Mirkotik: NAT a nastavení pro ISP

Jarda Antoš

Mirkotik: NAT a nastavení pro ISP
« kdy: 31. 03. 2014, 12:55:36 »
Zdravím,

 měl bych dotaz, jestli by mi někdo nedokázal poradit s nastavením Mikrotiku RB1100AHx2. Přebral jsem síť po někom, kdo tu nenechal moc informací a já s Mikrotikama nemám žádné zkušenosti.

Mám 2 problémy.

1) Je teď důležitý, proto více konkrétní - Mám od poskytovatele drát s internetem, který vede do routeru na eth12 - má veřejnou IP a myslím, že je to ta, kterou mi vrací stránka whatismyip.com; pak je ale v mikrotiku zapsana verejna adresa serveru a prý ještě jedna verejna IP. Nemam potuchy, o ktera zarizeni jde. Ale jde mi o to, ze za Mikrotikem je na eth10 je pripojen router ZyXell (ZyWall USG 100) , coz je tady takova docela cerna dira. V ZyXellu je pripojena vnitrni sit na ktery jsou pocitace a treba i kamery. A muj dotaz je, jak udelat abych zadal verejnou IP adresu:port a vlezlo mi to na vnitrni IP adresu? Zkousel jsem navody na internetu na presmerovani pomoci NAT, ale zadny z techto navodu mi nefungoval.
Delal jsem chain:dstnat DSTaddress: verejna adresa firmy (tam jsem zkousel dat vsechny 3, co jsem myslel, ze mame); protocol: 6tcp; DST port:8020 (take jsem zkousel do ANYport zadat); (obcas jsem zkousel i pridat INT.interface: eth12); dale na zalozce Action jsem daval action dstnat a To address: Lokalni IP adresu zarizeni (z vnitrni site je kamera dostupna); obcas jsem zkusil dat i do ToPort: ten port 8020 i kdyz zarizeni je pristupne bez portu, pouze na IP adrese.
Poradil by mi nekdo, jak tohle udelat?

2) Tento dotaz je vice obecny. Jelikoz jsem prevzal sit s mikrotikem, ktera ma byt jako maly ISP potreboval bych poradit, protoze moc zkusenosti se sitema nemam, jak se toho chopit. Stav je takovy, ze mame mikrotik do ktereho vede internet, do mikrotiku je zapojen ZyWall na kterem je zbytek vnitrni site a pak jsou do mikrotiku pripojeny nejaky 3 anteny, kdy na kazdy bezi jeden clovek a ma internet a pak jeste 1 clovek pripojene primo kabelem do mikrotiku.
Muj dotaz je, jak predelat a nastavit celou sit tak abych mohl nejakym software nastavovat a uctovat lidem. Byl zde (resp. jeste bezi) na nejakym linux serveru program MikroBill, ale k tomu nemam vice udaju a webove prostredi mu nefunguje. Chtel bych co nejmene omezit stavajici lidi, ale nejakym zpusobem predelat sit, abych se v tom vic vyznal. Jde mi o to, ze ted vubec nevim, kam mam zapojit noveho cloveka a co mu nastavit, aby mu bezel internet. Zaroven bychom chteli pridavat vice novych lidi. Na mikrotiku je par eth dírek a my máme pro lidi nastavene 3 tarify ve kterých budou. Mám to udělat tak, že do mirkotiku pripojim nejake 3 velke switche a do nich budu pripojovat jednotlive lidi? Nebo se to dela jinak? Mohl by mi nekdo pomoci?

Děkuji predem za projevenou snahu a budu rad pokud mi nekdo poradi.
Jiste jste poznali i mou uroven, tak budu rad pokud budete shovívaví k memu dotazu. Dekuji.

S pozdravem,
Jaroslav Antos.
« Poslední změna: 31. 03. 2014, 13:13:44 od Petr Krčmář »


McFly

  • *****
  • 560
    • Zobrazit profil
    • E-mail
Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #1 kdy: 31. 03. 2014, 16:37:49 »
Jardo, nechci Vás urazit, ale není u vás (hádám ve firmě?) někdo, kdo se tímto opravdu zabývá? Přeci jen člověk, co těmto věcem nerozumí, může nakonec udělat ještě víc zmatků než v té síti teď je. Rozhodně bych trval na předání nějaké té dokumentace. Tak bych to asi dělal já.

Pro lepší pochopení by to chtělo vidět stávající pravidla firewallu na MK, strukturu sítě a tak dále. Na MK je asi nastaven shaping, omezování rychlostí a asi všechno. To byste si měl projít.

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #2 kdy: 31. 03. 2014, 21:08:45 »
takze vlastne mas nieco co ani nevies co je, ale ides to nastavovat? Mikrotik vyzaduje iste znalosti, to nie je wifi router s instalaciou typu dalej a dokoncit.
Ak sa dobre vyznas do sieti, tak vtedy sa velmi rychlo naucis s nim pracovat, ak nie, tak ta caka tazka cesta.
Ak ste maly ISP, tak to tam nemate nikoho, kto sa do toho vyzna? priprav sa na pekny bordel na sieti, kde si deti zakaznikov urobia testovacie prostredie pre ich hackerske pokusy.

Byt tebou, necham to na niekoho, kto sa rozumie do sieti, usetris si vela nervov a telefonatov od nespokojnych zakaznikov, pripadne vypovedi na policii ked budu chciet totoznost zakaznika, ktori isiel na nejaku zakazanu stranku (nie, nerobim si srandu, v predchadzajucej praci sa to stavalo).

#

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #3 kdy: 31. 03. 2014, 21:38:43 »
pripadne vypovedi na policii ked budu chciet totoznost zakaznika, ktori isiel na nejaku zakazanu stranku
ty vole to je jako co ta zakazana stranka :)

Jose D

  • *****
  • 850
    • Zobrazit profil
Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #4 kdy: 31. 03. 2014, 23:00:56 »
1)  ... drát s internetem ... takova docela cerna dira...

No, vypada to ze tam mas dva NATy, jeden na mikrotiku, druhy na zyxelu, ale z tveho popisu to uplne neni poznat. Popis nam tu co presne mikrotik a zyxel dela. Mikrotik muze fungovat jako router, switch, vpn, firewall...

2) jak predelat a nastavit celou sit tak abych mohl nejakym software nastavovat a uctovat lidem.

Jestli tam mas malo lidi, tak kazdemu nastav Queue, viz http://wiki.mikrotik.com/wiki/Manual:Queue

Na mikrotiku je par eth dírek

Nazývejme to prosím např. "porty"..

Mám to udělat tak, že do mirkotiku pripojim nejake 3 velke switche a do nich budu pripojovat jednotlive lidi? Nebo se to dela jinak?

jj, dělá se to jinak. Každýmu userovi uděláš zvlášť frontu (garazove reseni) a nebo shapujes někde centrálně..

Mohl by mi nekdo pomoci?

určitě, myslím že se v CZ dělají celkem rozumná a levná školení mikrotiku i síťařiny.., zkus pogooglit.. Nechá se najmout i konzultant.

Mám 2 problémy.
Myslím, že máš ještě jeden problém. Doufám, že si z nás děláš trochu legraci, ale pokud se o tu síť budeš fakt starat se svojí stávající úrovní znalostí, nechtěl bych být v tvé kůži až se na tvé síti stane nějaký problém, nevím ani jak to dopadlo s tímto zákonem: http://www.lidovky.cz/chysta-se-bic-na-spravce-site-dgx-/veda.aspx?c=A081126_174639_ln-svet-techniky_poh


Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #5 kdy: 01. 04. 2014, 08:18:03 »
pripadne vypovedi na policii ked budu chciet totoznost zakaznika, ktori isiel na nejaku zakazanu stranku
ty vole to je jako co ta zakazana stranka :)

stranka, kde je pedofilny obrazok napr. Sranda je, ze si ta sice zavolaju ohladom podania vysvetlenia, ale nemozu tu povedat adresu ten stranky, resp. obrazka. Ale mas im povedat kto tam bol. Je interne nejaka celosvetova db stranok, ktore obsahuju blacklistove adresy.
Kludne sa moze stat, ze sa ti tam pripoji na pozadi nejaky frame v stranke, alebo virus sa tam pripoji a mas problem.

Jarda Antoš

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #6 kdy: 01. 04. 2014, 09:37:53 »
Dobrý den,
 předem bych chtěl poděkovat všem, kteří se pokouší pomoci. K časté otázce, bohužel to nemůžu nechat nikomu, kdo tomu více rozumí, ty lidé zde už nepracují a bohužel dokumentace od nich zůstala naprosto minimální. Já dostal příležitost tohle dělat a možnost se všechno naučit, což bych rád využil, jen nevím pořádně jak začít, proto jsem využil tohle fórum. Jen pro upřesnění. :)

1)  ... drát s internetem ... takova docela cerna dira...

No, vypada to ze tam mas dva NATy, jeden na mikrotiku, druhy na zyxelu, ale z tveho popisu to uplne neni poznat. Popis nam tu co presne mikrotik a zyxel dela. Mikrotik muze fungovat jako router, switch, vpn, firewall...

ZyXell zde byl jako prvni a bezi na nem Firewall pravidla i NAT. Pak se pred nej pripojil Mikrotik, na kterem bezi take nejaka Firewall pravidla a i NAT.

2) jak predelat a nastavit celou sit tak abych mohl nejakym software nastavovat a uctovat lidem.

Jestli tam mas malo lidi, tak kazdemu nastav Queue, viz http://wiki.mikrotik.com/wiki/Manual:Queue

Lidi je tu opravdu malo asi 4, proto je moznost to vsechno relativne v klidu predelat a naucit se vsechny potrebene veci, nez se to bude rozjizdet ve vetsim. Podivam se tedy na tvoreni front, dekuji za odkaz.

Na mikrotiku je par eth dírek

Nazývejme to prosím např. "porty"..

Budu. :) Jen me osobne prijde trochu matouci ze jednou je port zdirka na routeru a jednou je to rozlišovadlo v adresách.


Mám to udělat tak, že do mirkotiku pripojim nejake 3 velke switche a do nich budu pripojovat jednotlive lidi? Nebo se to dela jinak?

jj, dělá se to jinak. Každýmu userovi uděláš zvlášť frontu (garazove reseni) a nebo shapujes někde centrálně..
Jak je myšleno, že "shapuju někde centrálně"? Mohl byste vysvětlit co je tím myšleno, popřípadě mě někam nasměrovat?


Mohl by mi nekdo pomoci?

určitě, myslím že se v CZ dělají celkem rozumná a levná školení mikrotiku i síťařiny.., zkus pogooglit.. Nechá se najmout i konzultant.

Školení jako takové teď moc nepřipadá v úvahu, na to mě zde upozornili rovnou, že mi teď školení nikdo platit nebude a musím se tím prokousat sám. Proto jsem taky myslel pomoc tady od lidí na fóru.

Mám 2 problémy.
Myslím, že máš ještě jeden problém. Doufám, že si z nás děláš trochu legraci, ale pokud se o tu síť budeš fakt starat se svojí stávající úrovní znalostí, nechtěl bych být v tvé kůži až se na tvé síti stane nějaký problém, nevím ani jak to dopadlo s tímto zákonem: http://www.lidovky.cz/chysta-se-bic-na-spravce-site-dgx-/veda.aspx?c=A081126_174639_ln-svet-techniky_poh

Aha, tak vidím, že mě čeká ještě víc učení než jsem si myslel.

Každopádně, jak jsem psal. Dostal jsem pracovní příležitost a chci ji využít. Takže se rád budu učit novým věcem. Jinak to ani nepůjde. A všem vám moc děkuji za pomoc. A podporu. :) Čekal jsem, že se do mě pár lidí trochu naveze, ale jako motivace je to dobrý. :)

Lol Phirae

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #7 kdy: 01. 04. 2014, 10:32:54 »
No... uh... juj... tak nevím, buď na tom Mikrotiku zkus zprovoznit nějaký WRT, nebo to vyhoď a pořiď si něco, kam se dá dát klikadlo typu pfSense/m0n0wall apod. A rozhodně bych zlikvidoval ten dvojitej NAT.  ::)

Jimm

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #8 kdy: 01. 04. 2014, 11:39:02 »
Teď se do mě všichni pustí, ale zkuste mi prosím ligickými argumenty vyvrátit, že by na tom místě měl být někdo jiný.

Nevím čím je pán vyučen, ale pokud je například pekař, tím že zastává tuto pozici:

-svět přichází o dobré pečivo

- někdo kdo se naučil něco o IT přichází o své místo

- někdo (třeba já nebo vy) může a časem také bude bez internetu

Má tohle cenu? Proč firma nepřiplatí pár tisíc a nedosadí na pozici někoho, kdo ví co dělá?

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #9 kdy: 01. 04. 2014, 11:40:22 »
Jardo, nechci Vás urazit, ale není u vás (hádám ve firmě?) někdo, kdo se tímto opravdu zabývá? Přeci jen člověk, co těmto věcem nerozumí, může nakonec udělat ještě víc zmatků než v té síti teď je. Rozhodně bych trval na předání nějaké té dokumentace. Tak bych to asi dělal já.

Pro lepší pochopení by to chtělo vidět stávající pravidla firewallu na MK, strukturu sítě a tak dále. Na MK je asi nastaven shaping, omezování rychlostí a asi všechno. To byste si měl projít.

Děkuji za odpověď. Jak jsem psal níže, bohužel zde ve firmě nikdo jiný není. Takže je to na mě a já se tím musím prokousat. :) Rozhodl jsem se připravit obrázek, pro lepší komunikaci, takže struktura sítě je asi takováto:



Zde je nahraný obrázek:
Kód: [Vybrat]
http://www.imgup.cz/image/BH3

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #10 kdy: 01. 04. 2014, 11:42:49 »
Teď se do mě všichni pustí, ale zkuste mi prosím ligickými argumenty vyvrátit, že by na tom místě měl být někdo jiný.

Nevím čím je pán vyučen, ale pokud je například pekař, tím že zastává tuto pozici:

-svět přichází o dobré pečivo

- někdo kdo se naučil něco o IT přichází o své místo

- někdo (třeba já nebo vy) může a časem také bude bez internetu

Má tohle cenu? Proč firma nepřiplatí pár tisíc a nedosadí na pozici někoho, kdo ví co dělá?

Mozna o IT neco vim, ale ne tak dobre v tehle oblasti. Rikam, ucim se. Radsi ocenim nejakou pomoc od nekoho zkuseneho, kdo rekne, jak by mi doporucil zacit. K te druhe otazce to tak je. Nehledam konkretni odpoved, ale spis postup.

Děkuji.

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #11 kdy: 01. 04. 2014, 11:51:28 »
Ještě bych chtěl doplnit pár informací:

Predelavkou site jsem nemyslel asi to, co jsi mel na mysli ty. Spis se jednalo o to, jak spravne nastavit NATy na zarizenich a jestli nebude lepsi pridat switche pro kazdy tarif, ktery si vytvorime nez abysme je vsechny pripojovali do mikrotiku, kde je min portu - to prave nevim, jak se dela. To o nastudovani je mi jasny, je to asi dlouha cesta, ale byl bych rad, kdyby mi nekdo pomohl me nejakym zpusobem smerovat. Jakoze mit za sebou 2 NATY je uplna blbost jsem ted zjistil a za info jsem rad. Ale mam ten NAT mit na mikrotiku na zacatku nebo ho mit na ZyXelu? Potreboval bych nakopavat takovym smerem, popripade pridat par informaci. Ja si rad ostatni dohledam, ale sam ted vidim, ze bez pomoci na to stacit nebudu nebo mi to zabere milionkrat vic casu a budu hodne chybovat, coz si muzu dovolit, ale ne v tak velke mire. Preci jen na tom uz nekdo bezi.

Kazdopadne dekuji za vsechny reakce. :)

M.

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #12 kdy: 01. 04. 2014, 11:56:15 »
Obrázek je dobrý základ. Teď bych si do něj začal z konfigurace připosovat IP adresy, případně které porty v tom routeru tvoří dohromady na jednom portu bridge, ..., co se podaří zjistit.
Ohledně té zmínky o MikroBill, to je právě nástroj na nastavování a řízení toho Mikrotiku. Pro 4 uživatele kanón na vrabce, ale je to do 100 uživatelů zdarma. Takže pozor na zásahy do konfigurace toho RB1100AHx2 ručně, MikroBillovi se to nemusí líbit nebo to zase přeplácne. Ale je otázka, v jakém je stavu. Ten by právě měl řešit to omeování rychlostí, účtování dat, ...

Dva NATy za sebou je v ČR dneska naprosto běžná konfigurace pro koncové uživatele (jedne NAT na úrovní ISP - CGN, to ti dělá oto RBčko, druhý koncový router uživatele). Jak jsi zjistil, že ten firemní Zyxel je přes NAT v tom RB? Může a nemusí, to záleží na nastavení. Pokud se dokážeš dostat do jeho webmanagemenetu, tka to dle nastavené IP na WAN straně asi zjistíš rychle.
Přidávat switch bych dělal, až ti nebudou stačit porty v tom RBčku. Fakticky prvních deset portů jsou dva pětiportové switche (ale v defaultu se tvářící jako samostanté ethernet porty).

Jinak ISPíků, kde to dělá někdo, kdo o tom absolutně netuší, neumí to, těch znám celkem řádku a nevypadá to, že by krachovali. :-)

Jimm

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #13 kdy: 01. 04. 2014, 12:05:53 »
Jo, já tomu věřím, proto řeším druhým rokem problémy s připojením a zvažuji zavedení poštovních holubů... To ale není důkazem toho, že je to ok stav.

Re:Mirkotik: NAT a nastavení pro ISP
« Odpověď #14 kdy: 01. 04. 2014, 12:13:54 »

Na mikrotiku je par eth dírek

Nazývejme to prosím např. "porty"..

Budu. :) Jen me osobne prijde trochu matouci ze jednou je port zdirka na routeru a jednou je to rozlišovadlo v adresách.

Ahoj, pokud ti tohle příjde matoucí, tak ti doporučím nastudovat si (aspoň teoreticky) 7 vrstvý ISO/OSI model nebo aspoň ten 4 vrstvý TCP/IP, ať víš, jak data protékají od aplikací, přes routery a switche a nakonec sou z nich 1 a 0 (já vím, moc sem to zjednodušil), tady máš ukázku z reálného života:

http://www.smartgridoregon.org/Resources/Pictures/4_valentine-example.jpg
(chybí tam příměr na relační vrstvu)

Každopádně, být tebou, tak se zatím v nastavení Mikrotiku nehrabu (promiň, že to řeknu takhle natvrdo, ale v síťařině máš, aspoň podle toho, co si tady napsal, hluboké mezery, začni tím ZyWallem, oproti Mikrotiku je naprosto primitivní. Na Mikrotik máš demo stránku, kde si jej můžeš osahat:

http://demo.mt.lv/webfig/

Ještě jedna poznámka: sou věci, na které ti stačí přečíst si "pár" knih/článků/návodů (typicky vše ve WIndows, i když takové DFSR není až tak jednoduché, jak se zdá), a sou věci, na které potřebuješ mentora (typicky IOS od Cisca, je možné, že se najdou geniové, kteří se jej naučí sami, ale je to fakt náročné). Mikrotik je někde uprostřed, něco jde udělat intuitivně, něco je naopak bez vysvětlení a názorné ukázky téměř nemožné (ale opět se můžou najít géniové, kteří to zvládnou sami). A pokud tě nebude někdo aspoň trochu usměrňovat, tak si fakt nejsem jistý, zda je to dobrá pozice pro tebe. (možná se mýlím).

No dobře - druhá poznámka (do budoucna): Pokud nemáš na tom ZyWallu placené služby, tak je to v podstatě obyčejný router a firewall (je trochu lepší než ty SOHO krabičky, ale bez například VPN concatenatoru - to je hnusné slovo, ani nevím, zda se to tak jmenuje, nebo antiviru či jiných funkcí mi to příjde jako zbytečný luxus, a pokud to jen půjde, nahraď jej tím Mikrotikem).