Přesměrování veřejné IP na zařízení za routerem

[Toommy]

Zalezi hlavne na tom jakou IP adresu vidis zde http://www.whatismyip.cz/ pokud verejnou IP tak s tim nic neudelas, jedine po domluve s poskytovatelem, pokud vidis neverejnou nestacil by klasicky portforward na routeru? Ja to mam podobne, od poskytovatele jsem dostal verejnou IP, na svem routeru jsem si musel zmenit lokalni IP na jinou, nastavil portforward a vse OK. Kouknu jak se hlasim ven a mel jsem NAT IP poskytovatele. Tak jsem si psal s technikem, ten mi poslal nastaveni PPTP tunelu do ktereho se musim pripojit abych se ven hlasil svoji verejnou IP WTF1.0 . V tunelu mi padl internet z 60/60 na 20/20..WTF2.0.. tunel jsem vypl a jedu na 2 IP pri serfovani a veskere cinnosti si uzivam "anonymity" NATU poskytovatele a co potrebuju zenu pres verejnou IP.

[Reklama]

[qwe]

podla toho co pises ze mas jednu privatnu a jednu verejnu adresu a obe su "funkcne" mi vyplyva ze LAN traffic je NATovany na privatnu IP ktoru mas na WAN a tato privatna IP je potom niekde dalej este raz NATovana na verejnu na ISP zariadeni.

to co chces dosiahnut je normalna vec a nezalezi ci dane dve IP su na rovnakej sieti alebo nie, ono dost zalezi ake mas zariadenie a ako velmi je konfigurovatelne (cisco to asi nebude)

cize tvoj LAN rozsah bude stale dynamicky NATovany na privatnu WAN adresu a pre specificke zariadenie v LAN urobis staticky NAT 1:1 -> verejna adresa na privatnu adresu serveru v LANke.

[SB]

Síťování moc nerozumím, ale dle mě by to zas takový problém být neměl. Vnější rozhraní routeru má neveřejnou adresu z natovaného rozsahu poskytovatele. Na poskytovateli je, aby věděl, která to je (staticky dohodnuto nebo pomocí DHCP client), a aby směroval pakety pro zmíněnou veřejnou adresu na tento router (jeho vnější rozhraní s neveřejnou adresou). Samotný router musí mít nastavenou cestu (route) do vnitřní sítě pro tuto veřejnou adresu, a to jako podsíť o velikosti /32 na portu s daným zařízením. A v tom bude asi právě ten frk, zda má router oddělené porty (dobré), nebo jsou všechny na jednom blbém switchi (špatné), tj. není možno vytvořit více podsítí. Takže osobně vidím největší problém v routeru.

[trouba]

Jestli to dobre chapu, vase zarizeni (router at uz je to cokoliv), ma dve IP, ktere jsou obe schopny dodat pripojeni k Internetu. Tyto adresy jsou rekneme v zone WAN.

Na tech dvou IP je zvlastni to, ze jedna, rekneme IP1, je primo viditelna z Internetu (nekdy oznacovana jako verejna). Druha IP2 je za nejakou formou neprimeho jednosmerne aktivovaneho spojeni (zpravidla nejaka verze NAT).

Vy chcete, aby vsechno fungovalo pres IP2 jen nektere sluzby (at uz jsou iniciovane odkudkoliv) fungovali pres IP1.

Pokud je to tak, tak budete muset pouzit source based routing. Linuxove jadro to uz nejakou dobu podporuje.

Bezne pouzivate staticke routovani a vse funguje. Program kdyz prijme spojeni, zpravidla odpovida a routovani neresi. Ani neresi, odkud jakou routou se k nemu data dostaly. Pokud mate ale dve 'gateway', narazite na to, ze po jedne vam prijdou data a muze se stat (skoro vzdy), ze data odejdou jinou branou.

To by v beznem Internetu P2P nemel byt problem, bohuzel ten nastava na vsech tech NATech a firewallech, ktere sleduji spojeni a pokud nenajdou souvislost, pakety zahodi.

[Hellraiser]

No predem rikam ze s tim nemam zadnou zkusenost takze muj navrh bude nejspis kravina.

Za predpokladu ze mas s ISP vse vyreseno takze kdyz na WAN rozhrani nastavis verejnou IP, tak je router pristupny z internetu, tak by melo stacit na WAN vytvorit virtualni rozhrani kteremu nastavis verejnou IP a pak vytvorit bridge pro rozhrani na kterem mas stroj co ma mit verejnou IP.
Vetsina ADSL routeru v kterych jsem se hrabal to mela pojmenovamy neco jako virtual bridge. Alespon k tomu jsem pochopil ze to slouzi.

Pokud kecam tak prosim ostatni at me opravi.

[Reklama]

[SB]

To by asi musel umět router tagovat příchozí packety na rozhraní podle cílové adresy, každopádně určitě by musel mít oddělené porty. To mi přijde jednodušší to řešení s route.

[Jimmm]

Mám něco podobného. Řešil jsem to tak, že jsem na bráně nastavil obě IP a vytvořil pravidlo v Shorewall, které dle dst IP předává traffic dále do LAN. Nic na tom není.

Na rootu je to samý odborník, ale když se řeší skutečný problém který se nedá okecat, je to horší.

V podstatě je to pouze záležitostí routování.

Jimm

[SB]

Paráda, konečně tu máme kýženého odborníka. Teď ještě aby vysvětlil, co znamená "jsem na bráně nastavil obě IP".

[chimal]

Jestli to spravne chapu, tak bych situaci resil nasledovne:

NAT 1:1 pro jedno konkretni zarizeni se statickym DHCP leasem (Verejna WAN IP <-------> Privatni LAN IP daneho zarizeni)
Source-NAT pro cely LAN pool s prekladem na privatni IP WAN interfacu (LAN-pool ------> Privatni WAN IP)

V takovem pripade pujde traffic od/do jednoho konkretniho zarizeni po verejne IP, zbytek LAN bude ven pristupovat pres privatni IP na WAN interfacu.