Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: iRo 24. 09. 2015, 21:48:30
-
Ahoj,
Řeším jeden problém na mikrotiku, od ISP mám veřejnu IP 85.xx.xx.25, tu nastavím na mikrotiku a vše jede, vytvořím si Apache, hodím NAT na lokální IP a vše bez problému, problém nastane, jakmile chci využít další veřejné IP od ISP, 212.xx.xx.192/26
Bez jakéhokoliv nastavení spustím v terminálu script ping seznam.cz src-address=212.xx.xx.192 ping normálně projde, jakmile zadám na konci 193 nic se nestane, z venku se snažím poslat ping na 212.xx.xx.192 a neprojde, pokud pošlu ping na 85.xx.xx.25, tak to jde.
Pokud budete chtít výpis z nastavení rád poskytnu a budu strašně rád za pomoc.
Díky!
-
Zkusím tě nakopnout, kdyby to bylo málo, dohledám ti to podrobněji. Je potřeba nastavit routing mark na connection podle dst-address a nastavit víc default gateways s různým routing markem... Nemám teď žádný MK po ruce, ale kdyby to nestačilo, dohledám ti to.
-
Tak jsem zkoušel něco najít, ale vše co jsem našel, tak se řeší, že mají 2 Ethernety, já mám všechny IP v jednom :-\ Budu rád, když mi něco nadhodíš, při nejhorším bych poskytl Mikrotik z veřejné IP
-
jinak je to tím, že normálně funguje pouze jedna default gw, pokud je v síti 85 aktivní, ping na adresu 85 projde, ale ping na adresu 212 se vrátí zpět přes GW z adresy 85. Takže protistana pošle paket na 212, mikrotik mu odpoví, ale z adresy 85, což samozřejmě protistrana nerozchodí (pokud jí nevnutíš ignorování tohoto stavu, což je defaultně zakázaný a samozřejmě globálně nepoužitelný, protože protistranu si asi ne vždy konfiguruješ sám)
-
Nastavuješ to přes co? Winbox, webfig nebo konzole?
-
Winbox
-
Když jsem to "nějak" nastavil, tak CMD mi hlásila, že .25 nezná tuto adresu, teď to píše Request timed out.
-
Ještě jak je to s tou sítí 212? na 212.x.x.192 by měla být adresa sítě, jakou adresu má brána té sítě u providera? Předpokládám 193.
-
Tu IP 85.xx.xx.25 máš na nějakémm wan portu k ISP. Ty daší IP 212.xx.xx.192/26 máš přidělený celý blok? Pak ti ho isp bude asi routovat na tu 85.xx.xx.25.
A defualtně ti budou z Mk fungovat jen ty IP z toho bloku, které přidáš na nějakou síťovku.
-
212.xx.xx.192/26, dle dohody je nasmerovany na stavajici IP adresu 85.xx.xx.25.
DNS servery: 212.xx.xx.3, 85.207.xx.85
Tohle mi poslal ISP, je to jak píšeš, routuje to na tu 85
-
ip firewall mangle add chain=prerouting dst-address=212.0.0.192/26 connection-state=new action=mark-connection new-connection-mark=dalsiipcon passthrough=yes
ip firewall mangle add chain=prerouting connection-mark=dalsiipcon action=mark-routing new-routing-mark=dalsiiproute passthrough=yes
ip route add dst-address=0.0.0.0/0 gateway=212.0.0.193 routing-mark=dalsiiproute
asi takhle snad... první řádek označí novej connection jako dalsiipcon, druhej řádek všechno označené dalsiipcon označí pro routing jako dalsiiproue a poslední řádek ořidá druhou výchozí bránu, ale pouze pro označené dalsiiproute.
-
aha, tak zpět, nic neřeš, jenom si nahoď libovolnou adresu z 212 s maskou /32 na wan a musí to fungovat. Klidně si tam těch adres dej víc, aby bylo na co pingat. Takže do IP adres přihoď 212.x.x.192/32, 212.x.x.193/32 atd. Až je budeš posílat natem dál, nemusíš je mít na tom interface nahozený vůbec, ale teď na testy je to lepší.
-
nebo jestli se nebojíš,
1. nastav si provizorní heslo
2. pošli mi skutečné IP a heslo
3. dej mi pár minut
4. podívej se jak je to nastavený
5. resetni MK do defaultu a nastav si to celý znova, včetně jinýho hesla
body 1 a 5 jsou velmi důležitý, abys nemusel potom při každým problému řešit, jestli jsem si tam neudělal nějakej backdoor a nedělám ti tam bordel :D
-
Nastavil jsem to první co jsi psal, nešel ping, ale NATování šlo (pak jsem to smazal), poté jsem hodil ty adresy přímo do IP Addresses (toto nastavení jsem dělal asi 100x a žádný ping), mezitím jsem ještě kontaktoval ISP, žádná odpověď, jenom to, že si ISP email přečetl, takže teď jdu do IP Addresses -> hodím tam IP 212.xx.xx.193/26 na WAN1 poté 212.xx.xx.194/26 na WAN1 hodím ping a ejhle ono to jde, takže jsem na to šel celou dobu dobře a akorát jsem marnil tvůj čas :/ Ale i tak díky moc za pomoc.
Jediné co teď nejde je 192, ještě Ti hodím jeden dotaz, když přidávám ty adresy do IP Addresses, tak mi to funguje i bez ip/26 čistě zadám IP a hned jede ping.
http://screenshot.cz/269G4/ (http://screenshot.cz/269G4/)
-
pokud ji dáš bez /26, je to jako /32, to znamená jedna jediná adresa v síti bez adresy sítě a broadcastu. Nastav si tak všechny a mělo by se rozjet i to 192, takhle to má právě problém, že 192 je adresa sítě a chování je asi celkem nedefinovaný.
-
Ještě jednou Ti mockrát děkuji, máš u mě pivo a panáka, pokud jsi z Prahy, máš ho zítra :)))
-
Pivo a panáka si nech, za prvé nejsem z Prahy a za druhé jsem rád, že můžu pomoct zadarmo :-D A ta 192 už jede?
-
192 jede, ale nejde ping, hodil jsem tam NATku na Apache2 a zobrazí se index v pořádku, ale tak ping vem čert, v té sítí mám maškarádu a ta ukazuje na 85.xx.xx.25, teď normálně můžu vytvořit maškarádu pro ty sítě 212.xx.xx.xx? nebo to vždy bude ukazovat tu 85?
Díky moc.
-
Na maškarádu se vykašli, ta je vždy podle GW, pokud tam je víc sítí, dej na to src nat. Maškaráda bude maskovat vždy za tu 85ku
ip firewall nat add chain=srcnat src-address=10.10.10.10 out-interface=WAN action=src-nat to-addresses=212.xx.xx.195
přičemž 10.10.10.10 nahradíš vnitřní privátní adresou serveru a 212.xx.xx.195 jakoukoliv z té sítě.
dstnat předpokládám máš v pořádku, když se na ten server dostaneš.
-
Ještě jsem zapoměl, dej to před tu maškarádu a vypni tomu passthrough
-
Super, fakt díky moc!!! Jsi nejlepší :)))))
Jinak, teď to vypadá takto https://ctrlv.cz/yzVm (https://ctrlv.cz/yzVm) připojil jsem se na virtuál, dal whatismyip.com a funguje to bezvadně
-
Už jenom jestli je to opravdu dostupné i zvenku, ale s tím už by snad být problém nebyl.
Jinak nemáš zač, Mikrotiky mi celkem chybí a rád zavzpomínám, hrál jsem si s nima hodně let a teď už řeším routery jen na Linuxu :D
-
Z venku jsem to otestoval tak, že jsem si hodil NATku na Apache a normálně se dostanu, ještě jsem poprosil kamaráda, jestli to uvidí taky a viděl :)
Teď si ještě otestuji pár portů jestli to všechno skutečně jede, chci si udělat jeden testovací server - takové VPS, na MK stačí nastavit TCP a UDP port 0-65535 z veřejné IP na lokální IP, pokud někdo zadá veřejnou IP s portem např. 9987, tak ho to bez problému pustí ne? :)
-
Když nezadáš žádný porty, tak směruješ všechny.samozřejmě by bylo lepší to pořešit buď jen dstnatem používaných portů, nebo spíš přehlednější bude nahodit klasickej FW na forward.