Ahoj,
mam dve lokality spojeny IPsecem (A: 192.168.88.0/24, B:192.168.0.0/24), to je v pohode, taffic prochazi.
Nyni bych potreboval vyresit sutuaci, ze kdyz pristoupim na verejku na lokalite A a port treba 9999, tak aby se mi to prohnalo tim IPsecem na stanici ktera je v lokalite B na port 80.
Je to vubec resitelny?
Diky!
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Přístup přes IPsec do jiné lokality
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
Přístup přes IPsec do jiné lokality
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
to je stejne jako jsi resil tady: viewtopic.php?f=5&t=21370&p=198676#p198676
akorat je potreba v mangle pridat ty porty
ale na vic v te lokalite B (routeru) bude muset byt DST NAT ze 9999 je 80 pro tu stanici
akorat me je divne kde natujes na Verejky? Protoze kdyz se s A zeptam na verejku a nekde nahore budu mit NAT 1:1 do lokality B, tak prave zde bych mel mit navic pravidlo ze 9999 je PC B s portem 80
akorat je potreba v mangle pridat ty porty
ale na vic v te lokalite B (routeru) bude muset byt DST NAT ze 9999 je 80 pro tu stanici
akorat me je divne kde natujes na Verejky? Protoze kdyz se s A zeptam na verejku a nekde nahore budu mit NAT 1:1 do lokality B, tak prave zde bych mel mit navic pravidlo ze 9999 je PC B s portem 80
0 x
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
hocimin1 píše:to je stejne jako jsi resil tady: viewtopic.php?f=5&t=21370&p=198676#p198676
akorat je potreba v mangle pridat ty porty
ale na vic v te lokalite B (routeru) bude muset byt DST NAT ze 9999 je 80 pro tu stanici
akorat me je divne kde natujes na Verejky? Protoze kdyz se s A zeptam na verejku a nekde nahore budu mit NAT 1:1 do lokality B, tak prave zde bych mel mit navic pravidlo ze 9999 je PC B s portem 80
Každá lokalita přistupuje na net pres svoji verejku.
Tzn verejka je nastavena vždy na WAN kazdyho routeru a udělaná maskarada.
Původně byl server na který potrebuju přistupovat v lokalitě A a ted se musel dat do lokality B. A je nemožný objet 100 lidi a měnit jim IP adresu. Takze to je primární důvod.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Testni, jestli už dali dohromady double NAT pro tento případ, před časem to rozbili. Takže na routeru v lokalitě A uděláš naráz dstnat (na tu druhou stranu skrz tunel) i srcnat (nahradíš zdrojovou IP nějakou lokální, takže všechny přístupy z internetu budou vystupovat z té lokální IP). Nicméně toto před časem rozbili, nešlo zkombinovat IPsec tunel, src a dst nat v jednom routeru, tak jsem to ojebal malým metarouterem, který provedl to obrácení do tunelu. Vlastní router udělal dstnat do svého matarouteru, metarouter udělal příslušný dst i srcnat na druhou stranu a šlape to tak dosud někde a neměl jsem důvod na to už sahat (na věci, co člověk nastavoval uprostřed víkendové noci v metal klubu po sedmém pivu je lepší se už nedívat, pokud fungují). 
Blbosti typu policy routing a mngle na tohle neplatí, protože IPsec pravidla mají prioritu...
Blbosti typu policy routing a mngle na tohle neplatí, protože IPsec pravidla mají prioritu...
0 x