Mirkotik: NAT a nastavení pro ISP

Jose D

  • *****
  • 850
    • Zobrazit profil
Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #15 kdy: 01. 04. 2014, 21:42:06 »
Ahoj, navrhuju nasledujici reseni jak se mikrotik naucit a pote problem vyresit:

1) nainstaluj si virtualbox
2) vytvor si vm s dostatkem portu a nainstaluj do nich routerOS
3) vytvor si 1-2 vm s tvym oblibenym operacnim systemem pro simulaci klientu
4) ve virtualboxu to prodratuj tak aby routerOS videl jednim portem do ethernetu a ostatni porty do host-only site s "klienty"

v pripravenem lab prostredi si vyzkousej:

5) zprovoznit sit mezi klienty
6) zprovoznit maskaradu z klientu do Internetu

ted uz budes mit alespon trochu tucha ktera bije, takze

7) si vyzkousej nastavit pokrocilejsi dnat a srcnat pravidla
8 ) muzes si zacit hrat s queue a pokrocilejsimi vecmi

Na tve soucasne urovni je dotaz ktery jsi polozil pro tebe neresitelny.

I zkusenemu sitari by reimplementace shapovani a analyza stavajiciho (produkcniho) prostredi trvala radove hodiny. Asi si dokazes predstavit jak dlouho by to trvalo pokud bychom to resili s tebou pres forum - a to bychom jeste narazeli na neznalosti typu rozdily mezi portem a dirkou, L3 a L4, atd - proste nemuzeme delat za tebe tvoji praci.  Co ti muzeme pomoct, je pomoct ti s ucenim, kdyz se nekde zaseknes. Ale nastudovat si to nakonec budes muset stejne sam.

Doporucuju Mikrotik wiki - je tam skoro vsechno..


Jose D

  • *****
  • 850
    • Zobrazit profil
Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #16 kdy: 01. 04. 2014, 21:56:46 »
kdo tomu více rozumí, ty lidé zde už nepracují

Pokud firmu opouští lidé kteří něco umí, tak asi měli nějaký důvod.
Dej si pozor, evidentně u vás asi něco není v pořádku.

Jak je myšleno, že "shapuju někde centrálně"? Mohl byste vysvětlit co je tím myšleno, popřípadě mě někam nasměrovat?

No časem, jako ISP budeš mít mikrotiků víc, na každém z nich bude hodně userů a CPU na AP nebude stíhat..
Pak shapování (ořezávání rychlosti) budeš dělat na nějakém dedikovaném boxu.

Čekal jsem, že se do mě pár lidí trochu naveze

No, nevím jak ti to lépe (=ne IT příměrem) připodobnit.. Jsi v situaci zednického učně v prváku který má potíže rozeznat beton od malty, ale přes fórum řeší jak postavit bytový dům..  Je pak celkem těžké nevidět přehnanou ambicioznost.., tak holt ruzni lide na to reaguji ruzne :)

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #17 kdy: 18. 04. 2014, 08:10:21 »
Díky za inspiraci. Byl opravdu dobrý nápad vytvořit si virtuální prostředí a na něm testovat různé funkčnosti. To bylo přesně to, co jsem potřeboval. S něčím si hrát a přitom nic nerozbít. :D

Mám ale dotaz, protože mi stále jedna věc, kterou potřebuji nejde. Stále se mi nepodařilo zprovoznit NAT do vnitřní sítě na kamery. Jde o to, že mám tedy veřejnou IP. A vnitřní IP kamery, kterou když zadám do IE, tak se mi spustí webové prostředí pro ovládání té kamery. Chtěl jsem udělat to, že zadám do webového prohlížeče veřejnáIP:nějaký volný port - a přesměruje mě to na lokální adresu kamery.
Na mikrotiku jsem si vytvořil tyto pravidla:

ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.112 protocol=tcp dst-address=veřejnáIP in-interface=ether12 dst-port=8020

ip firewall nat add chain=srcnat action=src-nat to-addresses=93.99.5.66 src-address=192.168.2.112

A obe pravidla mam pred masquaradou.

Mohli byste mi poradit? Děkuju. :)


Gejbriel007

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #18 kdy: 18. 04. 2014, 08:31:15 »
A naslouchá ta kamera na portu 8020? Nebo chceš udělat toto veřejka:8020 -> local:80?

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #19 kdy: 18. 04. 2014, 08:36:22 »
To druhé. Veřejná adresa:8020 - vniřní:80.

Ale ty pravdila jsem zkusil i ted zmenit, resp. to prvni na toto:

ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.112 to-ports=80 protocol=tcp dst-address=93.99.5.66 in-interface=ether12 dst-port=8020

se stejnym vysledkem.


Gejbriel007

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #20 kdy: 18. 04. 2014, 08:43:12 »
Na eth12 je ta veřejka? Co zbytek firewallu (filter), nemáš tam něco co zakazuje forward?

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #21 kdy: 18. 04. 2014, 08:58:07 »
Presne tak eth12 je verejna a ted jsem si udelal, ze jsem na FW povolil na chvili uplne vsechno. Stejne to neproslo.

M.

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #22 kdy: 18. 04. 2014, 09:35:40 »
A kudy přichází ten provoz, který chceš natovat?
Na jakém interface je ta veřejná IP je úplně jedno, dokonce v řadě případů nemusí být vůbec na nějakém iface. Ale ten zápis  in-interface=ether12 ti říká, že se uplatní pouze a jen na spojení, které do routeru fyzicky doteče přes ether12. Pokud přijde odkudkoliv jinudy, neuplatní se.

Wendy

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #23 kdy: 18. 04. 2014, 09:43:37 »
Tady je klikátko, do 100 klientů zdarma:
http://www.ispadmin.eu/cz/

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #24 kdy: 18. 04. 2014, 10:11:03 »
Provoz přichází na tom eth12, no. Vyndal jsem to, ale zadna zmena.

Na ISP admina bych potreboval server. A slo by tam nastavit NATovani? Ale radsi bych to vyresil primo na mikrotiku. Nechci na to dalsi soft.

M.

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #25 kdy: 18. 04. 2014, 12:30:51 »
Psal jsi na začátku, že tam máš Mikrobill, to je konkureční produkt k ISPadminovi. :-)

Add kamera, podíval bych se, zda v nastavneíkamery nemáš omezení odkud se dá připojit/ovládat.
Dále po pokusu o spojneí se dívej do MKčka na
/ip firewall nat print stats
Měl by jsi vidět, zda se dané pravidlo snaží použít, měl by oupnout počet packets o 1 u daného pravidla.
To vidíš přípdně i ve winboxu přímo interaktivně. Pokud stoupne při pokusu o připojneí zvenčí, tak NAT bude ais OK, pak bych hledal dál (musí být povolen i forward spojení ve filter části).
Dále máš nástroj torch ve winoxu. Tím s emúžeš dívat na interface ether12, zapnout jej na něj, dát čas agregace aspoň munutu, zapnout chytání protokolů/portů a při pokusu musíš prvně vidět, zda na ether12 dojde žádost o spojení. Pokud ano, pak by měl se projevit to nat pravdlo. Následně můžeš torchem koukat ina interface přes který jde spojení dál k té kameře, zda odchází paket se změnněnou cílovou adresou/portem.

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #26 kdy: 18. 04. 2014, 13:29:44 »
Jj, psal. Bohuzel ten Software neni instalovany odeme a je s nim nejaky problem, momentalne je odpojeny a nebudo ho chtit zprovozovat v blizke dobe a rad bych se ted ze zacatku vyhnul nejakym takovym softwarum. Chtel bych si vsechno nastavit sam. :)

Jinak, dekuji za snahu pomoci. ;)

Udělal jsem vsechny ty pokusy. Zkontroloval jsem nastaveni kamery, ale nic co by omezovalo nejak pristup jsem nenasel.
Prikladam zakladni nastaveni kamery: http://www.imgup.cz/image/CkU

A take prikladam data z winboxu. Delal jsem si statistiku a vypada to, ze jedno pravidlo to akceptuje, ale pak vubec netusim, jak to pokracuje dal, vypada to, ze se to tam zastavi.

Prikladam taky obrazek - nahore je ip firewall nat print stats a dole ten torch na port 8020

http://www.imgup.cz/image/CkJ

A opravdu děkuji za snahu. :)

M.

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #27 kdy: 18. 04. 2014, 14:08:14 »
Jo, souhlasím, že v malém je lepší si to klikat sám ručně, až se to nabalí a budu i vědět jak to funguje, tak na topustit nějakého molocha..

Tekže ten dstnat se uplatní OK. Ten srcnat v druhém řádku ne, a to je doře. Ten by se uplatnil v případě, že by kamera navazovala sama aktivně spojení směrem ven (např posílání mailu při njaké události nebo upload obrázků někam na FTP server, ...). Při příchozím spojení na kameru to přeloží ten dstnat a i správně vám vrátí pakety přo průchodu zpět.

Pokud ten obrázek ukazuje aktuální nastavení kamery, tak je problém v kameře. Chybí ti tam defualt router. Bez jeho nastavne kamera nedokáže poslat paket mimo svůj lokální segment, proto ti to z lokálu jede, pokud máš IP v prohlížečí z toho segmentu 192.168.2.
Předpoládám, že ten RB1100AHx2 je router přímo připojený k tomu segmentu 192.168.2. a má z něj nějakou IP, tka tuje třeba nastavit jako ten defualt router v kameře.

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #28 kdy: 18. 04. 2014, 14:35:33 »
Jj, uz tady nekdo psal, ze je to zbytecne kanon na vrabce. A jelikoz se v tom chci vyznat, myslim, ze tohle mi pomuze vic nez kdybych na to pouzival klikatko. :)

Udelal jsem obrazek, jaka je cesta siti k te kamere:

http://www.imgup.cz/image/Ck6

Z internetu je vstup do mikrotiku, z nej je jeden port naveden do FW ZyXel, z nej do switche a z nej do te kamery tepr.

Omlouvam se, ze tohle pisu az ted. :/

Takze prikladam i obrazek nastaveni FW.

http://www.imgup.cz/image/Cka

V NATu Firewallu jsem zakazal natovani te kamery, aby nebyly 2 naty za sebou. Ve Firewallu je vsechno povoleno, co by melo byt potreba.


S tim nastavenim default routeru na kamere jsem tedy zkousel zadat 10.0.0.1 i 10.0.0.2 i 192.168.2.1 - nic z toho mi pripojeni nezprovoznilo.

Děkuju.

M.

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #29 kdy: 18. 04. 2014, 14:44:42 »
Kamera jako bránu má mít ten Zyxel, takže 192.168.2.1.
Dále se to komplikuje. Prvně, pokud se v RB udělá NAT na tu 192.168.2.112, tak v RB musí být i nastavena routa, že segment 192.168.2.0/24 je dostupný přes 10.0.0.2 ( /ip route add dst-address=192.168.2.0/24 gateway=10.0.0.2 ). Druhá věc je, že v tom Zyxel musí být ve firewallu nastaveno, že to spojneí na 192.168.2.112 port 80 má propustit dovnitř.
Další možnost je, že v RB se udělá dst-nat na adresu 10.0.0.2 port 8020 a další NAT se nastaví v Zyxelu, který spojení na 10.0.0.2:8020 přenatuje na 192.168.2.112:80.
Jspu pak i další možnosit, záleží, co dokážeš v tom Zyxu umlátit. Já bych se snažil o to, odstat přímo tu veřejnou IP na WAN port Zyxelu a řešit to jen v něm. :-)