❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

DSTNAT na hranicnom routri s NAT

Návody a problémy s konfigurací.
maetoo
Příspěvky: 171
Registrován: 10 years ago
Bydliště: Trenčín
Kontaktovat uživatele:

Re: DSTNAT na hranicnom routri s NAT

Příspěvekod maetoo » 9 years ago

Trochu obnovim tuto tému.
Mám RBčko 750. Ether1 je WAN, Ether2 - Ether4 lan sieť a Ether 5 patrí tiež do lan siete, ale tu mám pripojeny server na ktorom mi beži služba DNS.
Ako nastaviť MK tak, aby žiadosti smerovali na DNS server, odtiaľ von na DNS servery ISP,
odtial odpoveď spať do mojho DNS servera a do počítala v lan sieti, odkiaľ požiadavka prišla.
Zatiaľ som vymyslel niečo taketo, ale zatiaľ sa mi nedari.

Kód: Vybrat vše

add action=dst-nat chain=dstnat disabled=no dst-address-list="DNS Servery" dst-port=53 protocol=udp to-addresses=192.168.111.250


Toto pravidlo zareaguje, počita packety a Bytes.
Keď je toto pravidlo spustene, lokálne počítače v sieti si snažia rozpoznať hostitela. Toho ako inak nenajdu.
Stránka sa korektne načíta až, keď toto pravidlo vypnem. Ma niekto nejake napady ako by sa to dalo riešiť?

V prílohe je screen logov, ako to vyzera, keď je pravidlo vyšie zapnute. Snaď vám skor pride na rozum nejake riešenie.
Přílohy
Log - Aktivne pravidlo DST NAT pre DNS.png
0 x

keksik
Příspěvky: 646
Registrován: 19 years ago

Příspěvekod keksik » 9 years ago

chichi, toto co tu pises.. si to totalne domotal a nepochopil danu vec.
Vsak tvoj DNs server sa dotazuje tych serverov vonku, oni mu odpovedia a on zas odopvie tvojim PC. A pravidlo presmerovania DNS portov, nielen protokolu UDP ale aj TCP, som pisal v predoslych postoch.
0 x

Majklik
Příspěvky: 1949
Registrován: 14 years ago

Příspěvekod Majklik » 9 years ago

maetoo píše:Toto pravidlo zareaguje, počita packety a Bytes.
Keď je toto pravidlo spustene, lokálne počítače v sieti si snažia rozpoznať hostitela. Toho ako inak nenajdu.
Stránka sa korektne načíta až, keď toto pravidlo vypnem. Ma niekto nejake napady ako by sa to dalo riešiť?


Takže chceš přesměrovat dotazy mířící jen na některé DNS servery z address listu "DNS Servery" na svůj DNS server? Jesltiže se ten DNS server 192.168.111.250 obrací na nějaký vnější DNS server, který je v tom senamu "DNS Servery", takmu musíš dát vyjímku. Lépe by bylo asi (aby se tvůj legální DNS server dostal ven):

add action=dst-nat chain=dstnat disabled=no src-address=!192.168.111.250 dst-address-list="DNS Servery" dst-port=53 protocol=udp to-addresses=192.168.111.250
add action=dst-nat chain=dstnat disabled=no src-address=!192.168.111.250 dst-address-list="DNS Servery" dst-port=53 protocol=tcp to-addresses=192.168.111.250

A pak, pokud používáš LAN segment 192.168.111.0/24 a klienti jsou na stejném segmentu jako DNS server, tak je potřeba i:

add chain=srcnat src-address=192.168.111.0/24 dst-address=192.168.111.250 protocol=udp dst-port=53 action=masquerade
add chain=srcnat src-address=192.168.111.0/24 dst-address=192.168.111.250 protocol=tcp dst-port=53 action=masquerade

Dle toho logu se ti ten tvůj DNS server obrací i na 192.168.111.1, což je asi ten vlastní router na kterém tuhle šaškárnu provádíš. Tak pokud to má fungovat, tak se ten router musí obracet někam ven pro DNS a ne mít nastaveno v /ip dns jako adresu i 192.168.111.250!
0 x

maetoo
Příspěvky: 171
Registrován: 10 years ago
Bydliště: Trenčín
Kontaktovat uživatele:

Příspěvekod maetoo » 9 years ago

V address liste: DNS Servery sú 2 DNS servery môjho ISP a lokálna IP adresa Mikrotiku.
Potrebujem dosiahnuť to aby, môj dns server 192.168.111.250 posielal DNS žiadosti von na DNS servery, ktoré sú v address liste.
Áno, klienti sú v tom istom lan segmente v ktorom je aj lokálny DNS server.


Moja situácia je nasledovná.
Mám RB750. Na Ether1 je pripojený kábel od ISP. Na Ether2 - Ether4 sú bežne počítače. Na Ether5 je pripojený server.
Na tomto servery je spustená služba Active Directory.
AD, pokiaľ mam správne informácie frčí tiež cez port 53 ako DNS žiadosti.
A keď chcem dosiahnuť to, aby som lokálne počítače mohli pridať do AD, potrebujem takto nastaviť môj hlavný Mikrotik router.
O DNS server ako taký sa mi moc nejedna.
0 x

Majklik
Příspěvky: 1949
Registrován: 14 years ago

Příspěvekod Majklik » 9 years ago

A není jednodušší, než násilnit to přes DSTNAT, tak nastavit ty klienty v LAN, ať se přímo obracejí na 192.168.111.250?
Pokud se konfigurují přes DHCP, který běží na tom RB750, tak v podstatě něco jako:

/ip dhcp-server network
add address=192.168.111.0/24 dns-server=192.168.111.250 domain=mojefirma.local gateway=192.168.111.1 ntp-server=192.168.111.250 wins-server=192.168.111.250

Jen to "mojefirma.local" nahradím za doménu, co mám nastavenu v AD a podle toho, zda mám i povolenu roli WINS přidám/vyhodím to wins-server=192.168.111.250
A ten windows server si nastavím, ať DNS server co neví, tak přímo forwarduje k GTSce na ty 195.168.1.2 a 195.168.1.4
I tu vlastní RB750 si nastavím, ať DNS dotazy posílá na ten Win server:

/ip dns
set allow-remote-requests=yes cache-max-ttl=30m servers=192.168.111.250

A pak nemusím dělat šaškárny s DSTNAT, pokud mermomocí nechci unášet spojení, které by zkoušel někdo dělat přímo ven. A pokud by trvala potřeba těch DNS únosů, tak se použijí ty 4 pravidla, co jsme uvedl výše a je nutno v nich mít tu uvedneou vyjímku pro 192.168.111.250, aby se jeho pokusy cylycky nevracely zpět routerem.
1 x

maetoo
Příspěvky: 171
Registrován: 10 years ago
Bydliště: Trenčín
Kontaktovat uživatele:

Příspěvekod maetoo » 9 years ago

Majklik píše:A není jednodušší, než násilnit to přes DSTNAT, tak nastavit ty klienty v LAN, ať se přímo obracejí na 192.168.111.250?


Áno. Určite to je jednoduchšie. Klasické stolové počítače som týmto spôsobom už poriešil.
Tam problém nie je. Horšie to je s notebookmi. V lan sieti im pôjde internet, ale mimo nej nie.
Preto som hľadal iný riešenie - DstNat.

Majklik píše:/ip dhcp-server network
add address=192.168.111.0/24 dns-server=192.168.111.250 domain=mojefirma.local gateway=192.168.111.1 ntp-server=192.168.111.250 wins-server=192.168.111.250

Jen to "mojefirma.local" nahradím za doménu, co mám nastavenu v AD a podle toho, zda mám i povolenu roli WINS přidám/vyhodím to wins-server=192.168.111.250
A ten windows server si nastavím, ať DNS server co neví, tak přímo forwarduje k GTSce na ty 195.168.1.2 a 195.168.1.4
I tu vlastní RB750 si nastavím, ať DNS dotazy posílá na ten Win server:

/ip dns
set allow-remote-requests=yes cache-max-ttl=30m servers=192.168.111.250


Vďaka za nápad, ako sa to da vyriešiť. Myslel som, že v Mikrotiku sa to okrem DSTNAT inak riešiť ani nedá. Preto som bol rozhodnutý to takto riešiť.

Majklik píše:A pak nemusím dělat šaškárny s DSTNAT, pokud mermomocí nechci unášet spojení, které by zkoušel někdo dělat přímo ven. A pokud by trvala potřeba těch DNS únosů, tak se použijí ty 4 pravidla, co jsme uvedl výše a je nutno v nich mít tu uvedneou vyjímku pro 192.168.111.250, aby se jeho pokusy cylycky nevracely zpět routerem.


Ak mi to bude pracovať cez DHCP server, tak ako potrebujem, určite DST NAT nebudem riešiť a nebudem trvať na DNS únosoch.
0 x

maetoo
Příspěvky: 171
Registrován: 10 years ago
Bydliště: Trenčín
Kontaktovat uživatele:

Příspěvekod maetoo » 9 years ago

Žiadne pravidla v NATe ohladom DstNat a SrcNat pre DNS som nemusel použiť.
V Mikrotiku som si nastavil DHCP a DNS ako si napísal.
Na servery som si nastavil 4 verejne DNS servery a funguje mi to presne ako potrebujem.
VĎAKA ZA RADU.
0 x