Průchod veřejné adresy přes Mikrotik

[gringo]

V současné době řeším dost velký problém. Mám RB433, který provádí DSTnat z veřejné adresy, kterou nám dodává poskytovatel, na několik podsítí neveřejných adres, které používáme v naší síti. Tudíž například veřejná adresa 1.1.1.1 je překládána na 192.168.1.0/22, 192.168.8.0/21 atd. Jak mám nastavit ip adresu, případně firewall, když potřebuju v naší neveřejné síti mít veřejnou adresu 1.1.1.2? Našel jsem někde návod na SNAT/DNAT veřejné na neveřejnou, ale já potřebuji mít přimo u koncového zákazníka veřejnou adresu.

Děkuji za všechny reakce a návrhy řešení

[DRAKK]

Pokud NATujes jen na te prvni IP, tak pouzij ten srcnat. Jinak tam musis pouzit cely rozsah /30, tj. 4IP adresy.

[basty]

myslim ze je to celkem zbytecne aby mel zakaznik primo verejnou, pokud nemas nejakou velkou sit a hodne verejnych adres. Je hodne zpusobu, treba ppptp kde mu na serveru priradis verejou, nebo tunelem, ale asi nejlepsi je opravdu ten src a dst nat. chova se to skoro uplne stejne jako kdyby ji mel primo.

[Leeonek]

V současné době řeším dost velký problém. Mám RB433, který provádí DSTnat z veřejné adresy, kterou nám dodává poskytovatel, na několik podsítí neveřejných adres, které používáme v naší síti. Tudíž například veřejná adresa 1.1.1.1 je překládána na 192.168.1.0/22, 192.168.8.0/21 atd. Jak mám nastavit ip adresu, případně firewall, když potřebuju v naší neveřejné síti mít veřejnou adresu 1.1.1.2? Našel jsem někde návod na SNAT/DNAT veřejné na neveřejnou, ale já potřebuji mít přimo u koncového zákazníka veřejnou adresu.

Děkuji za všechny reakce a návrhy řešení

To že potřebuje někdo přímo veřejnou ip adresu je rozmlsanost a nebo blbost člověka který tomu moc nerozumí, někde si přečetl že je to lepší a tak to chce. Udělej mu tam nat a hotovo.

[basty]

jasne presne tak... je to naprosto stejny navenek ji bude mit, a z venku taky... akorat kdyz to nekdo tracertne tak tam bude pocet skoku co to k nemu je prset, ale na konci bude ta jeho...

[kvnetkvnet]

ono nekdo potrebuje verejnou treba z toho duvodu ze je firemni zakaznik, ma tam nejaky CISCO prvek pres ktery mu jede VPN a kdyz tomu CISCU chces dat jinou IP nez verejnou tak te posle nekam...

reseni je jedine> proroutovat /30 az ke klientovi

[Leeonek]

ono nekdo potrebuje verejnou treba z toho duvodu ze je firemni zakaznik, ma tam nejaky CISCO prvek pres ktery mu jede VPN a kdyz tomu CISCU chces dat jinou IP nez verejnou tak te posle nekam...

Hmmm, to zní logicky, takže v případě že si nekde koupím cisco řešení na vytvoření vpnky někde na vnitřní síti tak mám smůlu? :)) Jako vtip dobré, myslím že cisco je zařízení jako každé jiné a že mu rozhodně nevadí vnitřní ip adresa. Ve firmě ve které jsem pracoval dříve byla spousta switchů a routerů, hodně z nich pracovalo jen s vnitřníma rozsahama a vůbec jim to nevadilo. Pokud je tady gringův klient člověk jako Ty, nedivím se že si vydupává venkovní ip adresu :) Ale jinak máš pravdu, je to prostě lepší, líp to vypadá když je na zařízení venkovní ip ale bohužel žádný jiný efekt to nemá než že spotřebuješ 4 venkovní ip

[gringo]

Takže děkuji všem co mi odpovědeli za jejich odpověď a ještě teď trošku poupravím zadání. Nový problém je takovýto: jedná se "téměř" o to stejné. V rámci lepší optimalizace rozdělování konektivity jsem přistoupil ke spojování našich menších sítí do jedné obrovské sítě. Na hlavním MT mám nastavený rozsah 192.168.8.0/21 a ten teď používám. Ve stávajících lokalitách bylo 192.168.1.0/24 , 192.168.2.0/24 a 192.168.3.0/24. Spousta malých rozsahů, jelikož můj předchůdce sítím vůbec nerozuměl. Při připojení jedné menší sítě došlo na hlavním MT k zaplnění rozsahu 192.168.1.0/24. Tudíž řeším, jak nastavit na MT na druhé malé síti, na kterém je v současnosti NAT z veřejné adresy, aby nedocházelo ke kolizi adres. Jedinou možností, která mě napadla, je ponechání NATu a pomalá readresace každého zákazníka. Jenže ta readresace je nutná pouze u rozsahu 192.168.1.0/24. U rozsahu 2.0 a 3.0 není nutná. Je nějak možné aby NAT zůstal pouze u rozsahu 1.0 a u zbylých dvou rozsahů nedocházelo k NATU? Tudíž aby prošel až na hlavní MT? Defakto jde o to jak naroutovat 2.0 a 3.0 do sítě.

POZN: MT je vsude v nejnovejsich verzich.