Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: David 16. 03. 2019, 12:54:36
-
Ahoj,
chci se prosím zeptat na nastavení routovaného bloku IP adres. Adresa routeru je 192.168.221.116/26 a na tuto adresu mi poskytovatel posílá přidělený blok 192.168.220.128/28.
Je moje úvaha správná, že na routeru stačí nastavit dst/src nat a bude to fungovat (+firewall)? 10.0.0.2 je IP serveru na vnitřní síti.
add action=dst-nat chain=dstnat dst-address=192.168.220.134 to-addresses=10.0.0.2
add action=src-nat chain=srcnat src-address=10.0.0.2 to-addresses=192.168.220.134
Pokud tedy používám NAT 1:1, ušetřím tím IP adresy a mohu použít všech 16 adres (/28). Je to tak?
Mě to teď nefunguje, tak hledám chybu u sebe a pak mohu podezírat poskytovatele, že ten blok neroutuje na mě.
(IP adresy jsem změnil na vnitřní 192.168., pro účely otázky je to jedno)
Děkuji.
-
Nejprve si musíte rozmyslet, zda tam opravdu chcete zbytečný NAT, nebo zda chcete tu síť normálně routovat. Nejjednodušší je samozřejmě to routování, prostě strojům ve vnitřní síti přidělíte adresy z té routované sítě, nastavíte routy na routeru a máte hotovo.
-
Ušetřím tím IP adresy, tak to budu dělat přes NAT. Přeci jen tento přímý 1:1 nepovažuji za takové zlo.
Kdybych ale ten routovaný rozsah použil, bránu z rozsahu (192.168.220.129) bych nastavil svému routeru a z pohledu poskytovatele by se nic nezměnilo, je to tak?
Mám za to, že docela chápu, co se tu děje. Jen mě mate, že mi to nefunguje. Ale trasování končí někde dřív a ne až u mě (192.168.221.116), tak snad to stačí jen donastavit u ISP.
-
Bránu z toho rozsahu nastavovat nemusíte, klidně můžete všechny přidělené IP adresy použít ve vnitřní síti. Akorát je možné, že některé programy se budou zdráhat používat „adresu sítě“, ale spíš to dělají různé utility typu ping nebo traceroute, které o konfiguraci sítě iniciativně zjišťují víc, než je potřeba.
Jestli ten rozsah ISP routuje správně ověříte snadno – na vnějším rozhraní vašeho routeru si pustíte tcpdump s filtrem na IP adresy z daného rozsahu a zkusíte na nějakou IP adresu z venku pingnout. Případně můžete zkusit jiné protokoly, třeba TCP/IP na port 80, pokud chcete mít jistotu, že ISP třeba jen neblokuje ping.
-
Děkuji za dobrý tip. V Mikrotiku lze použít Tools -> Packet Sniffer.
-
Pokud ve vnitrni siti nepotrebuji verejne adresy pouzivat windowsi stroje, da se routovat po jedne adrese. Tj. pocitace ve vnitrni siti budou mit sve obvykle privatni adresy a na routeru nastavite, ze verejna adresa 192.168.220.x/32 je routovana na 10.0.0.2.
Na stroji 10.0.0.2 pak nastavite onu 192.168.220.x/32 na dummy rozhrani (nebo loopbacku nebo bridge bez zapojenych interfacu). Jen je pak trosku slozitejsi konfigurace routovani na stroji 10.0.0.2 - default gateway na Linuxu by napriklad musela byt "default via 10.0.0.1 src 192.168.220.x").
-
Co mi přinese, když budu veřejnou adresu (192.168.220.x) nastavovat na dummy interfacu serveru? Pro přístup na server přes veřejnou adresu zvnitřku by měl stačit hairpin NAT.