Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Rumano 19. 12. 2017, 19:36:08
-
Dobry den
poradi niekto, router ma funkcnu neverejnu IP od ISP a potrebujem verejnu IP presmerovat na zariadenie na LAN. Ostatne zariadenia ale musia vystupovat pod prvou neverejnou IP, ktoru ma router na WAN porte.
Pre lepsiu predstavu moze to byt situacia, ked router ma verejnu IP a na zariadenie na LAN potrebujem presmerovat dalsiu verejnu IP. Viem, ze to tak funguje, kamarat v CR ma internet od O2, ma zakupene 2 verejne IP a druhu IP zadal priamo do zariadenia na LAN. Nastavuje sa to cez routrovaciu tabulku?
dakujem
-
Chyba tu funckia editovania prispevku.
Alebo to kamaradovi funguje len preto, ze ma 2 verejne adresy vedla seba, a ak by mal verejnu a neverejnu nepojde to?
dakujem
-
A myslis, ze mame vestit z kristalove koule nebo jak?
Sice vlastne vubec nerozumim dotazu, ale myslim, ze to zalezi na tom jaky budes mit zarizeni - modem/router a mozna trochu zalezi jak to ma nastavene provider. Mam jednu verejnou IP a v routeru nastavene smerovani portu na konkretni porty konkretnich zarizeni v siti (a ty maji nastaveny DHCP reservation).
-
Tak ted nevim, ale ma ten router jednu neverejnou adresu nebo dve verejne? Obrazek s popisem by nebyl? Staci fixou na papir a vyfotit.
-
Na routu nastavit routu a na zarizeni fixne adresu. Pripadne povolit adresu ve firewallu, jeli na routeru pritomen.
-
Na routu nastavit routu a na zarizeni fixne adresu. Pripadne povolit adresu ve firewallu, jeli na routeru pritomen.
Tak jestli nema verejnou adresu, tak by tu rouru musel nastavit jeste tak na padesati dalsich routerech, ke kterym nema adminsky pristup.
-
- router viem nastavit aj do neverejnej aj verejnej IP (cize mam 2 adresy od ISP). Ja by som chcel mat neverejnu IP ako hlavnu a verejnu iba na 1 zariadeni.
- ako som pisal, toto nie je otazka ohladom presmerovania portov, ak to niekto napisal, necital 1. prispevok
- pisal som, ze viem, ze ak su 2 verejne IP, tak to funguje, vsetky zariadenia na LAN maju 1. verejnu IP a jedno zariadenie ma 2. verejnu IP. moj pripad je verejna a neverejna, to je ale jedno, rozdiel je v tom ze pozadovane 2 adresy nemaju rovnaku masku a gateway, ak to je dolezite
- je jedno aky mam router, staci mi univerzalne napisat ako sa toto riesi
dakujem
-
ISP davaji bezne neverejne IP adresy. Celkem bezna praxe tech mensich. Vy se musite domluvit s ISP, aby vam dal verejnou IP - a on udela to, ze na jeho brane nasmeruje veskery provoz z nejake jeho verejne IP na vasi (jejich) neverejnou IP. A je hotovo. Cela vase domaci sit (vsechno za routerem) bude pak vystupovat pod tom verejnou IP. Pokud chcete aby jen neco vystupovalo na te verejne, pak si nechte od ISP (otazka jestli vam to udela) presmerovat jen port jeden nekam k vam na nejaky port, ale samozrejme to uz je nejake nastaveni u nich na brane a ne vzdy vam to musi poskytnout (ale neni to problem), nechate si z nejake jejich verejne presmerovat port 44444 na vas port 88888 a pak uz si to osetrite na vasem routeru domacim. Jine reseni neexistuje - teda jinak, alespon o zadnem jednoduchem nevim.
-
- je jedno aky mam router, staci mi univerzalne napisat ako sa toto riesi
dakujem
Jak uz jsem psal, na routeru nastavit routu a na zarizeni pevne danou verejnou adresu. Dale pripadne upravit firewall aby adresa nebyla natovana a bylo povelena z venku.
-
...
Tvle, a ten obrazek by byl?
OK, zkusim to za tebe
prvIP
pubIP
------------------
router
------------------
LAN
Jestli je to takhle a tu pubIP mas jednu, tak jedina cesta jak to dostat na libovolny interni zarizeni je ... NAT. Pokud bys hypoteticky chtel mit verejny IPcko primo na internim zarizeni, tak musis mit pridelenej rozsah IPcek (nejmin 4 = /30, ale vyuzitelny z toho sou pak dve) a pokud by tvuj provider by extremni prasodobytek, tak by se ten rozsah dal z jeho strany naroutovat na privatni ip tvyho routeru. V aspon trochu normalni siti bys musel mit jeste dalsi verejny IPcko na routeru zvenku = ve skutecnosti bys mel minimalne 8IPcek.
Pak bys jednu z tech dvou vyuzitelnych adres musel dat zevnitr tomu routeru a druhou tomu kyzenymu zarizeni.
NATovat na privatni IP od providera je prasarna nejvyssiho radu, rekni tomu debilovi at ti tech ipcek da rozsah a ty si naroutujes.
-
Vy se musite domluvit s ISP, aby vam dal verejnou IP - a on udela to, ze na jeho brane nasmeruje veskery provoz z nejake jeho verejne IP na vasi (jejich) neverejnou IP.
ja som to uz pisal a nikto to nechce pochopit :( ja mam funkcnu neverejnu aj verejnu IP. jednoducho mam zaplatenu verejnu IP a povodna neverejna stale funguje. Mam priamo verejnu IP, nemam NATovanu verejnu IP.
Jak uz jsem psal, na routeru nastavit routu a na zarizeni pevne danou verejnou adresu. Dale pripadne upravit firewall aby adresa nebyla natovana a bylo povelena z venku.
s tym nastavenim routovacej tabulky mam prave problem, da sa konkretne poradit ako?
Tvle, a ten obrazek by byl?
OK, zkusim to za tebe
prvIP
pubIP
------------------
router
------------------
LAN
Jestli je to takhle a tu pubIP mas jednu, tak jedina cesta jak to dostat na libovolny interni zarizeni je ... NAT. Pokud bys hypoteticky chtel mit verejny IPcko primo na internim zarizeni, tak musis mit pridelenej rozsah IPcek (nejmin 4 = /30, ale vyuzitelny z toho sou pak dve) a pokud by tvuj provider by extremni prasodobytek, tak by se ten rozsah dal z jeho strany naroutovat na privatni ip tvyho routeru. V aspon trochu normalni siti bys musel mit jeste dalsi verejny IPcko na routeru zvenku = ve skutecnosti bys mel minimalne 8IPcek.
Pak bys jednu z tech dvou vyuzitelnych adres musel dat zevnitr tomu routeru a druhou tomu kyzenymu zarizeni.
NATovat na privatni IP od providera je prasarna nejvyssiho radu, rekni tomu debilovi at ti tech ipcek da rozsah a ty si naroutujes.
obrazok 'by byl' len neviem co tam nakreslit :D ako som pisal vyssie mam povodnu neverejnu IP a verejnu IP, kedze nie je NATovana, nastavujem si ju priamo na svojom routeri, ale stale funguje aj povodna neverejna.
myslim, ze tvoja odpoved to vysvetluje, preco poznam pripad kde su 2 verejne IP za jednym routerom - lebo su dve a su obe z jedneho rozsahu. Len som chcel vediet ci to pojde aj v kombinacii neverejna/verejna ale podstatne je zrejme to, ze musia byt z jedneho subnetu.
daakujem vsetkym
-
Když v prohlížeči jdete na https://who.is/ ... jakou Vám to vypíše adresu? Aneb i když máte nějakou privátní adresu, na internetu byste měl být vidět jinak ...
-
ja som to uz pisal a nikto to nechce pochopit :(
Ale my tě chápat chceme, jen ty nechceš pochopit, že podáváš nesmyslné, protichůdné a podivné informace a navíc chceš jak to vypadá dost nezvyklou věc.
1. Na routeru záleží, je možné, že to tvé zařízení vůbec nezvládne, protože to je nějaká klikací krabička s web rozhraním, které má možnosti nastavení velmi omezené
2. Žádali tě tu o obrázek, kdybys ho dodal, zpřesnilo by to všem představu co vlastně myslíš, protože ačkoli si myslíš, že dáváš jasné podklady, tak opak je pravdou, dodáváš dost bídné informace a pokoušet se ti radit je jako zkoušet poslepu trefit terč
Jestli chápu tvůj požadavek správně, tak chceš aby tvůj router měl neveřejnou adresu přidělenou od ISP a zařízení za routerem aby mělo veřejnou IP, kterou máš taky od ISP. Bohužel se bráníš neustále tomu, dodat náčrtek nebo zpřesnit informace, protože nevíme, jak se ten provoz z veřejné IP dostane do toho privátního rozsahu, tudíž ani nevíme, jak ti poradit jak takový provoz směrovat do tvé sítě za routerem na konkrétní zařízení. Také nevíme jaký máš router, zda to vůbec na něm půjde nastavit atd. Ti kdo rozumí sítím vědí, že je mnoho možností jak to je uděláno a proto se i rada jak to udělat podle toho liší. Takže dodej informace a když ne, tak můžeš doufat, že z těch možností to někdo možná trefí stejně jako výhru ve Sportce a třeba řešení dostaneš.
-
No a v čem je vlastně problém? Neřeš veřejná/neveřejná. Ty adresy jsou si z hlediska routingu rovnocenné. Prostě pokud potřebuješ jednu z těch adres někde dál v síti, tak ji nebudeš dávat na interface Tvého routeru, ale nastavíš zářez do routovací tabulky, aby router věděl, kam má paket s takovou dst adresou poslat dál.
Jak takový routovací zářez udělat, se dozvíš z dokumentace ke Tvémou routeru.
-
pokud nejsi schopnej to ani vizualizovat, dokazat si to predstavit a pomoci primitivniho obrazku vyjadrit, tak vlastne ani nechapes co chces
-
Zalezi hlavne na tom jakou IP adresu vidis zde http://www.whatismyip.cz/ (http://www.whatismyip.cz/) pokud verejnou IP tak s tim nic neudelas, jedine po domluve s poskytovatelem, pokud vidis neverejnou nestacil by klasicky portforward na routeru? Ja to mam podobne, od poskytovatele jsem dostal verejnou IP, na svem routeru jsem si musel zmenit lokalni IP na jinou, nastavil portforward a vse OK. Kouknu jak se hlasim ven a mel jsem NAT IP poskytovatele. Tak jsem si psal s technikem, ten mi poslal nastaveni PPTP tunelu do ktereho se musim pripojit abych se ven hlasil svoji verejnou IP WTF1.0 . V tunelu mi padl internet z 60/60 na 20/20..WTF2.0.. tunel jsem vypl a jedu na 2 IP pri serfovani a veskere cinnosti si uzivam "anonymity" NATU poskytovatele a co potrebuju zenu pres verejnou IP.
-
podla toho co pises ze mas jednu privatnu a jednu verejnu adresu a obe su "funkcne" mi vyplyva ze LAN traffic je NATovany na privatnu IP ktoru mas na WAN a tato privatna IP je potom niekde dalej este raz NATovana na verejnu na ISP zariadeni.
to co chces dosiahnut je normalna vec a nezalezi ci dane dve IP su na rovnakej sieti alebo nie, ono dost zalezi ake mas zariadenie a ako velmi je konfigurovatelne (cisco to asi nebude)
cize tvoj LAN rozsah bude stale dynamicky NATovany na privatnu WAN adresu a pre specificke zariadenie v LAN urobis staticky NAT 1:1 -> verejna adresa na privatnu adresu serveru v LANke.
-
Síťování moc nerozumím, ale dle mě by to zas takový problém být neměl. Vnější rozhraní routeru má neveřejnou adresu z natovaného rozsahu poskytovatele. Na poskytovateli je, aby věděl, která to je (staticky dohodnuto nebo pomocí DHCP client), a aby směroval pakety pro zmíněnou veřejnou adresu na tento router (jeho vnější rozhraní s neveřejnou adresou). Samotný router musí mít nastavenou cestu (route) do vnitřní sítě pro tuto veřejnou adresu, a to jako podsíť o velikosti /32 na portu s daným zařízením. A v tom bude asi právě ten frk, zda má router oddělené porty (dobré), nebo jsou všechny na jednom blbém switchi (špatné), tj. není možno vytvořit více podsítí. Takže osobně vidím největší problém v routeru.
-
Jestli to dobre chapu, vase zarizeni (router at uz je to cokoliv), ma dve IP, ktere jsou obe schopny dodat pripojeni k Internetu. Tyto adresy jsou rekneme v zone WAN.
Na tech dvou IP je zvlastni to, ze jedna, rekneme IP1, je primo viditelna z Internetu (nekdy oznacovana jako verejna). Druha IP2 je za nejakou formou neprimeho jednosmerne aktivovaneho spojeni (zpravidla nejaka verze NAT).
Vy chcete, aby vsechno fungovalo pres IP2 jen nektere sluzby (at uz jsou iniciovane odkudkoliv) fungovali pres IP1.
Pokud je to tak, tak budete muset pouzit source based routing. Linuxove jadro to uz nejakou dobu podporuje.
Bezne pouzivate staticke routovani a vse funguje. Program kdyz prijme spojeni, zpravidla odpovida a routovani neresi. Ani neresi, odkud jakou routou se k nemu data dostaly. Pokud mate ale dve 'gateway', narazite na to, ze po jedne vam prijdou data a muze se stat (skoro vzdy), ze data odejdou jinou branou.
To by v beznem Internetu P2P nemel byt problem, bohuzel ten nastava na vsech tech NATech a firewallech, ktere sleduji spojeni a pokud nenajdou souvislost, pakety zahodi.
-
No predem rikam ze s tim nemam zadnou zkusenost takze muj navrh bude nejspis kravina.
Za predpokladu ze mas s ISP vse vyreseno takze kdyz na WAN rozhrani nastavis verejnou IP, tak je router pristupny z internetu, tak by melo stacit na WAN vytvorit virtualni rozhrani kteremu nastavis verejnou IP a pak vytvorit bridge pro rozhrani na kterem mas stroj co ma mit verejnou IP.
Vetsina ADSL routeru v kterych jsem se hrabal to mela pojmenovamy neco jako virtual bridge. Alespon k tomu jsem pochopil ze to slouzi.
Pokud kecam tak prosim ostatni at me opravi.
-
To by asi musel umět router tagovat příchozí packety na rozhraní podle cílové adresy, každopádně určitě by musel mít oddělené porty. To mi přijde jednodušší to řešení s route.
-
Mám něco podobného. Řešil jsem to tak, že jsem na bráně nastavil obě IP a vytvořil pravidlo v Shorewall, které dle dst IP předává traffic dále do LAN. Nic na tom není.
Na rootu je to samý odborník, ale když se řeší skutečný problém který se nedá okecat, je to horší.
V podstatě je to pouze záležitostí routování.
Jimm
-
Paráda, konečně tu máme kýženého odborníka. Teď ještě aby vysvětlil, co znamená "jsem na bráně nastavil obě IP".
-
Jestli to spravne chapu, tak bych situaci resil nasledovne:
NAT 1:1 pro jedno konkretni zarizeni se statickym DHCP leasem (Verejna WAN IP <-------> Privatni LAN IP daneho zarizeni)
Source-NAT pro cely LAN pool s prekladem na privatni IP WAN interfacu (LAN-pool ------> Privatni WAN IP)
V takovem pripade pujde traffic od/do jednoho konkretniho zarizeni po verejne IP, zbytek LAN bude ven pristupovat pres privatni IP na WAN interfacu.