Veřejky -NAT 1:1 na hlavním routeru,nebo routovat?

Trnec

Klasický omyl ... jsou to dvoupáry IP-IP. Za jednu IP zamaskuješ o hodně víc spojení ... Jenom jich z jedné víc neuděláš.

to cervene jsem nepochopil, podle me si trosku protirecis, mohl by jsi to trosku rozebrat jak to myslis?

ludvik

Klasický omyl ... jsou to dvoupáry IP-IP. Za jednu IP zamaskuješ o hodně víc spojení ... Jenom jich z jedné víc neuděláš.

to cervene jsem nepochopil, podle me si trosku protirecis, mohl by jsi to trosku rozebrat jak to myslis?

Máš 2^16 portů. Takže z jedné IP neuděláš víš než 65536 spojení. NATka nenatka. Ve skutečnosti méně, ale to je fuk.

Pokud máš NATkovací stroj, tak on nepřekládá tak, že má na výstupu jednu IP a 65536 portů. On si udržuje conntrack tabulku - a tam jsou "kvartety" zdrojová IP : port a cílová IP : port. Takže může existovat spousta zdrojových IP se stejným portem směrujících na stejnou cílovou IP a stejný port. Omezení na počet možných kombinací prakticky neexistuje (ale jo, je tam - velikost té conntrack tabulky, volná RAM, a tak).

Implementačně si ale nejsem úplně jistý - kvůli identifikaci konexe na cílové IP se nejspíš nikdy nepoužije stejný odchozí port pro různé zdrojové IP. Takže se dá říci, že jediné omezení NATky je 65536 konexí na jednu cílovou IP.

A pak jsou občas problémy s protokoly typu ipsec, gre a obdobné, kde je IP součást i datového paketu.

Ale máš pravdu, vysvětlování mi moc nejde :-) Majklikovi to jde lépe. Vlastně napsal to samé.

Trnec

diky za vycerpavajici odpoved ;)

majklik

tomu nejak nerozumim. Bavime se o cistem ethernetu nebo nejakem tunelu? Naco na zpusob: klient dostane na svuj PC privatku z nejaky subnety vetsi nez /32 (v ni ma i default gatewy) a na to IP se naroutuje verejna/32? To si nejak nedovedu predstavit (problem s preferovanou source IP a pod).

Záleží, čím to končí u klienta. Obecně a nejbezpečnější (z pohledu - bude to fungovat s kdejakým krámem) je PPPoE. Pokud tam má něco inteligentnějšího, např mikrotika, tak jsou v podstatě dva způsoby:

a) jak jsi psal - dostane neveřejku z nějakého segmentu třeba /24 a v ní má i default routu ven, vedle toho na wan iface dostane i veřejku /32 a naroutuješ mu to na to. Pro odchozí spojení se jen nastaví srcnat, ať používá tu veřejku.

b) koncovému klientu na wan port (např ether1) dáš pouze tu /32 veřejku a defaultní bránu nastavíš, že míří přímo do ether1 interface. Na straně routeru u ISP je na iface směrem ke klientům zapnut režim proxy-arp a funguje to i bez té pomocné neveřejky (směrem od ISP tu veřejku routneš také přímo na to iface). Tohle se i hodí, když děláš izolaci kleintů od sebe. to proxy arp stáhne vše na sebe a tam profiltruješ, co přímo mezi klienty propustíš (vyházíš MS share a podobné).

Takže u tohoto režimu pak máš v ARP tabulce u klienta pro každou IP (na kterou komunikuje) ARP záznam s MAC adresou odpovídající té bráně (co má zapnuto proxy-arp).

dalibortoman

..

o techto a podobnych resenich vim. Ja uz se lekl, ze existuje proste a pritulne reseni jak verejnou /32 dostat bez tunelu az k zakaznikovi (ne na nejakou gateway). V nasem pripade je u zakaznika vzdy MT ale na strane k zakaznikovi predavame verejne IP (/30 ci vic). Cili si tam muze pripojit primo PC nebo svuj NAT broadband router.

majklik

Jo, to jsou podvody, ale funčkní. Jinou variantu, jak efektivně využít IPčka je na optice, že mám normálně VLANa co barák, každá má nějakou svoji neveřejný prefix. A pro ty s veřejkama mám jednu VLANu, kde mám zkrátka /24 vwřejek a tato VLANa je roztahána do všech baráků a kdo má veřejku, tak místo aby měl access port na VLANě baráku, tka tam má VLANu s veřejnm Cečkem. Když se VLANa obsadí, tk se nahodí další s dalším C

éčkem a jede se dál... Takových Céčkových VLAN je víc. Na porty se to binduje přes Radius.

Pro wifi rádia se to moc nehodí, tam PPPoE, /32 dle situace.

« Předchozí stránka