DSTNAT na hranicnom routri s NAT

[keksik]

Ahoj,
poprosim ak niekto vie pomoct s tymto -

Pre siet mam jeden hranicny router s MK, kde sa robi NAT aj QoS. Potrebujem poradit ako nastavit funkcne dst-nat pre IP adresu a zariadenie vo VNUTORNEJ SIETI.
Nemysim klasikcky dst-nat co spristupni zvonka z internetu zariadenie vnutri siete cez verejnu IP, toto neriesim.
Riesim DNS server vo vnutornej sieti s vnutornou IP adresou.

hranicny router ma na LAN 192.168.10.1/24 a DNS server ma 192.168.10.10/24 a jego gw 192.168.10.1

pre tento pripad toto nefunguje:
chain=dstnat action=dst-nat to-addresses=192.168.10.10 to-ports=53
protocol=tcp dst-port=53 log=no
log-prefix=""

Funguje tento dst-nat len ked je to nastavene na routri pred edge routrom, kde sa nerobi NAT.

Takze by som potreboval nejaku fintu ako to spojazdnit na routri kde sa aj NAT von do netu robi (nie je tam masquerade ale src-nat).

Ja viem, mam si nastudovat traffic flow graf toku paketov v strukture MK,ale .. mam na to malo buniek to pochopit.

Dakujem.

[kuba]

DNS pouziva prevazne UDP, ne TCP. Pak tam muze byt jeste jeden problem, pokud na paketu neni proveden srcnat. Cilova adresa se prelozi, paket odejde na DNS (pokud neni odfiltrovan jinym pravidlem), to by bylo v poradku. DNS ale odpovi primo na IP klienta a paket neprojde connection trackingem na hranicnim routeru, takze klientovi prijde z jine IP nez by mel a ten ho ignoruje. Je potreba pridat zhruba neco takoveho:

chain=srcnat action=masquerade dst-address=192.168.10.10 protocol=udp dst-port=53

[ludvik]

a) dns je udp i tcp.

b) sám si počkám, až to někdo pochopí. Proč ve vnitřní síti provádět NAT? Nechápu ... K tomu ještě luštění slovenštiny bez diakritiky a jsem v koncích.

[keksik]

Nuz, protoze ve vnitrni siti mam svuj DNS sever. A klienti maji ruzne nastavene DNS ve svych PC/routrech, tak tenhle NAT portu 53 smeruje DNS pakety na konkretni IP DNS servera v lokalni siti. Kdyby to byl DNS venku v internetu , neni problem. Pokud sa to dst-nat provadelo na routru pred hranicnym routrem taky to bolo ok.

Ted je problem, kdyz chci to pravidlo pouzit na hranicnim routru, na kterem bezi NAT von do Internetu.
chain=dstnat action=dst-nat to-addresses=192.168.10.10 to-ports=53 protocol=udp dst-port=53


Prispevek s masquerade je nejakej naznak, no che to dotahnou do konce, v te podobe jak to bylo nacrtnuto to nejede.

[kuba]

a) dns je udp i tcp.

To samozrejme, ale pres TCP prijde tak jeden dotaz z milionu.

Prispevek s masquerade je nejakej naznak, no che to dotahnou do konce, v te podobe jak to bylo nacrtnuto to nejede.

Nic dalsiho me nenapada. Potrebovali bysme videt zbytek firewallu ..

[keksik]

a) dns je udp i tcp.

To samozrejme, ale pres TCP prijde tak jeden dotaz z milionu.

Prispevek s masquerade je nejakej naznak, no che to dotahnou do konce, v te podobe jak to bylo nacrtnuto to nejede.

Nic dalsiho me nenapada. Potrebovali bysme videt zbytek firewallu ..

Tam niet co spekulovat. Okrem blbiniek nemaju ci na danu vec vplyv je tam NAT pre vyzstuo do Internetu (ip dole je vymyslena)

chain=srcnat action=src-nat to-addresses=34.23.11.10 out-interface=ether1-WAN log=no log-prefix=""

Cize klientova poziadavka na DNs sluzby na porte 53, (klient ma cokolvek v nastaveni polozky DNS IP na svojom PC, napr. aj blbost ako napr. 1.1.1.1), je na tom routri presmerovana na 192.168.10.10 a ma sa mu vratit odpoved. No v tomto pripade sa nevrat.

tu je nacrt kedy to funguje v pohode:

[Majklik]

Jednak bych ty dst-nat pravidla použil dvě, jak pro UDP , tka i pro TCP.
A druhák je možná problém v tom, že takto zadané ti to brání tomu, aby se ten DNS server dostal ven a provedl překlad. Sice klienta z LAN, který jako DNS použije 1.1.1.1, přesměruješ na 192.168.10.10, ale to pravidlo cyklicky zpět přesměruje i dotazy od 192.168.10.10, kterými se bude snažit spojit někam ven, aby resolving provedl. Takže by bylo vhodné ty pravidla doplnit o vyloučení toho vlastního DNS serveru, cca:
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 in-interface=!ether1-WAN protocol=udp src-address=!192.168.10.10 to-addresses=192.168.10.10
add action=dst-nat chain=dstnat dst-port=53 in-interface=!ether1-WAN protocol=tcp src-address=!192.168.10.10 to-addresses=192.168.10.10
A pak bude i problém, pokud takto převrátíš zpět i jiné klienty ze segmentu 192.168.10.0/24, pokud tma jsou, tak to také nebude fungovat pro ostatní IP v 192.168.10.x. Pro ty musíš použít ještě i srcnat (viz: http://wiki.mikrotik.com/wiki/Hairpin_NAT ).

[ludvik]

Jenom bych dodal, že krást někomu DNS spojení je prasárna. Možná tím rozbiješ víc věcí, než spravíš.
Mimochodem stačí, aby si klient hlídal, odkud mu přišla odpověď ... se stavovým firewallem běžná věc.

[keksik]

Jenom bych dodal, že krást někomu DNS spojení je prasárna. Možná tím rozbiješ víc věcí, než spravíš.
Mimochodem stačí, aby si klient hlídal, odkud mu přišla odpověď ... se stavovým firewallem běžná věc.

Ok, ten nat nebudem riesit, ak mi prosim ta poradis ako to spravit, ked tisicka klientov ma historicky nastavenu istu IP DNs servera, ale teraz sa adresa DNS severa zmenila. Co teraz? Dik.

[ludvik]

Řešit se to mělo zavčasu. Upozorňovat na změnu. A pak prostě vypnout. Změní si to dost rychle. Správný klient má ovšem minimálně dva DNS servery ... tomu to bude jedno, pravda.
Pokud se nepoužívá DHCP, musí být adresy DNS stabilnější, než atom olova ... tak to prostě je.

A nebo menší prasárnu. Použít přímo tu původní adresu. Pokud tedy na ní neběží něco jiného důležitého. A připravit lidi na vypnutí. Po nějakém čase tam dát záznamy pro seznam, google, facebook a youtube a přesměrovat si je někam k sobě, aby si lidi mohli přečíst, že si to nezměnili ...

Ono by ti pomohl nejspíš i ten NAT. Prostě musíš provést DST-NAT na novou adresu (ale specifikovat dost přesně, viz Majklik) a také zpětně SRC-NAT a to pokud možno právě na tu původní adresu.

[ludvik]

Autor uvedl právě jen TCP. Kromě toho, v dnešní době DNSSEC je to možná obvyklejší přes TCP, než by člověk čekal ... I když statistiku jsem si nedělal.

a) dns je udp i tcp.

To samozrejme, ale pres TCP prijde tak jeden dotaz z milionu.

[keksik]

Autor uvedl právě jen TCP. Kromě toho, v dnešní době DNSSEC je to možná obvyklejší přes TCP, než by člověk čekal ... I když statistiku jsem si nedělal.

a) dns je udp i tcp.

To samozrejme, ale pres TCP prijde tak jeden dotaz z milionu.

Jasne ze cez UDP to ide takmer vsetko. To bol len priklad... jasne ze praidla robim pre oba protokoly.
Ok, srdecny dik, poskusam.

[keksik]

Nakoniec som to vyriesil genialne
Ten dst-nat som nastavi na IP LAN toho edge routra, spustil som na tom routri DNS server Mikrotiku, kde som ako prvy dal svoj DNS a za nim dalse tri free DNS.
Fici to ako dive, a je to aj pekne zalohovane.

[kuba]

V tom pripade zase pozor na DNS amplification utoky, prichozi spojeni z internetu na DNS bys mel blokovat, jinak ti tam bude za chvili litat hromada zbytecnych paketu.

[keksik]

V tom pripade zase pozor na DNS amplification utoky, prichozi spojeni z internetu na DNS bys mel blokovat, jinak ti tam bude za chvili litat hromada zbytecnych paketu.

Jaj. Doslaka, Dakujem.

toto by malo stacit

filter add chain=input action=accept connection-state=established,related
filter add chain=input action=drop in-interface=wlan1-gateway