho ISP rb az na ten RB-750 a nechat v tom ISP-rb dostupne iba tie porty, ktore sluzia na komunikaciu daneho RB {winbox, webfig, ssh a pod.}

[maetoo]

Zdravim,
jednou z moznosti by bolo preforwardovat cez NAT vsetky porty z toho ISP rb az na ten RB-750 a nechat v tom ISP-rb dostupne iba tie porty, ktore sluzia na komunikaciu daneho RB {winbox, webfig, ssh a pod.}

Rozmyšlal som aj nad tymto riešenim.
Cez forward si to viem nastaviť. Forward by sa riešil cez NAT v ISP-rb až na moj MK.
Nechcem to riešiť cez forward, resp. cez NAT.
Chcem to mať všetko čiste, preto to chcem poriešiť cez Route list.
Mikrotiku sa venujem niečo cez rok.
K Route list a address list som sa ešte moc nedostal, preto by som potreboval nakopnuť, inšpirovať, alebo proste nejaku myšlienku, ako to nastaviť, čo tam treba pridať.

[Exter01]

Zdravim,
jednou z moznosti by bolo preforwardovat cez NAT vsetky porty z toho ISP rb az na ten RB-750 a nechat v tom ISP-rb dostupne iba tie porty, ktore sluzia na komunikaciu daneho RB {winbox, webfig, ssh a pod.}

Rozmyšlal som aj nad tymto riešenim.
Cez forward si to viem nastaviť. Forward by sa riešil cez NAT v ISP-rb až na moj MK.
Nechcem to riešiť cez forward, resp. cez NAT.
Chcem to mať všetko čiste, preto to chcem poriešiť cez Route list.
Mikrotiku sa venujem niečo cez rok.
K Route list a address list som sa ešte moc nedostal, preto by som potreboval nakopnuť, inšpirovať, alebo proste nejaku myšlienku, ako to nastaviť, čo tam treba pridať.

Bohuzial myslim, ze v tomto pripade by sa to cez route neda riesit, nakolko verejna ip je u ISP NATovana priamo na tu jednu ip adresu {10.55.53.116}, ktoru ma ten rb-ISP.

[maetoo]

Áno, podľa všetkeho je verejna IP adresa natovana priamo na jednu ip adresu, ktoru má rb-ISP.
Toto mi už viacerý potvrdili, takže to bude pravda.
Snažil som sa od ISP zistiť, prečo mi verejnu ip adresu natuje a neroutruje. Odpovede som sa od ISP nedočkal.
Myslim si, že routrovanie by bolo lepšie, ako natovanie, ale kedže sa ISP nevie vymačknuť a buď nevie, alebo z nejakych dovodov mi nechce routrovať verejnu ip adresu,
myslel som, že by som si to routroval aspoň vo svojej sieti.
Skusim teda ešte niečo vymyslieť, ako by to bolo možne routrovať, ale tak tu asi teda nie su veľke šance.

[ludvik]

Neroutuje třeba proto, že má centrální "NAT box". Neroutuje třeba proto, že se mu nechce plýtvat - buď by ti musel dát minimálně dvě, nebo by po síti ztratil spoustu adres díky nutnosti segmentace. Neroutuje třeba také proto, že má vše ve vnitřní síti řešené na privátních adresách (firewally, administraci, atp.)

[mirek.k]

Hned ve třetí reakci je nastavení FW pro NAT.
Co jej zkusit a přestat snít o routování?
Je to ověřené a funkční.
Mirek