Naroutovaný rozsah IP adres

David

  • ***
  • 150
    • Zobrazit profil
Naroutovaný rozsah IP adres
« kdy: 16. 03. 2019, 12:54:36 »
Ahoj,

chci se prosím zeptat na nastavení routovaného bloku IP adres. Adresa routeru je 192.168.221.116/26 a na tuto adresu mi poskytovatel posílá přidělený blok 192.168.220.128/28.

Je moje úvaha správná, že na routeru stačí nastavit dst/src nat a bude to fungovat (+firewall)? 10.0.0.2 je IP serveru na vnitřní síti.
add action=dst-nat chain=dstnat dst-address=192.168.220.134 to-addresses=10.0.0.2
add action=src-nat chain=srcnat src-address=10.0.0.2 to-addresses=192.168.220.134

Pokud tedy používám NAT 1:1, ušetřím tím IP adresy a mohu použít všech 16 adres (/28). Je to tak?

Mě to teď nefunguje, tak hledám chybu u sebe a pak mohu podezírat poskytovatele, že ten blok neroutuje na mě.

(IP adresy jsem změnil na vnitřní 192.168., pro účely otázky je to jedno)

Děkuji.


Re:Naroutovaný rozsah IP adres
« Odpověď #1 kdy: 16. 03. 2019, 13:06:29 »
Nejprve si musíte rozmyslet, zda tam opravdu chcete zbytečný NAT, nebo zda chcete tu síť normálně routovat. Nejjednodušší je samozřejmě to routování, prostě strojům ve vnitřní síti přidělíte adresy z té routované sítě, nastavíte routy na routeru a máte hotovo.

David

  • ***
  • 150
    • Zobrazit profil
Re:Naroutovaný rozsah IP adres
« Odpověď #2 kdy: 16. 03. 2019, 13:17:52 »
Ušetřím tím IP adresy, tak to budu dělat přes NAT. Přeci jen tento přímý 1:1 nepovažuji za takové zlo.

Kdybych ale ten routovaný rozsah použil, bránu z rozsahu (192.168.220.129) bych nastavil svému routeru a z pohledu poskytovatele by se nic nezměnilo, je to tak?

Mám za to, že docela chápu, co se tu děje. Jen mě mate, že mi to nefunguje. Ale trasování končí někde dřív a ne až u mě (192.168.221.116), tak snad to stačí jen donastavit u ISP.
« Poslední změna: 16. 03. 2019, 13:20:23 od David »

Re:Naroutovaný rozsah IP adres
« Odpověď #3 kdy: 16. 03. 2019, 13:34:44 »
Bránu z toho rozsahu nastavovat nemusíte, klidně můžete všechny přidělené IP adresy použít ve vnitřní síti. Akorát je možné, že některé programy se budou zdráhat používat „adresu sítě“, ale spíš to dělají různé utility typu ping nebo traceroute, které o konfiguraci sítě iniciativně zjišťují víc, než je potřeba.

Jestli ten rozsah ISP routuje správně ověříte snadno – na vnějším rozhraní vašeho routeru si pustíte tcpdump s filtrem na IP adresy z daného rozsahu a zkusíte na nějakou IP adresu z venku pingnout. Případně můžete zkusit jiné protokoly, třeba TCP/IP na port 80, pokud chcete mít jistotu, že ISP třeba jen neblokuje ping.

David

  • ***
  • 150
    • Zobrazit profil
Re:Naroutovaný rozsah IP adres
« Odpověď #4 kdy: 16. 03. 2019, 14:11:45 »
Děkuji za dobrý tip. V Mikrotiku lze použít Tools -> Packet Sniffer.


Re:Naroutovaný rozsah IP adres
« Odpověď #5 kdy: 17. 03. 2019, 07:15:15 »
Pokud ve vnitrni siti nepotrebuji verejne adresy pouzivat windowsi stroje, da se routovat po jedne adrese. Tj. pocitace ve vnitrni siti budou mit sve obvykle privatni adresy a na routeru nastavite, ze verejna adresa 192.168.220.x/32 je routovana na 10.0.0.2.

Na stroji 10.0.0.2 pak nastavite onu 192.168.220.x/32 na dummy rozhrani (nebo loopbacku nebo bridge bez zapojenych interfacu). Jen je pak trosku slozitejsi konfigurace routovani na stroji 10.0.0.2 - default gateway na Linuxu by napriklad musela byt "default via 10.0.0.1 src 192.168.220.x").
« Poslední změna: 17. 03. 2019, 07:17:08 od Radek Zajíc »

David

  • ***
  • 150
    • Zobrazit profil
Re:Naroutovaný rozsah IP adres
« Odpověď #6 kdy: 17. 03. 2019, 08:05:08 »
Co mi přinese, když budu veřejnou adresu (192.168.220.x) nastavovat na dummy interfacu serveru? Pro přístup na server přes veřejnou adresu zvnitřku by měl stačit hairpin NAT.